Kötü niyetli yazılımların virüsler, solucanlar, casus yazılımlar gibi farklı türleri ve amaçları var.

Bu siber güvenlik tehditlerinden casus yazılımlar yol açtıkları skandallarla akıllara kazındı. Giderek daha büyük tehditler oluşturacakları da konuşuluyor.

Casus yazılımların kullanımı giderek yaygınlaşıyor. Rusya merkezli bir güvenlik şirketi olan Kaspersky verilerine göre, Türkiye'de 'Truva Atı Casusları'ndan etkilenen kullanıcı sayısı 2022'nin ikinci çeyreğinde ilk çeyreğe göre yüzde 5 arttı.

Casus yazılımlar konvansiyonel casusluğa alternatif

Bilişim Teknolojileri ve Siber Güvenlik Derneği Başkanı Yavuz Sultan Selim Yüksel, konuşmamızın başında filmlerden, kitaplardan aklımızda yer etmiş casus imgesini hatırlatıp “Casus ne demek? Kimliği belli olmayan, kendini gizlemiş, içimizde yaşayan herhangi biri olabilir. Öyle değil mi?” diyor.

Casus yazılımlarsa, konvansiyonel casusluk yöntemlerine kıyasla riski minimize ediyor. Yüksel, “Konvansiyonel casusluk hikâyeleri mutlaka devam ediyordur ama aslında bunun alası yapılıyor. O kadar kolay bir şekilde yapılıyor ki...” diyor.

Peki, casus yazılımlar neler yapabiliyor? Kullanıcı farkında olmadan cihaz ortam dinleme cihazına dönüştürülebiliyor, uçtan uca şifrelenmiş yazışmalara bile ulaşabiliyor, dosya transferlerinde araya girilebiliyor, ekran görüntüsü, klavye hareketleri gibi birçok hassas bilgiye ulaşabiliyor.

Bir pazarlama aracı olarak casus yazılımlar

Casus yazılım kavramı genel bir kavram gibi kullanılsa da farklı alt başlıklar açmak mümkün. Devletler ve ulusal güvenlik düzeyinde konu farklı bir anlam taşırken bu yazılımlar birer pazarlama aracı olarak da kullanılabiliyor.

Yüksel, bir uygulama yüklerken kullanıcıya ‘Bu yazılım sizin telefonunuza, medyanıza, mesajlarınıza, arama kaydınıza ulaşmak istiyor. İzin veriyor musunuz?’ diye sorulduğunun, izin verilmezse uygulamanın yüklenemediğinin altını çiziyor. "Birçok telefonda birkaç tane casus yazılımın olması teknik olarak çok mümkün" diye ekliyor.

Peki, geniş kitlelere ulaşan uygulamalar casus yazılım gibi çalışıyor olabilir mi? Büyük şirketlerin elde ettiği verileri nasıl kullanacağına standartlar getiren çeşitli kanunlar var. Buna rağmen, kullanıcılarını dinlediği ve izlediği şüphesi olan uygulamalar zaman zaman manşetlere zaman zaman da mahkeme koridorlarına taşınıyor. Yüksel, “Zuckerberg biliyorsunuz Amerikan Senatosu'nda sorgulandı. Sizinle ilgili çok şikâyet alıyoruz, kullanıcılarınızı dinliyormuşsunuz diye. Kesinlikle kabul etmedi ama onlarca, hatta binlerce şikâyet aldı” diyor.

Sanıldığından daha mı yaygın?

Herkesin veriye ihtiyacı var ve dijital çağda veri daha da önem kazanıyor. Yüksel, casus yazılımların yaygınlığının buradan geldiğini belirtiyor: “Bilgi değerli. Yani yazılım değerli değil. Yazılımı çok kolay üretebiliyorsunuz.”

İnternette kullanıcıların birbirlerinin cihazlarına bu yazılımları yüklediğine dair yorumlara ve bu yazılımların bazı web siteleri aracılığıyla satıldığına rastlamak mümkün. Yüksel şöyle anlatıyor:

“Size şöyle bir örnek vereyim: Mesela bazı avukatlar var, hukuk büroları var. Bunlar, yeteneği olan genç arkadaşlardan ‘Bana bir casus yazılım yap, bu casus yazılımı bir yere yükle, gizli bir linke, boşanma sürecinde olan bir karı koca var, kadın kocasının telefonuna bunu kolay bir şekilde yüklesin…’ diyor. 300-500 liraya böyle bir yazılımı yapıyorlar. Casus yazılımı yükleyip karşı tarafın bütün hareketlerini kaydedebilir hale geliyor.

Hatta istediği zaman telefonun mikrofonunu açıp ortam dinlemesi bile yapabiliyor. Yani bir ev hanımı bile yapabiliyor. Delil toplamaya çalışan hukuk büroları bile başvuruyorlar. Mahkemelerde delil olarak kabul edilmese bile sonucu etkileyebilecek bir manzara ortaya çıkabiliyor.”

Şimdiye kadar yaşanan skandallar

Dünya çapında birçok casus yazılım skandalı yaşandı. Pegasus skandalı tüm dünyanın gündemine oturan olaylardan biriydi. İsrailli teknoloji şirketi NSO tarafından geliştirilen ‘Pegasus’ yazılımı çok sayıda ülkeye satıldı. Bu yazılımla, aralarında devlet başkanları, gazeteciler ve aktivistlerin de bulunduğu on binlerce kişinin takip edildiği iddia edildi.

Edward Snowden, 2013 yılında açıkladığı belgelerle Amerikan Ulusal Güvenlik Ajansı’nın (NSA) gizli dinleme ve izleme faaliyetlerini deşifre etti.

Belgelere göre ABD, 2010’da Kanada’da yapılan G-8 ve G-20 zirvelerine katılan 25 ülke liderini ve önde gelen isimleri dinledi. Elektronik dinleme ve izleme operasyonlarıyla, hiçbir yasal zemin olmaksızın milyonlarca birey ve grubu takibe aldı. Snowden, 2015 yılında verdiği bir röportajda, “Akıllı telefonlar ele geçirilebilir” ifadesini kullandı ve akıllı telefonları ele geçirmeyi sağlayacak yazılımlara büyük yatırımlar yapıldığını söyledi.

Güvenlik Ar-Ge’sine daha fazla dikkat edilmeli

Yüksel, üretime vakit ve bütçe ayrıldığını ama güvenlik Ar-Ge’sinin eksik kaldığını vurguluyor.

Dijital tarafın öneminin giderek arttığının altını çizen Yüksel, “Bir haber okudum, şu anda 3,5 milyon güvenlik kamerasına hiçbir güvenlik önlemi olmadan ulaşılabiliyor” diyor ve benzeri durumların hangi güvenlik ihlallerine yol açabileceği konusunda soru işaretleri olduğundan bahsediyor.