Yaptırım uygulanan casus yazılım üreticisi Intellexa hakkında yayımlanan yeni kanıtlar, şirketin hükümet müşterilerinin gözetim sistemlerine uzaktan erişim sağladığını ve bu sayede Predator casus yazılımıyla hacklenen kişilerin özel verilerini görebildiğini ortaya koyuyor. Amnesty International ve aralarında Haaretz ile Inside Story'nin de bulunduğu bir medya ortakları koalisyonu, şirketin iç belgeleri, eğitim videoları ve satış materyallerinden sızdırılan bilgilere dayanarak hazırlanan bir dizi raporu kamuoyuyla paylaştı. Bu ifşaat, küresel siber güvenlik ve veri gizliliği standartlarını yeniden sorgulatıyor.

TeamViewer ile Canlı Hedeflere Erişim İddiası

Sızan materyallerdeki belki de en çarpıcı detay, Intellexa çalışanlarının, müşterilerinin gözetim sistemlerine TeamViewer gibi yaygın kullanılan bir uzaktan erişim aracı vasıtasıyla bağlantı kurabilmeleriydi. Bu araç, personelin internet üzerinden başka bilgisayarlara bağlanmasına olanak tanıyor.

Amnesty'nin raporunda belirtildiğine göre, sızdırılan bir eğitim videosu, Predator casus yazılım sisteminin ayrıcalıklı kısımlarını, özellikle kontrol panelini ve “Predator casus yazılımı kurbanlarından toplanan fotoğraflar, mesajlar ve diğer tüm gözetim verilerini içeren depolama sistemini” gözler önüne seriyor. Araştırmacılar, bu videonun Kazakistan'daki bir hedefe yönelik ‘canlı’ Predator bulaştırma girişimlerini gösterdiğini, hedefin IP adresi ve telefonunun yazılım sürümü gibi detaylı bilgilerin yer aldığını iddia ediyor.

Sektör Standartlarına Aykırı Bir Durum

NSO Group ve feshedilen Hacking Team gibi casus yazılım şirketleri, geleneksel olarak müşterilerinin hedeflerinin verilerine veya sistemlerine asla erişmediklerini savunur. Bu yaklaşımın temelinde iki ana neden yatar:

• Hukuki Sorumluluk: Casus yazılım üreticileri, müşterileri yazılımı yasa dışı kullandığında olası yasal sorumluluktan kaçınmak isterler.
• Hükümet Gizliliği: Hükümetler, hassas soruşturmalarının (hedef isimleri, konumları ve kişisel veriler) yurtdışında yerleşik özel bir şirketin eline geçmesini istemezler.

Bu bağlamda, uzaktan erişim sağlanması sektör normlarına tamamen aykırıdır. Rakip casus yazılım üreticisi Memento Labs CEO'su Paolo Lezzi, TechCrunch'a yaptığı açıklamada, “Hiçbir [hükümet] kurumunun bunu kabul etmeyeceğini” belirterek bu tür bir erişimin ‘kesinlikle normal’ olmadığını ifade etti. Lezzi, sızdırılan videonun belki de bir demo ortamını gösteren eğitim materyali olabileceği konusunda şüpheci yaklaştı. Hatta teknik sorun giderme gerektiğinde bile erişimin sadece müşteri gözetiminde ve kısıtlı süreyle verildiğini belirtti.

Amnesty: Erişim Canlı Sistemeydi ve Risk Büyük

Ancak Amnesty International, sızdırılan videonun canlı Predator gözetim sistemlerine erişimi gösterdiği konusunda ısrarcı. Amnesty’nin güvenlik laboratuvarı başkanı Donncha Ó Cearbhaill, eğitim sırasında bir personelin ‘demo ortamı mı’ diye sorduğunu ve eğitmenin bunun ‘canlı bir müşteri sistemi’ olduğunu doğruladığını aktardı.

“Bu bulgular, potansiyel gözetim kurbanlarının endişelerini artırmaktan başka bir işe yaramaz. En hassas verileri sadece bir hükümete değil, aynı zamanda gizli verilerini güvenli bir şekilde saklama konusunda sorunları olduğu kanıtlanmış yabancı bir gözetim şirketine de maruz kalma riski taşıyor.”

Siber Güvenlik Açısından Sonuçlar

Bu skandal, casus yazılım sektörünün şeffaflık ve hesap verebilirlik konularındaki derin sorunlarını bir kez daha gözler önüne seriyor. Bu durum, finansal hizmetler gibi kritik sektörlerde yaşanan büyük ölçekli veri ihlalleriyle de paraleldir. Siber güvenlikteki şeffaflık sorunu sadece casus yazılımlarla sınırlı kalmayıp, kullanıcıların en hassas verilerini toplayan akıllı ev cihazlarında da kendini göstermektedir. Örneğin, Kohler'in Dekoda akıllı tuvalet kamerası, kullanıcıların bağırsak sağlığını takip etmek amacıyla görüntüler çekmektedir. Şirket başlangıçta verilerin 'uçtan uca şifreli' olduğunu iddia etse de, güvenlik araştırmaları bu şifrelemenin sadece aktarım sırasında kullanılan TLS (Transport Layer Security) olduğunu, yani verilerin Kohler sunucularına ulaştıktan sonra şirket tarafından erişilebilir olduğunu ortaya koymuştur. Bu tür yanıltıcı 'uçtan uca şifreleme' iddiaları, tüketicilerin kişisel sağlık verilerini bir üçüncü tarafa emanet etme riskini ciddi ölçüde artırmaktadır. Bu konuda daha fazla detaya ulaşmak için Kohler Dekoda akıllı tuvalet kamerası ve uçtan uca şifreleme tartışması hakkındaki haberimizi okuyabilirsiniz. Örneğin, geçtiğimiz aylarda Texas merkezli fintech şirketi Marquis, fidye yazılımı saldırısı sonucu 400 binden fazla ABD banka müşterisine ait Sosyal Güvenlik numaraları, banka hesap bilgileri ve diğer hassas verilerin çalındığını duyurdu. Marquis veri ihlali ve ransomware saldırısı gibi olaylar, verilerin üçüncü taraf hizmet sağlayıcılar üzerinden ne kadar kolay ele geçirilebileceğini ve 'zero-day' açıklarının yarattığı riski gözler önüne sererken, siber güvenlikte çok katmanlı savunma stratejilerinin zorunluluğunu vurguluyor. Hükümetler, ulusal güvenlik adına kullandıkları araçların kendi vatandaşlarının veya hedef aldıkları kişilerin verilerini üçüncü, yabancı ve yaptırım uygulanan bir şirketin erişimine açıp açmadığını detaylıca sorgulamak zorundadır. Uzaktan erişim iddiaları, Intellexa'nın sadece yazılım satmakla kalmayıp, aynı zamanda fiilen küresel bir gözetim ağına dahil olabileceği endişesini doğuruyor. Intellexa bu iddialara ilişkin yorum yapmaktan kaçınırken, Dilian’ın avukatı müvekkilinin herhangi bir suç işlemediğini savundu.

Bu haberin hazırlanmasında kaynak olarak kullanılan orijinal metne aşağıdaki bağlantıdan ulaşılabilir: Casus Yazılım Şirketlerinin Erişim İhlalleri ve Yeni Güvenlik Riskleri.