I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
Benimle zamanda yolculuk yapmanızı istiyorum, 2017 yılından öncesine. Hatırlayabilir misiniz bilmiyorum, dinozorlar dünyada dolanıyordu. Bir güvenlik araştırmacısıydım, yaklaşık 6 veya 7 yılımı APT'lerin yollarıyla ilgili araştırma yapmaya harcadım. Hangisi gelişmiş kalıcı korkudan kısadır, hangisi ulus devlet anlamına gelir gibi. Gazetecilere ve aktivistlere, avukatlara ve bilim insanlarına ve genellikle sadece gücün hakikatini konuşanlara casusluk yaptım.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
Bunu bir süredir yapmaya devam ediyordum ki birlikte çalıştığım araştırmacı arkadaşlarımdan birinin, bunu bunca zamandır birlikte yaptığım arkadaşlarımdan birinin, iddialara göre seri tecavüzcü olduğunu keşfettim. Bu yüzden yaptığım ilk şey konuyla ilgili bir sürü makale okumaktı. Aralık 2018'de iddia edilen bazı kurbanlarıyla ilgili bir makale okudum. Bu makalede beni en çok etkileyen şey onların nasıl korktuğuydu. Onlar gerçekten de korkuyordu. Telefonlarının ve laptoplarının üzerindeki kameraları bantlıyorlardı. Onların endişelendikleri şey onun bir hacker olmasıydı. Tüm her şeylerini ele geçirebilir ve yaşamlarını mahvedebilirdi. Bu nedenle uzun bir süre sessizliklerini korudular.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
Bu yüzden öfkeliydim. Kimsenin yeniden böyle hissetmesini istemedim. Kızgınken her zaman yaptığım şeyi yaptım. Tweet attım.
(Laughter)
(Gülüşmeler)
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
Attığım tweet şuydu: Eğer bir hacker tarafından cinsel tacize uğrayan bir kadınsanız ve bilgisayarınıza girmekle sizi tehdit ediyorsa benimle iletişime geçebilirsiniz. Cihazınızın adli olarak gözden geçirildiğinden emin olmaya çalışırdım. Sonra yemeğe gittim.
(Laughter)
(Gülüşmeler)
Ten thousand retweets later,
On binlerce retweet'ten sonra,
(Laughter)
(Gülüşmeler)
I had accidentally started a project.
kazara bir projeye başladım.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
Sonrasında her sabah uyandığımda mail kutumda binlerce mesaj vardı. Kadın ve erkeklerin hikayeleriyle doluydu; başlarına gelen en kötü şeyleri paylaştıkları hikayeler. Bir erkek tarafından gözetlenen bir kadınla irtibata geçtim. Bir erkek tarafından takip edilen bir erkekle; bir kadın tarafından gözetlenen bir kadınla ama benimle iletişime geçen insanların çoğunluğu şu anda onları takip eden erkekler tarafından cinsel tacize uğrayan kadınlardı. Özellikle bana gelen ilginç davalardan biri bana gelen bir adamı içeriyordu çünkü erkek arkadaşı gay olduğunu oldukça muhafazakar olan Koreli ailesine karşı ortaya çıkarmıştı. Bu yalnızca erkeklerin kadınlar üzerindeki casusluğu değildi.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
Tüm bu tecrübeler neticesinde neler öğrendiğimi paylaşmak için buradayım. Öğrendiğim şey veri sızmasıydı. Tıpkı su gibi... İstemediğiniz yerlere sızabiliyor. İnsan sızıntıları. Arkadaşlarınız hakkınızdaki bilgileri dışarı sızdırabiliyordu. Aileniz bilgilerinizi sızdırabiliyordu. Partiye gittiğinizde birisi sizi oradaymış gibi etiketliyordu. Bu, yalnızca başkalarının bilmesini istemeyeceğiniz bilgilerinizi tacizcilerin almasının bir yoluydu. Tacizcilerin kurbanlarının ailelerine ve arkadaşlarına giderek onların ruh sağlıyla ilgilendikleri bahanesiyle kurbanlarıyla ilgili bilgi almaları sıradışı değildi.
