ABD vatandaşını Ankara'dan dinlemişler

İnsan Hakları İzleme Örgütü (HRW) 25 Mart'ta Etiyopya'daki Telekom ve internet dinlemeleri üzerine 'Her yaptığımızı biliyorlar' başlıklı bir rapor yayınladı. Rapor, Etiyopya hükümetini diasporadaki muhalif vatandaşlarının telefon ve internet görüşmelerini Çin ve Avrupa menşeili teknolojilerle dinlemekle suçladı. Rapora göre Etiyopya hükümeti FinSpy isimli sunucu üzerinden uzaktan kontrol sistemi (RCS) ile 20 yıldır ABD'nin Maryland eyaletinde yaşayan 'Kidan' isimli şahsı 'FinSpy' denen sistem aracılığıyla takip etmek istedi. Alman menşeli 'FinFisher GmbH' tarafından üretilmiş FinSpy ile hedef bilgisayara kötü yazılım içeren linklerin e-posta olarak gönderildiği ve bu şekilde hedef kişinin bilgisayarındaki video kameranın bile kontrol edilebildiği belirtildi.

TELEFONLAR DA DAHİL HER SİSTEMDE ÇALIŞIYOR

20 yıldır ABD'de yaşayan Kidan ismindeki Etiyopyalı şahıs, kendisine Ekim 2012 tarihinde e-posta yoluyla gelen kötü yazılımı fark edip Elektronik Cephe Vakfı'na (Electronic Frontier Foundation - EFF) başvurdu. EFF, Etiyopya hükümetine, 'bir ABD vatandaşını takip ettirdiği' gerekçesiyle dava açtı. EFF de bu süreçte konuyu Toronto Üniversitesi'ne bağlı araştırma kurumu CitizenLab'a taşıdı. Küresel güvenlik, dijital medya ve insan hakları konusunda ar-ge çalışmaları yürüten CitizenLab ise Mart 2013'te yayımladığı raporda Gamma-FinFisher ürünü olan FinSpy casus yazılımı kamuoyuyla paylaştı. CitizenLab sözkonusu casus yazılımların Windows, Macintosh ve Linux işletim sistemlerinde ve ayrıca iPhone, Android, Nokia/Symbian, Windows Phone ve Blackberry gibi mobil cihazlarında sorunsuz bir şekilde 'takip' yapabildiğini duyurdu.

GÜLEN OKULLARINI ELEŞTİRENLER HEDEFTE

Bireysel hak ve özgürlüklerin ihlaline dikkat çeken CitizenLab, casus yazılımları üreten FinFisher ve Milano merkezli HackingTeam ile görüştüğünde bu ürünün sadece devletlere ve istihbarat birimlerine satıldığı; ABD, AB ve NATO'nun onaylamadığı ülkelere satmadıkları cevabını aldı. 26 Şubat 2014 tarihinde WashingtonPost'ta çıkan haberi sayfasına taşıyan Akşam Gazetesi ise Da Vinci adlı yazılımın Emniyet'e satıldığını, 7 bin kişilik dinlemenin bu casus yazılımla yapılmış olabileceğini öne sürdü. CitizenLab, raporu yayınlamadan önce mağdur 3 tarafa ulaştı. Etiyopyalı Kidan dışında, BAE'nden aktivist Ahmed Mansur ve ABD'deki Gülen cemaatinin sözleşmeli okullarını eleştiren bir kadın da kurumla aynı gerekçelerle irtibata geçti. ABD'li kadın, Harvard Üniversitesi'nden akademisyen bir dostu tarafından kendisine e-posta geldiğini, posta uzantısının yanlış yazıldığını görünce casus yazılım ihtimalinden şüphelendiğini belirtti. Harvard'lı akademisyenin de girişimiyle süreç bilişim güvenliği alanında tanınmış Arsenal Consulting'e taşındı. ABD'li kadın aktiviste gönderilen casus yazılımın Milano merkezli HackingTeam isimli grubun ürettiği, 'iz bırakmayan' DaVinci isimli uzaktan erişimle çalışan program olduğu ortaya çıktı. Arsenal'in raporunda ABD'li kadına gönderilen e-posta, Türkiye'den bir IP adresine aitti.uyumlu olduğunu kaydetti.

Fatura hükümete kesiliyor

Gülen cemaatinin ABD'deki okullarını eleştiren kadın aktivistin casus yazılımın peşine düşmesi Türkiye'deki faaliyetleri de ortaya çıkardı. Devletin düşeceği zor durumu hesap etmeden Gülen'e yakın devlet memurlarının illegal şekilde bu dinlemeleri gerçekleştirdiği tahmin ediliyor. Ancak bu durum Türkiye'yi de zor durumda bırakıyor. CitizenLab'ın raporunda, maalesef bu casus yazılımların 'Türk hükümetini eleştirenlere karşı' kullanıldığı yazıyor. Raporda Türkiye, casus yazılımı kullanan 21 ülke arasında gösteriliyor.

Adres Kızılay'a çıkıyor

Siber saldırganların peşine düşen CitizenLab önce casus yazılımların RCS sunucularını sonra buna uzanan Proxy zincirlerin 'uç noktalarını' belirlemeye çalıştı. SSL (güvenli giriş katmanı) sertifikalarını inceleyen araştırmacılar birbirinden farklı bazı ülkelerdeki sunucuların aynı SSL sertifikasına döndüğünü fark edince bu sunucuların birbiriyle bağlantılı olduğu varsayıldı. Aynı SSL sertifikalı sunucuların büyük bir olasılıkla tek bir devlet operatörü ile ilişkili olduğu ve bu sunucuların her bir ülkede son bulan uç noktalarda proxy zincirlerini temsil ettiği bulundu.

Türkiye'deki uç nokta ise 13-19 Kasım 2013 tarihlerinde siber atağın gerçekleştirildiği '95.9.71.180' IP No'lu sunucu.

IP NEREYE AİT?

Türkiye'den verilen 95.9.71.180 IP adresi Ankara Türk Telekomunikasyon A.Ş. isimli internet sağlayıcısına ait. Statik olduğu belirtilen bu IP adresinin lokasyonu ise Ankara-Atatürk Bulvarı'ndaki Kızılay Metrosu çıkışına yakın bir noktayı işaret ediyor. CitizenLab raporlarına göre Türkiye'de HackingTeam'in casus yazılımını kullananlar siber ataklarını 1'i statik, 10'u dinamik, 11 farklı IP adresinden gerçekleştirdi. Ancak siber güvenlik uzmanları 'zayıf IP' adreslerinin kullanılmış ve bu IP adreslerinin 'kurban' gitmiş olma ihtimalinden de bahsediyor. CitizenLab, sözkonusu 11 IP adresinin 'siber parmak izleri' ile uyumlu olduğunu kaydetti. Kazakistan, Kore, Malezya, Meksika, Fas, Nijerya, Umman, Panama, Polonya, Suudi Arabistan, Sudan, Tayland, Türkiye, Birleşik Arap Emirlikleri ve Özbekistan. Rapor aynı zamanda bu listedeki 9 ülkenin The Economist'in iki yıl önce yayınladığı Demokrasi Endeksi sıralamasında en düşük seviyede yani 'otoriter rejim' kategorisinde yer aldığının; ayrıca geçtiğimiz yıl Türkiye ve Mısır'ın ise toplumsal gösterilere maruz kaldığının altını çizdi. Bu iki ülkede gösterilerin bastırılmasında güç kullanıldığına dikkat çekildi.