Tag Archives: hackingteam

Flash Mazide Kalsın, Gelin Yeni Bir Başlangıç Yapalım: Bir Çağrı

2010 yılında Steve Jobs, Flash hakkındaki düşüncelerini paylaştığı bir makale yayımlamıştı. Bu makalede artık neden Flash kullanmak istemediklerini ise 6 maddede özetlemişti. Flash, Jobs için kısaca kapalı kaynak, yüzde 100 özel mülkiyet, güvenlik açısından sorunlu, pil düşmanı, PC ve fareler döneminde kalan dokunmatik ekranlar için uygun olmayan bir yazılımdı. Bu yüzden de 2010 sonrası iPhone, iPad ve iPod’larda HTML5, CSS ve Javascript gibi “açık” ve modern teknolojileri tercih ettiklerini açık bir dille belirtmişti. Adobe ise Internet’te yer alan videoların yüzde 75’inin Flash tabanlı olduğunu ve Apple cihazlarının bunlara erişemeyeceğine dair açıklamalarda bulunsa da artık Flash’ın sonu yavaş yavaş gelmeye başlamıştı.

2010’dan bu günlere gelindiğinde ise Flash, herkesin nefret etse de bir şekilde kullanmaya devam etmek zorunda kaldığı bir yazılım olmuş ve “sonunda” Internet’in devleri tarafından emekliye ayrılmasına dair çağrılarda ve açıklamalarda bulunulmuştur. Çünkü, web daha “açık” ve bağımsız komiteler tarafından denetlenen “özgür” standartları haketmektedir. Ayrıca, kullanıcıları daha modern yazılımlarla buluşturmalıdır. Flash ise kapalı kaynak ve özel mülkiyet olması bir tarafa, denetim konusunda bağımsızlıktan çok uzak olması 0-gün açıkları için bir altın madeni olarak hackerların, istihbarat servislerinin ve siber suçluların dikkatini çekmektedir.

0-gün saldıları, yazılımlarda daha önceden bilinmeyen veya yamalanmamış güvenlik açıklarını hedef alan saldırılara denilmektedir. Yukarıda da belirtildiği üzere bu açıklar; siber suçlular, istibarat servisleri ve diğer hackerlar için altın madenleridir. Bununla birlikte, 0-gün açıkları yazılımıcılardan, bu yazılımı kullananlardan ve daha geniş bir ifadeyle kamudan gizlendiği için açık, yamalanmamış ve bir şekilde bu yazılımı kullanmak zorunda kalanları büyük bir tehlikenin içine atmaktadır. Bu açıklarla ilgili Flash’tan 10 Temmuz 2015’te yayınlanan bir örnek aşağıdadır.

Critical vulnerabilities (CVE-2015-5122, CVE-2015-5123) have been identified in Adobe Flash Player 18.0.0.204 and earlier versions for Windows, Macintosh and Linux. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.

Görüldüğü üzere 0-gün açığı bu sürüme sahip Flash yüklü olan Windows, Mac ve Linux işletim sistemlerini etkilediğini, saldırgana ise potansiyel olarak etkilenen sistemi kontrolü altına almasına neden olabileceğini söylemektedir. Buradaki tehlikeyi daha anlaşılır bir dille ifade etmek istersek, Flash kullanan bir haber sitesi de bu Flash yüklü olan okuyucusu da 0-gün açığı üzerinden saldırganların tehditi altındadır. Diğer taraftan, bu açıklar kapanana veya kamuyla paylaşılana kadar geçen süre içerisinde de saldırganların neleri veya kimleri hedef aldıkları, saldırılar sonunda neleri ele geçirdikleri ise takip edilememekte veya uzun bir süre geçtikten sonra ortaya çıkmaktadır.

Türkiye’de yer alan video paylaşım sitelerinden haber sitelerine, TV kanallarına ait sitelerden bu sitelerde yer alan canlı yayınlara kadar Flash günlük hayatımızın ve Internet kullanım alışkanlıklarımızın içinde büyük bir yere sahiptir. Fakat, bu kadar eleştirilmesi, kapalı kaynak ve yüzde 100 özel mülkiyet bir yazılım olup saldırganlar için bir altın madeni olmasına rağmen, HTML5 gibi açık, daha özgür ve bağımsız bir komite tarafından denetlenen bir standartın tercih edilmemesi bu siteleri kullanan herkesi tehdit altına sokmaktadır. Adobe, yıllar boyunca Flash güvenliğini geliştirmede bir türlü yeterli olamamıştır. 2009 yılından bu yana birçok kötü güvenlik kayıtlarına da sahiptir:

Among the vulnerabilities discovered in 2009, a vulnerability affecting both Adobe Reader and Flash Player was the second most attacked vulnerability. This was also one of four zero-day vulnerabilities affecting Adobe plug-ins during 2009. Two of the vulnerabilities were in the top five attacked vulnerabilities for 2009. Additionally, Adobe vulnerabilities have been associated with malicious code attacks such as the Pidief.E Trojan.

