Casus Yazılım Tehdidi Diktatörlerden Çıkıp Evlerimize Girdi

Sorunun boyutu çoğu kişinin sandığından çok daha büyük. Güvenlik firmaları ve sivil toplum kuruluşlarından oluşan uluslararası bir grup olan Stalkerware'e Karşı Koalisyon, her yıl etkilenen on binlerce mobil cihazı takip ediyor. Bu koalisyona veri sağlayan siber güvenlik şirketlerinden Kaspersky, takip yazılımlarının küresel bir sorun olmaya devam ettiğini defalarca raporladı. Vakalar Avrupa, Latin Amerika, Asya ve Kuzey Amerika'da görülüyor. Bunlar her zaman çok gelişmiş hack olayları değil. Saldırgan genellikle telefona birkaç dakika fiziksel erişimi olan biri oluyor. Bir kredi kartı ve mesajları, konumu, fotoğrafları veya aramaları izlemek için bir nedeni olması yetiyor. Bu basit gerçek, tehdidi daha kişisel ve birçok açıdan daha tehlikeli hale getiriyor.

Araştırmalar, ikili ilişkilerdeki gözetlemenin artık sadece mesaj okumakla veya şifre tahmin etmekle sınırlı kalmadığını gösteriyor. Aile içi şiddet vakalarında dijital araçlar artık merkezde yer alıyor. ABD Ulusal Aile İçi Şiddete Son Verme Ağı (NNEDV), istismarcıların kurbanları kontrol etmek için casus yazılımlar kullandığını yıllardır söylüyor. İstismarcılar gizli konum paylaşımı, bulut hesabı erişimi ve akıllı cihazlardan da faydalanıyor. İngiltere'de Refuge ve diğer destek grupları da benzer durumlar raporladı. Teknoloji istismara yeni bir şekil veriyor. Bir kişi evden ayrılabilir, kilitleri değiştirebilir, ancak her gün taşıdığı telefonu üzerinden hala takip edilebilir. Saldırının yöntemi siber, ancak etkisi tamamen fiziksel.

Mobil casus uygulamalarını özellikle sorunlu yapan şey, çoğunun yasal boşluklardan faydalanan bir dille pazarlanması. Bir satıcı, yazılımın çocuklarının güvenliğini kontrol eden ebeveynler için olduğunu söyleyebilir. Ya da iş cihazlarını yöneten şirketlere hitap ettiğini iddia edebilir. Ancak aynı uygulama arka planda gizlice çalışma ve sessiz kurulum gibi özelliklerin reklamını da yapıyor. Tuş vuruşlarını kaydetme (keylogging), gerçek zamanlı GPS takibi, sosyal medya izleme ve özel mesajları okuma yeteneği sunuyor. Güvenlik araştırmacıları ve tüketici hakları dernekleri, bu firmaların bazılarının hassas cihaz verilerini zayıf bir korumayla kendi sunucularında topladığını ortaya çıkardı. Son on yılda, takip yazılımı (stalkerware) şirketlerinin kendileri de defalarca hacklendi. Müşteri kayıtları, kurbanların mesajları, ekran görüntüleri ve konum verileri sızdırıldı. Gözetim sektörü sadece gizliliği ihlal etmekle kalmıyor. Aynı zamanda çaldığı verileri korumakta da çoğu zaman başarısız oluyor.

Bu tablo daha geniş bir siber güvenlik sorununa işaret ediyor. Bu uygulamalar sadece izlenen kişiyi tehdit etmiyor. Cihaza bağlı herkes için saldırı riskini artırıyor. Doktorlar, avukatlar, işverenler ve aile üyeleriyle yapılan mesajlaşmalar kopyalanabiliyor. İki faktörlü kimlik doğrulama kodları ele geçirilebiliyor. Bankacılık işlemleri izlenebiliyor. Fotoğraflar ve bulut şifreleri açığa çıkabiliyor. İş ortamında ise virüslü bir kişisel telefon, şirket e-postalarına veya müşteri kayıtlarına sızmak için bir köprüye dönüşebiliyor. İş ve özel hayat aynı cihazda birbirine karışmaya devam ediyor. Bu yüzden gizli bir gözetim uygulaması, kişisel bir ihlalin çok ötesine geçiyor. Kurumlar için de büyük bir güvenlik riskine dönüşüyor.

Bunun temel nedenleri aynı anda hem teknik, hem ticari hem de kültürel. Telefonlar artık neredeyse her şeyimizi barındırıyor. İnsanların nerede uyuduğunu, kimi sevdiğini, nerede çalıştığını ve neden korktuğunu biliyorlar. Bu da onları, başkası üzerinde baskı kurmak isteyen herkes için mükemmel bir hedef yapıyor. Aynı zamanda mobil yazılım pazarı, kullanım kolaylığını ödüllendirirken güvenlik denetimlerini zayıflatıyor. Çoğu insan uygulamaları hızla kuruyor, izin detaylarını atlıyor ve basit şifreleri tekrar tekrar kullanıyor. Bazı casus yazılımların gelişmiş sistem açıklarına bile ihtiyacı yok. Sadece sosyal güvene, baskıya veya ortak kullanılan bir şifreye güveniyorlar. İstismara dayalı ilişkilerde silah olarak kullanılan şey de tam olarak bu güven duygusu.

