WhatsApp Üzerinden Hacklendiğinizin Farkında mısınız?

WhatsApp Üzerinden Hacklendiğinizin Farkında mısınız?

Dünyada 1,5 Milyar kişinin WhatsApp açıklığından etkilendiği duyuruldu. Bildiğim kadarıyla; kapsamı itibarıyla tüm kullanıcıların hacklendiği alanındaki ilk saldırı ve yapılış şekli ise kolay, hızlı ve farkedilemez. Nasıl mı? WhatsApp’ın sesli arama uygulaması ile kullanıcı telefonları çaldırılıyor, aranan telefonlara bu arama ile casus yazılımlar yerleştirilebiliyor hatta bunu yapmak için telefona cevap verilmesine de ihtiyaç yok. Aranan telefon kayıtları ise arama listesinden silinebiliyor.

WhatsApp bu konu ile ilgili olarak;

• Şirketin iç güvenlik uzmanlarının bu açığı fark ettiğini,
• İlgili birimlere ve bakanlıklara konu ile ilgili bilgi paylaşımı yaptığını,
• Bu saldırının arkasında “ileri düzey bir aktörün olduğunu”,
• Yapılacak güncellemeler ile bunun giderilebileceğini,
• Saldırıda belirli grup kullanıcılarının hedef alındığı ve bunun kapsamının araştırıldığını duyurmuştur.

Bu saldırının İsrail menşeli güvenlik şirketi NSO Grup’a ait bir yazılım ile gerçekleştirildiği, güvenli yazılım geliştirmede en çok dikkat edilmesi gereken hususlardan birisi olan “bellek taşması açıklığı (buffer overflow vulnerability)” kullanılarak bunun yapıldığı, WhatsApp’ta kullanılan SRTCP protokolü üzerinden yapıldığı da yapılan diğer basın açıklamalarında yer almaktadır.

NSO Group’un konuyla ilgili açıklamasına bakıldığında; bu teknolojileri kendilerinin kullanmadığını, çözümlerini güvenlik ve istihbarat kurumlarının kullanımına verdiklerini, bunu da sadece devlet kurumlarının kullanımına sunduklarını belirtmişlerdir. NSO web sitesi incelendiğinde, şirketin “suçlularla ve terörizmle mücadele etmek adına teknoloji geliştirmek” için çalıştığı vurgulansa da diğer web siteleri ve haberlerden 2015’den bu yana bu tür teknolojileri geliştirdikleri, Pegasus (hedef telefondan konum, mikrofon ve kamera kayıtları gibi kişisel verileri elde edebilen yazılım) gibi casus yazılımları pek çok ülkenin resmi makamlarının kullandığı, farklı şirketlerle çalışmalar yaparak casus yazılımları yaydıkları, siber silah üretiminde üstün yeteneklere sahip oldukları anlaşılmaktadır.

Buna benzer tehditlerin her zaman olabileceği uzun süredir biliniyor, bunları tartışıyoruz, üzerinde bazı öneriler yapıyoruz, mümkün olduğunca önlem alınmaya çalışıldığını düşünüyoruz. Ama bu tür saldırılara karşı nasıl tedbirler alındığına dair kamuoyunu rahatlatacak bir açıklama henüz duymadım. Burada bazı düşüncelerimi ve önemli gördüğüm hususları hem paylaşmak hem de alınması gereken önlemleri paylaşmak istiyorum. Bunlar:

