1 puan yazan GN⁺ 2024-03-02 | 1 yorum | WhatsApp'ta paylaş
  • WhatsApp, 2019’dan beri NSO Group’un Pegasus casus yazılımı koduna erişim talep ediyordu; ABD mahkemesi ise kurulum katmanının ötesine geçilerek ilgili casus yazılımın tüm işlevlerine dair bilgilerin açıklanması gerektiğine hükmetti
  • Davanın odağında, Pegasus’un 2 hafta boyunca 1.400 WhatsApp kullanıcısını izlediği ve şifreli mesajlar dahil hassas verilere izinsiz eriştiği yönündeki WhatsApp iddiası yer alıyor
  • ABD Bölge Mahkemesi Yargıcı Phyllis Hamilton, yalnızca kurulum katmanının veri erişimi ve çıkarma yöntemlerini anlamak için yetersiz olduğunu belirterek, WhatsApp sunucularını hedef alan ya da WhatsApp’ı kullanan ilgili NSO casus yazılımlarını da açıklama kapsamına aldı
  • Ancak mahkeme, NSO’nun sunucu mimarisi ayrıntılarını ve müşterilerin kimliğinin belirlenmesi talebini kapsam dışında bıraktı; NSO’nun WhatsApp ile Citizen Lab’in dava sonrası iletişimlerinin istenmesine yönelik başvurusu da reddedildi
  • Tarafların uzman açıklamaları 30 Ağustos 2024, duruşmanın başlangıcı ise 3 Mart 2025 olarak planlanıyor; Pegasus’un gerçek işlev kapsamının esasa ilişkin değerlendirmede temel materyal olması bekleniyor

Pegasus işlevlerinin açıklanmasına ilişkin mahkeme kararı

  • WhatsApp, NSO Group’un Pegasus adlı yazılımının 2019’da 2 hafta boyunca 1.400 WhatsApp kullanıcısını izlemek için kullanıldığını iddia ederek dava açtı
  • WhatsApp, Pegasus’un şifreli mesajlar dahil hassas verilere izinsiz eriştiğini öne sürüyor
  • O dönemde dava, dünya genelindeki hükümetlere gelişmiş zararlı yazılım hizmetleri satan denetimsiz bir sektörü hedef alan benzeri görülmemiş bir hukuki adım olarak değerlendirildi
  • NSO, ABD ve İsrail’deki çeşitli kısıtlamaları gerekçe göstererek delil keşfinin tamamını engellemeye çalıştı, ancak kapsamlı engelleme talebi reddedildi

Yalnızca kurulum katmanının yeterli olmadığı kararı

  • ABD Bölge Mahkemesi Yargıcı Phyllis Hamilton, NSO’nun Pegasus’un yalnızca kurulum katmanı bilgilerini vermesinin yeterli olduğu yönündeki savunmasını kabul etmedi
  • Mahkeme, WhatsApp’ın talebini kabul ederek “ilgili casus yazılımın tüm işlevlerine” ilişkin bilgilerin sağlanmasına hükmetti
  • Yalnızca kurulum katmanı bilgileriyle, davacının casus yazılımın verilere erişme ve verileri çıkarma işlevlerini nasıl yerine getirdiğini anlamasının zor olacağı değerlendirildi
  • Açıklama kapsamına, WhatsApp sunucularını hedef alan veya hedef cihazlara erişmek için WhatsApp’ı herhangi bir şekilde kullanan ilgili NSO casus yazılımları giriyor
    • Dönem, iddia edilen saldırının 1 yıl öncesinden 1 yıl sonrasına kadar uzanıyor

WhatsApp’ın iddia ettiği Pegasus işlevleri

  • WhatsApp, Pegasus’un cihazdan geçen iletişimleri yakalayabildiğini iddia ediyor
    • Hedef hizmetler arasında iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp ve diğerleri bulunuyor
  • Pegasus’un amaca göre özelleştirilebildiği iddiası da yer alıyor
    • İletişimleri yakalama
    • Ekran görüntüsü alma
    • Tarayıcı geçmişini sızdırma

