Sıfır Tıklama ile Sıfır Güvenlik

Geçtiğimiz günlerde dünya, yeni bir dijital casusluk olayıyla sarsıldı. WhatsApp ve Apple cihazlarını aynı anda hedef alan gelişmiş bir saldırı ortaya çıktı. “Zero-click” (sıfır tıklama) denilen bu saldırı, kullanıcı hiçbir şey yapmadan cihazın ele geçirilmesini sağlıyor. Ne bir linke tıklıyorsunuz ne de bir dosya açıyorsunuz. Fakat sonuç: telefonunuz, bilgisayarınız ve tüm kişisel verileriniz düşmanın eline geçmiş oluyor.

Burada akla şu soruda geliyor değil... Acaba casusluğu yapanlar Apple cihazlarının sırlarını zaten biliyorlar mıydı? Hani Dedem Korkut demiş ya... Kahbe içerden olunca kapı kilit tutmaz oğul...

Bu kez ortaya çıkan güvenlik açığı, WhatsApp’ın “linked device” özelliğinde kullanılan bir zafiyet ile Apple’ın ImageIO çerçevesindeki bir açığın zincirlenmesiyle gerçekleşti. Bu iki zafiyet birlikte kullanıldığında saldırgan, iPhone ve Mac cihazlara sızabiliyor, mesajları okuyabiliyor, verileri çalabiliyor.

Kimi Hedef Aldılar?

Meta (WhatsApp’ın sahibi), saldırıdan 200’den az kullanıcının etkilendiğini açıkladı. Rakam düşük görünebilir ama hedef alınan kişiler sıradan insanlar değildi. Gazeteciler, insan hakları savunucuları, sivil toplum temsilcileri… Yani, tam da devletlerin istihbarat servislerinin gözetim altında tutmak istediği gruplar.

Ayak izlerine bakınca bir tanıdığa götürüyor İsrail... Kanlı izleri silmeye çalışıyor gibi.

Amnesty International’ın güvenlik uzmanları, bu saldırının “gelişmiş bir casus yazılım kampanyası” olduğunu belirtiyor. Arkasında hangi devletin ya da casus yazılım şirketinin olduğu ise hâlâ belirsiz. Ancak tarih bize şunu gösteriyor: Pegasus skandalında olduğu gibi, bu tür saldırıların ardında çoğunlukla devlet destekli yapılar vardır.

Yeni Savaş Alanı: Dijital Cephe

Artık savaşlar tanklarla, toplarla değil; satır satır yazılmış kodlarla yapılıyor.

Bir ülke, rakip ülkenin karar vericilerini izlemek için bu tür 0-day açıkları kullanıyor. Bir diğeri, rakibinin diplomatik trafiğini, gazetecilerini, sivil toplumunu gözetim altına almak için casus yazılımlar devreye sokuyor.

Bu tablo bize, 21. yüzyılın gerçek savaş alanını gösteriyor: siber vatan.

Türkiye Ne Yapmalı?

Bu saldırı bize açık bir ders veriyor. Öncelik, bireylerin cihazlarını güncel tutması ve güvenlik ayarlarını en üst seviyede kullanması. Ama mesele bireysel önlemleri aşan bir noktada. Çünkü bu saldırılar, tek tek insanlardan çok devletleri, milletleri hedef alıyor.

O halde Türkiye’nin atması gereken adım nettir:

- Siber Güvenlik Başkanlığı’nın acilen görev ve sorumluluk alması gerekir.

- NEXTSOSYAL örneğinde olduğu gibi, yerli ve milli bir WhatsApp alternatifi geliştirilmelidir.

Meselenin Özünde Ne Var?

Çünkü mesele sadece bir mesajlaşma uygulaması değildir. Mesele, devletin sırlarının, milletin mahremiyetinin ve ulusal egemenliğimizin yabancı yazılımların insafına bırakılıp bırakılmayacağıdır.

Türkiye kendi mesajlaşma altyapısını, kendi siber güvenlik kalkanını kurmadığı sürece, bu saldırılar sadece haberlerde kalmaz; hayatımızın gerçeği haline gelir.

Ve Nihayet;

“Sıfır tıklama” saldırısı bize şunu hatırlatıyor:

Dijital dünyada güvenlik, tek bir güncelleme, tek bir açık, tek bir satır kodla çökebilir.

Ve bu savaşta ayakta kalan milletler, siber vatanını koruyabilenler olacaktır.