Evvelki gün yazdığım yazıdan sonra epeyce mesaj ve TV yayını daveti aldım[1]. Ben olayın daha çok "hükümetin insanların iletişimini takibi" konusuna bakıyordum ama gelen sorulara bakıldığında, herkes özellikle Sezgin Baran Korkmaz için Enis Berberoğlu'nun anlattığı "WhatsApp mesajlarının görülmesi" konusunda rahatsızdı. Oradaki yazılımın ne olduğu ya da birilerinin elinde, herkesin WhatsApp'ını görmeyi sağlayan yazılım mı var diye merak ediyorlardı.

Aşağıda detayı var ama hemen söyleyelim; önceki yazıda belirttiğimiz üzere WhatsApp'ın İsrailli NSO Group tarafından hacklenmesi olayı bir yana, Sezgin Baran Korkmaz'ın yaptığı basit bir şov.

Şimdi konuları -bir şeyler yanlış anlaşılmasın diye- sınıflandıralım;

1. Sedat Peker'in bahsettiği MİT tarafından 50 milyon dolara alındığı belirtilen bir yazılım var.
2. Sezgin Baran Korkmaz'ın, Enis Berberoğlu'nun arkadaşı olan bir iş adamına gösterdiği "son WhatsApp mesajlarının okunabilirliği" olayı var.
3. WhatsApp mesajlarının genel olarak izlenebilirliği konusu var.

İlk ikisi benim de basından haber olarak okuduğum ve birinci elden bilgim olmadığı konular. Yani 3 milyona mı satmış, Korkmaz cep telefonunu mu göstermiş bu haberleri ben de ancak sizler gibi haber olarak okudum.

Karşılığında aktarmaya çalıştığım, bu haberlerin içerdiği konularda ne tür gelişmeler olduğu.

Casusluk yazılımları uzun zamandır var ve Türkiye çeşitli kaynaklarda müşteri gözüküyor

Cihan Ekşioğlu tarafından 3 milyon dolara alınıp, 50 milyon dolara satıldığı belirtilen yazılım tabii ki benim için de şaşırtıcı. 3 milyon nere, 50 milyon nere?

Ama bu tür yazılımların olduğunu zaten uzun zamandır yazıyoruz. Bu tür yazılımlar dediğimiz, insanların internette ya da sesli iletişimde ne yaptığını takip eden yazılımlar oluyor.

Bu tür yazılımların, Türk kolluk güçleri, istihbarat örgütü tarafından satın alındığına dair haberler zaman zaman yurt dışı yayınlarda görüyoruz[2][3].

Bunlar bizzat operatörünüzün de (mobil ya da internet) işin içinde olduğu yazılımlar. Yanısıra, artık kullanıcı gücü artan ama gitgide çeşitli ülkelerin hükümetleri tarafından sıkıştırılan platformlar da (Google, Facebook vs.), genellikle sivil baskı unsurlarının (yani demokrasinin) zayıf olduğu ülkelerde bazı bilgileri sağlamaya başlamış gözüküyor.

Yani aslında herkes kendi bilgisini, kendi iletişimi ve bu iletişimi sağlayan şirketler üzerinden, bu bilgileri arayan herkese veriyor (reklamcı ya da kolluk gücü ya da istihbarat örgütü).

Peki vermemek mümkün mü?

Evet mümkün, eğer sivil toplum gücü kullanılırsa mümkün. Örneğin İngilizler Phorm isimli uygulamayı sivil toplum örgütlerinin FARKINDALIĞI ve BASKISI ile engellediler[4].

Bir uygulamaya numara girip WhatsApp mesajlarını görmek

Bu uzun zamandır mevcut olan bir uygulama cinsi. Asıl hedefi, "endişeli anne-babaların çocukları" idi. Yani anne-babaların, çocuğunun -muhtemelen de 15 yaşından küçük- ne yaptığını anlaması için geliştirildi.

Şimdi burası çok önemli. Bunu kullanmak için hedef telefona (yani çocuğun telefonuna) fiziksel olarak erişmeniz lazım çünkü o telefonun içine bir kod eklemeniz gerekiyor. Bu kodun ikon'u yok. Dolayısıyla çocuk farketmiyor. Sizin elinizde ise şöyle bir görüntü oluyor (aşağıdaki görüntü mSPY isimli yazılımdan)

Bu tür bir çok casus yazılım var[5]. Sadece WhatsApp değil, başka platformlar için de. Çünkü internetin ilk günlerinden bu yana "acaba ne yazıyor" diyen, "beni aldatıyor mu?" endişesi yaşayan sevgililer var. Yani bu casus yazılımların müşterisi sadece kolluk güçleri, istihbarat örgütleri değil.

WhatsApp'ı takip için telefona kod ya da truva atı eklemek

Ne dedik? WhatsApp'ı görmek için "fiziksel olarak telefona erişebiliyor" olmanız lazım. Bunun birkaç yolu var. Birisi elinize telefonu alıp, içine kodu koyarsınız. Diğer bir yol truva atı içeren bir link yollarsınız. 3cü yol ise telefonun BlueTooth'u hacklemektir.

