Avrupa Parlamentosu'nun Avrupa'da casus yazılım kullanımını araştıran önde gelen milletvekili Hollandalı Liberal üye Sophie In't Veld, dün bir basın toplantısı düzenleyerek, Pegasus casus yazılımı skandalına ilişkin 7 aydır süren soruşturmaya ilişkin hazırladığı taslak raporu paylaştı.

Soruşturma komitesini oluşturan Avrupa Parlamentosu üyeleri, İspanya, Yunanistan, Kıbrıs’ın güneyi, Macaristan ve Polonya gibi ülkelerde, casus yazılımların muhalif figürlerin ve gazetecilerin telefonlarına yüklenmesi gibi bir dizi skandalı araştırmak için aylar harcadı.

Sophie In't Veld'in hazırladığı taslak raporda, soruşturmanın sonuçları "şok edici ve her Avrupa vatandaşını alarma geçirmeli" denildi.

2021 yazında, araştırmacı gazeteciler, STK'lar ve ayrıca bağımsız araştırmacılardan oluşan bir kolektif, ‘Pegasus Projesi’ adı altında, casus yazılımlarıyla hedef alınan 50.000 kişilik bir liste ortaya çıkarmış ve bunların arasında gazeteciler, avukatlar, savcılar, aktivist politikacılar ve hatta devlet başkanları olduğu belirlenmişti.

2019'da Kıbrıs’ın güneyinde patlayan ‘casus van’ skandalı ile ise İsrail vatandaşı Tal Dillian'ın ortağı ve şirketi aracılığıyla güney Kıbrıs hükümetinden aldığı izinle, en son gözetim teknolojisiyle dolu van araçla güneydeki bir havaalanında deney yaptığı ve havaalanı WiFi’ını kullanılarak yolcuların kişisel verilerini topladığı ortaya çıkmıştı. 

Kıbrıs Rum ana muhalefet partisi AKEL'e göre, Dilian'ın kitlesel gözetimiyle 9,5 milyondan fazla mobil cihaz yasa dışı olarak izlenmiş ve birçok bireysel veri koruma hakkı ihlal edilmişti.

Kıbrıs'ın güneyi böyleyse, kuzeyi casus yazılımda nerededir?

Taslak raporun Kıbrıs'ın güneyine ayrılan bölümünde, Kıbrıs’ın gözetim endüstrisi için önemli bir Avrupa ihracat merkezi kaydediliyor ve Avrupa Birliği'nin yasal çerçevesine ve düzenlemelerine rağmen, güney Kıbrıs'ın casusluk teknolojileri satan şirketler için cazip olduğu belirtiliyor. Bu da doğal olarak Kıbrıs'ın kuzeyinde durumun çok daha vahim olabileceğini sorgulatıyor.

Kıbrıs'ın üç kıtanın kavşağı olarak coğrafi konumunu vurgulayan raporda, Türkiye, İsrail, Amerika Birleşik Devletleri ve Rusya gibi ülkelerin Kıbrıs’ta stratejik çıkarları olduğuna dikkat çekiliyor.

Pegasus'un Kıbrıs'ta üretildiği veya Kıbrıs'tan ihraç edilmediği iddialarının tam doğruyu yansıtmadığına dikkat çekilen raporda, Pegasus casus yazılımının 21 Haziran 2022'de güney Kıbrıs'tan Birleşik Arap Emirlikleri'ne ihraç edildiğini kanıtlayan AKEL belgelerinin, hizmetlerin Bulgaristan ve Kıbrıs tarafından sağlandığını gösterdiği ifade ediliyor. 

Suudi Arabistanlı müşterilere Pegasus 3 hakkında tanınmış bir Limasol otelinde sunum yapıldığına ve Suudilerin sonunda ürünü 55 milyon dolara satın aldığından hareketle, güney Kıbrıs ‘casus yazılım ihraç üssü’ olarak nitelendiriliyor.

Raporun Kıbrıs'la ilgili son bölümde belirtildiği gibi, ülkede veri koruma, gözetim ve bu tür yazılımların ihracatı açısından güçlü bir yasal arka plan olsa da, düzenlemelerin açık olmayan bir şekilde uygulanması, güney Kıbrıs'ı casus ürün ticareti / değişimi için cazip bir hedef haline getiriyor.

Raporda, Kıbrıslı Rum gazeteci Makarios Drousiotis'e casus yazılım mağduru olarak geniş yer ayrılıyor ve gazetecinin Şubat 2018'den beri hükümet tarafından izlendiği iddiaları aktarılıyor.

