- Neredeyse bilinmeyen bir gözetim teknolojisi şirketi olan First Wap, dünya genelindeki kişilerin konumunu takip edebilen güçlü yazılımı Altamides'i özel şirketler ve diğer alıcılara sattı
- Lighthouse Reports ve ortak gazeteciler tarafından elde edilen 1,5 milyondan fazla verilik arşivin analizi, siyasetçilerden iş insanlarına ve sıradan insanlara kadar çok çeşitli kişilerin yasa dışı gözetimin hedefi olduğunu ortaya koydu
- Gözetim sektörü araçların yalnızca suç soruşturmalarında kullanıldığını savunsa da gerçekte devlet dışı özel ve etik dışı amaçlara da göz yumulduğu görüldü
- First Wap, eski SS7 telekomünikasyon protokolündeki güvenlik açıklarını kullanarak küresel bir takip sistemi kurdu; daha sonra buna arama dinleme ve şifreli mesajlaşma uygulamalarını hackleme yeteneklerini ekledi
- Gizli sızma haberciliği sayesinde şirket yöneticilerinin yaptırımları aşmaya yönelik dolaylı satışların riskini bildikleri halde bu tür anlaşmaları görüşmeyi sürdürdüklerine dair işaretler yakalandı
Gözetim işinin çıplak yüzü: Altamides'in takibi ve uluslararası ölçeği
Prag'da ortaya çıkan gözetim endüstrisinin gerçek yüzü
- Haziran 2024'te, gizlice düzenlenen gözetim teknolojileri fuarı ISS World'de First Wap satış yöneticisi Günther Rudolph, özel bir madencilik şirketine Altamides takip yazılımı satışı üzerine konuşurken “anlaşmaya aracılık edersem hapse bile girebilirim” dedi
- O sıradaki muhatap, çevre aktivistlerini izleme amacı taşıyan ve yaptırım altındaki bir kişinin sahibi olduğu şirketti; Rudolph ise “bunu yapabilen tek biziz” diyerek tekel niteliğinde bir teknik kapasiteye işaret etti
- Ancak karşı taraf, Lighthouse Reports adına çalışan gizli sızma muhabiriydi
Devasa konum takip arşivi ve uluslararası ortak araştırma
- Çıkış noktası, Lighthouse muhabirinin deep web'de bulduğu 1,5 milyondan fazla konum takip verisinden oluşan arşivin incelenmesi oldu
- 14 medya kuruluşundan 70'ten fazla gazeteci, telefon numarası bazında sahipleri tespit edip hedef grupları (kümeleri) sınıflandırarak yapının iç yüzünü araştırdı
- Verilerde eski ve görevdeki üst düzey siyasetçiler, iş insanları ve sıradan yurttaşlar dahil 160 ülkeden kişiler yer aldı
- Örnekler arasında Katar'ın eski başbakanı, Suriye'nin eski devlet başkanı Bashar al-Assad'ın eşi, bir Netflix yapımcısı, Blackwater'ın kurucusu, 23andMe'nin kurucusu ve Red Bull yöneticileri gibi çok farklı isimler bulunuyordu
- Verilerin analizi ve haber çalışması sırasında farklı ülkelerdeki gazeteciler kendi ülkelerindeki gözetim izlerini ve ek mağdurları da doğruladı
First Wap'ın savunması ve sektörün kendini aklama söylemi
- First Wap, “yasa dışı faaliyetler veya insan hakları ihlalleriyle ilgimiz yok” savunmasını yaparken, konunun somutluğu nedeniyle müşteri kimliğinin açığa çıkabileceği endişesiyle ayrıntılı yorum yapmadı
- Şirket, “kurulumdan sonra kullanım amacına müdahil olmayız; kolluk kuvvetleri bunu ‘örgütlü suç, terör ve yolsuzlukla’ mücadele amacıyla kullanır” şeklindeki genel çizgiyi vurguladı
- Gözetim sektörü genel olarak yalnızca terör ve suçla mücadele anlatısını sürdürse de bu araştırma, devlet ve devlet dışı, ticari ve kişisel amaçların tümüne fiilen izin verildiğini gösterdi
