Mesajlarımız Gerçekten Güvende mi?

Mesajlarımız Gerçekten Güvende mi?

Mesajlarımız Gerçekten Güvende mi?

Telefonlarda ortaya çıkan güvenlik açıkları, saldırganlara neyin amaçtaki telefonlara casus yazılımı yükleme ve iletiler, fotoğraflar, aramalar üzere zatî datalara ulaşma imkanı sunduğu sorusunu ortaya çıkarıyor.  

Son devirlerde gündeme gelen hücumlardan bir tanesi ise Pegasus olarak biliniyor. Bu casus yazılım, kolay bir WhatsApp davetiyle telefonunuza enfekte olabiliyor. Daha da berbatı ise WhatsApp’tan gelen bu çağrıyı açmanız da kural değil. Yapılacak tek bir davet yetiyor ve cihaza erişim kazanabiliyor. Saldırgan daha sonra davet kayıtlarını değiştirerek, kendi zararlı aktivitesini gizleyebiliyor.

Buradaki güzel, haber WhatsApp’ın bu güvenlik problemini yayımladığı bir yamayla kapatması. Istenilmeyen haber ise birçok insanın bu stil bir akından haberinin olmaması ve WhatsApp’ını hâlâ güncellememiş olması. Yaşanan bu sorun halledilmiş olsa da WhatsApp üzere iletileşme servislerinin şahsî olgularımızı korumak konusunda nitekim sağlam olup olmadığı akıllara geliyor.

Pegasus ve NSO Group

Financial Times’da konum alan habere nazaran bu erişim, daha sonra NSO Group tarafından üretilen Pegasus casus yazılımı olduğu sav edilen casus yazılımı kurmak için kullanılıyor. NSO ise şu an bu yaşananları soruşturma aşamasında.

Yapılan birtakım gözlemlere nazaran, bu akınlarda Pegasus yazılımı kullanıldıysa bile bu hücumların gerisinde NSO’nun kendisi değil, yazılımı satan alan bir müşteri olduğu düşünülüyor.  

Pegasus’u yeni duyduysanız ve kulağınıza pek aşına gelmiyorsa, NSO tarafından satılan bu casus yazılım, terörizm ve kabahatle savaşta tedbir olarak kullanılıyor. Şirket, kendi yazılımını, “Günümüz yerküresindeki tehlikeli problemleri yasal olarak çözmeleri için resmi yetkilileri destekleyecek araçlar sağlıyoruz. Hükümetler, bizim eserlerimizi terörizmi önlemek, günah operasyonlarını bozmak, kayıp kişileri bulmak, arama ve kurtarma ekiplerine yardımcı olmak için kullanıyor” halinde tanımlıyor.

Yeterli yazılım berbat hale geldiğinde

Pegasus ve gibisi yazılımlar düzgün gayeler için üretilmiş olsalar dahi her hengam suiistimal edilme potansiyelleri bulunuyor. Ağırlıkçı rejimler, güçlü casus yazılımları muhaliflerin kökünü kazımak için, muhalefeti gizlice gözetlemek için kullanabiliyorlar.

Pegasus’un Meksikalı uyuşturucu baronu Joaquin Guzman’ın yakalanmasında kullanıldığıyla ilgili savlar da bulunuyor. Lakin bunun tersi olarak Pegasus’un, BAE’li insan hakları aktivisti Ahmet Monsoor’un maksat alınmak için kullanıldığı da söyleniyor.

2018’in sonlarında Suudi muhalifler, gazeteci Jamal Khashoggi’nin (Cemal Kaşıkçı) öldürülmesinde Pegasus’un kullanıldığı teziyle dava açtılar. Bunun haricinde Amnesty International da Pegasus’un hükümetler tarafından insan hakları savunucularını gözetlemek için kullanıldığı gösteren birçok nokta olduğu teziyle dava etmişti.

Şifrelenmiş iletileşme servisleri hakikaten inançlı olabilir mi?

