Cellebrite Rusya'ya Satışı Kestiğini Söyledi Ama Cihazları Hâlâ Kullanılıyor: Siber Güvenlikte Kontrol Sorunu Siber Güvenlik

Cellebrite Rusya'ya Satışı Kestiğini Söyledi Ama Cihazları Hâlâ Kullanılıyor: Siber Güvenlikte Kontrol Sorunu

İsrailli siber güvenlik şirketi Cellebrite, Rusya'ya satışı kestiğini duyurdu ancak araştırmacılar, şirketin UFED aracının Rus yetkililer tarafından h

Batılı teknoloji şirketleri, ürünlerinin kötü niyetli aktörlerin eline geçmesini engellemek için ne kadar çaba gösterse de, bir kez piyasaya sürüldükten sonra bu araçların kontrolünü kaybetme riski her zaman var. İsrailli adli bilişim firması Cellebrite'ın başına gelenler, bu gerçeğin en çarpıcı örneklerinden biri. Şirket, Mart 2021'de Rusya'ya tüm satış ve hizmetleri durdurduğunu açıklamasına rağmen, Rus yetkililerin muhalif bir siyasetçinin iPhone'unu hacklemek için Cellebrite'ın UFED aracını kullandığı ortaya çıktı. Bu durum, siber güvenlik teknolojilerinin yayılmasının ve kötüye kullanımının önlenmesinin ne kadar karmaşık olduğunu bir kez daha gözler önüne seriyor.

Toronto Üniversitesi bünyesindeki dijital haklar grubu The Citizen Lab araştırmacıları, Rus hükümetine bağlı bir soruşturma biriminin, Haziran 2021'de yerel insan hakları savunucusu ve muhalefet siyasetçisi Andrey Pivovarov'un iPhone'una sızmak için Cellebrite'ın UFED aracını kullandığına dair kanıtlar buldu. Pivovarov, o dönemde kapatılan muhalif grup Açık Rusya'nın (Open Russia) direktörüydü ve Mayıs 2021'de gözaltına alındığında iPhone 12 ve MacBook'una el konulmuştu. Mahkeme belgelerine göre, Rus yetkililer UFED kullanarak WhatsApp ve Telegram mesajlarını da içeren verileri çıkardı ve telefonda siyasi terimler ile muhalif isimleri aradı.

Cellebrite, resmi web sitesinde Mart 2021 itibarıyla Rus hükümetiyle bağlarını kestiğini ve 'cihazın çalışmasını veya yazılım güncellemeleri almasını durdurabileceğini' iddia ediyor. Ancak Pivovarov vakası, bu iddianın pratikte işlemediğini gösteriyor. Şirket, Rusya'daki müşterilerine satışları durdurduğunu ve lisansları iptal ettiğini belirtse de, eski donanımların kullanımını engelleyemedi. Cellebrite'ın baş pazarlama sorumlusu David Gee, The Citizen Lab'e gönderdiği e-postada, 'Mart 2021'den sonra Rusya'da eski Cellebrite donanımının herhangi bir kullanımı tamamen yetkisizdir' dedi. Ancak bu açıklama, sorunun çözülmediğini ortaya koyuyor.

İsrailli insan hakları avukatı Eitay Mack, bu durumun şaşırtıcı olmadığını ve Cellebrite'ın politikalarının bir sonucu olduğunu belirtiyor. Mack'e göre, satışları durdurmak ve hatta yazılım lisansını iptal etmek, eski bir müşterinin şirketin teknolojisini kötüye kullanmasını engellemiyor. Cellebrite, müşterilerinden satın aldıkları hackleme araçlarını söküp atmalarını isteyip istemediğini açıklamayı reddediyor. Bu kritik boşluk, şirketin bağları kestiğini duyurmasına rağmen eski müşterilerin hâlâ UFED aracını kullanabileceği anlamına geliyor. Mack, 'Bu vaka, Cellebrite'ın politikalarının yetersiz olduğunu gösteriyor' diyor.

Nasıl Önlem Alınmalı?

The Citizen Lab'den kıdemli araştırmacı John Scott-Railton, Cellebrite'ın kötüye kullanım raporları sonrasında uzaktan devre dışı bırakma özelliği eklemesi ve tüm cihaz görüntülerine kriptografik olarak imzalanmış damgalar koyması gerektiğini söylüyor. Yani Cellebrite, araçları kötüye kullanıldığında onları uzaktan 'tuğlaya çevirebilmeli' ve çıkarılan verilerin hangi cihazdan geldiğini takip edebilmeli. Scott-Railton, 'Cellebrite, makul inkar edilebilirlik dönemine son vermeli' diyor. Bu öneriler, siber güvenlik firmalarının ürünlerinin kontrolünü ellerinde tutmaları için pratik çözümler sunuyor.

Sistem Güvenliği

Cellebrite, geçmişte Hong Kong, Kenya, Ürdün gibi ülkelerde muhaliflere, insan hakları aktivistlerine ve gazetecilere karşı kullanılan teknolojisiyle gündeme gelmişti. Bu vakaların ardından Bangladeş, Çin, Hong Kong, Myanmar ve Sırbistan ile bağlarını kesti. Ancak bu tür önlemlerin etkili olup olmadığı tartışmalı. Pivovarov vakası, bir kez daha gösteriyor ki, güçlü hackleme ve gözetim teknolojileri yanlış ellere geçtiğinde, geri almak veya kullanımını engellemek kolay değil. Araçlar yayılıyor, kötüye kullanılıyor ve şirketler sorumluluktan kurtulmak için ellerini yıkasa da bu kullanım devam ediyor.

Pivovarov, Ağustos 2024'te Rusya ile Batılı ülkeler arasındaki bir esir takası kapsamında serbest bırakıldı. Ancak bu vaka, siber güvenlik ve gözetim teknolojilerinin etik kullanımı konusundaki soruları gündemde tutuyor. Cellebrite gibi firmaların, ürünlerinin nereye gittiğini ve nasıl kullanıldığını daha sıkı denetlemesi, kötüye kullanım durumunda etkili müdahale mekanizmaları geliştirmesi gerekiyor. Aksi takdirde, bu tür olayların tekrarlanması kaçınılmaz görünüyor.

Kaynak: techcrunch.com

Paylaş: