UzmanMuhendis
Öğrenci
- Katılım
- 24 Eylül 2017
- Mesajlar
- 1
- Reaksiyon puanı
- 0
- Puanları
- 1
- Yaş
- 38
Konuyu açma sebebi kamuoyunda bilinmeyen maddi bilgileri anlatmaktır. Raporun temel kaynağı resmi MİT Bylock teknik raporu ve EGM Siber Bylock kılavuzudur. Ayrıca doğrulanabilir açık kaynaklar kullanılmıştır. Tüm yöneticilerden ricam konunun silinmemesidir. Eğer tek satır yazana itiraz edebilirseniz cevap vermeye hazırım.
Saygılarımla
Bylock Konusunda Kamuoyunda Bilinmeyen Maddi Bilgiler
Bylock Sürecinde Son Durum Özeti (19 Eylül 2017)
Bu çalışmada anlatılan hususlar tümüyle açık kaynaklardan elde edilen verilere dayanmaktadır ve 3. şahıslar tarafından doğruluğu test edilebilir. Bu bilgiler herhangi bir bilişim uzmanı veya konu ile alakalı bilgisayar mühendisi akademisyen tarafından doğrulanabilir niteliktedir.
Bu raporun en güncel PDF sürümü bu bağlantıdan indirilebilir: 9_Bylock_Konusunda_Kamuoyunda_Bilinmeyen_Maddi_Bilgiler.pdf
1. Giriş
Yazı içerisinde şu tabirler geçecektir:
MİT Bylock raporu: Milli İstihbarat Teşkilatı tarafından Bylock konusunda hazırlanmış ve tüm yargılamaların temeli olan resmi rapordur. Rapor tüm mahkemelere delil olarak iletilmiştir. Raporun orijinal taranmış nüshasını PDF olarak bu adresten indirebilirsiniz:
bylock-mit-raporu.pdf
EGM Bylock raporu: Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı tarafından hazırlanmış resmi Bylock raporudur. Orijinal olarak buradan PDF halinde indirebilirsiniz:
siber-bylock-raporu.pdf
BTK: Bilgi Teknolojileri ve İletişim Kurumu
TİB: Telekomünikasyon İletişim Başkanlığı. Çalışanlarının %85’i darbe girişiminin hemen sonrasında ihraç edilmiş, binası terk edilmiş ve 17 Ağustos 2016 tarihinde yayımlanan KHK ile kapatılmıştır. Bütün arşivleri BTK’ya devredilmiştir.
UserID (Kullanıcı NO): Veri tabanının, kullanıcıların bilgilerini ve işlemlerini kayıt altına alabilmek için tahsis ettiği TC-Kimlik NO gibi düşünebilirsiniz.
CG-NAT (CGN, Carrier Grade Network Address Translation): İnternet servisi sağlayıcılarınca kullanılan ve aynı anda tek bir IP adresini aboneler arasında paylaştırmaya yarayan teknolojidir. Böylelikle internet servisi sağlayıcıları finansal yatırımlardan önemli miktarlarda tasarruf ederler. CG-NAT kayıtları ise bir internet erişiminin hangi Özel IP ve Port bilgileri kullanılarak, hangi Hedef IP’ye yapıldığını gösteren kayıtlardır. Ancak NAT manipülasyonu ve DNS hırsızlığı gibi yollarla kayıtlar üzerinde tahrifat yapmak mümkündür. Ayrıca zaman damgası ile hash (kriptografik özet) değerleri alınmamış kayıtlar her zaman değiştirilebilir. Mahkemelerce BTK’ya yazılan müzekkere sonucu hazırlanan bir CG-NAT sorgu örneği aşağıdaki Resim 1’deki gibidir:
Resim 1: BTK’dan mahkemelere delil olarak gönderilen CG-NAT raporunda ki 1 satırın ekran görüntüsü
2. İnceleme
2.1) Hatasız güncelleme ve 2. liste diye bilinen Bylock listesi BTK tarafından tamamıyla TİB’den miras kalan CG-NAT kayıtlarının taranması ile hazırlandı. MİT raporunda da ifade edilen 9 adet belirli IP adresine geçmişte 1 defa bile erişim isteği yapan internet bağlantısına sahip hat sahipleri BTK’nın Bylock listesine girdi. Bunun sonucu BTK tek başına 250.000 kişiden oluşan bir liste hazırladı. Fakat rakamın çok büyük olması ve hata olabilir kanısı sonucu BTK/MİT 1 ve 2 gün IP erişimi olan kişilerin, erişim sayısına bakılmadan listeden çıkartılmasına karar verdi. Böylece listeden 141.000 kişi çıkartıldı ve liste 109.000 kişiye indirildi. Bu durum basına 1 ve 2 günler çıkartılarak kesin kullanıcılar listeye eklendi şeklinde yansıdı. Basında 215.000 kişiden (MİT raporundaki User ID sayısı) 102.000 kişiye (sadece GSM) indiği iddia ediliyor. Fakat basın bilgisi, MİT raporundaki User ID sayısını temel aldığı için bu rakamlar CG-NAT kayıtları ile elde edilen listedeki kişi sayısını ifade etmemektedir. Bahsettiğimiz bu hususların doğruluğu BTK’ya sorularak ve bu raporun ilerleyen kısmında gösterdiğimiz resmi MİT evrakı ile teyit edilebilir.