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
Gördüğüm sızdırma türlerinden biri de aslında bir tür hesap ihlaliydi. Gmail hesabınız, Twitter hesabınız, Instagram hesabınız, iCloud'unuz, Apple kimliğiniz, Netflix'isiniz, Tiktok'unuz -- Tiktok'un ne olduğunu anlamak zorunda kaldım. Şayet giriş yapılmışsa gizliliğin ihlal edildiğini gördüm.
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
Asıl sebebi tacizcilerinizin her zaman sizin tacizciniz olmayışıydı. İlişkideki insanların şifrelerini paylaşmaları gerçekten oldukça yaygın. Bunun ötesinde birbirlerinin hakkında her şeyi bilen samimi insanlar bir diğerinin güvenlik sorusunu tahmin edebiliyordu veya birbirinin omzu üzerinden bakarak kullandıkları ekran kodlarını öğrenebiliyorlardı. Sık sık fiziksel olarak telefon veya laptoplarına erişebiliyorlardı. Bu durum onlara insanların hesaplarında çok tehlikeli şeyler yapma fırsatını veriyordu.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
İyi haber şu ki insanların hesaplarını daha korunaklı hale getirmesi için bazı tavsiyelerimiz var. Bildiğiniz bu tavsiyeler şu şekilde sıralanıyor: Tüm hesaplarınız için güçlü ve özgün şifreler kullanın. Elbette daha güçlü şifre ve eşssiz şifreler güvenlik sorularınız için de geçerli. Böylece sizin çocukluk evcil hayvanınızın adını bilen biri şifrenizi sıfırlayamıyor. Son olarak daha konforlu bir kullanım için yüksek seviyede iki faktörlü bir kimlik doğrulaması oluşturabilirsiniz. Böylece bir istismarcı şifrenizi çalmayı başarsa bile ikinci faktörü bilmedikleri için hesabınıza girmeyi başaramayacaklar.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
Yapmanız gereken diğer bir şeyse hesaplarınızın çoğunun güvenlik ve gizlilik sekmelerini gözden geçirmek. Hesapların çoğundaki güvenlik ve gizlilik sekmeleri hangi cihazların giriş yaptığını, nereden giriş yaptıklarını size söyler. Örneğin, ben şu an burdayım. Facebook'uma La Quinta'dan giriş yapıyorum; bu toplantının olduğu yerden. Mesala, Facebook hesap girişime bakıp birinin Dubai'den hesabıma girdiğini görürsem şüphelenirdim çünkü daha önce hiç Dubai'ye gitmedim.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
Fakat bazen bu gerçek bir muhbirdir. Muhbirden uzaktan kumanda aracını kastediyorsanız, aslında bu uzaktan kumanda stalker programı olarak adlandırdığımız şeydir. Hükumetler için cihazınıza tamamen erişmek ne kadar çekiciyse bir stalker için, yani istismarcı partnerleriniz için de aynısı geçerli.
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
Gün boyunca ceplerimizde takip cihazı taşıyoruz. Tüm şifrelerimizin, tüm iletişimlerimizin, baştan başa şifreli mesajlarımızın olduğu cihazlar taşıyoruz. Tüm maillerimiz, tüm bağlantılarımız, tüm selfilerimiz hepsi bir yerde; hatta finansal bilgilerimiz bile bu yerde. Bir kişinin telefonun tümüne ulaşmak o kişinin beynine ulaşmanın en iyi yoludur.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
Peki, bir stalker programının bu ulaşımı size nasıl sağlar? Bunun nasıl işlediğini merak edebilirsiniz. Stalker programının çalışma metodu bir istismarcının piyasadan satın alacağı bir programdır. Bunu, cihazı gözetlemek istediklerinin cihazlarına yükler. Genellikle fiziksel erişime sahiptirler veya hedeflerini cihazlarına yükleme konusunda kandırabilirler. Bilirsiniz genelde şunu söylerler: "Bu, cihazına kurman gereken çok önemli bir program." Sonrasında stalker programı şirketlerine cihazlarıyla ilgili tüm bilgiyi verecek portala ulaşmak için para ödüyorlar. Genelde ayda 40 dolara yakın para ödüyorlar. Bu tür bir casusluk oldukça ucuzdur.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
Acaba bu şirketler, şirket araçlarının kandırılmak için kullanıldığını biliyorlar mı? Kesinlikle! Bu tarz ürünlerden biri olan Cocospy'ın pazarlama örneklerine göz atarsanız sitelerinde şunu görürsünüz: Cocospy, eşinizi kolaylıkla takip etmenize yardım eder. Eşinizin nereye gitti, kimlerle konuştu, hangi sitelere girdi diye endişelenmenize gerek yok. Gerçekten tüyler ürpertici!