WhatsApp, kullandığı uçtan uca şifrelemeyle kullanıcılarına güvenlik ve kapalılık vadediyor. Şirket kendi sitesinde ise “tıpkı iletileriniz üzere WhatsApp davetleriniz da uçtan uca şifrelemeli yani WhatsApp ve üçüncü parti tatbikler konuşmalarınızı dinleyemez” formunda açıklıyor.

Lakin asıl tatbikin kendisi bir güvenlik açığı barındırıyorsa şifrelemenin pek bir meali kalmıyor, cihaz külliyen kırılıyor ki WhatsApp’ın başına gelen de motamot buydu. Buradaki asıl sorunun, bir yazılım nitekim inançlı olabilir mi olması gerekiyor. Fakat bu bahiste da garanti vermek mümkün değil. Yani sorunun kısaca yanıtı, hayır.

SecureData’nın kurucularından ve tıpkı devirde CTO’su (Baş Teknoloji Yöneticisi) olan Etienne Greeff, bu hususta hakkında “iOS üzere işletim sistemlerinin altında yatanlar inançlı üzere görünüyor olabilir gelgelelim işletim sistemindeki tüm pratiklerin da dahil olduğu ekosistem çok karışık ve külliyen inançlı hale getirmek epeyce sıkıntı. Başkaca bu karmaşık sistemleri korumak için kullanılabilecek sıfır gün güvenlik araçları epey verimli olabilir” dedi.

NTT Security’de kıdemli başkan olan Daniel Follenfant, pratikleri inançta tutmanın daima savaş olduğunu söylüyor ve şayet ki onlar külliyen inançlı olsaydı bizim de mütemadi olarak güvenlik yamalarıyla güncelleme yayımlamamız gerekmezdi diye belirtiyor.

Güvenlik ve kapalılık konusunun oldukça kıymetli olduğu şu vakitlerde teknoloji şirketleri de kullanıcılarına, datalarını inançlı saklama lafı veriyor. WhatsApp da bu şirketlerden bir tanesi ve en yüksek güvenlik teknolojisini kullanıyor olması gerekiyor. Bu şirketlerin, oluşan güvenlik açıklarında çok süratli bir biçimde bu hasarları en aza indirgemesi gerekiyor.

Son taarruzlarda nispeten içleri rahatlatan taraf, bu yazılımın bir virüs üzere kullanıcılardan kullanıcılara yayılarak ilerlemek tarafına seçilmiş ve maksat alınmış bireyler üzerine ağırlaşması. The Guardian’da taraf alan habere nazaran, şu ana kadar bilinen gayeler Birleşik Krallıktaki insan hakları avukatları ve araştırmacıları.

Şayet ki bu biçim işlerle uğraşmıyorsanız yahut WhatsApp’tan son devirlerde bilmediğiniz bir numaradan rastgele bir davet almadıysanız güvendesiniz demektir. Lakin WhatsApp üzere 1,5 milyar kullanıcısı olan servislerin bu stil açıklara yakalanması kişileri tedirgin ederken, sanal korsanları da heyecanlandırıyor.

Datalarınızı inançta tutmak için neler yapabilirsiniz?

Birinci olarak işletim sisteminizi ve cihazlarınızda yüklü olan tatbikleri en aktüel sürümünde tutmanız gerekiyor. Son hadisede WhatsApp, epeyce süratli bir formda güvenlik yaması yayımlamış olsa da pratiğini güncellemeyenler hâlâ mümkün bir hücuma açık durumda bulunuyor.

Daniel Follenfant, kullanıcıların şifrelerini tekrar kullanmaktan kaçınmaları gerektiğini tabir ediyor. Follenfant, “Üzerinde düşünülmesi gereken şeylerden bir tanesi, her şeyde tıpkı şifreyi kullanmak olmalı. Örneğin bir balık avlama forumuna üyeyseniz ve birebir şifreyi Amazon’da da kullanıyorsanız, saldırgan Amazon’u maksat almak mekanına daha az güvenlikli olan forumu maksat alır” diyor.

Biz de buradan okuyucularımıza kullandığınız, haberlerinizi verdiğini her platform için farklı farklı şifreler kullanmalarını tavsiye ediyoruz.

Beğen

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir