Düzinelerce gözetleme şirketi, dünya çapındaki hükümetler tarafından gazetecilerin, insan hakları savunucularının, muhaliflerin ve siyasi muhaliflerin cep telefonlarını gözetlemek için kullanılan casus yazılım teknolojisini sağlıyor.
Google’ın Tehdit Analizi Grubu, insan hakları sicili zayıf olan hükümetlere güvenlik açıkları ve gözetleme yetenekleri satan 40’a kadar şirketi belirledi ve aktif olarak takip ediyor.
Ticaret, İsrail’in NSO Grubu, İtalya’nın Cy4Gate ve Yunanistan’daki Intellexa gibi iyi bilinen casus yazılım şirketlerinin ötesine uzanıyor ve gözetim yetenekleri sağlayan daha küçük şirketlerden oluşan genişletilmiş bir tedarik zincirini içeriyor.
Google’ın raporu yayınlaması, Londra’daki Lancaster House’da düzenlenen ve ticari casus yazılım kullanımına güvenlik önlemleri getirmeyi amaçlayan uluslararası bir konferansta kabul edilen ve Pall Mall Süreci olarak bilinen Fransız ve Birleşik Krallık ortak girişimiyle aynı zamana denk geldi.
Google’a göre, Google’ın Tehdit Analiz Grubu (TAG) tarafından tespit edilen en gelişmiş bilgisayar korsanlığı ve gözetim araçlarının çoğundan, devlet istihbaratı ve emniyet teşkilatlarından ziyade, ticari gözetim sağlayıcıları (CSV’ler) olarak bilinen özel sektör şirketleri sorumludur.
Geçtiğimiz yıl Google araştırmacıları tarafından belirlenen 25 sıfır gün güvenlik açığından (casus yazılımların telefon veya dizüstü bilgisayarlardaki özel verilere erişmesine olanak tanıyan kamuya açık olmayan güvenlik zayıflıkları) 20’sinin gözetleme tedarikçileri tarafından istismar edildiği ortaya çıktı.
Google şu anda hükümete ticari gözetim hizmetleri sağlayan 40 şirketi takip ediyor, ancak ticarette yer alan tüm kuruluşları tanımlamanın veya saymanın imkansız olduğunu kabul ediyor.
Demokrasi ve seçimler üzerinde caydırıcı etki
Hükümetlerin elektronik casusluk hizmetlerini hazır satın alma yeteneği, gözetleme risklerini hükümetlerden CSV’lere kaydırıyor ve casus yazılımların yüksek riskli bireylere karşı konuşlandırılma olasılığını artırıyor.
Devlet destekli casus yazılımların hedefi olan kampanyacıların ve aktivistlerin kişisel hikayelerini anlatan rapor, casus yazılım ticaretinin ifade özgürlüğü üzerinde caydırıcı bir etki yarattığını ve özgür ve adil seçimler için tehdit oluşturduğunu ortaya koyuyor.
Örneğin geçen yıl TAG, Yunanistan merkezli bir ticari gözetim tedarikçileri ittifakı olan Intellexa tarafından sağlanan gözetim araçlarının, Endonezya ve Madagaskar’daki hedefleri tuzağa düşürmek için seçimleri ve siyasi adayları istismar ettiğini ortaya çıkardı. Şirketin ‘Predator’ casus yazılımı Mısır’da muhalif politikacıları hedef almak için de kullanıldı.
Google tarafından alıntılanan daha önce sızdırılan belgeler, hükümetin casus yazılıma yönelik taleplerinin, ticari gözetleme satıcılarının tedarik zincirlerini oluşturan şirketler ve bireyler için kazançlı sözleşmelere yol açtığını gösterdi.
Örneğin bir siber suç forumunda yayınlanan bir belge, Intellexa’nın hükümet müşterilerine, ev sahibi ülkede aynı anda 10 Android veya IoS telefona virüs bulaştıracak ‘Nova’ implantlarını 8 milyon Euro karşılığında teklif ettiğini ortaya çıkardı. İlave 1,2 milyon Euro karşılığında müşteriler, ev sahibi ülke dışındaki beş ülkeden telefonlara virüs bulaştırmayı tercih edebilecek.
Çoğu müşteri, telefonda kalarak tespit edilme riskinden kaçınmak için hedef telefonlarına casus yazılım bulaştırmak için düzenli olarak ödeme yapar. Ancak Intellexa ayrıca daha büyük ödemeler karşılığında telefon kapatıldığında telefonda kalan kalıcı virüsleri yükleme seçeneğini de sundu.
Diğer CSV’ler, müşterilerin verilerine erişim sağlamak amacıyla kullanıcıları sahte uygulamalar yüklemeye ikna etmek için internet servis sağlayıcılarıyla birlikte çalıştı. TAG tarafından 2021’de tespit edilen bir kampanya, İtalya ve Kazakistan’daki mağdurlara, saldırganların cep telefonlarının içeriğine erişmesine olanak tanıyan sahte Vodafone uygulamalarını indirmelerini teşvik eden SMS mesajları gönderildiğini ortaya çıkardı.