Sınır tanımayan gözetim yazılımı: herkesin kurban olabildiği gerçeklik
Altamides'in gerçek mağduriyet örnekleri
- 2012'de, Hindistan'ın Goa sahillerinde tatilde olan “Sophia” (takma ad), kişisel saplantısı olan bir erkek tarafından devlet düzeyinde bir gözetim sistemiyle konum takibine uğradı
- Bu örnekte olduğu gibi Altamides, devlet dışındaki özel aktörlere (saplantılı takipçiler, şirketler vb.) kadar yayıldı; sıradan öğretmenler, terapistler, dövmeciler gibi kişiler de mağdurlar arasında sayıldı
Yazılımın dağıtım ve yayılma yolları
- First Wap, yazılımı aracı dağıtıcılar ağı üzerinden dünya genelinde sattı
- Birleşik Krallık merkezli araştırma ve danışmanlık şirketi KCS Group, Altamides'i Kuzey Afrika ve Asya'daki hükümetlere satmaya çalıştı; belgeler, siyasi istikrarsızlığın (Arap Baharı) ticari fırsat olarak değerlendirilmeye çalışıldığını gösterdi
- KCS, “etik dışı gözetim araçlarının satışı veya kullanımına karışmadık” yönünde resmi açıklama yaptı
Sektöre sessizce yön veren öncü
Altamides'in teknik kökeni ve büyümesi
- Siemens kökenli Josef Fuchs, 2000'lerin başında küresel telekom ağlarındaki SS7 açıklarını keşfetti; bunu kullanarak First Wap'ın iş modelini kısa mesaj pazarlamasından → cep telefonu takip yazılımına çevirdi
- BlackBerry, Nokia ve diğer feature phone döneminden itibaren yalnızca telefon numarası girerek dünyanın herhangi bir yerindeki konumu tespit etmeyi mümkün kılan bir sistem kuruldu
- Sonrasında sisteme SMS ele geçirme, arama dinleme, WhatsApp gibi şifreli mesajlaşma uygulamalarını hackleme gibi işlevler eklendi
Küresel pazar hakimiyeti ve gölge yönetim
- First Wap, 20 yılı aşkın süredir sınırları ve hukuki kısıtları fiilen umursamadan sessizce küresel bir gözetim imparatorluğu kurdu ve gözetim alanının kapsamına ya da sınırlarına neredeyse hiç sınır koymadı
Gizli sızma haberciliğinin ortaya çıkardığı, kılavuzların ötesindeki gerçeklik
Etik sınırlar ve dolaylı işlem pratikleri
- İlk temaslar ve belge analizleri sırasında genel suçlarla ilgisi olmayan kişilerin izlenmesi ile otoriter devletler ve devlet dışı güçlerce kullanım örnekleri tespit edildi
- First Wap, “yalnızca devlet müşterileri için yaptırım uyumu ve inceleme sonrasında sözleşme imzalanır” iddiasında bulundu
- Gizli muhabir, sahte kimlikle (Güney Afrika'da bir danışmanlık şirketinin temsilcisi), Prag'daki ISS World'e katılarak ve gerçek satış sorumlularıyla görüşerek özel şirketler ve siyasi amaçlı gözetim projelerinin mümkün olup olmadığını yokladı
- Riskli vakalar konusunda satış müdürü Rudolph, “Avrupa yaptırımları nedeniyle risk var, ancak Endonezya'daki bir şirket üzerinden ve paravan şirketler kullanılarak işlem yapılabilir” diyerek dolaylı yöntemlerin varlığını kabul etti
- Lighthouse daha sonra gizli haber çalışmasını şirkete bildirdiğinde, First Wap tarafı “söylenenler yalnızca teknik olasılıklara ilişkindi ve yanlış anlaşılma oldu” açıklamasını yaptı
2 yorum
Bu komplo teorisi gibi bir hikâye değil de gerçekten doğru mu?
Protokolün kendisinde bir zafiyet olsa bile yüzlerce operatör vardır; buna rağmen tüm dünyayı nasıl takip edebildiklerine inanmak zor.
En başta da ABD başkanının, Jensen Huang’ın ya da yan dairemde oturan Chunsik’in telefon numarasını nasıl bilip belirliyorlar?
