1 puan yazan GN⁺ 2023-09-14 | 1 yorum | WhatsApp'ta paylaş
  • Meduza'nın kurucu ortağı ve yayıncısı Galina Timchenko'nun iPhone'u 10 Şubat 2023'te Pegasus ile enfekte edildi ve bu, Rus gazetecilere yönelik doğrulanmış ilk vaka oldu
  • Access Now ve Citizen Lab analizine göre saldırganlar mikrofon, kamera, bellek, fotoğraflar, takvim, adresler ve şifreli mesajlaşma uygulamalarındaki konuşmalara kadar erişebildi; enfeksiyonun HomeKit·iMessage üzerinden PWNYOURHOME açığıyla ilişkili olduğu düşünülüyor
  • Enfeksiyondan bir gün sonra Timchenko, Berlin'de sürgündeki Rus bağımsız medya temsilcileriyle kapalı bir seminere katıldı ve o sırada telefon dinleme cihazı gibi kullanılmış olabilir
  • NSO Group, Pegasus'u yalnızca suç ve terörle mücadele amacıyla devlet müşterilerine sattığını söylese de Access Now ve Citizen Lab, Letonya, Estonya, Almanya gibi Avrupa ülkelerindeki olası kullanım ile sınır ötesi gözetim ihtimalini sorunlu görüyor
  • Saldırının faili ve amacı belirlenmedi; Timchenko vakası, Avrupa'da gazetecilerin ulusal güvenlik tehdidi gibi ele alınması eğilimini ve ticari casus yazılımlara yönelik düzenleme boşluğunu ortaya koyuyor

Apple tehdit bildiriminden enfeksiyonun doğrulanmasına

  • 22 Haziran 2023'te Galina Timchenko, Apple'dan state-sponsored attackers ile ilgili bir tehdit bildirimi aldı ve bunu Meduza'nın teknik ekibine iletti
  • Apple'ın threat notifications sistemi, kullanıcının “kim olduğu veya ne yaptığı” nedeniyle bireysel olarak hedef alındığında gönderilen bir uyarıdır
    • Apple, devlet destekli saldırıların son derece karmaşık olduğunu, geliştirilmesinin milyonlarca dolara mal olduğunu ve çoğu zaman kısa ömürlü olduğunu belirtiyor
    • Timchenko'ya gelen bildirim hangi devleti işaret ettiğini söylemiyordu
  • Meduza'nın teknik sorumlusu dış destek istedi
    • Access Now, dünya genelindeki kullanıcıların dijital haklarını ve güvenlik uygulamalarını destekleyen kâr amacı gütmeyen bir kuruluştur
    • Citizen Lab, Toronto Üniversitesi bünyesinde sivil topluma yönelik dijital casusluk faaliyetlerini araştıran bir laboratuvardır
  • Access Now ve Citizen Lab, Timchenko'nun cihaz verilerini toplayıp hızlı bir inceleme yaptı ve iPhone'unun 10 Şubat 2023 tarihinde Pegasus ile enfekte edildiğini doğruladı

Pegasus'un elde ettiği erişim yetkileri

  • Pegasus enfeksiyonu, saldırganlara Timchenko'nun iPhone'una tam erişim sağladı
    • Mikrofon, kamera ve belleğe erişim mümkün
    • Ev adresi, takvim, fotoğraflar ve şifreli mesajlaşma konuşmaları görülebiliyor
    • Ekranı doğrudan izleyip mesajlar yazıldığı anda okunabiliyor
    • E-postalar, SMS'ler, görseller ve dosyalar indirilebiliyor
  • Kullanıcının enfeksiyonu engellemesi veya fark etmesi zor
    • Pegasus, Apple'ın varsayılan olarak yüklediği uygulamalar dahil yalnızca tek bir savunmasız uygulama üzerinden cihazı hackleyebiliyor
    • Kullanıcının enfekte olmuş cihazı fark etmesi de kolay değil
    • Timchenko, iPhone'unun normalden daha sıcak olduğu zamanlar olduğunu ancak bunu yeni şarj cihazına bağladığını düşündüğünü söyledi
  • Citizen Lab, saldırganların HomeKit ve iMessage üzerinden sızmış olabileceğini düşünüyor
    • Araştırmacılar Pegasus'a özgü dijital izler buldu
    • Kullanılan açığın, iPhone'un yerleşik HomeKit özelliğini hedef alan ve iMessage'ı kötüye kullanarak casus yazılım yükleyen PWNYOURHOME olduğu değerlendiriliyor
    • John Scott-Railton, HomeKit'i etkinleştirmemiş cihazlarda da bu saldırının mümkün olduğunu söyledi