Açıklama kapsamı dışında bırakılan bilgiler

  • Hamilton, WhatsApp’ın tüm delil keşfi taleplerine izin vermedi
  • NSO’nun sunucu mimarisine ilişkin belirli bilgiler açıklama kapsamı dışında kaldı
    • Gerekçe olarak, WhatsApp’ın ilgili casus yazılımın tüm işlev bilgileri içinde aynı bilgileri tespit edebileceği belirtildi
  • NSO, müşterilerini tanımlamaya zorlanmayacak
  • NSO, casus yazılımı satın alan hükümetleri kamuoyuna açıklamıyor
  • The Guardian’ın haberine göre Poland, Saudi Arabia, Rwanda, India, Hungary, United Arab Emirates’in Pegasus’u muhalifleri hedef almak için kullandığına dair raporlar var
  • 2021’de ABD, NSO’yu kara listeye aldı; gerekçe, “baskı amacıyla kullanılan dijital araçları” yaydığı iddiasıydı

Citizen Lab ile ilgili talep reddedildi

  • Aynı kararda Hamilton, NSO’nun WhatsApp ile Citizen Lab arasındaki dava sonrası iletişimlerin açıklanmasını isteyen başvurusunu da reddetti
  • Citizen Lab bu davada üçüncü taraf tanık olarak yer aldı ve NSO müşterilerinin Pegasus’u sivil topluma karşı kötüye kullandığı yönündeki WhatsApp argümanını destekledi
  • NSO, mahkemeye sunduğu belgede, WhatsApp’ın Citizen Lab’in “Pegasus’un terör ve ağır suç soruşturmaları için değil, sivil toplum üyelerine karşı kullanıldığı” yönündeki anlamı dava kayıtlarından çekmesi halinde ilgili delil keşfine duyulan ihtiyacın büyük ölçüde azalacağını yazdı
  • Hamilton, talep edilen delil keşfinin ilgililiğini görmekte zorlandığını belirterek NSO’nun talebini kabul etmedi

Kalan süreç ve tepkiler

  • NSO bu karar hakkında henüz yorum yapmadı
  • WhatsApp sözcüsü The Guardian’a, bu kararın WhatsApp kullanıcılarını yasa dışı saldırılardan koruma yönündeki uzun vadeli hedef açısından önemli bir dönüm noktası olduğunu söyledi
  • Sözcü, casus yazılım şirketleri ve kötü niyetli aktörlerin yakalanabileceklerini ve yasaları görmezden gelemeyeceklerini anlamaları gerektiğini belirtti
  • Mahkeme, tarafların uzman açıklamalarını 30 Ağustos 2024’te almayı planlıyor
  • Duruşmanın 3 Mart 2025’te başlaması bekleniyor

1 yorum

 
GN⁺ 2024-03-02
Hacker News yorumları
  • NSO’nun “ABD ve İsrail’in çeşitli kısıtlamaları” gerekçesiyle delil keşfi sürecinin tamamını engellemeye çalışıp reddedilmesi ilginç
    ABD mahkemelerinin başka bir ülkenin kısıtlaması olan İsrail düzenlemelerini pek umursamama ihtimali yüksek
    ABD hükümeti Pegasus’u resmen kara listeye aldı ama https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., ABD istihbarat kurumlarının bazılarının hâlâ kullanıyor olması şaşırtıcı olmaz
    Öyleyse Pegasus, gizli bilgilerin açıklanması ya da ulusal çıkarların zarar görmesi gerekçesiyle ABD istihbarat kurumlarından davayı durdurmalarını isteyebilir
    Bir gün aniden “bir şey” olup davanın gizemli biçimde düşüp düşmeyeceğini görmek ilginç olur

    • ABD istihbarat kurumlarının resmî olarak hâlâ kullanıyor olma ihtimali düşük görünüyor
      Pegasus kullanan müttefik istihbarat kurumlarından çıktıları istemek ve almak çok daha kolay
      Araya mesafe koyan bu toplama yöntemi hukuken daha az riskli
      Ancak ABD mahkemesinde ulusal güvenlik iddiası açısından dezavantajlı. Çünkü konu “Bu yazılımı kullanıyor musunuz?” “Resmî olarak hayır.” “O hâlde hangi gerekçeyle ulusal güvenlik diyorsunuz?” noktasına gelir
    • İlginç olan, NSO’nun sanki hükümeti temsil ediyor ve hükümet adına hareket ediyormuş gibi, hükümetlere tanınan korumalara dayanması
    • Komplo teorilerini bir kenara bırakırsak, gerçekte görülecek şey “bir şey” değil mühürlü mahkeme dosyaları olur
    • ABD istihbarat kurumları Pegasus kullanıyorsa çok şaşırırım. Yaptırımlar şaka değil ve benzer kabiliyetlere sahip Five Eyes çevresinden şirketler de fazlasıyla var
  • Snowden ifşalarının üzerinden de çok zaman geçti ve o zaman gördüklerimiz bile inanması güç şeylerdi
    Bugün istihbarat kurumlarının ne kullandığını hayal bile edemiyorum
    Kurumların sahip olup kullanabilecekleri şeylerin yanında Pegasus ne kadar özel ki diye düşünüyorum