2.2) Listeyi BTK’nın hazırladığı EGM Siber’in Bylock raporunda da aşağıdaki şekilde dile getirilmiştir:
Resim 2: Resmi EGM Siber Bylock raporundaki PDF safya 14’ün ekran görüntüsü
2.3) Listenin nasıl hazırlandığını daha net biçimde anlatan açıklama tutanağı ise MİT tarafından yazılmıştır. Aşağıda taranmış MİT evrakının ekran görüntüsü (Resim 4) gösterilmiştir. MİT’in listelerin nasıl hazırlandığını anlatan raporu bize çok önemli bilgiler sunmaktadır. MİT tutanağının kaynağı, aşağıda bağlantısı verildiği üzere Avukat Ali Aktaş’tır. Tutanağın doğruluğu farklı kaynaklar ile de teyit edilmiştir. Tutanak, basına yansıyan bazı bilgiler ve elde ettiğimiz diğer veriler ile uyumludur.
Resim 3: MİT tarafından hazırlanmış Bylock listelerinin nasıl hazırlandığını anlatan açıklama tutanağı
2.3.1) Açıklama tutanağına göre operatörlerin verileri doğru ve noksansız verdiği varsayılmaktadır. Fakat bu konu bilirkişi incelemesine dayanmamaktadır ve bilirkişilerce teyit edilmemiştir. Aynı zamanda operatörlerin IP paylaşımı yapmak ve kayıtları saklamak için kullandıkları CG-NAT sistemlerinin kişi şahsileştirmesinde çok ciddi sıkıntılar çıkarabildiği ve adli işlem açısından güvenilir olmadığı bu raporun ileriki kısımlarında delilleri ile anlatılmaktadır.
2.3.2) MİT bahsi geçen raporda “İmkânlar nispetinde doğrulama yapılmıştır.” demektedir fakat çok sayıda kişinin veri tabanı içeriğinin olmaması ve mağduriyetlerin yaşandığına dair (başka hiçbir kriteri sağlamama, FETÖ’ye muhalif tavırları ispat edilebilir olma ile) desteklenebilen iddiaların çok olması, yapılan doğrulamanın yeterli olmadığı kanısını güçlendirmektedir.
2.3.4) Görüldüğü üzere MİT hazırladığı raporda açık açık “söz konusu uygulamanın kullanıldığı değerlendirilen abonelik bilgileri” ifadesini kullanmıştır. Bu ifade kesinlik taşımamaktadır. Buna rağmen şu anda mahkemeler BTK’nın hazırladığı bu listeyi kesin ve itiraz edilemez delil olarak görmekte ve sadece bu veriler ile hükme gitmektedir.
2.3.5) MİT/BTK 1 ve 2 gün erişim isteği yapmış gözüken kullanıcıların kayıtlarının hatalı olduğunu varsaymış ve bu kullanıcıları listeden çıkarmıştır. Bu yapılan aslında sistemin hatalı olduğunun itirafıdır. Şu anda 3 gün IP erişimi yapanlar listededir ve mahkemeler bu listeye dayanarak hükme gitmektedir. 3 gün ile insanlar aylarca hapiste mahkeme tarihlerini beklemektedir. Yani 3 gün kriteri ile oluşturulmuş listelere %100 kesin ve doğrudur şeklinde muamele edilmekte fakat 1 ve 2 günün hatalı olduğu varsayılmaktadır. Bu da muazzam bir çelişkidir. Listeden 1 ve 2 gün erişim yapanların çıkartılması aslında listelerde hata olduğunun kabul edilmesidir. (Burada bahsi geçenin kullanım değil IP üzerinden erişim olduğuna dikkat edilmelidir. Erişimden neyin kast edildiği ileride açıklanacaktır.)