Berlin'deki kapalı toplantı ve enfeksiyonun zamanı

  • Enfeksiyon günü olan 10 Şubat 2023, Timchenko'nun Berlin'de kapalı bir toplantıya katılmasından bir gün öncesiydi
  • 11 Şubat'ta Timchenko ve Meduza genel yayın yönetmeni Ivan Kolpakov, sürgündeki Rus bağımsız medya temsilcileriyle birlikte Berlin'deki kapalı seminere katıldı
    • Seminer, Redkollegia gazetecilik ödülü komitesi tarafından düzenlendi
    • Medya yöneticileri ve avukatlar, Rusya'nın kapsamlı sansürü ile gazeteci ve aktivistlere yönelik baskılar ortamında Rusya ile ilgili faaliyetleri yürütmenin hukuki sorunlarını tartıştı
    • İki hafta önce Rusya Başsavcısı, Meduza'yı “undesirable organization” ilan ederek haber yapmasını fiilen yasadışı hale getirmişti
  • Timchenko toplantıya katıldığında Pegasus zaten çalışıyordu
    • Saldırganlar telefonun mikrofonunu uzaktan açarak çevredeki konuşmaları kaydedebiliyordu
    • Kamera da aynı şekilde açılabiliyordu
    • Access Now'dan Natalia Krapiva, Timchenko'nun telefonunun Rus gazetecilerin planlarını dinlemek için bir dinleme cihazı olarak kullanılmış olabileceğini düşünüyor

Rus gazetecilere karşı doğrulanmış ilk vaka

  • Timchenko vakası, Rus gazetecilere karşı Pegasus kullanıldığının doğrulandığı ilk örnek
  • Access Now, Rusya kökenli yaklaşık 20 gazeteci ve aktivistin telefonunu inceleyerek çeşitli kötü amaçlı yazılımlar buldu, ancak daha önce Pegasus tespit etmemişti
  • Citizen Lab'den John Scott-Railton, bu tür casus yazılımların günlük dosyalarını gizleyip kendi izlerini saklayabildiğini, bu yüzden enfeksiyonun tespit edilmesinin zor olduğunu anlattı
  • Citizen Lab ve Lookout Security, Pegasus'un varlığına ilişkin ilk izleri 2016'da yayımladı
    • O dönemdeki rapor, NSO Group'un “remote monitoring solution” ürününün BAE'li insan hakları aktivisti Ahmed Mansoor'u izlemek için kullanıldığını ortaya koymuştu
  • Citizen Lab, Pegasus'u işletmek için gereken sunucuları ve enfekte cihazlardan toplanan bilgilerin ulaştığı sunucuları takip ediyor
    • Access Now, Pegasus'un basit bir üründen çok bir hizmete benzediğini ve NSO Group'un müşteri ülkelere işletim eğitimi verdiğini söylüyor

NSO Group ve Pegasus'un maliyet / satış yapısı

  • NSO Group, Pegasus'un yalnızca “teröristler, suçlular ve çocuk cinsel istismarcıları”nı izlemek için tasarlandığını savunuyor
  • Şirket, Pegasus'u yalnızca devlet müşterilerine satıyor
    • Kurucu ortakları arasında İsrail askeri istihbaratı ve Mossad kökenli isimler bulunuyor
    • NSO Group sıkı insan hakları politikaları vurgulasa da çeşitli hükümetler Pegasus'u eleştirmenleri ve siyasi rakipleri hedef almak için kullandı
  • Citizen Lab'den John Scott-Railton, Pegasus erişiminin maliyetinin “on milyonlarca dolar, hatta daha da fazla” olduğunu söyledi
    • Meksika hükümeti Pegasus teknolojisine en az 61 milyon dolar harcadı
    • Meksika bunu hem suçluları hem de sivil toplum temsilcilerini izlemek için kullandı
  • Access Now'dan Natalia Krapiva'ya göre NSO Group sözleşmeleri, belirli sayıda eşzamanlı enfeksiyona izin verecek şekilde yapılandırılıyor
    • Örneğin 20 kişilik enfeksiyon paketi, aynı anda 20 kişinin izlenebileceği anlamına geliyor
  • Biden yönetimi, Kasım 2021'de NSO Group'u ABD teknolojisine erişemeyen federal kara listeye aldı
    • Bu adım, Pegasus Project konsorsiyumunun casus yazılımın yaygın kötüye kullanımını ortaya çıkarmasından birkaç ay sonra geldi

Rusya, Kazakistan ve Azerbaycan olasılığı

  • NSO Group'un, Pegasus'un ABD veya Rusya telefon numaralarını hedef almak için kullanılmasını engellediği biliniyor
    • 2020'de Pegasus tasarımcıları, enfekte telefonların fiziksel olarak ABD içinde bulunamayacağını ve ABD sınırları içine girerse yazılımın kendini imha edecek şekilde tasarlandığını söylemişti
    • 2019'da Estonya Pegasus erişimi satın aldığında, NSO Group'un bunun Rus hedeflere karşı kullanımını yasakladığı bildirildi
  • NSO Group, Rusya ve Çin'in “asla müşteri olamayacak” ülkeler olduğunu savunuyor
    • Şirket, potansiyel müşterilerin insan hakları, yolsuzluk, güvenlik, finans ve kötüye kullanım geçmişini incelediğini söylüyor
    • Ocak 2023'te CEO Yaron Shohat, temel işlerinin ABD ve İsrail'in müttefiki olan hükümetlere tedarik sağlamak olduğunu ifade etti
  • Andrey Soldatov'a göre Rus istihbarat servisleri küresel casus teknolojisi pazarında alıcı değil satıcı konumunda ve yabancı casus yazılımlara karşı son derece paranoyak
    • Pegasus ile çalınan verilerin NSO Group ekosistemindeki sunuculara gönderilmesi de Rus kurumları için sorun yaratabilir
    • Rus FSB, Meduza'nın Pegasus hakkındaki sorularına yanıt vermedi
  • Access Now, Kazakistan veya Azerbaycan'ın Moskova'nın talebiyle saldırıyı gerçekleştirmiş olabileceği yönünde geçici bir teori üzerinde duruyor
    • Bu iki ülke, Pegasus müşterisi olduğu düşünülen ülkeler arasında
    • Özbekistan'ın ise ilgili dönemde Pegasus müşterisi olduğu düşünülmüyor
  • Ancak araştırmacıların bildiği kadarıyla Kazakistan ve Azerbaycan daha önce Avrupa'da Pegasus saldırısı gerçekleştirmedi ve Timchenko enfekte olduğunda Almanya'daydı
    • Citizen Lab, Kazakistan'ın Pegasus'u sınır ötesinde kullandığına dair bir kanıt görmedi
    • Azerbaycan Pegasus'u yurtdışında kullanıyor, ancak araştırmacıların kaydettiği ülke yalnızca Ermenistan oldu