Yukarıdaki alıntıda görüldüğü üzere, 2009 yılında keşfedilen açıklar içerisinde en çok saldırıya uğrayanlardan ikincisi, Adobe Reader ve Flash’ı aynı anda etkileyen bir açıktır. Ayrıca, 2009 yılı içinde Adobe eklentilerini en çok etkileyen 0-gün açıklarından da biridir. 2009 yılından günümüze kadar geçen 6 yıl içinde Flash, gözetim yazılımları üretip bunu totaliter rejimlere satmaktan, bu açıkları pazarlık konusu yapmaktan ve birçok masum insanın bu rejimler tarafından her hareketinin izlenmesine ve hatta öldürülmesine yol açanlar tarafından kullanılmaya da devam etmiştir.

Gözetim ve istihbarat yazılımları üreten firmalardan İtalyan HackingTeam’in hacklenip hem satmakta oldukları yazılım hem de yazışmaları paylaşıldığında, Flash’taki 0-gün açıklarından ne kadar çok yararlandıkları da ortaya çıkmıştı. Öte yandan, HackingTeam’in Flash’taki 0-gün açıklarına dair bir “exploit” almak için bir başka güvenlik firması olan Netragard’a 105 bin Dolar ödeme pazarlığı içinde olduğuna dair bir yazışma da Wikileaks’te yer almaktadır. Türkiye’de ise devlet kurumlarından fuarlara kadar HackingTeam’le ne kadar içli dışlı oldukları ve Türkiye’nin HackingTeam’den 600 bin Dolarlık hizmet ve yazılım aldığı da düşünülürse, Flash kullanımı beraberinde çok büyük bir tehlike getirmektedir.

Türkiye’de Hayat TV, Flash yayını keserek örnek bir adım atmıştır. Diğer taraftan günde binlerce kez tıklanan haber siteleri, video paylaşım siteleri, TV kanallarına ait canlı yayınlar ise tüm bu anlatılan açıklara, hem kendilerini hem de okuyucularını tehlikeye atacak zararlarına rağmen Flash kullanmaya devam etmektedirler. En büyük ironi ise HackingTeam haberlerini yapmalarına rağmen sitelerinde Flash reklamlar veya videolar yer almaktadır. Gelin siz de bu çağrıyı dikkate alın ve daha fazla görmezden gelmeyin. Flash artık mazide kalsın, sitelerinize aldığınız reklamlardan paylaştığınız videolara kadar Flash olmamasına özen gösterin, gelin yeni, daha “açık”, daha “özgür” ve daha “modern” bir başlangıç yapalım. Web’i hakettiği “açık” ve “özgür” standartlarına kavuşturmak için biz de güçlü bir adım atalım.

HackingTeam Dosyası – II

HackingTeam’in ilk dosyasında Türkiye’de düzenlenen bir istihbarat ve gözetim teknolojileri fuarı üzerinden RCS gibi kötücül yazılımlar için nasıl cazip bir pazar olduğunu ve bu fuarın direktörü Tolga G.’nin HackingTeam’e gizli kapılar ardında -olası- müşterileriyle buluşturduğunu incelenmişti. Bu yeni dosya ise Türkiye’de haberleşme, güvenlik, analiz, mobil vb. Konularda hizmet veren 3 yerli şirketin HackingTeam ile ilgili 45 (yazıda 28 id mevcuttur) yazışmanın bir incelemesinden oluşmaktadır. Bu şirketlerin ise K.T., B.LTD. ve I.D.S.’tir (Kurum ve kişilerin itibarlarının zedelenmemesi için kısaltmalar kullanılmıştır.).