  • Bu davayı pek anlayamıyorum
    ABD hükümeti tarafından zaten kara listeye alınmış yabancı bir İsrailli casus yazılım şirketi üzerinde neden ABD mahkemelerinin yargı yetkisi doğuyor, bilmiyorum
    Ayrıca İsrail kaybetse bile neden WhatsApp’a casus yazılım kaynak kodunu göndersin, bu da ayrı soru

    • Çünkü NSO Group dolar ile iş yapıyor
      Yanıt vermezse gıyabi hüküm çıkar ve mahkeme ABD’nin erişebileceği varlıklara el konulmasını emredebilir
      İsrail dışındaki ülkelerden ödemeyi şekel olarak alsalar bile döviz dönüşümünde dolar aracı para birimi olarak devreye girer; ABD’nin yakaladığı açık da burasıdır
    • Buna ekstraterritorialite denir
      Fransa’da da akıl almaz bir olay yaşanmıştı
      ABD, dev Fransız şirketi Alstom’u fiilen iflasın eşiğine getirip ucuza satın aldı; daha sonra Airbus’ı da çökertmeye çalıştı
      Her iki durumda da ABD, kendine tanıdığı ekstraterritorialite hakkını kullandı
      Bu hikâye şu belgeselde anlatılıyor: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      Eskiden YouTube’da da https://youtu.be/Sa22eu1FWyo üzerinden izlenebiliyordu ama şimdi gizliye alınmış gibi görünüyor. Rahatsız edici bir ifşa mıydı acaba
    • Çünkü ABD
      FATCA da aynı nedenle mümkün
    • Açıklanacak çok şey yok. ABD’nin müttefikleriyle karşılıklı anlaşmaları var
      Hükümetlerin sürekli sözünü ettiği “uluslararası liberal düzen” denen şey bu
      İsrail, ABD mahkemesi kararlarını tanıyıp uygulayacağını belirten bir anlaşma imzaladı; ABD de İsrail mahkemesi kararlarını tanıyıp uygulayacağını belirten bir anlaşma imzaladı
      Bu yüzden bir ABD yargıcı emri imzalayıp İsrailli yargıca gönderirse İsrailli yargıç uygular; tersi de aynı şekilde geçerlidir
    • Çünkü ABD’de gerçekleşen bir fiil nedeniyle ABD’de dava ediliyorlar. Pek zor ya da özel bir durum değil
      Elbette davayı görmezden de gelebilirler ama o zaman ilgili kişilerin bir daha ABD’ye girmemesi iyi olur
      Zaten çalışma biçimleri dışarıdan bakıldığında bile epey suç niteliği taşıyor; eski çalışanlarının hepsine ABD’ye girmekten kaçınmalarını tavsiye edesim var
  • Bahsedilen diğer platformlardan birinin Signal olup olmadığını merak ediyorum

    • Cihaz root edilirse herhangi bir uygulamadan veri sızdırılabilir; bu yüzden pazarlama amacıyla tüm platformlardan söz ediyorlar gibi
      Bu, zafiyetin o uygulamada olduğu ya da uygulamanın hatası olduğu anlamına gelmez
      Sonuçta bunu platformların, özellikle iOS ve Apple’ın, ayrıca exploit geliştiricileri ve aracılarının meselesi olarak görüyorum
      Apple’ın onları sevmemesinin nedeni de bu
      İyi ya da kötü, Apple’a baskı yapılması kalan kullanıcılar için de genel olarak iyi olabilir
      Tersinden bakınca, Apple’ın bu konularla daha iyi ilgilenmesi ve güvenlik araştırmacılarına verdiği ödülleri artırması gerektiği de söylenebilir
      20 yıl öncesine göre daha iyi olsa da, büyük bir şirketin bir bulgu için üç kuruş vermesini beklemektense exploit’i bu tür şüpheli aktörlere satmak hâlâ daha kârlı olabilir
  • Not olarak https://grapheneos.org/ ve https://signal.org/ var