Letonya, Estonya ve Almanya'ya ilişkin Pegasus şüpheleri

  • Timchenko'nun enfekte iPhone'unda Letonya SIM kartı bulunuyordu
  • Citizen Lab, Letonya'daki Pegasus bağlantılı faaliyetleri ilk kez 2018'de kaydetti ve uzmanlara göre Riga hâlâ NSO Group ürünleri kullanıyor
    • Access Now, Letonya istihbarat kurumlarının saldırıyı gerçekleştirmiş olma ihtimalini de dışlamıyor
    • Enfeksiyondan iki ay önce Letonya, sürgündeki başka bir Rus medya kuruluşu olan TV Rain'in yerel yayın lisansını “ulusal güvenlik ve kamu düzenine tehdit” gerekçesiyle iptal etmişti
  • Ancak Citizen Lab, Riga'nın Letonya dışındaki hedeflere Pegasus ile saldırdığı bir örnek gözlemlemedi ve Timchenko Berlin'deyken enfekte oldu
    • Letonya Devlet Güvenlik Servisi, Timchenko'nun akıllı telefonuna yönelik olası saldırıyla ilgili elinde bilgi bulunmadığını söyledi
    • Pegasus kullanıp kullanmadığı ve yurtdışındaki hedefleri izleyip izlemediği gibi diğer sorulara ise operasyonel gizlilik gerekçesiyle yanıt vermedi
  • Estonya'nın 2019'da Pegasus erişimi satın aldığı doğrulandı ve Citizen Lab de bunu destekliyor
    • Scott-Railton, Estonya'nın Almanya dahil çeşitli AB ülkelerinde sınır ötesi hedefleri enfekte ettiğini izlediklerini söyledi
  • Almanya Federal Kriminal Dairesi, 2019'da Pegasus erişimi elde etti ve bunu ancak 2021'de kabul etti
    • Almanya'nın kötüye kullanımı önlemek için bazı işlevleri kısıtlanmış bir sürüm kullandığı söyleniyor, ancak bunun pratikte nasıl çalıştığı açıklanmıyor
    • Krapiva, Avrupa Veri Koruma Denetçisi raporunun yalnızca orijinal Pegasus'un değil, Pegasus'un herhangi bir biçiminin AB hukuku ile temelde bağdaşmasının zor olduğunu savunduğunu aktardı

Avrupa'da ticari casus yazılım sorunu

  • Scott-Railton, Timchenko'nun Berlin'de enfekte edilmesinin Avrupa'daki Pegasus sorununun çözülmediğini gösterdiğini düşünüyor
  • Almanya, ticari casus yazılımın yayılması ve kötüye kullanımına karşı ortak bildiriyi imzalamadı
    • Bu bildiriyi Denmark, France ve Sweden dahil 11 ülke imzaladı
  • Access Now, Rusya karşıtı göçün yeni merkezleri haline gelen Latvia, Estonia, Germany ve Netherlands adlı dört AB üyesinin de Pegasus kullanıcısı olduğundan şüphelenildiğini belirtiyor
  • AB PEGA Committee, AB içinde Pegasus kullanıcısı olarak en az 14 üye devlet ve 22 operatör bulunduğunu açıkladı
    • NSO Group'un yalnızca Hungary ve Poland ile yaptığı sözleşmeler sona ermiş durumda
  • Access Now, Timchenko'ya yönelik saldırıyı son bir yılda Avrupa'da görülen benzer vakaların en az dördüncüsü olarak değerlendiriyor
    • Meduza diğer vakaların ayrıntılarını biliyor, ancak mağdurlar bunların açıklanmasını istemiyor
  • Krapiva, Avrupa'da gazetecilerin tehdit olarak görülmesi eğiliminin AB hukukunda da görünmeye başladığını düşünüyor
    • European Media Freedom Act içindeki bazı ifadelerin France ve Sweden başta olmak üzere zayıflatıldığını, bunun da ulusal güvenlik gerekçesiyle gazetecilerin gözetlenmesini meşrulaştırabileceğini söyledi

