Apple, hedefli saldırılara karşı en büyük risk altındaki bireyleri korumak için yeni, son derece güvenli bir Kilitleme Modu sunarak paralı asker “hizmet olarak gözetleme” endüstrisine büyük bir darbe vurdu. Şirket ayrıca bu tür tehditleri ortaya çıkarmak için araştırmaları desteklemek için milyonlarca dolar teklif ediyor.
iOS 16, iPadOS 16 ve macOS Ventura’dan başlayarak ve şu anda yalnızca geliştiricilere özel en son beta sürümlerinde bulunan Kilitleme Modu, güvenlik savunmalarını güçlendirir ve bazen devlet destekli gözetleme korsanları tarafından kötüye kullanılan işlevleri sınırlar. Apple, bu korumayı “yüksek oranda hedeflenmiş paralı casus yazılımlar tarafından potansiyel olarak istismar edilebilecek saldırı yüzeyini keskin bir şekilde azaltmak” olarak tanımlıyor.
Son yıllarda gazetecilere, aktivistlere ve diğerlerine yönelik bir dizi hedefli casus yazılım saldırısı açığa çıktı. Pegasus, DevilsTongue, Predator, Hermit ve NSO Group gibi isimler dijital cihazlara olan güveni sarstı ve yarı özel kuruluşların ve sivil topluma karşı gösterdikleri tehdit. Apple, bu tür uygulamalara karşı olduğunu gizlemedi, Kasım ayında NSO Group’a dava açtı ve bu tür uygulamalara elinden geldiğince karşı çıkacağına söz verdi.
Kıdemli araştırmacı John Scott-Railton, “Apple’ın yeni piyasaya sürülen Kilitleme Modu, saldırı yüzeyini azaltacak, casus yazılım firmalarının maliyetlerini artıracak ve böylece baskıcı hükümetlerin yüksek riskli kullanıcıları hacklemesini çok daha zor hale getirecek” dedi. Vatandaş Laboratuvarı Toronto Üniversitesi Munk Küresel İlişkiler ve Kamu Politikası Okulu’nda.
“Tebrik ederiz [Apple] insan hakları savunucularına, devlet başkanlarına, avukatlara, aktivistlere, gazetecilere ve daha fazlasına koruma sağlamak için” tweetlendi EFF, bir gizlilik savunma grubu.
Kilitleme Modu ne işe yarar?
Şu anda Apple, Kilitleme Modunun aşağıdaki korumaları sağladığını söylüyor:
- Mesajlar: Resimler dışındaki çoğu mesaj eki türü engellenir. Bağlantı önizlemeleri gibi bazı özellikler devre dışı bırakıldı.
- Web’de gezinme: Tam zamanında gibi belirli karmaşık web teknolojileri (JIT) JavaScript derlemesi, kullanıcı güvenilir bir siteyi Kilitleme Modundan çıkarmadıkça devre dışı bırakılır.
- Apple hizmetleri: Kullanıcı daha önce başlatıcıya bir arama veya istek göndermediyse, FaceTime aramaları da dahil olmak üzere gelen davetler ve hizmet istekleri engellenir.
- Kablolu bağlantılar bir iPhone kilitlendiğinde bilgisayar veya aksesuarla engellenir.
- Yapılandırma profilleri Kilitleme Modu açıkken yüklenemez ve cihaz mobil cihaz yönetimine (MDM) kaydolamaz.
Apple’ın Güvenlik Mühendisliği ve Mimarisi başkanı Ivan Krstić, Kilitleme Modunun zaten bir MDM hizmetine kayıtlı olan cihazlara uygulanabileceğini belirtiyor. “Kilitleme Modunu etkinleştirdiğinizde önceden var olan MDM kaydı korunur” tweetlendi.
Şirket, Kilitleme Modu tarafından sağlanan korumayı zamanla genişletmeyi planladığını ve zayıflıkların belirlenmesine yardımcı olmak ve bu korumanın bütünlüğünü artırmak için güvenlik araştırmalarına milyonlarca yatırım yaptığını söylüyor.
Kilitleme Modu nasıl etkinleştirilir
ElmaKilitleme Modunu Açma. (Büyütmek için resme tıklayın.)
- Kilitleme Modu şurada etkinleştirildi: Ayarlar iPhone’larda ve iPad’lerde ve Sistem ayarları macOS’ta.
- Bir seçenek olarak bulacaksınız Gizlilik ve Guvenliksayfanın alt kısmında listelenmiştir.
- Musluk Kilitleme Modu ve bunun size, “Yalnızca son derece karmaşık bir siber saldırı tarafından kişisel olarak hedef alınabileceğinizi düşünüyorsanız kullanılması gereken aşırı, isteğe bağlı koruma” sağladığı söylenecektir. Çoğu insan bu tür saldırılarla asla hedef alınmaz.”