Prof. Dr. Şeref Sağıroğlu

• Bu tür saldırılara her zaman maruz kalınabileceği bilinmeli ve yerli ve milli benzeri çözümler kritik haberleşmelerde kullanılmalıdır.
• Devlet kurumlarının WhatsApp üzerinden haberleştikleri, veri ve belge paylaştıkları, lokasyon bildirimlerinde bulunduklarını biliyorum. Bir genelge ile kamu kurumu çalışanlarının Whatsapp ve benzeri uygulamaları kullanmaları yasaklanmalıdır. Devletin bunun için güvenli bir haberleşme ortamı geliştirmesi, ülkemizde geliştirilen bir uygulamayı kullanması veya devlet çalışanlarının haberleşmesinde kullanması için yeni bir uygulama geliştirilmeli ve kullanılmalıdır.
• Bu konuda tek açıklama UAB’den gelmiş ve “WhatsAppve benzeri iletişim, mesajlaşma uygulamaları yerine Türkiye'deki işletmeciler tarafından geliştirilen ve kullanıma sunulan LAFF veya BIP gibi uygulamaların tercih edilmesi gerektiği” belirtilmiştir. Buna benzer açıklamaların diğer birimlerden ve bakanlıklardan da yapılması yerinde olacaktır.
• KVKK’nın bu konuyu ciddi olarak ele alması, ülkemizde bu konuda oluşan ihlalin boyutunu araştırması veya belirlemesi, ‘Facebook veri ihlali’ konusunda attığı adımı ve gösterdiği ciddiyeti bu konuda da göstermesi yerinde olacaktır.
• Whatsapp gibi uygulamaların hayatımızı ve işlerimizi kolaylaştırdığı ortadadır. Son kullanıcıların, bu tür uygulamaları kullanırken veya seçerken daha dikkatli olması, yapılan uyarıları zamanında yerine getirmesi, güncellemeleri yapması gerekmektedir. Ayrıca kullandığı bu ortamın kendisine ve geleceğine nasıl zarar verebileceğini düşünerek bu ortamları kullanmalıdır.
• 5 Milyar ve 180 ülkeyi etkilediği belirtilen bu tür saldırılara karşı önlem alacak mekanizmalar üzerinde mutlaka çalışmalar yapılmalıdır. Üniversitelerde ortak çalışma veya araştırma grupları oluşturulmalı, çalıştaylar, yaz okulları, zirve veya odaklı toplantılar yapılmalı ve çözümler üretilmelidir.
• Her ne kadar son dönemde Whatsapp’ın yerine kullanılabilecek farklı yerli ürünlerin UAB’ninde açıkladığı gibi ülkemizde mevcut olduğu bilinse de bu tür uygulamaların oluşturduğu risklerin farkında olunması, karşılaşılabilecek ihlallerin farkında olunarak tercih edilmesi ve kullanılması yerinde olacaktır.

Bu sayımızda; çocukların siber mağduriyetlerden korunması konusunu işledik. ASELSAN’ın önceki YK Başkan Vekili Tuğgeneral (E) Dr. Murat ÜÇÜNCÜ ile söyleşiye yer verdik. Pentest uzmanı olmak isteyenlere bazı önerilerde bulunduk. Ayrıca; siber güvenlik robotu ATAR’a, BTK Başkanımızın gençlere “Kodlama Öğrenin” tavsiyesine, BGD Yönetim Kurulu’nun Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Sn. Dr. Ali Taha KOÇ’a yaptığı ziyaretin hedef ve beklentilerine değindik. Bununla birlikte siber deneyim merkezlerine, internette dolaşan zararlı mobil bankacılık yazılımlarına, artan jeopolitik saldırılara, yapay zekâ alanında yapılan gelişmelere, dijitalleşme ile birlikte şirketleri tehdit eden risklere, BEC saldırılarının dünyaya verdiği 12,5 Milyar dolarlık zarar, kuantum bilgisayarların siber saldırganların eline geçerse ne olabileceği gibi konulara, WhatsApp casusluğu gibi önemli haberlere yer verdik.

Son cümle olarak; siber güvenlik tehditlerinin hızla yayıldığı ve boyut değiştirdiği bir dönemde yeni bakış açılarına, güvenlik mimarilerine, protokollerine, yeni çözümler geliştirilmesine ihtiyaç vardır. Kanserli hücrelerin tüm vücutta hızla yaygınlaşması gibi siber saldırıların da dijital dünyamızı ele geçirmeye başladığı bir dönemde olduğumuzun ve bunun sonucunun nereye gittiğinin farkında olmamız gerekiyor. Whatsapp saldırısından iyi bir ders çıkarmalıyız. İyi dersler!

Prof. Dr. Şeref Sağıroğlu