- WhatsApp, 2019’dan beri NSO Group’un Pegasus casus yazılımı koduna erişim talep ediyordu; ABD mahkemesi ise kurulum katmanının ötesine geçilerek ilgili casus yazılımın tüm işlevlerine dair bilgilerin açıklanması gerektiğine hükmetti
- Davanın odağında, Pegasus’un 2 hafta boyunca 1.400 WhatsApp kullanıcısını izlediği ve şifreli mesajlar dahil hassas verilere izinsiz eriştiği yönündeki WhatsApp iddiası yer alıyor
- ABD Bölge Mahkemesi Yargıcı Phyllis Hamilton, yalnızca kurulum katmanının veri erişimi ve çıkarma yöntemlerini anlamak için yetersiz olduğunu belirterek, WhatsApp sunucularını hedef alan ya da WhatsApp’ı kullanan ilgili NSO casus yazılımlarını da açıklama kapsamına aldı
- Ancak mahkeme, NSO’nun sunucu mimarisi ayrıntılarını ve müşterilerin kimliğinin belirlenmesi talebini kapsam dışında bıraktı; NSO’nun WhatsApp ile Citizen Lab’in dava sonrası iletişimlerinin istenmesine yönelik başvurusu da reddedildi
- Tarafların uzman açıklamaları 30 Ağustos 2024, duruşmanın başlangıcı ise 3 Mart 2025 olarak planlanıyor; Pegasus’un gerçek işlev kapsamının esasa ilişkin değerlendirmede temel materyal olması bekleniyor
Pegasus işlevlerinin açıklanmasına ilişkin mahkeme kararı
- WhatsApp, NSO Group’un Pegasus adlı yazılımının 2019’da 2 hafta boyunca 1.400 WhatsApp kullanıcısını izlemek için kullanıldığını iddia ederek dava açtı
- WhatsApp, Pegasus’un şifreli mesajlar dahil hassas verilere izinsiz eriştiğini öne sürüyor
- O dönemde dava, dünya genelindeki hükümetlere gelişmiş zararlı yazılım hizmetleri satan denetimsiz bir sektörü hedef alan benzeri görülmemiş bir hukuki adım olarak değerlendirildi
- NSO, ABD ve İsrail’deki çeşitli kısıtlamaları gerekçe göstererek delil keşfinin tamamını engellemeye çalıştı, ancak kapsamlı engelleme talebi reddedildi
Yalnızca kurulum katmanının yeterli olmadığı kararı
- ABD Bölge Mahkemesi Yargıcı Phyllis Hamilton, NSO’nun Pegasus’un yalnızca kurulum katmanı bilgilerini vermesinin yeterli olduğu yönündeki savunmasını kabul etmedi
- Mahkeme, WhatsApp’ın talebini kabul ederek “ilgili casus yazılımın tüm işlevlerine” ilişkin bilgilerin sağlanmasına hükmetti
- Yalnızca kurulum katmanı bilgileriyle, davacının casus yazılımın verilere erişme ve verileri çıkarma işlevlerini nasıl yerine getirdiğini anlamasının zor olacağı değerlendirildi
- Açıklama kapsamına, WhatsApp sunucularını hedef alan veya hedef cihazlara erişmek için WhatsApp’ı herhangi bir şekilde kullanan ilgili NSO casus yazılımları giriyor
- Dönem, iddia edilen saldırının 1 yıl öncesinden 1 yıl sonrasına kadar uzanıyor
WhatsApp’ın iddia ettiği Pegasus işlevleri
- WhatsApp, Pegasus’un cihazdan geçen iletişimleri yakalayabildiğini iddia ediyor
- Hedef hizmetler arasında iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp ve diğerleri bulunuyor
- Pegasus’un amaca göre özelleştirilebildiği iddiası da yer alıyor
- İletişimleri yakalama
- Ekran görüntüsü alma
- Tarayıcı geçmişini sızdırma
Açıklama kapsamı dışında bırakılan bilgiler
- Hamilton, WhatsApp’ın tüm delil keşfi taleplerine izin vermedi
- NSO’nun sunucu mimarisine ilişkin belirli bilgiler açıklama kapsamı dışında kaldı
- Gerekçe olarak, WhatsApp’ın ilgili casus yazılımın tüm işlev bilgileri içinde aynı bilgileri tespit edebileceği belirtildi
- NSO, müşterilerini tanımlamaya zorlanmayacak
- NSO, casus yazılımı satın alan hükümetleri kamuoyuna açıklamıyor