Hacker News yorumları
Gazetecilerin bu tür gözetim teknolojilerine ve bilgi paylaşımına neden izin verildiğini, ayrıca bu tür teknolojilerin var olmasını sağlayan motivasyonları biraz daha derinlemesine araştırmasını isterdim. Obama’nın anı kitabı <A Promised Land>'i okurken hissettiğim şey, bir lider olarak kamu güvenliğinden doğrudan sorumlu olduğunuzda gözetim konusundaki tutumunuzun tamamen değiştiğiydi. Flock kameralarını ya da mağaza içi gözetim cihazlarını her gördüğümde, liderlerin belirsiz kötüye kullanım ihtimalinden ziyade bu teknolojinin sunduğu gücün kendisine kapıldığını hissediyorum. Bunu, toplumda yangın riskini anlatan haberlerin; yangın yasaları, yangın alarmları ve toplumsal normlar gibi önleyici sistemlerin gerekliliğinden söz etmemesine benzetiyorum. Flock kameralarının kurulmasından kimin sorumlu olduğu, neden kurulduğu ve olumsuz yan etkiler olmadan (profilleme, takip, suç işlememiş kişilerin izlenmesi vb.) yalnızca olumlu sonuçlar (örneğin araç hırsızlarının yakalanması) üretmenin bir yolu olup olmadığı üzerine haberler görmek isterdim
Herkes eline güç geçtiğinde onu doğru kullanacağını düşünür. Teoride tüm gözetim yetkilerine sahip kusursuz bir devlet suç oranını düşürmek gibi avantajlar sağlayabilir, ama pratikte büyük organizasyonlar ayrıntılı kontrol konusunda başarılı değildir ve lider iyi niyetle başlasa bile orta kademe yöneticiler ya da hatalı veriler yüzünden sorunlar çıkar. İyi liderler bile halef seçiminde kolayca hata yapabilir ve sonunda yozlaşmış bir yöneticinin başa gelme ihtimali yüksektir. Üstelik, merkeziyetsizlik ya da mahremiyet ideal olmasa bile, merkezi gözetim sistemi bir gün arızalanırsa yedek mekanizma olarak mutlaka korunmaları gerekir
Obama’nın kitlesel gözetim reformu istediği ama fiilen halkın güvenliğinden sorumlu olunca tavrının değiştiği kısmının yalnızca bir bahane olduğunu düşünüyorum. Gözetim reformundan sonra yaşanacak bir talihsizlik gözetimle ilgisiz olsa bile bunun siyasi sorumluluğunu üstlenme riski yüzünden, adayken doğru olan tutumundan vazgeçip meseleden kaçıyor. Kitlesel gözetim olmadan da suçu önlemek gayet mümkündür; yoksulluğu azaltmak gibi yollarla da kötü şeyler azaltılabilir. Hangi politikayı uygularsanız uygulayın bunu %0’a indiremezsiniz; sırf suçlanma korkusuyla doğru reformdan vazgeçmek cesaret eksikliğidir
Gözetimin kendisine bütünüyle karşı değilim. Sadece şeffaf olmasını ve gerekli olan asgari kapsamla sınırlanmasını istiyorum. Örneğin polis Google arama geçmişimi istiyorsa mutlaka bir arama kararı almalı, gerekçesini kanıtlamalı ve belli bir süre sonra hesap sahibine bildirimde bulunmalıdır. Telefona erişim gerekliyse gizlice hacklemek yerine usulüne uygun şekilde erişim sağlanmalı ve parola doğrudan kişiden istenmelidir. Bu yaklaşım, herkesi sürekli izlemek yerine eylemlerin yeterince görünür olmasını sağlayarak kötüye kullanımı engeller. Ayrıca yüz tanıma gibi hırsızlığı önleme amacıyla toplanan ticari veriler pazarlama ve analiz için kullanılmamalı, belirli bir sürenin sonunda silinmeleri de yasal zorunluluk olmalıdır
Gözetim teknolojilerine izin verilmesinin temel sebebinin sonuçta halkın “ilgisizliği” olduğunu vurguluyorum
“Bu sorunu ele almamanın bir maliyeti yok” anlayışının bu kadar yaygın olmasının nedeni, belirsiz ama küçük maliyetlerin herkese zorla yüklenmesi ve bunun bazen bir hayat kurtarabileceği söylemiyle paketlenmesidir. Bu yöntem dünyanın her yerinde kötü niyetli insanlar ve vicdansız yorumcular tarafından çok kullanılır. Toplum, “bireysel olarak küçük ama toplamda devasa kayıp” yaratan yapısal kusurlarla etkili biçimde başa çıkamıyor. ABD’nin tamamı yılda 1 hayat kurtarmak için herkesin günde 1 dakikasını harcasa, gerçekte kurtarılandan daha büyük bir kayıp oluşur; ama zarar öznel algılandığında kimse bunu sorun etmez