KT; kedi deyimleriyle Orta Doğu ve Körfez ülkeleri de dahil olmak üzere “Savunma Sanayii, Hava, Denizcilik ve Telekomünikasyon sektörlerinde sabit, mobil ve uydu haberleşme sistemleri, Deniz ve Hava Trafiği İzleme Sistemleri, büyük IT networklerinin projelendirme, montaj, devreye alma, entegrasyon, test, bakım, işletme, eğitim, danışmanlık ve teknik destek hizmetlerini vermektedir”. Bununla birlikte, B.LTD. ise “tıbbi amaçlı görüntü analiz sistemlerinin geliştirilmesiyle baslayan Ar-Ge faaliyetleri, güvenlik, veri analizi, ses ve görüntü aktarım, kayıt sistemleri, veritabanı uygulamaları, ve son olarak mobil cihazlara yönelik uygulamalar geliştiren bir başka şirkettir” ve bir teknokent bünyesinde yer almaktadır. Son olarak I.D.S.; görüntü, gece görüş, UAV, AUVIS, balistik çözümleri ve sistem uygulamaları konusunda uzmanlaşmış savunma çözümleri sunan bir şirkettir.

Dikkat edildiği üzere üç şirket de savunma (ve saldırı) çözümleri ve ürünler üreten, genel olarak askeri ve istihbarati yapılarla çalışan, hükûmetle iyi ilişkiler içinde olduklarını da e-postlarında belirten HackingTeam’in müşterileriyle iletişim (pazarlama ve çözüm ortağı) aracı olan şirketlerdir. Yazışmalardan ilk dikkate değer konu 2011 yılında olan “Private Demo” konulu (564978, 564988, 564998, 564973, 564981, 564997, 564980, 564971, 564985, 564972, 565002, 564989, 564977, 565005 ve 565000) B.LTD.’den Alper T., Tuğrul O., Altuğ B. ve HackingTeam’den Mostapha M. arasında olandır. Bu iletişimde dikkati çeken önemli noktalardan biri btt’nin Bangladeş Silahlı Kuvvetler’inin istihbarat birimi olan DGFI‘nin bir sızma sistemi (yazılımı) arayışı içinde olduğu, DGFI’nin ise bir yandan da Trovicor ve Verint‘ten gelen teklifleri değerlendirdiği belirtilmiştir. Öte yandan, bu sızma sitemi için Ankara’da gizli bir gösterim ayarlamaya çalışılmıştır.

Özellikle, 05/06/2013 tarihinde Altuğ B. (B.LTD)’den atılan e-posta ise dikkate değer. Türkiye’de yaşanan olaylardan dolayı müşterilerin beklemede olduğunu ve GSM ve 3G için sızma yapılabilecek bir çözüm arayaşı içinde olduğunu söylemiştir. Bu tarihin önemi ise Gezi Parkı protestolarının yaşandığı bir dönemin içinde olması, diğer taraftan da Altuğ B.’nin Türkiye’de yaşanan olaylara gönderme yapmasıdır. Gezi Parkı protestolarında mobil iletişimin çok yoğun olarak kullanıldığı dikkate alındığında, btt’nin kimin için bir GSM/3G gözetim ve sızma arayışı içinde olduğunu da söylemek güç.

K.T. ise (322642, 545817) ilk olarak Kamil Y. aracılığıyla 06/05/2015 tarihinde HackingTeam ile iletişime geçmiş ve e-postasında hükûmet ve özel sektör ile güçlü ilişker içinde olduklarını, Intelligence Support Systems (ISS) fuarında yer alacaklarını ve kendileriyle pazar fırsatlarını konuşmak istediklerini söylemiştir. 04/06/2014 tarihli yeni e-postasında ise Emniyet Genel Müdürlüğü’nün istihbarat birimine HackingTeam’in RCS Galileo ürününü sunmak istediklerini belirtmiştir.

I.D.S.’ten A. Serkan D., ilk olarak 11/03/2015 tarihinde “Business Relations” konulu e-posta (375772, 314134, 350936) ile iletişime geçmiştir. Bu e-postada kendilerinin görüntü, gece görüşü, UAV, AUVIS ve balistik çözümleri sunduklarını, hükûmet ile güçlü ilişkilerinin olduklarını, emniyet için çözümler aradıklarını ve -HackingTeam’in- VoIP monitörleme ve çözüm sunan yazılıma sahip olduğu teknik konularda bilgi alış-verişi aradığını belirtmiştir. VoIP; kısaca sesli iletişime konu olan teknolojilerin Internet protokolleri üzerinden gerçekleştirilmesine denilmektedir. Bunlara, Internet telefonu, genişbant telefon hizmetleri, faks, SMS, sesli mesaj gibi servisleri içermektedir.