NSO Group'un yanıtı ve sorumluluk meselesi

  • NSO Group, Timchenko'ya yönelik saldırıdan haberdar olup olmadığına ya da hangi müşterinin bu saldırıyı gerçekleştirmiş olabileceğine dair soruları yanıtlamadı
  • Şirket sözcüsü, Pegasus'un yalnızca ABD ve İsrail'in müttefiki olan ülkelere, özellikle Batı Avrupa devletlerine satıldığını ve amacının suç ile terörle mücadele olduğunu söyledi
  • NSO Group, güvenilir tüm kötüye kullanım iddialarını soruşturduğunu vurguladı, ancak Timchenko vakasında iç soruşturma başlatmaya hazır olup olmadığını söylemedi
  • The New York Times, Ocak 2022'de Pegasus sisteminin şikâyet geldiğinde tüm saldırıları kaydettiğini ve müşteri izniyle NSO'nun sonradan adli bilişim analizi yapabildiğini yazdı
    • Temmuz 2022'de NSO Group'un hukuk ve uyum sorumlusu, Avrupa Parlamentosu komitesinde iç soruşturmalar sonucunda 8 sözleşmenin feshedildiğini söyledi
  • Access Now'dan Krapiva, yüzlerce mağdurun ardından NSO'nun iç inceleme süreçlerinin ya hiç var olmadığı ya da göstermelik olduğu sonucuna vardıklarını söyledi

Timchenko ve Meduza'nın mevcut durumu

  • Timchenko, saldırının ardından yeni bir telefon aldı ve enfekte olan iPhone'u da yanında taşımaya devam ediyor
    • Citizen Lab, ilgili cihazda Pegasus'un artık yüklü olmadığını doğruladı
    • Timchenko, cihazı bir hatıra gibi saklamaya karar verdiğini söyledi
  • 2023 Haziran'dan bu yana uzmanlar, Meduza çalışanlarından onlarcasının telefonunu analiz etti
  • Saldırganın hangi belirli bilgiyi hedef aldığı hâlâ bilinmiyor
    • Meduza'nın teknik sorumlusu Alexey, motivasyon anlaşılana kadar en kötü senaryonun varsayılması gerektiğini söyledi
    • Rusya'nın bu enfeksiyonu sipariş etmiş olabileceğini ve ciddi sonuçlar doğurmuş olabileceğini dışlamıyor
  • Timchenko, bundan sonra avukatlarının tavsiyesine göre hareket edeceğini ve sessiz kalmayacağını söyledi

Enfeksiyondan şüphelenildiğinde ne yapılmalı

  • Casus yazılım gözetimi altında olduğunuzu düşünüyorsanız, olası saldırı kanıtlarını korumak için cihazınızı yedeklemeniz ve Access Now ile iletişime geçmeniz öneriliyor
  • Access Now, aşağıdaki koşulları casus yazılım enfeksiyonunu doğrulamak için makul gerekçeler olarak görüyor
    • Geçmişte devlet kurumları tarafından zulüm görmüş olmak
    • Kişinin kendisinin veya yakın çevresinden birinin daha önce dijital saldırıların hedefi olması
    • Apple, Google, Meta gibi büyük teknoloji şirketlerinden kötü amaçlı yazılım saldırısı ihtimaline dair bildirim almak
    • SMS, mesajlaşma uygulamaları veya e-posta üzerinden şüpheli mesajlar almak
    • Hesapta “unusual login attempts” görülmesi

