Pazar gününden bu yana Murat Ağırel ve Batuhan Çolak'ın telefonlarına nasıl sızıldığını anlamaya çalışırken, 18 Şubat'ta yayımlanan "SS7 [Sinyal Sistemi No.7 Açığı (2G ve 3G şebekelerinde sinyal mesajlarını değiştirmek için kullanılan temel Sinyal Sistemi No. 7 (SS7) protokolü] Ağ Güvenliği Analizi" adını taşıyan bir araştırma raporunda bunun nasıl olduğuna dair işaretler var[1].

Murat Ağırel olaya dair e-operasyon başlıklı yazısında[2] "hattının 4.5G'den 2G'ye indirimi talebi" yapılan bir SMS gördüğünü, daha sonra da hiçbir şey yapmadan, onay SMS'i geldiğini söylüyor.

Yani olayın 2 safhası varmış gibi gözüküyor. Birinci safhasında her 2 gazetecinin telefonundanmışçasına SMS gönderildiği anlaşılıyor. Bu SMS ile hatları SS7 açığının olduğu 2G'ye indirilmiş. Ondan sonra da telefonlara müdahale edilmiş.

Olayın davaya dönüşeceği anlaşılıyor. Tam detayı konu teknik bilirkişiye gittiğinde daha iyi anlaşılacaktır. Biz de Ağırel'e 2 saat kadar önce bir mail attık ve sorular sorduk ama henüz cevap ulaşmadı. Dolayısıyla basında okuduklarımız, uzmanlara sorduklarımız ve kendi bilgilerimiz çerçevesinde yorumluyoruz. Bize ulaşan bazı yorumları da "komplo teorisi" kapsamında gözardı ediyoruz.

Başkasının numarasından SMS göndermek

Başkasının telefonundanmışçasına SMS göndermek uzun zamandır bilinen bir açık. Biz adres vermeyeceğiz ama eğer arama motoruna "başkasının numarasından text mesaj yollamak" diye yazarsanız buna dair bir takım uygulamalar olduğunu göreceksiniz. Üstelik bir çoğu da ücretsiz. Yine de bu yazılımlardan gelen mesajlar operatörün loglarından takip edilebilir.

Ancak olayda bir de onay mesajı olduğu anlaşılıyor. Bu onay mesajı için kullanıcıya gelen mesajı görmek gerekli diye düşünüyoruz. Bunun için telefonun daha önce hacklenmiş olduğu ya da bayi kanalı üzerinden bir şeyler yapılmış olabileceği yorumu yapılıyor. Hangisi olduğunu, olayın detayları ortaya çıktığında anlayabileceğiz.

SS7 açığı biliniyor, önlem alınıyor mu?

Olayın ikinci safhasında internet hattının 4.5G'den 2G'ye indirilmesi, akla SS7 açığını getiriyor. SS7 açığı 2000'lerin ilk yarısından bu yana biliniyor. 2G ve 3G'yi etkileyen bu açık günümüzde hâlâ etkin. Çünkü tüm dünyada 4G teknolojisi yayılmakta ve öncü operatörler 5G'ye yönelmiş olsa da, hâlâ 2G ve 3G hatlar var. 2019 BTK (Bilgi Teknolojileri ve İletişim Kurumu) 3. çeyrek verilerine bakıldığında Türkiye'de de henüz 2G abonesi 1,9 milyon ve 3G abonesi 5 milyon olarak gözüküyor. Yani SS7 sorununun önümüzdeki yıllarda, diğer ülkeler gibi Türkiye'yi de hâlâ etkilemesi bekleniyor[1].

Operatörler üzerine düşeni yapıyor mu?

Ama burada sorulması gereken sorular var. Yine aynı rapora bakılırsa, operatörlerin risklerin ve potansiyel tehditlerin farkında olsa da, nasıl önleyeceği konusunda zayıf kaldığı belirtiliyor. Araştırmayı istedik. Henüz elimize ulaşmadı. 48 saat içinde ulaşacağı belirtildi. Dolayısıyla araştırılan 28 operatör içinde Turkcell, Vodafone ya da Türk Telekom var mı henüz bilmiyoruz. Elimize geçtiğinde varsa, onu da raporlayacağız.