Diğer e-postalar incelediğinde (340338, 375543, 377667, 1055568, 145606, 23965, 378914, 604917) ise M.T. (muhtelemen haber bülteni üzerinden), Türkiye’de düzenlenen bir fuar alanı (doğrudan HackingTeam ile iletişim) ve bir teknokent (iç yazışmalar HackingTeam klasörlerinde) HackingTeam’i birçok ülkenin ve savunma endüstrisinden büyük firmaların yer aldığı IDEF 2015’e davet edilmiş ve ısrarla büyük bir pazardan, pazardaki karar sürecinde etkileyici konumda olan büyük savunma endüstrisi firmaların olduğu söylenmiştir.

Şimdi soruyoruz:

  1. Gezi Parkı protestoları döneminde neden GSM ve 3G’ye sızmak için HackingTeam ile kimin için çözüm arama yoluna gitmiştir?
  2. Emniyet birimleri için VoIP üzerine HackingTeam’den herhangi bir çözüm temin etmiş midir?
  3. Davetleride gayri ahlaki ve kötücül yazılımlar üreten bir şirketi 2014’te Ankara’da düzenlenen Cyber Security Conference & B2B Meetings’e ve IDEF 2015’e davet ederken bir ön çalışma yapılmış mıdır? Yapılmamışsa, Türkiye onlar için önüne gelenin satış yapabileceği bir pazardan mı ibarettir?

HackingTeam Dosyası – I

HackingTeam ile ilgili olarak ilk 23 Şubat 2014 tarihinde CitizenLab tarafından yazılmış iki akademik çalışmanın Türkiye ayağını ve bu konuyla ilgili yazılmış ilk Türkçe makale olan “İzi Sürülemeyen” Casus Yazılım ve Türkiye’de bahsetmiştim. Fakat, bu makale yayınladığım dönemden HackingTeam’in hacklenip belgelerin ortalığa dökülmesine kadar olan 1 yılı aşkın süredir hiçbir dikkat de çekmemişti. İçeriğinde ise Türkiye’yi IP bilgilerini de dikkate alarak RCS’yi kullanma ihtimali yüksek ülkeler içerisinde olduğunu söylemiştim fakat, sızdırılan yazışmaları incelediğimde bu konunun ne kadar derin ve kapsamlı olduğunu da görmüş bulunmaktayım. Yaman Akdeniz hocamın da çağrısını dikkate alarak yeni bir HackingTeam dosyasını, kendi çalışma alanım içerisinde başlatıyorum. Bu ilk dosyada “RE: R: R: Ref: Turkish National Police, US Department of Commerce Certified Trade Event: EMEA Intelligence 2011, Turkey” e-posta yazışmalarının bir analizini bulacaksınız.

Türkiye’de ve kendi tanımlarıyla uluslararası bir istihbarat, adli bilim ve gözetim teknolojilerinin tanıtımı ve konferanslarının düzenlendiği bir fuar düzenlenmektedir. Bu fuar BTK (Bilgi İletişim ve Teknoloji Kurumu) sponsorluğunda ise her sene Ankara’da yapılmaktadır. Bu fuarın yöneticisi ise Tolga G.’dir. İlk olarak 2011 yılında HackingTeam ile iletişime geçen Tolga G., fuarın sadece Türkiye pazarından değil Avusturalya, Hong Kong, Israil, Amerika, İngiltere, Orta Doğu ülkeleri, Güney Doğu Asya ülkeleri, Doğu Avrupa ülkeleri gibi birçok ülkeden katılımcıyı içerdiğini belirtmiştir. Ayrıca, Türkiye’nin güvenlik donanım ve servislerine 2009 yılında 3.63 milyar dolar, fiziksel güvenlik servislerinin yaklaşık 3 milyar dolar, elektronik güvenlik metodlarına 450 milyon dolar, ve nakit olarak transfer ücretlerine ise 180 milyon dolar yatırım yaptığını ve Türkiye’nin çok cazip bir pazar olduğunu vurgulamaktadır.