1 yorum

 
GN⁺ 2023-09-14
Hacker News yorumları
  • NSO’nun, mevcut açıklar bulunup yamalanır yamalanmaz devreye sokmak üzere kenarda 20 kadar sıfır gün açığı biriktirmiş olma ihtimali ne kadar, merak ediyorum.
    Apple bu sorunun ne kadar ciddi olabileceğini biliyor mu, ya da en azından sezebiliyor mu? NSO’nun sıfır gün açıkları satın almak için harcadığı para ne olursa olsun, Apple gibi bir şirket hata ödüllerini yeterince yükseltip onları yasal tarafa çekemez mi? Sadece makaleye bakınca kurulum için kullanıcının bir eyleminin gerekip gerekmediği de belirsiz. Gerekmiyorsa, devlet destekli gözetimden az da olsa şüphelenen biri ne yapmalı? Telefon kullanmamak ya da ikinci el alınmış cihazları sürekli değiştirmek daha güvenli görünüyor.
    • Daha önce HN’de gördüğüm açıklamalar içinde NSO’yu en iyi bu yorum çözümlemiş gibi.
      Pegasus, birçok makalede anlatıldığı gibi tek bir hackleme aktörü değil; telefonda root yetkisi olduğunda verileri indiren bir hizmetler demeti ve derinliği bilinmeyen bir sıfır gün açığı deposu. Belki de sıfır gün açığını değiştirmeden önce Pegasus’un saatlerce, günlerce, haftalarca çalışmadığı zamanlar da oluyordur. Sızan materyallere göre etkileşimsiz ve tıklamalı exploit’leri birlikte kullandıkları ve birden fazla telefon işletim sistemini destekledikleri biliniyor.
      Bunların hackleme kabiliyetleri büyük olasılıkla abartılıyor. Sorunsuz müşteri desteği için sıfır gün açıklarının tamamını satın alıyor, kendileri hiç keşfetmiyor bile olabilirler. iPhone için etkileşimsiz sıfır gün açığı yaklaşık 2 milyon dolar değerinde[1] ve NSO gibi sözleşmeleri olan bir şirket bunlardan çok sayıda satın alabilir. Medyanın onları süper hacker’lar gibi göstermesi tamamen abartı; gerçekteyse devletten para koparmanın yolunu bulmuş yozlaşmış bir iş insanları grubuna daha yakınlar.
      [1] https://arstechnica.com/information-technology/2019/01/zerod...
    • NSO’nun, mevcut açıkların bulunup yamalandığı gün hemen kullanmak üzere birden fazla sıfır gün stoku bulundurması ihtimalini oldukça yüksek görüyorum.
      Tek bir exploit geliştiricisi bile yılda birkaç silahlandırılmış sıfır gün açığı üretebilir; böyle işler yapan geliştiriciden yalnızca bir tane çalıştırıyor olmaları pek olası değil, dolayısıyla onlarca açık biriktirmiş olmaları muhtemel. Bazıları kamuya açıklanan açıklarla çakışıp değersizleşecektir ama biri kapatılsa bile beklemede başka bir şeyleri olduğunu varsaymak doğru olur.
      Apple’ın ödülleri yükselterek onları yasal tarafa çekip çekemeyeceği iyi bir soru, ama NSO’nun fiyat seviyelerinde bunun muhtemelen zor olduğunu düşünüyorum. Apple rekabetçi bir miktar sunabilir, ancak hata ödülü işi çok daha riskli. Şansınız kötüyse, ya da açık zaten bildirilmiş bir açıkla çakışırsa, ya da tedarikçi zorluk çıkarırsa uzun süre çalışıp para alamayabilirsiniz. Apple da bu konuda kötü şöhretli sayılır.
      Devlet destekli gözetimden şüpheleniyorsanız, ilk etapta birden fazla telefon kullanmak daha iyi olabilir. SMS/MMS yerine kimliği doğrulanmış protokoller kullanmak gerekir; herhangi birinin istenmeyen verileri telefonunuza gönderebilmesi fikri başlı başına saçma. Ben olsam bilinen kişilere giden arama yapmadığım zamanlarda hücresel servisi tamamen kapatırdım.
    • Makalede Lockdown Mode’dan hiç bahsedildiğini görmedim; bu, böyle konumdaki kullanıcıların saldırı yüzeyini azaltmak için kullanabileceği söylenen bir özellik.
      Yüksek riskli habercilik yapan gazetecilerin bunu varsayılan olarak açık tutmaması şaşırtıcı. Bu etkileşim gerektirmeyen exploit’lerin önemli bir kısmı, mesaj alındığı anda çalışan görüntü çözücüleri gibi açıklardan geçiyor; Lockdown Mode açıksa bunlar engelleniyor. Lockdown Mode başka özellikleri de devre dışı bırakıyor. Lockdown Mode açık olan bir telefonun ele geçirildiğine dair kanıt görüp görmediğini merak ediyorum. İmkânsız demiyorum, sadece merak ediyorum.
    • Laurent Richard’ın Pegasus adlı kitabı, Pegasus sızıntı listesini ve 50 binden fazla hedefi dünyaya duyuran gazetecilerin yaşadığı zorlukları ele alıyor.
      Zamanla gazeteciliğe karşı alaycı hale gelmiş biri bile, Suudi Arabistan ya da Fas gibi rejimlere karşı durmak için gazetecilerin katlandığı ölüm tehdidi ve korkuyu görünce ister istemez mütevazılaşıyor. Pegasus, Jamal Khashoggi’nin ve onun sevgilisi olarak hatırlanan kişinin telefonlarında da vardı.
    • NSO’nun elinde muhtemelen etkileşimsiz sıfır gün açığı olarak 3–10 civarında şey vardır.
      NSO kendi ürettiklerinin tamamını yaksa bile, tanıdığım açık broker’ları birkaç milyon dolar değerinde onlarca stok açık hazır tutuyor. Bu bir sır da değil. Broker’lar ABD’de yasal olarak kurulmuş şirketler işletiyor ve hükümetlere, şirketlere, ayrıca Microsoft ve Apple gibi güvenli olmayan ürünler yapan tedarikçilere satış yapıyor. Apple, onlarca ila yüzlerce bilinen kritik güvenlik açığına sahip ürünler piyasaya sürdüğünü biliyor.
      Apple’ın tüm sıfır gün açıklarını satın almamasının iki nedeni var. Birincisi, güvenlik parayla satın alınamaz. İkincisi, getirisi maliyetinden büyük değil.
      Ciddi güvenlik parayla çözülemez. Apple şu anda kalıcılığa sahip etkileşimsiz uzaktan kod çalıştırma için 1 milyon dolar[1], aynı şeyi Lockdown Mode’da yaparsanız 2 milyon dolar ödüyor. Bu, yaklaşık bir Tomahawk seyir füzesi fiyatı. Böyle güvenlik açıklarını bulmak 1–3 mühendis-yıl civarında sürdüğü için ödül kabaca iş gücü maliyetine göre belirlenmiş. Eğer bir M1 Abrams tankı fiyatı kadar, yani 10 milyon dolar öderlerse yatırım getirisi 10 katına çıkar ve yeni bildirimler sel gibi gelir. Çünkü 1 milyon dolar seviyesinde tespit edilen kusurlardan çok daha fazlası 10 milyon dolar seviyesinde tespit edilebilir durumdadır.
      Ama devletleri caydırmak için en az bir F-16 fiyatı olan 100 milyon dolar seviyesine çıkmak gerekir. Zaten birkaç milyon dolar seviyesinde bile bilinen onlarca ila yüzlerce güvenlik açığı varken, 100 milyon dolar seviyesinde neredeyse kesin olarak binlerce ila on binlerce açık olacaktır. Dolayısıyla devlet destekli saldırganlardan korunmak için bunları parayla satın alma yöntemi mümkün olsa bile trilyonlarca ila onlarca trilyon dolara mal olabilir. Zaten iOS ya da Windows gibi güvenlik için tasarlanmamış sistemleri sonradan güçlendirme stratejisiyle birkaç milyon dolar aralığının ötesinde başarıya ulaşmış neredeyse kimse yok.