2.3.6) Çok dikkat çekici diğer bir unsur ise 102.192 GSM abonesi tespit edilirken sadece 6.748 ADSL (evden internet aboneliği) kullanıcısı tespit edilmiş olmasıdır. 1’e 15 olan bu oran kesinlikle hayatın olağan akışına aykırı bir durumdur. Günümüzde pek çok kişi mobil + sabit internet hattı kullanmaktadır. Ayrıca hayatın olağan akışına göre kişiler evlerinde sabit internet hatlarını kullanmaktadır. Çünkü sabit internet hatları sınırsız kotaya sahipken mobil aboneliklerin kota miktarları çok daha azdır. Bu nedenle sabit hatlarda Bylock görünmezken mobil hatlarda görünmesi çok ciddi kuşku doğurmaktadır. Bunun tam nedeninin tespiti için bilirkişi incelemesi yapılması şarttır. Fakat bir tahmin yürütülecek olursa -raporun ileriki kısımlarında ispatlı olarak anlatılacağı üzere- GSM operatörlerinin CG-NAT sistemlerinin hatalı çalışıyor olması olabilir.
2.4) Siber raporunda belirtilen Private IP, yetersiz sayıdaki IP adreslerini çoğaltmaya yarayan ve ilk başta ifade edilen CG-NAT sistemleri ile üretilmekte ve alt ip, iç ip gibi adlarla bilinmektedir. Elindeki IP sayısı yeterli olmayan AVEA, daha fazla abone kazanabilmek için, Amerikalı F5 Networks firmasından CG-NAT sistemi satın almıştır. En azından AVEA Operatörünün kullandığı CG-NAT sisteminde hata olduğu resmi olarak kanıtlıdır. AVEA, F5’in CG-NAT sistemine geçtiğini büyük bir gurur ile buradaki resmi haberde anlatmıştır.Avea Achieves 25 Percent Subscriber Growth with F5 Carrier-Grade NAT Platform
Resim 5: AVEA’nın F5 sistemine geçişi ile ilgili haber sayfasından bir görüntü
AVEA bu sisteme geçmekle LOG tutmak için gereken donanım ihtiyacını çok ciddi azalttığını ve bu sayede milyonlarca dolar kâr ettiğini ifade etmektedir. Ayrıca sahip olduğu 800.000 IP havuzu ile 16.000.000 kişiye nasıl IP verebildiğini gururla açıklamaktadır. Fakat F5’in CG-NAT sisteminde hata olduğu, sistemde hata kaydı olarak açılan aşağıdaki ticket’da 2013 senesinde dile getirilmiş ve bu hatanın varlığı 2017 senesinde F5 tarafından onaylanıp hatayı düzeltmek için bug-fix yayınlanmıştır.
Kaynak: https://support.f5.com/csp/article/K14526
Ekran resmi aşağıda gösterilen ticket’dan anlaşıldığı üzere CG-NAT kayıtları özel bir sıkıştırma algoritması ile sıkıştırılarak saklanmaktadır ve reverse-mapping denilen tekniğin uygulanması sonucu ham kayıtlar elde edilmektedir. Fakat açılan hata bildiriminde açık olarak birden fazla ağın tek bir ağa map edilebileceği ve sıkıştırma işlemi geriye döndürülürken deterministik (kesin) olarak döndürülememesinin söz konusu olduğu ifade edilmiştir. Bu durum AVEA’nın TİB’e verdiği tüm CG-NAT kayıtlarını şaibeli hale getirmektedir. Bunlar göz önünde bulundurulduğu zaman konuyla ilgili olarak kamuoyunda IP çakışması olarak bilinen durumun ortaya çıkabileceği anlaşılmaktadır
Resim 6: AVEA’nın resmi olarak CG-NAT sistemini kullandığı F5 firmasının destek bölümünde açılan hata raporu sayfasının ekran görüntüsü
Fakat hatalı CG-NAT kayıtları AVEA’ya özel değildir ve tüm operatörler bir CG-NAT sistemi kullanmaktadır. Yani meselede her operatörden kaynaklanan hatalar mevcuttur. En çok AVEA’nın gündeme gelmesinin sebebi ise hatalı kayıt mağdurunun en fazla AVEA’da olmasıdır.
