ilhan Tanir
Ara 20 2017

Karlov suikastçisinin telefonunu kim, nasıl hackledi?

 

Mevlüt Mert Altıntaş’ın Rusya'nın Türkiye Büyükelçisi Andrei Karlov’a yaptığı suikastin ardından telefonu, kimliği belirsiz kişiler tarafından hack’lendi ve sanal bir makine kullanılarak tüm e-posta ve mesajları silindi…

Rus büyükelçisinin suikastini takiben, suikastçinin telefonundaki bilgilere ne olduğuna dair Türk savcının değerlendirmeleri hakkında Ahval’de kısa süre önce yayınlanan makale, bir iPhone’u hack’lemek için gereken teknoloji konusunda, sosyal medyada şiddetli tartışmalara yol açtı.

Biz de iki uzmana, yazılımcı Can Duruk ve Kaveh Nematipour, savcının anlattıklarının mümkün olup olmadığını ve nasıl yapılabileceğini sorduk…

Sizce bir iPhone’a, üçüncü partiler tarafından uzaktan izinsiz olarak girilebilmesi ve içindekilerin silinebilmesi mümkün mü?

Duruk: Teknik olarak, evet. Kullanıcının AppleID şifresini bilen herhangi biri, uzaktan o telefondaki bilgileri silebilir (Apple telefonlarda, iCloud üzerinden Remote Wipe var)… Bu çok sofistike bir saldırı şekli değil; bilinmesi gereken tek şey, karşıdakinin Apple ID şifresi.  

Birçok kullanıcı farklı internet hizmetleri için aynı şifreyi kullanıyor (bunu yapmamalılar), bu yüzden bir tanesini kırmak yeterli. Bu tarz bir saldırıyı yapmak için, kendini adamış biri olması gerekir, ama çok karmaşık araçlar gerekli değildir. Ayrıca, sonuç garantili değildir.

Nematipour: Öncelikle, savcılık Gmail ya da Facebook hesabının hack’lendiğini nasıl biliyor? Eğer katilin telefonuna giremedilerse, ki yazıda da giremedikleri söyleniyor, o zaman bu hack hakkında nasıl bilgileri var? Şu anda Gmail hesabıma gitsem ve birkaç sohbeti silsem, eğer başarıyla silebilmişsem, hesabımda silinmiş mesajlar olduğunu nasıl biliyorlar?

Peki ya, sahibi tarafından önceden bir trojan yazılım yükleme izni verilmişse?

Duruk: Apple’ın operasyon sistemi genellikle, sahibi standartdışı yollara başvurup OS’i kırmadıkça, trojan tipi yazılım (tüm içeriği silen) kullanılmasına izin vermiyor, ama bu mümkün. Ancak büyük ihtimalle gereksiz bir hareket.

Nematipour: Orlando tetikçisinin hikayesini hatırlatmak istiytorum size, FBI uzun süre, telefon ellerinde olmasına rağmen, Apple’ın telefonu açmasını istediler, ama başarısız oldular.

Apple isteklerini reddetti, daha sonra İsrailli bir firma, telefonun kırabilecekleri versiyonlardan bir olduğunu söyledi ve FBI için bu hizmeti sağladılar, tüm bunlar olurken telefon ellerindeydi. Bu tarz bir saldırıyı uzaktan yapabilmek, yani, eğer ispat edilirse türünün ilk örneği olur ve Apple’ın stok fiyatlarını da etkiler. 

Apple, Türk otoritelere, kullanıcı şifresini çözmekte yardım edemeyeceğini söyledi. Bu gerçekçi bir durum mu?

Duruk: Burada değerlendirmek gereken iki nokta var. Teknik olarak, eğer telefon iPhone 4S ise, Apple Türk hükümetine yardım edebilir, teknik olarak.

Ancak, Apple’ın, kendi telefonlarına yerleştirdiği şifrelemeyi çözmek için hükümetlere yardım etme konusunda çok sıkı bir tutumu var. Örneğin, San Bernardino davasında Apple, şüphelinin telefonunu açmak konusunda FBI’a yardım etmeyi reddetti, (telefon iPhone 5S’di), bunun kaygan zemin olduğunu iddia etti. Apple’ın CEO’su Tim Cook, halka hitaben bir mektup yazdı ve televizyona çıkıp Apple’ın sebeplerini halka açıkladı.