Ortada yasal bir boşluk da var. Büyük teknoloji şirketleri takip yazılımlarına karşı adımlar attı ancak denetimler hala yetersiz. Google, Android'deki erişilebilirlik ihlallerine ve izinsiz takibe karşı kuralları sıkılaştırdı. Apple ise iPhone'larda uygulama davranışlarını daha sıkı kısıtlıyor. Ancak zararlı gözetim yazılımları bir şekilde yine ortaya çıkıyor. Dışarıdan yükleme (side-loading), hesap ele geçirme, kurumsal sertifikalar veya kuralları esneten uygulamalar aracılığıyla sisteme sızıyorlar. Düzenleyici kurumlar buna yanıt vermeye başladı. Amerika Birleşik Devletleri'nde Federal Ticaret Komisyonu, bazı casus yazılım satıcılarına karşı harekete geçti. Telefonlardan gizlice veri toplamakla suçlanan şirketlere cezalar kesildi. Ancak piyasa sürekli buna uyum sağlıyor. Bir marka altında yasaklanan bir ürün, ufak değişikliklerle başka bir isim altında yeniden piyasaya sürülebiliyor.

Kurbanlar genellikle yalnız bırakıldığı için sorunun sosyal maliyetini hafife almak çok kolay. Tuhaf bir pil düşüşü, telefonun aşırı ısınması veya açıklanamayan bir giriş uyarısı sıradan bir teknolojik sorun gibi görünebilir. Oysa bunlar aslında birer uyarı işareti olabilir. Siber güvenlik uzmanları ve aile içi şiddetle mücadele dernekleri, mağdurları şüpheli casus yazılımları cihazdan silmeden önce dikkatli olmaları konusunda uyarıyor. Tehlikeli bir ilişkide, bir uygulamayı silmek veya şifreyi değiştirmek istismarcıyı anında uyarabilir. Güvenlik planlaması bu yüzden çok önemli. Birçok destek grubu, şüpheli davranışların belgelenmesini öneriyor. Uzman tavsiyesi alınmasını ve bir takip şüphesi varsa yardım çağırmak için güvenli başka bir cihaz kullanılmasını tavsiye ediyor.

Çözümler aslında sır değil. Sadece teknoloji endüstrisinden ve kamu kurumlarından daha fazla ciddiyet bekliyor. Uygulama mağazalarının, gizli izleme veya mesaj kopyalama pazarlayan ürünleri çok daha sıkı denetlemesi gerekiyor. Ödeme sistemleri ve reklam ağları, kötü niyetli gözetim yazılımı satanların işini zorlaştırabilir. Mobil işletim sistemleri; gizlilik uyarılarını, izin panellerini ve hesap değişikliği bildirimlerini sürekli geliştirmeli. Güvenlik şirketleri, takip yazılımlarını "istenmeyen yazılım" demek yerine açıkça tespit edip engelleyerek yardımcı olabilir. Emniyet güçlerinin de daha iyi eğitilmesi şart. Çoğu zaman mağdurlara, ortada yasadışı bir dijital sızıntı olmasına rağmen, yaşadıklarının basit bir ilişki kavgası olduğu söyleniyor.

Kullanıcıların mobil güvenliğe daha gerçekçi bir açıyla bakması gerekiyor. Eğer başka biri PIN kodunu biliyorsa, bulut yedeklerine erişebiliyorsa veya operatör hesabınızı kontrol ediyorsa kilitli bir ekran sizi korumaya yetmez. Güçlü şifreler, çok faktörlü kimlik doğrulama, düzenli uygulama kontrolleri ve yazılım güncellemeleri işe yarar. Cihaz yöneticisi ayarlarını, erişilebilirlik izinlerini ve bilinmeyen profil kurulumlarını kontrol etmek de çok önemli. Ortak aile paketlerinde, kimin konumu ve hesap kayıtlarını görebileceği iyi anlaşılmalı. Küçük değişiklikler en kolay saldırı yollarını kapatabilir.

Buradan çıkarılması gereken en derin ders oldukça rahatsız edici. Telefonlardaki en ciddi casus yazılım tehdidi artık dünyada manşetlere çıkan o devasa devlet destekli siber saldırılardan ibaret değil. İlgi, güvenlik ve üretkenlik maskesi altında günlük hayata sızan sıradan, ticari gözetim yazılımları da en az onlar kadar tehlikeli. Bu değişim önemli, çünkü ulusal çapta bir siber güvenlik sorununu mutfaklara, yatak odalarına, okullara ve küçük ofislere taşıyor. Mobil casusluğu sadece kişisel bir mesele olarak gören bir toplum, asıl büyük gerçeği kaçırmaya devam edecek. Modern casus uygulamaları sadece kötü giden ilişkilerin bir aracı veya uç bir yazılım ürünü değil. İnsanlara erişimin, kontrolün ve gizli takibin normal bir şey olduğunu öğreten, giderek büyüyen bir gözetim ekonomisinin parçası. Bu durum cep telefonu taşıyan herkesi endişelendirmeli.