Örneğin bir sanığa mahkemenin müzekkeresi sonucu BTK tarafından aleyhinde tek delil olarak gönderilen aşağıdaki CG-NAT tam sayfa raporu, aslında sanığın Bylock programını asla kullanmadığına delildir. Çünkü WhatsApp gibi anlık mesajlaşma ve sesli görüşme programı olan Bylock, sürekli olarak sunucu ile iletişim kurmak zorunda ve sürekli olarak IP erişimi gerçekleştirmek zorundadır. Aksi halde size gelen bir aramayı zamanında gösteremez veya anlık mesajı zamanında iletemez. Programın aşağıdaki raporda belirtildiği kadar az sayıda IP erişimi yapılarak kullanılması imkânsızdır. Bu yüzden bu kayıtlar kesin olarak programın kullanımı sonucu oluşmamıştır. O zaman tamamı otomatik ve yazılımsal olan CG-NAT sisteminde böyle bir tek hatalı kaydın olması bile, tüm sistemde hatalar olabileceğinin delili ve ispatıdır. Kaldı ki KOM sorgusundan “Veri tabanı içeriği yoktur.” raporu gelen çok sayıda asla programı kullanmamış kişiye buna benzer kayıtlar gönderilmiştir. Yani CG-NAT LOG sistemlerinde bütün operatörlerde çok ciddi hatalar bulunmaktadır. En azından 2014 ve 2015 yıllarında hataların çokluğu göze çarpmaktadır. Veya bu bilgileri saklayan FETÖ kumpas üssü TİB’in kayıtlar ile oynama yapmış olması da muhtemeldir.
Resim 7: Bir sanığa aleyhindeki tek delil olarak gönderilen CG-NAT BTK raporu
2.5) Bylock programının Google Marketten, programın çalıştığı tüm süreç boyunca kaldırılmadığı resmi kanıtlı olarak ortaya çıkmıştır. MİT ve EGM’in raporlarında belirtildiği gibi, yapılan açık kaynak araştırmaları sonucu, programın 11 Nisan 2014 tarihinde Google Markete yüklendiği, 20 Mayıs 2014 tarihinde 5,000 indirme rakamına ulaştığı, 24 Ağustos 2014 tarihinde 50,000 indirmeye ulaştığı, 19 Ocak 2015 tarihinde 100,000 indirme rakamına ulaştığı ve3 Nisan 2016 tarihinde Google Marketten kaldırıldığı AppBrain denen dünyanın en büyük Android uygulamaları ile ilgili istatistik sitesinde kayıt altına alınmıştır. MİT raporu PDF sayfa 59’da bizim aşağıdaki Resim 8’de gösterdiğimiz AppBrain Bylock sayfasının resmini kaynak olarak göstermiştir. AppBrain 2009 senesinden beri hizmet veren resmi bir istatistik web sitesidir ve kayıtları herkes tarafından kontrol edilip onaylanabilmektedir. Bu durumu sitenin kendisi “Our company was launched in 2009 by two former Googlers. We started off as an app studio and have grown into being a leading source of information about the Android ecosystem and trusted advertising partner of thousands of developers.” şeklinde ifade etmiştir.
Bylock ile ilgili bilgilere bu açık kaynak bağlantısından ulaşılabilir:ByLock: Secure Chat & Talk - Android app on AppBrain
Resim 8: APP Brain resmi Bylock sayfası ekran görüntüsü
2.6) Bylock programını, A ve B kişisinin Google Marketten indirdikten sonra 3. bir şahsın onayına veya referansına ihtiyaç duymadan programa kayıt olup aralarında iletişim kurabileceği, resmi MİT ve EGM’nin Bylock raporları ile aşağıdaki şekilde ifade edilmiştir. Ayrıca bu durum, bilirkişi uzmanlarının geriye mühendislik yapması sonucunda da teyit edilmiştir. Aşağıdaki resimlerde MİT ve EGM raporlarının ilgili kısımlarının ekran görüntüleri gösterilmiştir.