O durumda Apple tavrını korumaya devam etti ve FBI, şifreyi başka yollardan çözdü. Bu arada, FBI’ın yöntemlerini açıklaması için dava edildiğini ve sonuçta kaynağını açıklamadığını da unutmayalım. 

Nematipour: Bu, muhtemelen, dünyanın en varlıklı şirketi tarafından desteklenen ticari bir teknoloji ve şaka değil. Ayrıca, hack’lendiği iddia edilen diğer iki firmanın da Google ve Facebook olduğunu hatırlayın. Dünyadaki en güçlü üç firmadan bahsediyorsunuz. 

Türk otoriteler, dosyaları silen kullanıcının yerini tespit edemediklerini, çünkü kullanıcının, kaydı tutulmayan sanal bir makine ve VPN kullandığnı söylüyorlar. Bu olabilir mi?

Duruk: Bu soruna doğru yaklaşım, internetten giriş olmasını engellemek için, telefon ele geçirildiğinde hemen kapatmak olurdu. Eğer bu yapıldıysa, datanın çoğunu ele geçirme ihtimali artar.

Genel olarak, Apple’ın iPhone 7’den sonraki  cihazlarında çok güçlü bir şifreleme var, fiziksel giriş bile etkin olmayabiliyor, ama daha önceki cihazlarda fiziksel olarak giriş yapmak, epey bir data elde edilmesini sağlayabilir.

Eğer kullanıcı cihazın içeriğin, Apiple’ın Remove Wipe’ını kullanarak sildiyse, Apple’ın, içeriğin nasıl silindiğiyle ilgili bir miktar bilgisi olabilir. Muhtemelen, bir IP bilgisi olur, ve slime isteğini kimin yaptığını bilebilir, ama tek bir kişiye kadar iz sürmek pek mümkün olmaz.

Eğer telefonun sahibi, cihaza bir VPN kurduysa, bu delil toplama işini zorlaştırır. Eğer uzaktan silme işlemi, trojan-tipi bir uygulamayla yapıldıysa, kalıcı bir VPN bağlantısı, telefonu kimin sildiğini belirlemeyi imkansız hale getirebilir.

Nematipour: Okuduğum makalede, VPN Express’in, kendine ait bir yargı sistemi olan British Virgin Islands’da kayıtlı olduğu ve ABD/Avrupa Yasaları’ndan muaf tutulduğu yazıyordu, ki bu doğru.

Bu yüzden firma, hemen hemen hiçkimseye karşı sorumlu değil. Şirket, bu hizmet için para ödeyen kişi/kişileri açıklaması konusunda zorlanabilir, ama bunun için muhtemelen politik müdahale gerekir.

Diğer bir varsayım ise, birinin telefona VPN kullanarak bağlanmış olması. Bunu, telefona girip her parçasını analiz etmeden bilemeyiz. Bir diğer senaryo da, Altıntaş’ın iletişim trafiğini şifrelemek için bu VPN hizmeti kullandığı ve muhtemelen o gün bağlantıyı kesmediği yönünde.

Peki, eğer saldırı izi sürülemeyen bir bağlantıdan yapıldıysa, savcı bunu Gülen hareketinin yaptığını bilebilir mi?

Duruk: Bu bana çelişkili geliyor. Sadece içeriğin bir kısmı silinebilir (epostalar, mesajlar), ve kalanlar (kontak bilgilieri) belli bir grubu işaret ediyor, ama bu pek olası değil.

Nematipour: Açıkçası bu son sorunun retorik bir soru olduğunu düşünüyorum. Saldırganın kimliğini bilirsin ya da bilmezsin. Şahsen ben, saldırının gerçekliğinden şüphe ediyorum ve tabii ki kapsamından da ve bu tür bir saldırganın bağlantılarını belirlemek beni aşar.