Füsun Sarp Nebil

10 Temmuz 2015

Hacking Team’in hacklenmesi sizi ne kadar ilgilendirir?

'Filancanın porno videosu bu linkte' gibi mesajları ciddiye alıp tıkladınız ise, vay halinize...

Haftasonunda siz eğlenceli bir şey yaptınız mı bilemiyorum ama yapanlar var. Müşterileri sadece kolluk ve güvenlik örgütleri (polis-savcılık-hükümetler vs) olan İtalyan Hacking Team firması, kim oldukları hâlâ belirsiz kişilerce hacklendi ve ortaya inanılmaz pislikler dökülüverdi.

Mesela 2013 yılında Sudan'da polis güçlerinin, 170'den fazla kişiyi öldürmesi olayıyla ilgili olarak firmanın Human Rights Watch'e verdiği "Sudan ile hiç iş yapmadıkları" şeklindeki cevabın yalan olduğunun ortaya çıktı. Çünkü listede Sudan Güvenlik Güçlerine kesilmiş 480 bin Euro'luk bir fatura var.

Konuya yakın kişilerin “Oh olsun, biraz da siz yaşayın gizli bilgilerinize sızılmasının ne olduğunu” dedikleri olay, Pazar günü hackerların firmanın bilgisayarına sızarak oradan 400 GB’lik bilgi çalması ve halka açık yayınlanması şeklinde meydana geldi. Çalınan bilgiler arasında, firmanın müşteri listesi, yazılım kodları, e-mail yazışmaları, faturalar vs. var.

Bu hacklemenin bu yazıyı okuyan sizi ilgilendiren yönü ise, Türk Polisinin bu firmaya RCS yani “Uzaktan Kontrol Sistemi” denilen yazılım için 2011-2012-2013 yıllarında bugünkü para ile 1,3 milyon TL ödediğinin ortaya çıkması oldu. Bu aynen, biber gazı alımı gibi bir olay. Halkın vergileri ile halka doğru yöneltilmiş bir silah.

 

Hacking Team ne yapar, ilişkileri ve yazılımları ne işe yarıyor?

 

2000 yılında Milano/İtalya’da 2 yazılımcı tarafından kurulan Hacking Team, hükümetlere ve kolluk güçlerine başkalarının makinelerine sızmayı mümkün kılan yazılımlar satıyor. İsminden de belli değil mi zaten?

Ülkemizde Amerikan Konsolosluğu tarafından düzenlenen ve sadece ordu-polis güçlerinin davet edildiği bir güvenlik konferansı var. Hacking Team daha once orada rastladığımız bir firmaydı.

Firma,  yazılımları nedeniyle “Sınır Tanımayan Gazeteciler” tarafından Internet'in Düşmanları listesine de alınmış durumda.

Şirketin geliştirdiği yazılımların son zamanlarda medyada konuşulan pek çok mahremiyet sızma olaylarının arkasındaki güç olduğu söyleniyor. Torrent üzerinde yayınlanan belgelerine göre, firma ABD, Almanya, Avustralya, Azerbeycan, Bahreyn, Birleşik Arap Emirlikleri, Çek Cumhuriyeti, Ekvador, Etopya, Fas, Güney Kore, Honduras, İspanya, İsviçre, İtalya, Kazakistan, Kıbrıs, Kolombiya, Lübnan, Lüksemburg, Macaristan, Malezya, Meksika, Mısır, Moğolistan, Nijerya, Özbekistan, Panama, Polonya, Rusya, Singapur, Sudan, Suudi Arabistan, Şile, Tayland, Umman, Vietnam hükümetleri ile çalışıyor. 

İlginç bir not da şu; belgeler arasında yer alan "bakım anlaşmaları" listesinde, "aktif değil" ya da "geçerliliği bitti" notu yerine Rusya ve Sudan için "resmi olarak desteklenmiyor" notunun yer alması.

Amerika içinde ise, bölgesel savcılık ve polis teşkilatlarının bu firmadan yazılım aldığı, CIA, Göçmenler ve Gümrük Kuvvetlerinin görüşmeler yaptığı anlaşılıyor. 

FBI'ın ise 2011'den bu yana "uzaktan kontrol birimi" denilen bölümde bu yazılımı kullandığı görülüyor. Daha önce çeşitli haberlerle ilgili olarak soru sorulan FBI, Hacking Team ile çalıştığı konusunda bilgi vermemişti. Hacking Team listelerinde Amerikalı müşterilerin kod adları ile yer aldığı bildiriliyor. Örneğin FBI için kullanılan kod "Phoebe" ve ancak çalışanların maillerindeki bazı ifadelerden bunun FBI olduğu anlaşılmış. Bakım anlaşmasına göre de, FBI'ın 30 Haziran 2015'e kadar geçerli bir anlaşması bulunuyormuş.

İtalyan firmanın yazılımlarının kabiliyetleri arasında, sanıkların bilgisayarlarının uzaktan kullanımı, aramalarının, e-maillerinin ve tuş hareketlerinin kaydedilmesi, kameralarının açılması gibi çeşitli olanaklar var.

 

Türkiye’nin ilişkisi nedir?