Kedi ve Fare oyunları
Google ve diğer güvenlik araştırmacıları, casus yazılım sağlayıcıları tarafından kullanılan güvenlik açıklarını keşfederek, ifşa ederek ve bunlara yama uygulayarak ticari gözetim satıcılarının iş modellerini bozdu.
Örneğin Nisan 2023’te Google, Intellexa’nın casus yazılım istismarı tarafından kullanılan sıfır gün güvenlik açıklarını düzeltmek için yamalar yayınlamasının ardından 40 gün boyunca faaliyetlerini kesintiye uğrattı. Intellexa, sıfır gün istismarının yerine yeni bir güvenlik açığı geliştirmesine rağmen, Google bu güvenlik açığını düzeltmeden önce yalnızca bir hafta hayatta kaldı.
Apple, saldırganların iMessage kısa mesaj hizmetine karşı sıfır tıklamayla saldırılar geliştirmesini zorlaştırmak için iOS 14 işletim sistemi güncellemesinde ‘BlastDoor’ olarak bilinen bir yama yayınladı. İsrailli casus yazılım grubu NSO, yükleri grafik dosyaları olarak gizlenmiş PDF dosyaları olarak sunarak korumayı aşmanın bir yolunu buldu. Apple daha sonraki güncellemelerde sorunu giderdi.
CSV’ler, hükümetlerin ve onlara karşı doğrudan yasal işlem başlatan teknoloji şirketlerinin faaliyetlerini engelleme çabalarına rağmen faaliyetlerine devam etti. Örneğin NSO Grubu, ABD hükümetinin yaptırımlarına ve Meta ile Apple’ın açtığı davalara rağmen faaliyetlerini sürdürüyor.
Google, ticari gözetleme teknolojilerinin yayılmasını engellemek için daha fazla eyleme ihtiyaç olduğunu savunuyor ve ABD hükümetini, ticari gözetleme satıcılarının faaliyet gösterdiği ülkelerle ve onların hizmetlerini kullanan hükümetlerle diplomatik çaba göstermeye çağırıyor.
27 Ülke Pall Mall Sürecini Destekliyor
Google, Meta, Microsoft ve BAE Systems Digital Intelligence ile birlikte, ticari gözetim hizmetlerinin kullanımına yönelik güvenlik önlemleri ve yönergeler geliştirmeye yönelik bir Birleşik Krallık ve Fransa girişimi olan Pall Mall Sürecini destekleyen 14 şirketten oluşan farklı bir grup arasında yer aldı.
6 Şubat 2023’te Lancaster House’da 27 ülkenin katıldığı iki günlük bir konferansta kabul edilen Pall Mall Süreci, gözetimle ilgilenen hükümetlerin ve özel sektör kuruluşlarının, faaliyetlerinin insan hakları hukukuna uygun olmaması durumunda sorumlu tutulması çağrısında bulunuyor.
Belgede, gözetim yeteneklerinin “istenmeyen, yasa dışı veya sorumsuz sonuçları” azaltmak için “hassaslıkla” kullanılması gerektiği belirtiliyor.
Hükümetler ve sektör tedarikçileri, gözetim teknolojisinin yasal ve sorumlu bir şekilde kullanılmasını sağlamak için durum tespiti değerlendirmeleri yapmalıdır. Pall Mall belgesine göre kullanımı yasal, gerekli ve orantılı olmalıdır.
Gözetim yeteneklerinin sağlanmasının, kullanıcıların ve tedarikçilerin ticari gözetim ve casus yazılım sağlamada yer alan tedarik zincirlerini anlamaları için şeffaf bir şekilde yürütülmesi gerektiğini savunuyor.
Dijital hak grupları hariç tutuldu
Destekçilerin arasında özellikle İspanya, Meksika, Sırbistan, Mısır ve Ürdün’ün de aralarında bulunduğu ticari casus yazılım kullandığı iddia edilen bazı ülkeler yoktu. NSO ve diğer casus yazılım geliştiricilerinin evi olan İsrail de konferansa katılmadı.
Uluslararası Af Örgütü, Big Brother Watch ve casus yazılımlara karşı kampanya yürüten ve araştırma yapan diğerleri de dahil olmak üzere dijital hak grupları da katılımcılar listesinde yer almadı.
Misafir profesör ve gizlilik uzmanı Ian Brown, X’e yorum yaptı“Bu süreç gerçekten de paydaşların büyük bir bölümünü kaçırıyor: on yılı aşkın bir süredir bu konu üzerinde yakından çalışan dijital haklar grupları.”
Fransa’nın 2024’te bir takip konferansı düzenlemesi bekleniyor.