First Wap adlı bir şirket insan takibini mümkün kılıyor. Bu şirketin temel ürünü, telekomünikasyon ağı seviyesinde çalışan yazılım. Buradaki önemli nokta, telefon şirketlerinin hâlâ Signalling System 7 (SS7) adlı eski protokolü destekliyor olması. Telefon ağlarının konuma göre kullanıcıya SMS ya da çağrı iletebilmesi için konum sorgu sinyallerinin değiş tokuş edilmesi gerekir. Temel zafiyet, ağların bu sorgu komutlarını gönderen tarafın gerçekte kim olduğunu ve amacının ne olduğunu doğrulamadan işlem yapmasıdır. Bu sinyaller, kullanıcı telefonunda hiç görünmez ve yalnızca “Global Titles (GT)” denen ağ düğümü numaraları arasında dolaşır
“İlginç bir gerçek” olarak, “başka ağlar” ifadesine tüm yurtdışı roaming iş ortağı ağları da dahildir. Yani SS7 açığından yararlanarak dünyanın öbür ucundaki bir kıtadan bile başkasının konumu izlenebilir
Operatörlerin kullanıcı verisini doğrudan sattığını düşünüyorum. FCC’nin, bu bilgileri kullanıcı onayı olmadan sattıkları için ceza verdiğine dair haberler de var referans bağlantısı
2025 itibarıyla SS7 telekom ağının zafiyetleri hâlâ sürüyor. Saldırganlar femtocell (küçük baz istasyonu) ya da IMSI catcher (sahte baz istasyonu) kurarak SS7 trafiğini ele geçirebilir. GSM’de cihaz ağa kimlik doğrulaması yapar ama ağ cihaza kimlik doğrulaması yapmaz; bu yüzden IMSI catcher ile telefonun bağlantı kurmasını sağlamak kolaydır. Hatta LTE’de bile sahte baz istasyonu üzerinden bağlantıyı daha düşük seviyeye indirerek güvenliği aşmaya çalışırlar. Saldırının nasıl çalıştığına dair ayrıntılar
<i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019) başlıklı bir yazı var; burada ABD FCC’sinin SS7 zafiyetini gidermekte ayak sürüdüğü, İç Güvenlik Bakanlığı’nın (DHS) teknik tavsiyelerini görmezden geldiği ve çeşitli filtreleme sistemlerinin uygulanması gibi iyi uygulama önerileri olsa da pratikte yalnızca gönüllü uygulamaya güvenildiği anlatılıyor makale bağlantısı
Son zamanlarda bu tür “sırların” basında yer alması şaşırtıcı geliyor. Makaledeki kaynak sanki bilerek muğlak bırakılmış gibi. Yalnızca “Lighthouse found a vast archive of data on the deep web” deniyor; ama bu sonuçta gözetim şirketinin binlerce kişinin bilgisini açık bir S3 bucket benzeri bir yerde bıraktığı anlamına gelmiyor mu? Aslında bu sektör, başkalarının güvenlik açıklarını kullanarak dinleme ve gözetim yaparken kendi verilerini de temel hatalar yüzünden dışarı açığa vuran örneklerle dolu. TM_Signal sızıntısında da neden, ABD’deki üst düzey mesaj arşivi dosyalarının açık bir S3’te tutulmasıydı. Başkalarının verisini çalarak para kazanan güvenlik şirketlerinin kendi verilerini de herkesin görebileceği şekilde bırakması ironik ve acı bir güvenlik gafı
İlgilenenler için, Lighthouse Reports’un gözetim araştırmasının yöntemini teknik açıdan ayrıntılı biçimde anlattığı bir yazı var teknik açıklama bağlantısı
Bu bana eski bir CCC (Chaos Communication Congress) sunumu olan ‘SS7: Locate. Track. Manipulate.’ başlıklı 2014 konuşmasını hatırlattı sunum videosu bağlantısı
Makalede “1,5 milyon kayıt, 14 binden fazla benzersiz numara, 160 kadar ülkeye yayılan gözetim kayıtları” deniyor; Have I Been Pwned (HIBP) gibi, benim numaramın da içinde olup olmadığını kontrol edebileceğim bir site olsa iyi olurdu
Stallman sert ve sıra dışı biriydi, ama mahremiyet ihlali riski taşıyan cihazlarda tüm kodun ve hatta transistörlerin bile tamamen açık olması gerektiğini savunmakta haklıydı