Resim 9: Resmi MİT Bylock raporu PDF sayfa 10
Resim 10: Resmi EGM Siber Bylock raporu PDF sayfa 5
2.7) MİT resmi Bylock raporunda PDF sayfa 25’te uygulamanın sahibinin Türkiye IP’lerini erişime kapattığı ve VPN kullanımını zorunlu kıldığı iddia edilmektedir. Aynı zamanda sunucudaki bu tarihten önceki tüm IP kayıtlarının silindiği de dile getirilmektedir. Bu iddianın doğru olduğu varsayıldığında veri tabanında Türkiye’ye ait hiçbir çıplak IP bulunamayacak ve BTK’nın IP erişim kayıtları ile sunucu IP erişim kayıtları eşleştirilemeyecektir. Ayrıca BTK’nın IP erişim kayıtlarında bu tarihten sonra hala nasıl çıplak IP’lerin bulunduğu ise bir muammadır. Çünkü VPN kullanımının zorunlu kılınması sonrası böyle bir durumun söz konusu olmaması gerekmektedir. Bu yüzden VPN’in zorunlu olduğu bir sistemde IP kayıtları üzerinden gerçek kullanıcı tespit etmeye çalışmak bir çelişkidir. VPN kullanan gerçek kullanıcılar asla BTK’nın IP erişim listesine girmeyecektir. Bu yüzden IP erişim kayıtlarının tamamı %100 kesinlikte doğru olsaydı bile salt IP erişimi ile hazırlanan 2. listede programı aksatmadan VPN ile kullanmış çok sayıda gerçek kullanıcı bulunmayacaktı.
Resim 11: Resmi MİT Bylock raporu sayfa PDF sayfa 25
3. Sonuç
Gelinen süreçte MİT, raporunda Bylock veri tabanını elde ettiğini, şifreleri ve içerikleri nasıl muazzam şekilde çözdüğünü ifade etmektedir. EGM Siber ise, Bylock programının nasıl ve ne şekilde telefon ve cihazlardan tespit edilebileceğini detaylı olarak anlatmaktadır. Fakat sonuç olarak Bylock listesi, veri tabanı içeriğine göre veya cihaz incelemesine göre değil; BTK’nın FETÖ kumpas ve casusluk üssü TİB’den aldığı CG-NAT IP erişim kayıtlarına göre hazırlanmıştır. Bu kayıtlarda muazzam hatalar bulunmaktadır. Zaten en azından AVEA’nın kullandığı sistemde kritik bir problem olduğu resmi olarak ispatlıdır.
Europol’un (Avrupa Polis Ofisi) 31 Ocak 2017’de yaptığı toplantıda, GSM operatörlerinin çoğunun artan IP istek sayısı sonucunda CG-NAT (CGN) sistemine geçtiği fakat bu sistemin yapılan adli soruşturmaların %80’inde problem çıkardığı açıkça ifade edilmiştir.
Resim 12: Europol basın açıklamasındaki ilgili kısmın ekran görüntüsü
Kaynak: Closing the Online Crime Attribution Gap: European law enforcement tackles Carrier-Grade NAT (CGN)
Çok sayıda insan asla bu programı yüklememiş olmasına rağmen şu anda adları IP ile hazırlanan bu listededir ve mahkemeler sadece HTS kaydı ile 6 yıl ceza vermeye başlamış durumdadır. HTS kaydı sadece iddia edilen telefon numarasının size ait olduğunu ispat için kullanılmaktadır. İşin ironik kısmı ise mağdur olan bu kişiler zaten telefon numaralarının kendilerine ait olduğunu reddetmemektedir.
Mahkemelere KOM’dan Bylock veri tabanı içeriğine dair raporlar gelmektedir. Veri tabanı kaydı bulunmayanlar dahi asla beraat ettirilmemekte, ya 6 yıl ceza almakta ya da duruşmaları ertelenmektedir. Artık 4. duruşması gelenler ise daha fazla ertelenmemekte ve ceza almaktadır. Yargıtay, mahkemelerin sadece BTK kayıtları ile ceza verebilmesi için çok sayıda maddi hata üzerine kurguladığı bir gerekçeli karar yayınlamıştır. Tüm hâkim ve savcılar şu anda bu kararı temel almaktadır. Yargıtay’ın verdiği kararın maddi hatalar üzerine kurulu olduğunu anlatan PDF rapora aşağıdaki Google Drive bağlantısı üzerinden ulaşabilirsiniz:
https://drive.google.com/open?id=0B4yLZYhnWsYxUzZKUmhnR1ZfV28
Bu durumda verilen cezaların hepsi ileride en geç Avrupa İnsan Hakları Mahkemesi’nden dönecektir. Türkiye’nin de taraf olduğu Konvansiyonun 5. Maddesi bu konudaki başvuruların davaları kazanmasına neden olacaktır. Fakat bu sürece kadar insanlar yıllarca hapis yatmak durumu ile karşı karşıya kalacaktır.