- İstemler ayrıca kullanıcıları belirli özelliklerin artık alıştığınız şekilde çalışmayacağı konusunda uyarır. Paylaşılan albümler Fotoğraflar’dan kaldırılacak ve davetiyeler de engellenecek.
Bu tehdidin boyutu nedir?
Bu saldırılar ucuza gelmiyor, bu da çoğu insanın bu şekilde hedef alınması muhtemel olmadığı anlamına geliyor. Apple, ortaya çıktıktan hemen sonra potansiyel Pegasus kurbanlarına tehdit bildirimleri göndermeye başladı ve bu tür kampanyalarda hedef alınan kişi sayısının nispeten az olduğunu söylüyor.
Yine de, ölçek uluslararası ve şirket Kasım 2021’den bu yana yaklaşık 150 ülkedeki insanları uyardı. BBC raporu sadece NSO’nun Pegasus’unun bir sonucu olarak sızdırılan yüzlerce hedefi ve on binlerce telefon numarasını doğruluyor. Kurbanlar dahil gazeteciler, politikacılar, sivil toplum savunucuları, aktivistler ve diplomatlar, bu yüzden sayıları az olsa da, bu tür gözetimin caydırıcı etkisi çok büyük.
Bu tür teknolojilerin daha ucuz hale geleceğine ve zamanla daha fazla kullanılabilir, bu yüzden daha geniş bir kullanıma sızmaları sadece bir zaman meselesi. Nihayetinde, devlet destekli olsun ya da olmasın bu tür saldırıların varlığı, tüm dünyayı daha güvenli değil, daha az güvenli kılıyor.
Citizen Lab Direktörü, “Vatandaş Laboratuvarı ve diğer kuruluşların araştırmalarından, paralı asker gözetim endüstrisinin dünya çapında otoriter uygulamaların ve büyük insan hakları ihlallerinin yayılmasını kolaylaştırdığına dair inkar edilemez kanıtlar var” dedi. Ron Deibert içinde Bir deyim. Deibert CNET’e anlattı Kilitleme Modunun casus yazılım şirketlerine ve ürünlerini kullanan hükümetlere “büyük bir darbe” vuracağını düşünüyor.
Apple’dan Krstić, “Kullanıcıların büyük çoğunluğu asla yüksek oranda hedeflenen siber saldırıların kurbanı olmayacak olsa da, az sayıda kullanıcıyı korumak için yorulmadan çalışacağız” dedi. Bir deyim. “Bu, özellikle bu kullanıcılar için savunma tasarlamaya devam etmenin yanı sıra, dünya çapında bu dijital saldırıları yaratan paralı asker şirketlerini ifşa etmede kritik öneme sahip çalışmalar yapan araştırmacıları ve kuruluşları desteklemeyi de içeriyor.”
Microsoft ve Google’ın da kullanıcılara benzer koruma sağlamak için harekete geçeceği konusunda çok az şüphe var. Google ve Meta, “hedefli çevrimiçi saldırı riski yüksek” olan kişilerin hesaplarını güvence altına almak için zaten araçlar sunuyor, ancak bu araçlar Kilitleme Moduna kadar gitmiyor.
Elma‘güvenlik yatırımları
Apple zaten yapıyor güvenlik için büyük yatırımlar. Örneğin şirket, parolasız kimlik doğrulamayı desteklemek için sektördeki diğer kişilerle birlikte çalışıyor, IP adreslerini maskelemek için araçlar geliştirdi ve kullanıcı gizliliğine odaklanmaya devam ediyor.
Şirket tanıtacak Hızlı Güvenlik Yanıtı Bu sonbaharda cihazlarında güvenlik düzeltmelerini tam güvenlik güncellemelerinin ve çok daha fazlasının dışında dağıtmayı mümkün kılacak bir özellik. Apple bile yatırım yapıyor programlama dillerinin güvenliğini artırmakpotansiyel saldırı yüzeylerini daha da aşındırıyor.
Şirket şimdi güvenlik topluluğuna daha fazla yatırım yaptığını duyurdu:
- Apple ayrıca, Kilitleme Modu geçişlerini bulan araştırmacıları ödüllendirmek ve korumalarını iyileştirmeye yardımcı olmak için Apple Güvenlik Ödülü programında yeni bir kategori oluşturdu. Kilitleme Modunda nitelikli bulgular için ödüller iki katına çıkar ve bu, sektördeki en yüksek maksimum ödül ödemesi olan maksimum 2.000.000 $’a kadardır.