- The Guardian’ın haberine göre Poland, Saudi Arabia, Rwanda, India, Hungary, United Arab Emirates’in Pegasus’u muhalifleri hedef almak için kullandığına dair raporlar var
- 2021’de ABD, NSO’yu kara listeye aldı; gerekçe, “baskı amacıyla kullanılan dijital araçları” yaydığı iddiasıydı
Citizen Lab ile ilgili talep reddedildi
- Aynı kararda Hamilton, NSO’nun WhatsApp ile Citizen Lab arasındaki dava sonrası iletişimlerin açıklanmasını isteyen başvurusunu da reddetti
- Citizen Lab bu davada üçüncü taraf tanık olarak yer aldı ve NSO müşterilerinin Pegasus’u sivil topluma karşı kötüye kullandığı yönündeki WhatsApp argümanını destekledi
- NSO, mahkemeye sunduğu belgede, WhatsApp’ın Citizen Lab’in “Pegasus’un terör ve ağır suç soruşturmaları için değil, sivil toplum üyelerine karşı kullanıldığı” yönündeki anlamı dava kayıtlarından çekmesi halinde ilgili delil keşfine duyulan ihtiyacın büyük ölçüde azalacağını yazdı
- Hamilton, talep edilen delil keşfinin ilgililiğini görmekte zorlandığını belirterek NSO’nun talebini kabul etmedi
Kalan süreç ve tepkiler
- NSO bu karar hakkında henüz yorum yapmadı
- WhatsApp sözcüsü The Guardian’a, bu kararın WhatsApp kullanıcılarını yasa dışı saldırılardan koruma yönündeki uzun vadeli hedef açısından önemli bir dönüm noktası olduğunu söyledi
- Sözcü, casus yazılım şirketleri ve kötü niyetli aktörlerin yakalanabileceklerini ve yasaları görmezden gelemeyeceklerini anlamaları gerektiğini belirtti
- Mahkeme, tarafların uzman açıklamalarını 30 Ağustos 2024’te almayı planlıyor
- Duruşmanın 3 Mart 2025’te başlaması bekleniyor
1 yorum
Hacker News yorumları
NSO’nun “ABD ve İsrail’in çeşitli kısıtlamaları” gerekçesiyle delil keşfi sürecinin tamamını engellemeye çalışıp reddedilmesi ilginç
ABD mahkemelerinin başka bir ülkenin kısıtlaması olan İsrail düzenlemelerini pek umursamama ihtimali yüksek
ABD hükümeti Pegasus’u resmen kara listeye aldı ama https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., ABD istihbarat kurumlarının bazılarının hâlâ kullanıyor olması şaşırtıcı olmaz
Öyleyse Pegasus, gizli bilgilerin açıklanması ya da ulusal çıkarların zarar görmesi gerekçesiyle ABD istihbarat kurumlarından davayı durdurmalarını isteyebilir
Bir gün aniden “bir şey” olup davanın gizemli biçimde düşüp düşmeyeceğini görmek ilginç olur
Pegasus kullanan müttefik istihbarat kurumlarından çıktıları istemek ve almak çok daha kolay
Araya mesafe koyan bu toplama yöntemi hukuken daha az riskli
Ancak ABD mahkemesinde ulusal güvenlik iddiası açısından dezavantajlı. Çünkü konu “Bu yazılımı kullanıyor musunuz?” “Resmî olarak hayır.” “O hâlde hangi gerekçeyle ulusal güvenlik diyorsunuz?” noktasına gelir
Snowden ifşalarının üzerinden de çok zaman geçti ve o zaman gördüklerimiz bile inanması güç şeylerdi
Bugün istihbarat kurumlarının ne kullandığını hayal bile edemiyorum
Kurumların sahip olup kullanabilecekleri şeylerin yanında Pegasus ne kadar özel ki diye düşünüyorum
Bu davayı pek anlayamıyorum
ABD hükümeti tarafından zaten kara listeye alınmış yabancı bir İsrailli casus yazılım şirketi üzerinde neden ABD mahkemelerinin yargı yetkisi doğuyor, bilmiyorum
Ayrıca İsrail kaybetse bile neden WhatsApp’a casus yazılım kaynak kodunu göndersin, bu da ayrı soru
Yanıt vermezse gıyabi hüküm çıkar ve mahkeme ABD’nin erişebileceği varlıklara el konulmasını emredebilir
İsrail dışındaki ülkelerden ödemeyi şekel olarak alsalar bile döviz dönüşümünde dolar aracı para birimi olarak devreye girer; ABD’nin yakaladığı açık da burasıdır