    • Bu biraz konu dışına sapmak değil mi
      Bir casus yazılım cihazda ring0 düzeyinde erişim yetkisi elde ettiyse, Signal gibi uygulamaların güvenlik özellikleri pek anlam taşımaz
      Çünkü casus yazılım bunlara çok kolay erişebilir
  • İsrail’in kaynak kodun dışarı çıkarılmasına izin vermesi mümkün değil

    • O ülke fiilen haydut devlet olmasına rağmen tuhaf biçimde her zaman ihtiyatla ele alınıyor
  • Pegasus davayı kaybetse bile neden gerçek kaynak kodunu WhatsApp’a göndermek zorunda, anlamıyorum
    Basitçe saçma sapan bir şey gönderebilirler, öyle değil mi; bir şeyi mi kaçırıyorum

    • Mahkemeleri ve onların hukuki yetkisini kaçırıyorsun
  • NSO Group’un, hatta İsrail’in bu casus yazılım yüzünden neden yaptırıma uğramadığını anlamıyorum
    Bu şirket, kötüye kullanıma çok açık araçları Batı’nın en kötü demokrasi karşıtı düşmanlarına satan tehlikeli bir şirket

    • NSO zaten yaptırıma uğradı: https://www.state.gov/the-united-states-adds-foreign-compani...
    • ABD’nin sayısız çıkarına ve değerine aykırı davranmasına rağmen 10 milyar dolarlık askeri yardımın azalmamasıyla aynı sebepten
      Siyaset yüzünden
    • NSO Group zaten yaptırıma uğradı: https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • İsrail uzun zamandır, “Batılı değerler” ölçütüne göre korkunç ama ABD şirketlerinin çıkarlarına uyumlu ülkelere silah aktarmak için bir dolaylı kanal işlevi gördü
      Ekvator Ginesi böyle bir örnekti; diktatör Obiang ile ExxonMobil sözleşmesi de işin içindeydi
      Steve Coll, "Private Empire: ExxonMobil and American Power" (2012) adlı kitabında şöyle yazdı

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      Azerbaycan da benzer. Çünkü insan hakları ihlalleri nedeniyle ABD silah satışları yasaktı
      Wikileaks’te yayımlanan 2009 tarihli bir ABD Dışişleri Bakanlığı yazışmasında, “İsrail’le yakın ilişkileri sayesinde Azerbaycan, çeşitli yasal kısıtlamalar nedeniyle ABD ve Avrupa’dan elde edemeyeceği düzeyde yüksek kaliteli silah sistemlerine erişim elde ediyor” ifadesi yer alıyordu
      Diktatörlükler petrol parasını Batı finans sistemine akıttığında ABD, bu tür şeylere — örneğin Suudi Arabistan ve BAE’nin demokratikleşme aktivistlerini bastırmak için Pegasus kullanmasına — göz yumuyor
      Aksi halde sıra yaptırımlara ve rejim değişikliğine geliyor

    • Komplo teorisi şapkasını takıp bakarsak, rakip değil de güçlü bir ortağın böyle şeyler satmasında derin bir çıkar var gibi görünüyor
      Hedef ülkeler için hiç iyi değil ama İsrail ve ABD istihbarat kurumları için avantajlı
  • Bu yüzden siber güvenlik alanında çalışmak istemiyorum
    Çünkü tehlikeli insanlarla uğraşmak gerekiyor

    • Polislik de öyle, ordu daha da beter
      Ayrıca siber güvenlik çok geniş bir alan
      Pek çok rol, çalışanlara güvenlik ilkelerini ve prosedürlerini öğretmeye ve veri sınıflandırması uygulamaya daha yakın
      Herkes doğrudan saldırılarla uğraşmıyor; çoğu iş önleme tarafında
      Bizim şirkette teknik olarak siber güvenlik işi yapanların doğrudan saldırılarla uğraşan oranı muhtemelen %20’nin altında. Tabii SOC’mizi dış kaynakla yürütmemizin de etkisi var