Bylock listelerinde yapılan hatalı tespitlerin ve dolayısıyla mağduriyetlerin artması nedeniyle 2017 yılı Haziran ayında Yargıtay hâkimlerinin verdikleri ilk Bylock kararında atıf yaptıkları isimlerden biri olan Prof. Dr. İzzet Özgenç’in 6-9 Eylül 2017 tarihleri arasında şahsi Twitter hesabından (https://twitter.com/izzetoezgenc) konu hakkında yaptığı şu paylaşımlar büyük önem taşımaktadır:
“Her bir kullanıcının Bylock’u hangi tarih itibarıyla kapalı devre iletişim aracı olarak kullandığının tespit edilmesi gerekmektedir. Bu tespitin de ancak Litvanya’daki yer sağlayıcının veri tabanındaki bilgiler itibarıyla mümkün olması gerekir. Buna karşılık, Türkiye’deki erişim veya servis sağlayıcılardan temin edilen trafik bilgilerinden bu tespitin yapılmasının mümkün olmaması gerekir. Litvanya’daki yer sağlayıcının veri tabanında mevcut olan veriler dikkate alınmadan, Bylock kullandığı iddiasıyla hakkında soruşturma ve kovuşturma yapılan kişilerle ilgili olarak adil bir kararın verilmesi mümkün gözükmemektedir.”
Ayrıca daha önce ifade edildiği gibi FETÖ’cü TİB’in sakladığı IP kayıtları kesin doğru ve CG-NAT sistemi kusursuz olsaydı bile, sadece IP üzerinden bir programın kullanımının tespit edilmesi çok sayıda hata ihtimalini barındırmaktadır. Herhangi bir IP adresine herhangi bir program veya web sitesi HTTPS port’u üzerinden erişim isteği yapabilir. Bu durumda herhangi bir kişi, hiçbir dahli olmadan ve Bylock programını asla kullanmadan Bylock sunucusuna erişim yaptırılmış olabilir. Örneğin ziyaret ettiğiniz bir web sitesi üzerinde Bylock sunucu IP adresine bir resim (resmin var olması gerekmemektedir) bağlantısı olsaydı, siz otomatik olarak BTK’nın listesine dâhil olmuş olurdunuz. Çünkü tarayıcı resmin varlığını tespit etmek ve var ise indirmek için bağlantı isteği yapardı. Zaten gün kuralı gelmeden 250.000 kişinin adının listede olması da buna bir ayrı kanıt olabilir. Zira MİT’e göre veri tabanında 215.000 User ID tespit edilmiştir. Ayrıca yine MİT raporunda yer aldığı gibi, VPN’nin zorunlu kılındığı iddiası doğruysa (Aralık 2014), bu tarihten itibaren kullanmaya yeni başlayanlar asla BTK’nın IP listesine girmeyecektir.
Ve diğer bir husus ise “Zehirli ağacın meyvesi de zehirli olur.” şeklindeki hukuk kuralıdır. Bu ne demektir? Bylock sunucusunu işletenlerin art niyetli oldukları kabul edilmekte fakat bu kişiler tarafından hazırlanan bilgilere tam ve kesin doğru muamelesi yapılmaktadır. Örneğin böyle bir sistemi hazırlayanlardan beklenecek davranış, çok sayıda sahte kullanıcının sisteme eklenmesi veya verilerin kullananları değil başka kişileri işaret edecek şekilde KUMPASLI bir şekilde saklanmasıdır. Aynı unsur, 2014 ve 2015 senesinde tamamıyla FETÖ’nün kontrolünde olan TİB’den de beklenmelidir. TİB’in CG-NAT kayıtlarını doğru sakladığı veya üzerinde oynama yapmadığı konusunda hiçbir bilirkişi araştırılması yapılmamıştır.