Araştırma mobil operatörlere, 2G ve 3G ağlarını güvenlik tehditlerine karşı korumalarına yardımcı olmak şu önerileri yapıyor:

1. GSMA (Dünya GSM Operatörleri Derneği/ Global System for Mobile Communications Associations) güvenlik önerilerine uyun: GSMA, sistemlerinde SS7 açığı olan mobil operatörlere, SS7 trafiğinin nasıl izleneceği de dahil olmak üzere mobil iletişimin çeşitli yönleri hakkında yönergeler sunmaktadır . Ancak Avrupa Birliği'ndeki telekom operatörlerinin sadece yüzde 30'u ve gelişmekte olan ülkelerdeki operatörlerin yüzde 0,5'inden azı bu önerileri uyguladı.
2. Sinyal trafiğini izleyin ve analiz edin: Ağ sınırlarını aşan sinyal trafiği, hem potansiyel tehditleri hem de yapılandırma hatalarını tanımlamak için sürekli izlenmeli ve analiz edilmelidir. GSMA ayrıca sinyal trafiğini gerçek zamanlı olarak analiz etmek ve harici kaynaklardan şüpheli etkinlikleri belirlemek için özel tehdit tanımlamalı izleme sistemlerinin kullanılmasını öneriyor[2]. Bu sistemler, ağ işlevselliğini etkilemeden ve meşru müşterilerin bağlantısını kesmeden hukuksuz mesajları engelleyebiliyor. Ayrıca diğer güvenlik çözümleriyle de çalışabiliyorlar.

2 gazetecinin telefon operatörü olan Turkcell ve Vodafone'un bu konuda açıklama yapmaları ve eğer  kendilerinden kaynaklanmıyorsa belirtmeleri ya da sistemleri zayıfsa buna göre düzenlemeleri gerekmiyor mu?

BTK üzerine düşeni yapıyor mu?

Aşağıdaki diğer bir online rapora bakarsanız da, Türkiye 164 ülke içinde SS7 güvenliği açısından ancak 115.sırada[4]. Adlarını vermemekle birlikte kontrol edilen 3 operatörün 2'sinin kötü, 1 tanesinin de orta düzeyde güvenli olduğu kaydediliyor. BTK'nın deprem nedeniyle kestiği cezaya (altyapının gelişmesini yıllar içinde kontrol etmediği halde, altyapı diye ceza kestiği için) eleştiri getirmiştik[5]. Ama şimdi diyoruz ki, eğer bu rapor doğruysa ve sonuçlar böyle ise BTK asıl bu konuyu değerlendirmeli, gerekiyorsa asıl bu nedenle ceza kesmeli. Tabii yanısıra Kişisel Verileri Koruma Kurulu da (KVKK).

Üstelik Ağırel ve Çolak olayı bir SS7 açığı değilse bile yine de BTK'nın olayın üzerinde durması lazım. Çünkü bu açık belki şimdilik sadece 2 gazetecinin mail hesabına ulaşıp, oradan bazı bilgiler almaya ya da tweet silmeye yaramış diye düşünüyoruz ama asıl "banka" ve diğer telefon doğrulamalı olaylarda büyük sorun. Yani operatörlerin bir an önce kendi SS7 güvenliklerine eğilmeleri, GSMA önerilerini dikkate almaları  ve biz kullanıcıları rahatlatmaları lazım [6]. Dünden beri tweetlere bakarsanız, insanlar yabancı operatörlerden numara almaktan bahsediyor.

Düşünün ki, bu açık 2004-2005’lerden bu yana yazılıp çiziliyor. Ama ülkemizde bir düzenleyici kurum olmasına karşın, eğer hala SS7'de durum buysa, o zaman yeniden sormak hakkımız; BTK ne yapıyor?

Konuyla ilgili olarak Turkcell, Vodafone ve BTK'ya soru gönderdik. Ayrıca cevap aldığımızda bunları da yayımlayacağız.

[1] 2G ve 3G Ağlarındaki Güvenlik Açıkları Önümüzdeki Birkaç Yıl Boyunca Risk Oluşturacak

[2] E-Operasyon! - Murat AĞIREL

[3] OpenSS7 Bug Report System

[4] Ranking of Countries Mobile Networks SS7 Security

[5] Depremdeki Haberleşme Sıkıntısı için BTK’nın Kendisine Ceza Kesmesi Gerekir

[6] Hackerlar Banka Hesaplarından SS7 Açığı ile Para Çalıyor