 

Hacking Team firmasının verilerine bakıldığında, Türkiye'den polis teşkilatının firmaya aldığı yazılım karşılığında, 2011 Haziran - 2014 Kasım arasındaki dönemde ödediği lisans ücreti rakamı 440 bin dolar (1,3 milyon TL) olmuş.

Firmadan ele geçen dokümanlardan birisinde 75 bin dolarlık avans karşılığı olan ve Haziran 2011 tarihli bir  faturaya bakıldığında, "Uzaktan Kumanda Sistemi (RCS)" şeklinde bir ürün gözüküyor. Firmanın kendi tanıtımında ürün için şu not var:

Modern digital haberleşmede, kullanıcıları bilgisi olmadan takip edilmekten kurtarmak için şifreleme kullanılır. Maalesef bu şifreleme kanun güçleri ve gizli servisleri de, suçları önlemekten ve ülkenin güvenliğini sağlamaktan geri koyar.

Uzaktan Kontrol Sistemi (RCS), şifrelemeyi aşmayı sağlar. Gizli servis elemanı doğrudan gözleyeceği cihaza monte edebilir. Gözlenen cihazlardan delil toplama işlemi görünmez ve veriler bu cihazdan RCS sunucularına şifreli olarak aktarılır ve izlenemez.

Bu noktada hatırlatmak lazım; demokratik bir ülkede telefon dinleme ancak şüphe halinde ve mahkemeden karar alarak gerçekleştirilir. Yani RCS tanıtımında yer alan bu ifade, polisin bu yazılımı satın alarak, hukuksuz bir işlem yaptığına işaret ediyor.

Tabi bu hukuksuz işlemlerin ne işe yaradığı, kimler üzerinde kullanıldığı ya da buradan elde edilen bilgilerle ne yapıldığı da araştırılması gereken bir husus. Bu konuda ilgililerin harekete geçmesi lazım.

Son 4-5 yıldır ülkemizde, polis-istihbarat örgütü-ordu-siyaset dörtgeninde toz dumana katılmış vaziyette. Bazen şununla ya da bununla yapılan siyasal bir görüşmede gizli videoların ya da bilgilerin sunularak, insanların susturulduğu iddiaları var.

Hatta bu dörtgene gazeteciler ve hukuk mensuplarını da katmak mümkün. Dolayısıyla acaba buradan elde edilen bilgiler şantaj amaçlı kullanılmış mıdır? Ya da hangi amaçlarla kullanılmıştır?

Kullanılmamış olsa bile makinelere “gayri-hukuki bir şekilde sızılma ve takip” mahremiyete aykırı bir durum değil midir?

Bunların araştırılması lazım. Ülkemizde demokrasi varsa bu şarttır.

 

Türk polisi halen aktif müşteri gözüküyor

 

Her ne amaç ise, firmadan çalınan “Customer_History.xlsx isimli dosyaya bakıldığında Türkiye'nin Hacking Team şirketine RCS için 2011'de 150 bin Euro, 2012'de 140 bin ve 2013'de 150 bin Euro olmak üzere 440 bin Euro lisans ücreti ödediği gözüküyor (bugünkü kur ile 1,3 milyon TL). 

Yine diğer bir dosya olan “Client List_Renewal date.xlsx,” ise Türk Polisinin 10 Kasım 2014'de lisansının geçerliliğini yitirdiği ama yenilenmediği notunu taşıyor, ama firma Türk olisini "aktif" müşteri olarak sınıflandırıyor.

Hacking Team firmasının RCS yazılımı konusunda Citizen Labs'ın 2014 yılında yayınladığı raporda yer alan haritada Türkiye de gözüküyor. Rapor, bu servisin çeşitli ülkelerdeki insan hakları savunucuları ile bağımsız gazetecileri hedeflediğini söylüyor.

 

Twitter DM mesajlarına ya da bedava uygulamalara dikkat

 

Peki “Bu firmanın yazılımı nasıl çalışıyor ve beni nasıl takip edebilir” diye soruyorsanız, zaaflar ya da boşluklar kullanılarak sızılıyor.

Twitter'da bugünlerde çokca gelen doğrudan mesajlara (DM) bakın; "Bu resim senin mi" ya da "Filancanın porno videosu bu linkte" gibi mesajları ciddiye alıp tıkladınız ise, vay halinize, telefonunuz ya da bilgisayarınız artık başkalarının paylaşımında ve hatta yönetiminde (mesela kameranın açılması gibi) demektir.

Ama bedava dağıtılan yazılımların da potansiyel tehlike olduğunu unutmayın. Bunlar "namaz saatini bildiren uygulamalar" da olabilir, "oyun"lar da olabilir ya da çok daha fazla ilginizi çeken başka uygulamalar da olabilir.

Anlayacağınız “Big Brother” bu. Orwell 1934’de yazdığı kitabında müthiş bir öngörü ile olayı göstermiş. Hükümetler “güvenlik” sopası göstererek, aslında kendi güvenliğini yani iktidarını sürdürme yolunda insanların mahremiyetlerini ihlal ediyor. İnternet kullanıcıları ise farkında bile değil.

Ortada gözükmeyen bir savaş süregidiyor. Bu savaşın tarafı değilim sanıyorsanız, yanılıyorsunuz.