Apple sıfır gün açıklarını satın alarak ne elde ediyor? Binlerce güvenlik açığı rapor edilse de insanlar iPhone almaya devam ediyor. Apple'ın Lockdown Mode gibi yeni bir pazarlama söylemi üretmesi yeterli; herkesin içi rahatlıyor. Devlet destekli saldırganların ihtiyaç duyduğu seviyenin yüzde birine bile yaklaşamayan ürünler üretmiş bir şirket, “bu kez gerçekten başaracağız” diye bir tanıtım cümlesi ortaya attığında insanlar bunu kabul ediyor. Apple'ın kendi tanıtımına inanmadığı da Lockdown Mode ödülünü normal iOS için verilen 1 milyon doların iki katı, 2 milyon dolar olarak belirlemesinden belli. Bu hâlâ bir tankın fiyatının beşte biri. Devlet destekli bir saldırgan bir tankın bir kısmı kadar fiyattan korkar mı? Bir McDonald’s şubesi açmak daha pahalı. Apple, Microsoft, Amazon, Google, Cisco, Crowdstrike gibi şirketlerin tek yapması gereken yalan söylemek; tuhaf biçimde insanlar bininci seferde bile buna inanıyor ve gelirleri korunuyor
Ticari IT sistemleri, orta düzey finansmana sahip saldırganlara karşı bile tamamen güvenli değildir. 1 milyon doların üzerinde değeri olan bir operasyonunuz varsa ya da hedefli saldırı riskiniz bulunuyorsa, kaç sistem kullanırsanız kullanın bunların %100 savunmasız olduğunu varsaymalısınız. Bunu kabul edemiyorsanız bağlantı özelliği olan standart ticari IT sistemleri kullanmamalısınız. Ne yazık ki şu anda işe yarayan tek çözüm bu. Bu ödünü kabul edip etmeyeceğine herkes kendisi karar vermeli
[1] https://security.apple.com/bounty/categories/

  • Yakın gelecekte bir noktada başlıktaki “cep telefonu” otomobil olarak değişecek ve sonuç daha trajik olacak
    Bir Tesla zero-day’inin ne kadar edeceğini merak ediyorum

    • Muhtemelen cep telefonundan daha az değerli olur
      İnsanlar cep telefonlarını kendilerinin bir uzantısı gibi yanlarında taşıyor, ama otomobil A noktasından B noktasına götüren bir araç
      Ayrıca modern otomobillerin çoğunda internete neredeyse hiç bağlı olmayan bir Secure Gateway[1] var; bu da bağlı sistemlerin motor, güç aktarma organları ve frenler gibi aracın geri kalanına yalnızca sınırlı ağ erişimi sağlamasına izin veriyor. Bu yüzden uzaktan, geniş ölçekli saldırı olasılığının düşük olduğunu düşünüyorum
      [1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
    • Bu zaten oldu: https://www.youtube.com/watch?v=MK0SrxBC1xs
  • Yunan mitolojisindeki anlamı ilginç değil mi? Pegasus, Medusa’nın kanından doğmuştu