HackingTeam’in pazarlama müdürü Marco B., bu e-postaya katılımcı olarak ilgilendiklerini, mevcut bir yer olup olmadığını ve konuyla ilgili olarak detaylı bilgi istediğini söylerek cevap vermiştir. Tolga G., hangi katlarda boş yer olduğunu belirtirken özellikle ikinci katta,  popüler markaların bulunduğu yeri önermiştir. HackingTeam’den gelen yeni yanıtta ise Tolga G. ve HackingTeam arasında yaşanan bir telefon konuşmasına istinaden teşekkür edilmiş, devamında HackingTeam fuarda verecekleri konferansın zamanını Emniyet Genel Müdürlüğü’nün vereceği konuşmadan önce mi sonra mı olacağını sormaktadır. Devamında Tolga G., en büyük alıcıları olabilecek BTK genel müdürünün yer alacağı günü ve gene aynı günde ikinci ve üçüncü en büyük alıcı olabilecek Emniyet Genel Müdürlüğü ve emniyete ait istihbarat servisinin de bulunacağını fakat, konuşmalarını ise ikinci gün yapacaklarını vurgulamıştır.

Bu açıklamalar doğrultusunda konferans günü seçen HackingTeam, RCS teknolojileriyle ilgili olarak hangi sistemleri ve donanımları hedef aldığına dair detaylı bir e-posta atmıştır. Dikkati çeken bir başka nokta ise HackingTeam’in RCS’yi “The ULTIMATE WEAPON for attacking and covertly monitoring PCs and Smartphone”, Türkçesi bilgisayarlara ve akıllı telefonlara saldırmak ve gözetlemek için GERÇEK SİLAH olarak belirttiğidir. Açıkçası, bu teknolojinin satıldığı rejimlerde öldürülen aktivistler, gazeteciler ve birçok masum insan da gözönüne alındığında gerçekten de bir silah olduğu kolaylıkla söylenebilmektedir. Ayrıca, kendilerine özel görüşmeler yapabilecekleri bir odanın ayarlanıp ayarlanamadığını ve ücretini soran HackingTeam’e yanıt olarak “potansiyel müşterilerinize de davetiye göndermek ister misiniz?” diye yanıt veren Tolga G., devamında sağlayacakları odadaki Internet bağlantısının güvenli olduğunu, binanın eski askeri bir bina olduğunu (Harbiye Müzesi), diğer taraftan da özel odalar için de indirim yaptığını söylemiştir.

Ziyaretçilere giden davetlerin Internet üzerinden ve hepsinin bir barkota sahip olduğunu söyleyen Tolga G.’ye cevap olarak Hacking Team, Ahmet K., Emniyet Genel Müdürlüğü, Thomas S., Banu L. ve dil asistanı için davetiye istemiştir. 2012 yılındaki konferans için iletişme geçnen Tolga G., Türkiye’de (yasal ama son derece tartışmaya açık) dinlemelerin başka bir istihbarat servisine geçtiğini, artık en yüksek teknoloji ve otoriteye sahip olan kurumun BTK olduğunu ve aynı fiyatlardan ücretlendirme yapacaklarını söylediği yeni bir katılım daveti yollamıştır. Fakat, HackinTeam bu sene katılamayacaklarını belirtmiş, Tolga G. de cevap olarak 2013 yılında görüşmek dileğiyle diyerek son bir cevap vermiştir.

Anlaşılan o ki, BTK Türkiye’deki her türlü haberleşme sistemlerinde abone bilgilerini yasal –yasalara aykırı– olarak izleyebilen, en yüksek teknolojiye ve otoriteye sahip kurum halini almaya 2012 yılında başlamış ve artan bir ivmeyle de devam ettirmiştir. Diğer taraftan, Emniyet Genel Müdürlüğü, muhtmelen HackingTeam ile yapmış oldukları görüşmede RCS teknolojisi satın almaya karar vermiş ve bugüne kadar toplamda sivilleri gözetim altında tutabilmek için 440 bin Euro para harcamıştır. Hukuka aykırı olarak yapılan dinlemeler ise konun bir başka boyutunu daha ortaya koymaktadır. Çünkü Tolga G., özellike dinleme yapacak istihbarat servisinin değiştiğini ve en yetkili kurumun da BTK olduğunu e-postasında belirtmiştir.

Sonuç olarak, yasalara aykırı ve hukuki hiçbir dayanağı olmayan, tamamen kötücül ve dünya çapında birçok masum insanın öldürülmesine yol açan ve kendini silah diye tanıtan bir teknolojiye, Türkiye’yi pazar olarak sunan ve farkında olmadan da dinlemelerin ana kaynağını e-postalarında belirten bir isim olmuş Tolga G. Gizli görüşmelerde neler konuşulduğu ve neler için el sıkışıldığı ise ayrı bir konu. Tüm bunların sonuçları iste yavaş yavaş ortaya çıkmaya başladı bile.