- Apple ayrıca 10 milyon dolarlık bir hibe ve ayrıca NSO Group aleyhine açtığı dava, devlet destekli paralı asker casus yazılımları geliştiren özel şirketler tarafından oluşturulanlar da dahil olmak üzere, yüksek düzeyde hedefli siber saldırıları araştıran, ifşa eden ve önleyen kuruluşları desteklemek için. Bu parayı Ford Vakfı’na veriyor. Haysiyet ve Adalet Fonu.
Haysiyet ve Adalet Fonu ne yapacak?
Fon, ilk olarak paralı casus yazılım kullanımını ortaya çıkarmaya yönelik girişimlere odaklanarak, bu yıl içinde ilk bağışını yapacak. Girişimi açıklayan basın bülteninde Apple, bu hibelerin aşağıdakilere odaklanacağını söylüyor:
- Yeni ve mevcut sivil toplum siber güvenlik araştırma ve savunuculuk gruplarının kurumsal kapasitesini geliştirmek ve saha koordinasyonunu artırmak.
- Kanıt standartlarını karşılayan casus yazılım sızmasını tespit etmek ve doğrulamak için standartlaştırılmış adli yöntemlerin geliştirilmesini desteklemek.
- Sivil toplumun, güvenlik açıklarını belirlemek ve ele almak için cihaz üreticileri, yazılım geliştiriciler, ticari güvenlik firmaları ve diğer ilgili şirketlerle daha etkin bir şekilde ortak olmasını sağlamak.
- Küresel paralı casus yazılım endüstrisi hakkında yatırımcılar, gazeteciler ve politika yapıcılar arasında artan farkındalık.
- İnsan hakları savunucularının, ağlarına yönelik yüksek tehditlerle karşı karşıya kalan kuruluşlar için güvenlik denetimleri de dahil olmak üzere, casus yazılım saldırılarını belirleme ve bunlara yanıt verme kapasitesini geliştirmek
Fonun hibe verme stratejisi, küresel bir Teknik Danışma Komitesi tarafından tavsiye edilecektir. İlk üyeler şunları içerir: Daniel Bedoya Arroyoşirketinde dijital güvenlik hizmeti platformu analisti Şimdi Erişim; Vatandaş Laboratuvarı Direktörü Ron Deibert; Paola Mossomüdür yardımcısı Motor Odası; Rasha Abdul RahimYöneticisi Af Teknolojisi Uluslararası Af Örgütü’nde; ve Apple’ın Krstić’i.
Ford Vakfı Teknoloji ve Toplum Programı direktörü Lori McGlinchey şunları söyledi:
“Küresel casus yazılım ticareti, insan hakları savunucularını, gazetecileri ve muhalifleri hedef alıyor; şiddeti kolaylaştırır, otoriterliği pekiştirir ve siyasi baskıyı destekler. Ford Vakfı, paralı casus yazılımlara direnmek için sivil toplum araştırmalarını ve savunuculuğunu desteklemek için bu olağanüstü girişimi desteklemekten gurur duyuyor. Apple’ın taahhüdünü geliştirmeliyiz ve şirketleri ve bağışçıları Onur ve Adalet Fonu’na katılmaya ve bu toplu mücadeleye ek kaynaklar getirmeye davet ediyoruz.”
Başka ne yapabilirim?
Geçen yıl NSO Group hakkındaki açıklamaların ardından Apple bir dizi öneri yayınladı kullanıcıların bu tür risklere karşı hafifletmelerine yardımcı olmak için. Bu yönergeler, Kilitleme Modundan bekleyebileceğiniz türden güçlü korumaya yaklaşmaz bile, ancak herkesin bu tür uygulamaları izlemesi mantıklıdır:
- Cihazları, en son güvenlik düzeltmelerini içeren en son yazılıma güncelleyin.
- Cihazları bir şifre ile koruyun.
- Apple Kimliği için iki faktörlü kimlik doğrulama ve güçlü bir parola kullanın.
- Uygulamaları App Store’dan yükleyin.
- Çevrimiçi olarak güçlü ve benzersiz şifreler kullanın.
- Bilinmeyen göndericilerden gelen bağlantılara veya eklere tıklamayın.
Ayrıca, Amnesty Tech, imza toplamak insan hakları savunucularının bu tür hedefe yönelik gözetimine son verilmesini talep etmek. Okuyuculardan imzalarını kendi imzama eklemelerini rica ediyorum.
lütfen beni takip et heyecanya da bana katıl AppleHolic’in barı ve ızgarası ve Elma Tartışmaları MeWe’deki gruplar.
Telif Hakkı © 2022 IDG Communications, Inc.