    • Başta ‘Meduza’nın Rusça /meduza/, yani denizanasından geldiğini sanmıştım; meğer gerçekten Yunan mitolojisindeki Medusa’yı kastediyormuş(1)
      “Neden özellikle Meduza? Kaygan ve tatsız bir canlı değil mi?” sorusuna gazeteci, gazetecinin genelde tatsız, kaygan ve pek az kişinin sevdiği biri olduğunu, işin özünün de bu olduğunu söylüyor. Ayrıca Medusa’nın baktığı kişiyi bir bakışta taşa çevirmesinin de gazetecilere uyduğunu söylüyor. Ama dürüst olmak gerekirse ismin tesadüfen seçildiğini belirtiyor. Antik Yunan’dan, başı kesilmiş ama yeniden dirilmiş bir canavarın adını vermek istemişler; ‘Meduza’yı seçtikten sonra bunun aslında Hydra olduğunu hatırlamışlar, ama artık çok geç olmuş
      1: https://meduza.io/cards/zaday-vopros-meduze, #75
  • Apple’ın Pegasus gibi kötü amaçlı yazılımları tespit ettiğinde kime haber verip kime vermeyeceğine nasıl karar verdiğini merak ediyorum
    İlgili kişiye haber vermeleri iyi olmuş
    Ama o kişi çok daha az tanınan biri olsaydı ne olurdu? Örneğin demokratik bir ülkede yaşayan sıradan biri? Apple onu kimin hedef aldığını biliyor mu? Biliyorsa “Çin ya da Rusya ise haber veririz” gibi bir kriter mi var? Öyleyse Çin ya da Rusya demokratik bir ülkedeki ücretli bir aracıyı kullanarak aynı şeyi yaparsa ne olur?
    Sorular çok fazla oldu. Bir de Apple bu tür kötü amaçlı yazılımları tespit edebiliyorsa neden yerel bir uygulamadan anında bildirim gelmiyor? Telefon için antivirüs gibi bir şey yani. Böyle bir şeyin zaten olması gerekirdi; yoksa bunu nasıl bildiler?

    • Gerçekte nasıl çalıştığını bilmiyorum ama doğrudan cihaz üzerinde çalıştırmak için maliyeti çok yüksek olur gibi geliyor
      Muhtemelen kötü amaçlı mesaj gönderdiği bilinen hesaplar gibi bilgiler alıp, sunucu günlüklerini tarayarak bunların kimlere ulaştığını kontrol ediyorlardır
  • Bu tür kişilerin hedefi olduğuna inanan bir gazeteci ya da aktivist pratikte ne yapabilir, merak ediyorum
    Her uygulama için ayrı cihaz kullanmak bir yol; örneğin WhatsApp, Telegram ve Signal’ı ayrı tutmak. Web önyüzlerini kullanıp telefonu kapalı tutmak da mümkün, ama bunun tüm uygulamalarda olup olmadığını bilmiyorum. Cihazları düzenli olarak elden çıkarıp ikinci el satmak ve yeni cihaz ya da ikinci el telefon almak da bir seçenek. Cihazlar yalnızca daha güvenli bir ortamda buluşma ayarlamak için kullanılmalı; telefona konuşulmamalı ya da mesaj yazılmamalı ve her zaman ele geçirilmiş olduğu varsayılmalı
    Ayrıca yaptırım NGO’ya değil NSO’ya uygulanmalı. Bunlar rezil insanlar

    • Böyle yaparsan gerçek gazetecilik yapmaya pek zaman kalmaz gibi
      Yanında başka ekipman taşıyacak yer de yetmez. Sınır geçerken o kadar telefonu sınır kontrolüne ya da gümrüğe açıklamak zorunda kalmak epey ilginç durumlar doğurur
    • iOS’ta sadece Lockdown Mode’u açmak yeterli
      Tam olarak bu tür saldırıları engellemek için tasarlandı ve bu saldırının da Lockdown Mode açık olsaydı başarısız olacağı doğrulandı
      Daha da emin olmak için iMessage’ı kapatıp iCloud’u da hiç kullanmamak yeterli
    • Bu, açık kaynak bir proje olarak da fena görünmüyor
      GrapheneOS’a benzer şekilde saldırı yüzeyini sürekli azaltan, ama uygulama yükleme ya da Google hizmetleriyle ilgili tavizleri de tamamen ortadan kaldıran bir şey
      Temelde şifreli mesajlaşmaya ve kamera ile mikrofona yalnızca çok kontrollü koşullarda erişebilen bir telefon; hepsi bu
      Kısıtlamalar büyük olursa popülerliği de sınırlı kalır, böylece hedef almanın maliyetine kıyasla değeri çok düşük olur; gerçekten korunmaya ihtiyaç duyan az sayıda kişi içinse bu fedakârlığa değecek kadar daha güçlü koruma sağlayabilir
    • Enfeksiyonu hızlı tespit etmenin de büyük olasılıkla yolları vardır. Tüm ağ trafiğini sürekli izlemek gibi
      Tüm mesajları dışarı aktarıyor ve sık sık ekran görüntüsü alıyorsa, çıkan trafiği gizlemek oldukça zor olur. Şifreler elbette, ama veri miktarını gizlemek zordur
      Zaten telefonu minimum yapılandırmayla kilitli tutarsan bu daha da kolaylaşır. Çünkü dışarı trafik üretecek uygulama sayısı azdır
  • Ivan Kolpakov’un “Bir Avrupa ülkesinin bunu yapmış olabileceğini ciddi ciddi tartışıyor olmamız beni gerçekten şoke etti” sözü bence naif olmaktan ziyade, asıl sorunun o olaydan önce Avrupa ülkelerinin bu bağlamda gerçekte ne yaptığını araştırmamış olmaları olduğunu gösteriyor
    Önceden araştırmış olsaydı şoke olmaz, endişelenirdi
    Bir başka olasılık da bu “şok”un Casablanca filmindeki türden bir şok olması
    Rick: Beni hangi gerekçeyle kapatabilirsiniz?
    Captain Renault: Burada kumar oynandığını öğrenmek beni şoke etti, şoke!
    [Krupiye Renault’ya bir tomar para uzatır]
    Croupier: Kazancınız, efendim
    Captain Renault: Ah, çok teşekkür ederim

  • Pegasus’un kendi kendine yayılmasını engelleyen bir şey olup olmadığını, yoksa mutlaka hedefli saldırı ile mi kurulması gerektiğini merak ediyorum
    Enfeksiyon olup olmadığını kontrol etmek için tarama yapmanın bir yolu da var mı?