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
Hellospy, diğer bir üretim. Reklam sayfasında aldatmanın ne kadar yaygın olduğunu ve partnerini aldatırken yaklamanın ne kadar önemli olduğundan bahsettiklerini görebilirsiniz. Adamın bu harika resminde, açıkça partnerini aldatırken orayı basan adamı ve kadına nasıl vurduğunu görebilirsiniz. Gözü morarmış ve yüzünün her yanı kan dolu bir kadın. Böyle özel bir durumda Hellospy'ın kimini tarafında durduğuyla ilgili soruların olduğunu düşünmüyorum. Bu ürünleri kim satmaya çalışıyor?
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
Eğer telefonunuzda veya bilgisayarınızda stalker programı varsa orada birinin var olup olmadığını bilmek gerçekten çok zor. Bunun sebeplerinden biri de antivirüs şirketlerinin genellikle stalker programlarını kötü olarak görmemesinden kaynaklanıyor. Onu bir Truva atı gibi görmüyorlar veya normalde sizi uyarmaları gerektiğini düşündüğünüz bir şey olarak görmüyorlar. Bunlar, VirusTotal'daki bu yıl başındaki bazı sonuçlar. İşte burada baktığım örneklerden biri. Stalker programlarını test ettiğim tanınmış platformların elimde altmışta yedisinin sonucu vardı; Diğer bir tanesinde de 10 tanesini yakalamayı başardım. 61'de 10 kişi. Bu gerçekten hala oldukça kötü sonuçlar.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
Stalker programlarını kötü olarak işaretlemeye başlamaları için antivirüs şirketlerinden birkaçını ikna etmeyi başardım. Bunu hepiniz yapmalısınız. Eğer bu tarz şeylerin bilgisayarınızda olmasından endişeleniyorsanız programı indirdiğinizde bir tarama yaparsınız ve sizi uyarır: "Dikkat, cihazınızda muhtemelen istenmeyen programlar mevcut." Bu size tehditi kaldırma imkanı sağlar fakat bunu otomatik olarak kaldıramazsınız. Bunun nedenlerinden biri istismar işlemlerinden biri olmasıdır. Bağlantılarını keserek tacizcilerini ihbar edip etmemek konusunda genellikle istismar kurbanları emin değildir. Endişeleriyse bunu yapmanın tacizcilerinin şiddetini tırmandırması veya belki de şu an içinde oldukları durumdan çok daha büyük bir zarar vermeleri.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
Kaspersky bu işi ciddiye almaya başlayacağını söyleyen ilk şirketlerden biriydi. Bu yılın kasım ayında bir rapor yayınladılar. Bu rapora göre, kullanıcıları arasındaki stalker programlarının izini sürdüklerinden beri %35 oranında bir artış olduğunu gördüler. Öte yandan Lookout bir açıklamada bulundu: "Bu durumu daha da ciddiye alacağız." Son olarak da Mawarebtyes şirketi şunu ifade etti: "Araştırılan zaman zarfında stalker programı olarak sınıflandırılabilen 2500 program bulundu."
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
Nihayet kasımda bir koalisyon kurulmasına yardım ettim. Adıysa "Stalker Programlarına Karşı Koalisyon"du. Akademisyenlerden oluşuyor. Yeryüzünde bu tarz işleri yapan insanlar, yakın partnerlerinin şiddetinden kaçanlara yardım eden uygulayıcılar ve antivirüs şirketleri. Amacımız hem insanları bu program hakkında eğitmek hem de antiviürüs şirketlerini bu korkunç yazılımlara karşı tutumlarını değiştirme konununda ikna etmek. Eğer çok yakında tekrar karşınızda olursam gelecek yıl bununla ilgi konuşacağım. Problemin çözüldüğünü sizlere söyleyebilirim. Bu arada hepiniz bu antivirüs programı indirmelisiniz. Stalker programlarını ortaya çıkarmak bu program için oldukça kolay. Umudum bu.
Thank you very much.
Çok teşekkür ederim.
(Applause)
(Alkış)