Fransa’da da akıl almaz bir olay yaşanmıştı
ABD, dev Fransız şirketi Alstom’u fiilen iflasın eşiğine getirip ucuza satın aldı; daha sonra Airbus’ı da çökertmeye çalıştı
Her iki durumda da ABD, kendine tanıdığı ekstraterritorialite hakkını kullandı
Bu hikâye şu belgeselde anlatılıyor: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
Eskiden YouTube’da da https://youtu.be/Sa22eu1FWyo üzerinden izlenebiliyordu ama şimdi gizliye alınmış gibi görünüyor. Rahatsız edici bir ifşa mıydı acaba
FATCA da aynı nedenle mümkün
Hükümetlerin sürekli sözünü ettiği “uluslararası liberal düzen” denen şey bu
İsrail, ABD mahkemesi kararlarını tanıyıp uygulayacağını belirten bir anlaşma imzaladı; ABD de İsrail mahkemesi kararlarını tanıyıp uygulayacağını belirten bir anlaşma imzaladı
Bu yüzden bir ABD yargıcı emri imzalayıp İsrailli yargıca gönderirse İsrailli yargıç uygular; tersi de aynı şekilde geçerlidir
Elbette davayı görmezden de gelebilirler ama o zaman ilgili kişilerin bir daha ABD’ye girmemesi iyi olur
Zaten çalışma biçimleri dışarıdan bakıldığında bile epey suç niteliği taşıyor; eski çalışanlarının hepsine ABD’ye girmekten kaçınmalarını tavsiye edesim var
Bahsedilen diğer platformlardan birinin Signal olup olmadığını merak ediyorum
Bu, zafiyetin o uygulamada olduğu ya da uygulamanın hatası olduğu anlamına gelmez
Sonuçta bunu platformların, özellikle iOS ve Apple’ın, ayrıca exploit geliştiricileri ve aracılarının meselesi olarak görüyorum
Apple’ın onları sevmemesinin nedeni de bu
İyi ya da kötü, Apple’a baskı yapılması kalan kullanıcılar için de genel olarak iyi olabilir
Tersinden bakınca, Apple’ın bu konularla daha iyi ilgilenmesi ve güvenlik araştırmacılarına verdiği ödülleri artırması gerektiği de söylenebilir
20 yıl öncesine göre daha iyi olsa da, büyük bir şirketin bir bulgu için üç kuruş vermesini beklemektense exploit’i bu tür şüpheli aktörlere satmak hâlâ daha kârlı olabilir
Not olarak https://grapheneos.org/ ve https://signal.org/ var
Bir casus yazılım cihazda ring0 düzeyinde erişim yetkisi elde ettiyse, Signal gibi uygulamaların güvenlik özellikleri pek anlam taşımaz
Çünkü casus yazılım bunlara çok kolay erişebilir
İsrail’in kaynak kodun dışarı çıkarılmasına izin vermesi mümkün değil
Pegasus davayı kaybetse bile neden gerçek kaynak kodunu WhatsApp’a göndermek zorunda, anlamıyorum
Basitçe saçma sapan bir şey gönderebilirler, öyle değil mi; bir şeyi mi kaçırıyorum
NSO Group’un, hatta İsrail’in bu casus yazılım yüzünden neden yaptırıma uğramadığını anlamıyorum
Bu şirket, kötüye kullanıma çok açık araçları Batı’nın en kötü demokrasi karşıtı düşmanlarına satan tehlikeli bir şirket
Siyaset yüzünden
Ekvator Ginesi böyle bir örnekti; diktatör Obiang ile ExxonMobil sözleşmesi de işin içindeydi
Steve Coll, "Private Empire: ExxonMobil and American Power" (2012) adlı kitabında şöyle yazdı
Hedef ülkeler için hiç iyi değil ama İsrail ve ABD istihbarat kurumları için avantajlı
Bu yüzden siber güvenlik alanında çalışmak istemiyorum
Çünkü tehlikeli insanlarla uğraşmak gerekiyor
Ayrıca siber güvenlik çok geniş bir alan
Pek çok rol, çalışanlara güvenlik ilkelerini ve prosedürlerini öğretmeye ve veri sınıflandırması uygulamaya daha yakın
Herkes doğrudan saldırılarla uğraşmıyor; çoğu iş önleme tarafında
Bizim şirkette teknik olarak siber güvenlik işi yapanların doğrudan saldırılarla uğraşan oranı muhtemelen %20’nin altında. Tabii SOC’mizi dış kaynakla yürütmemizin de etkisi var