    • Pegasus’un kendi kendine yayılmasını engelleyen teknik bir neden yok
      İlgili olduğu bilinen bazı açıklar solucana dönüştürülebilir de olabilir. Ancak pratikte Pegasus gibi kötü amaçlı yazılım operatörlerinin kontrolsüz yayılmadan kaçınmak için geçerli nedenleri var. Keşfedilmemiş ve yamalanmamış açıkların gizli kalmaya devam etmesi gerekir; sınırsız yayılma ise keşfedilip analiz edilme olasılığını büyük ölçüde artırarak “altın yumurtlayan tavuğu” öldürmek anlamına gelir
      Bu yüzden en azından şu an için tüm Pegasus kurulumlarının hedefli saldırıların sonucu olmasını beklerim. Öte yandan araç sızdırılır ve birden fazla aktör tarafından kolayca kullanılabilir hale gelirse teşvikler değişir; içlerinden biri yamalanmamış dünya çapındaki cihazları enfekte eden bir solucan oluşturabilir
    • Pegasus’ta yerleşik kendini yayma kodu yok
      Böyle bir kod yazmak nispeten basit olurdu. Hedefin tüm kişilerine iMessage üzerinden exploit gönderip bunu tekrarlamak yeterli
      Ama bu ters teper. Pegasus’un temel satış vaadi hedefli gözetimdir ve bu tür exploit’ler çok pahalıdır. Kontrolsüz yayılma daha hızlı tespit edilip değerli kaynakları yakıp bitirir
      Böyle exploit’ler ucuz olsaydı, hedefin tüm adres defterine otomatik saldırıp sosyal ilişki ağını çıkarmaya çalışan bir varyantı haklı gösterebilirdi; ama ardından çoğu işe yaramayan devasa veriyi analiz etme sorunu ortaya çıkar
    • NSO’nun iş modeli çok üst düzey münhasırlığa ve çok az sayıda kurumsal müşteriye dayanıyor gibi görünüyor
      Teknik olarak Pegasus kendini yeniden gönderip başka cihazları enfekte edebilir, ama iş modeliyle uyuşmadığı için NSO’nun bunu düzenli olarak yapacağını sanmıyorum
    • Daha önce okuduğuma göre Pegasus’un kendi kendine yayılma yeteneği yok ve hedefli saldırıyla kurulması gerekiyor
      Amnesty International’ın bunu tespit edebilen ya da bir dönem edebilmiş bir aracı da var: https://github.com/mvt-project/mvt
      Ancak bu bir yarış olduğu için eski bilgiler artık geçerli olmayabilir. Yine de enfeksiyon için çok pahalı zero-day’ler kullandıkları ve bunlar keşfedildiğinde hızla yamalanacağı için gelecekte de kendi kendine yayılma özelliği ekleme olasılıklarının düşük olduğunu düşünüyorum
    • Bildiğim kadarıyla telefon numarası giriş noktası
      Çünkü birini hedef almanın en kolay ve hızlı yolu bu. Bunun dışında hedefi ayırıp belirleme süreci daha karmaşık hale gelir. Bu nedenle Lockdown Mode’a ek olarak telefonda hiçbir numarayı etkinleştirmemek ve genel güvenlik önlemlerine uymak teorik olarak yeterli koruma sağlayabilir. Nihayetinde çözüm akıllı telefon kullanmamak
  • Söz konusu telefonun Lockdown Mode’da olup olmadığını merak ediyorum
    Lockdown Mode’un bu tür zero-day’lerin çoğunu engellemede ne kadar etkili olduğunu bilen var mı?

    • O telefon Lockdown Mode’da değildi. Açık olsaydı saldırıyı engellerdi
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
      “Apple’ın Security Engineering and Architecture ekibinin de doğruladığı üzere, Lockdown Mode’un bu belirli saldırıyı engellediğine inanıyoruz”
      https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
      “Kısa bir süre boyunca iOS 16’nın Lockdown Mode özelliğini etkinleştiren hedefler, cihazlarında PWNYOURHOME exploit girişimi gerçekleştiğinde gerçek zamanlı uyarı aldı. NSO Group daha sonra bu gerçek zamanlı uyarıyı aşmanın bir yolunu geliştirmiş olabilir; ancak Lockdown Mode etkin cihazlarda PWNYOURHOME’un başarıyla kullanıldığı bir vaka görmedik”
  • Bu tür saldırılar, yönlendirici düzeyinde çalışan kişisel bir derin paket denetleyici ya da basit bir paket yakalama aracıyla tespit edilemez mi?
    Bir diğer basit çözüm de derin paket denetimi veya ağ analizörü yerleşik bir DIY taşınabilir yönlendirici olabilir