Drousiotis'in Kıbrıslı, AB'nin İnsani Yardım ve Kriz Yönetiminden Sorumlu Komiseri Christos Stylianides'in asistanı olarak görev yaptığı dönemde ve Cumhurbaşkanı Anastasiadis ile oligark Dmitri Rybolovlev gibi Rus figürleri arasındaki mali bağlantılara ilişkin araştırma yaptığı ve o sırada telefonuna cevapsız bir WhatsApp çağrısı ile casus yazılımın yüklendiği, cep telefonu cihazında hızlı pil tükenmesi yaşandığı ve telefonun kullanılmadığı durumlarda bile sık sık aşırı ısınması gibi çeşitli belirtiler olduğu şeklindeki iddialarına yer veriliyor. 

Drousiotis, Kıbrıs hükümetinin, özellikle de Kıbrıs İstihbarat Servisi'nin telefonuna casus yazılım sızdırdığını savunuyor.

'Gözetim, dünyanın herhangi bir yerindeki ülkelerden, uzaktan bile yapılabilir. Casus yazılımlar esas olarak bir akıllı telefonu ele geçirmek ve belgeler, resimler ve mesajlar da dahil olmak üzere tüm içeriğini almak için kullanılabilir. Bu şekilde elde edilen materyaller sadece eylemleri gözlemlemek için değil, aynı zamanda mağdurlara şantaj yapmak, mağdurları itibarsızlaştırmak, manipüle etmek ve korkutmak için de kullanılabilir. Kurbanın sistemine erişim manipüle edilebilir ve üretilmiş içerik ekilebilir. Mikrofon ve kamera uzaktan etkinleştirilebilir ve cihazı odadaki bir casusa dönüştürebilir. Bu arada, kurban hiçbir şeyin farkında değildir.’

Raporda, günümüzün casus yazılımlarla yapılan dijital hırsızlığın neredeyse hiç iz bırakmadığı belirtilerek, şöyle devam ediliyor: ‘Klasik telefon dinlemenin aksine, casus yazılımlar yalnızca gerçek zamanlı gözetime izin vermekle kalmaz, aynı zamanda geçmişte oluşturulan dosya ve iletilere ve geçmiş iletişimlerle ilgili meta verilere tam olarak, geriye dönük erişime de izin verir. Gözetim, dünyanın herhangi bir yerindeki ülkelerden, uzaktan bile yapılabilir. Casus yazılımlar esas olarak bir akıllı telefonu ele geçirmek ve belgeler, resimler ve mesajlar da dahil olmak üzere tüm içeriğini almak için kullanılabilir. Bu şekilde elde edilen materyaller sadece eylemleri gözlemlemek için değil, aynı zamanda mağdurlara şantaj yapmak, mağdurları itibarsızlaştırmak, manipüle etmek ve korkutmak için de kullanılabilir. Kurbanın sistemine erişim manipüle edilebilir ve üretilmiş içerik ekilebilir. Mikrofon ve kamera uzaktan etkinleştirilebilir ve cihazı odadaki bir casusa dönüştürebilir. Bu arada, kurban hiçbir şeyin farkında değildir. Casus yazılımlar kurbanın cihazında çok az iz bırakır ve tespit edilse bile saldırıdan kimin sorumlu olduğunu kanıtlamak neredeyse imkansızdır.’ 

Hükümetlerin çoğu zaman casus yazılım satın alıp almadıklarını ve ne tür casus yazılım satın aldıklarını açıklamayı reddettiği vurgulanan raporda, casus yazılım satıcısının da müşterilerinin kim olduğunu açıklamayı aynı şekilde reddettiğine ve hükümetlerin, katılımlarını gizlemek için casus yazılımlarla ilgili hizmetler satın alırken genellikle aracılarla hareket ettiğine dikkat çekiliyor.

Hükümetlerin satın aldığı casus yazılımlarla ilgili meclis soruşturma komitelerine genellikle hükümet partileri tarafından taş duvarlar örüldüğüne, adli soruşturmaların, AB hükümetlerinin gayrimeşru kullanımına değil, üçüncü ülkelerin hacklerine odaklandığı kaydedilen raporda, konuyla ilgili haber yapan gazetecilerin ‘SLAPP’ olarak bilinen, yüksek ekonomik güce sahip kişi, kurum veya şirketlerin stratejik davaları ile ve politikacıların sözlü saldırılarıyla karşı karşıya kaldığı vurgulanıyor. 

Kaynak: Pegasus ve eşdeğer gözetim casus yazılımları Soruşturma Komitesi taslak raporu