Eğer burayı tıklarsanız, telefonunuzu Bluetooth kullanarak hackleyen pek çok uygulamaya dair bilgiler bulabilirsiniz. Bunun için ne gerekiyor derseniz;

1. Hedef telefon her zaman internete bağlı olmalıdır.
2. Bunları bir iOS cihazına yüklemeyi planlıyorsanız, jailbreak yapmak bir zorunluluktur. Birkaç alternatif var, ancak bunlar Apple hesabı kimlik bilgileri gerektiriyor.
3. WhatsApp gibi üçüncü taraf uygulamaların geçmişine erişmek için köklü bir Android telefona ihtiyacınız olacak.

Şimdi yeniden S. Baran Korkmaz'ın olayını düşünelim; ne yapmış? O anda fiziksel olarak yanında olan işadamının telefonunun WhatsApp görüşmesini göstermiş. Peki, başka birisinin -mesela uzakta olan birinin- telefonunu göstermiş mi? Bu gösterinin devamı bu olmalıydı? Mesela "gel sana eşinin son görüşmelerini göstereyim" gibi.

Yani S.Baran Korkmaz olayında -bence- güzel bir sihirbazlık numarası var. Karşıyı etkilemeye yönelik. Bunun Cihan Ekşioğlu'nun sattığı yazılımın bir ucu olması ya da polisin/MİT'in böyle bir şey vermiş olması çok anlamlı gelmiyor (umarım da öyle değildir). Çok daha basit bir gösteri.

Konuya yakın bir adli bilişimci diyor ki;

"Kendisinin bir enayilik dönemi olduğunu ve bu dönemde öğrendiklerini daha sonra başkalarına uyguladığını görüyoruz. Yani hareketleri genel olarak etkilemek üzerine kurulu gibi. Şu WhatsApp konusundaki showuna bakarak, bunu yaparken "sosyal mühendislik" kullandığını da söyleyebiliriz.”

Kişisel verilerinizi korumayı öğrenmek

Şimdi bunlara bakıp; "eyvah eyvah ne yapacağız" diyenler var. Birkaç kişi öneri de istemiş. Başka yazılarla daha geniş önerileri de veririz. Ama önce şunu diyelim; interneti pata-küte kullanmayın, neyin ne olduğunu farkında olun.

Bir örnekle anlatalım; çoğumuz denizi severiz. Ama denizin içindeki bir temas için öğrenmemiz gerekenler vardır. Yani kıyıdan taş sektirebilirsiniz, manzarayı seyredebilirsiniz, bir gemiyle üzerinden seyahat edebilirsiniz. Ama denize girmek için yüzmeyi ya da tekne idare etmek için kaptanlığı öğrenmeniz gerekir. Aksi takdirde zarar görürsünüz.

İnternet üzerinden haberleşme çok benziyor. Daldığınız ortamın koşullarını farkında olmak ve zarar görmemek için her zaman kurallara özen göstermek lazım. Bu koşulların zor olduğu sanılmasın, sadece takip etmek, okumak lazım. Biz de zaten bunları yazıyoruz.

Şimdi, WhatsApp mesajlarınızı ya da telefonunuzdaki diğer bilgileri korumak için almanız gereken önlemler var. Mesela telefonunuzu koruyun. Ya da gerekli değilse BlueTooth'u kapalı tutun[6].

Ayrıca Cihan Ekşioğlu'nun sattığı yazılımın kapsamını bilmemekle birlikte -sonradan Cellebrite olduğuna dair bir duyum geldi- iletişiminizi takip eden yazılımlar olduğunu belirtelim.

Truva atlarından sakının, lüzumsuz linkleri tıklamayın

Yukarıdaki başlık altında olması gereken bir başlık ama dikkatinizi çekmek için ayırdım. Bu kuralların en önemlisi "bilmediğiniz" ya da "yabancı birilerinden gelen" linkleri tıklamayın.

Bu ara yine orada burada "sizi kim engellemiş görün" diye linkler görüyorum. Bu linkleri gördüğünüzde ilk düşünmeniz gereken şu; "Birileri neden, beni engelleyenleri görmem için yardımcı olmak istiyor? Burada motivasyonu nedir?"

Hani Facebook, Twitter vs. ücretsiz ve sizin verilerinizi reklamcılara vermekle para kazanıyorlar. Peki bu engelleyeni gösterenler nereden para kazanıyor?

Bunu unutmayın; internette size "ücretsiz" bir şey verene dikkatle bakın. Gösterdikleri linkleri de çöpe atın, tıklamayın.

Yani bu yazının ÖZETİ şu; Sezgin Baran Korkmaz'ın yarattığı şovu -telefonunuzu fiziksel olarak koruduğunuz- boşverin. Linkleri tıklamadığınız, telefonunuzu başkalarının yanına bırakmadığınız sürece de önemli değil. Ama WhatsApp'ın Ekşioğlu'nun ya da başkasının (NSO Group) sattığı bir yazılımla görülebileceği konusunda garanti verilecek gibi değil. Eğer kişisel verilerinizi önemsiyorsanız, açık kaynak olmayan yazılım ve platformlardan kaçınmak lazım. 

Daha bu konuda yazacağız.

• [1] Cihan Ekşioğlu'nun MİT'e sattığı yazılım ne yapar?
• [2] Hacking Team'e Ödemeyi MHP Kasetleri ile Suçlanan İşadamının Şirketi Yapmış
• [3] İsveçli ve İsrailli Adli Bilişim Firmaları Türkiye'ye Siber Ambargo Koydu
• [4] Phorm UK Protests
• [5] 5 Apps to Spy on WhatsApp Chats on iPhone or Android
• [6] Hey, Turn Bluetooth Off When You're Not Using It