3.1 Çözüm Önerileri
Hataların giderilmesi için yapılması gereken unsur acilen konunun uzmanı kişilerden oluşan bir heyet kurulmasıdır. Maalesef ekranlarda konuyla ilgili fikir beyan eden kişiler EGM ve MİT raporlarını dahi okumamış ve teknik bilgisi konuyu ihata etmeye yetmeyecek kişiler olmaktadır. Örneğin yakın zamanda Bylock hakkında fikir beyan eden bir Profesör CNN Türk canlı yayınında 15 Temmuz darbe gecesi Bylock üzerinden 70.000 mesaj gönderildiğini söyleyerek aleni maddi hatalı bilgi vermiştir. MİT raporuna göre bu programın Mart ayında artık tamamıyla işlevsiz hale geldiği bilinmektedir. Ayrıca tüm darbe sürecini planlama ve yürütmenin Bylock programından çok daha gelişmiş bir program olan WhatsApp ile yapıldığı darbe gecesine fiili katılan komutanların cep telefonlarındaki kayıtlar ile tespitlidir. Bu duruma örnek bir ekran görüntüsü aşağıdaki Resim 13’te gösterilmiştir.
Resim 13: Darbeye fiili katılmış ve suçüstü yakalanmış rütbeli askerlerin telefonlarından çıkan WhatsApp görüşmeleri
Bu yüzden ivedilikle konunun uzmanı network ve yazılım mühendisi akademisyenlerden oluşan bir bilirkişi kurulu oluşturulmalı ve konuyla ilgili tüm veriler bu kişilere sağlanmalıdır. Bu kişiler konuyu baştan sona şeffaf raporlar ile incelemelidir. Acilen maddi hatalı bilgiler üzerine inşa edilmiş Yargıtay kararı geçersiz kılınmalı ve bilirkişi heyeti tarafından hazırlanacak yeni şeffaf raporlara göre yeniden yargılama yapılmalıdır. Ek olarak FETÖ’cü TİB’in tutup sakladığı CG-NAT verileri ile hazırlanan liste acilen hükümsüz hale getirilmeli ve veri tabanı içerik çözümlenmesine göre baştan yeni liste hazırlanmalıdır.
Son olarak gerçek kişiler ve veri tabanında ki UserID’ler eşleştirilirken çok hassas davranılmalı ve kesin deliller ile hangi gerçek kişilere hangi UserID’lerin ait olduğu ispatlanmalıdır.
Tüm bunlar yapılırken mağdurların ne kadar zor durumda ve şaşkın olabileceği göz önünde bulundurularak mağduriyetlerin kısa zamanda sıfıra indirilmesi temel hedef olmalıdır.
Aşağıda veri tabanı içeriği olmayan, 0-kriter, sadece BTK’nın TİB verileri ile hazırladığı Bylock listesinde adları olan şahıslara ait gönderilen KOM resmi tutanağının evrak görüntüsü gösterilmiştir. Tarih Eylül 2017 ve mesajlar Mart ayında çözüldü (MİT raporu).
Resim 14: 0-Kriter mağdura ile ilgili gelen içerik yoktur resmi KOM raporu
Saygılarımla
Bylock Konusunda Kamuoyunda Bilinmeyen Maddi Bilgiler
Bylock Sürecinde Son Durum Özeti (19 Eylül 2017)
Bu çalışmada anlatılan hususlar tümüyle açık kaynaklardan elde edilen verilere dayanmaktadır ve 3. şahıslar tarafından doğruluğu test edilebilir. Bu bilgiler herhangi bir bilişim uzmanı veya konu ile alakalı bilgisayar mühendisi akademisyen tarafından doğrulanabilir niteliktedir.
Bu raporun en güncel PDF sürümü bu bağlantıdan indirilebilir: 9_Bylock_Konusunda_Kamuoyunda_Bilinmeyen_Maddi_Bilgiler.pdf
1. Giriş
Yazı içerisinde şu tabirler geçecektir:
MİT Bylock raporu: Milli İstihbarat Teşkilatı tarafından Bylock konusunda hazırlanmış ve tüm yargılamaların temeli olan resmi rapordur. Rapor tüm mahkemelere delil olarak iletilmiştir. Raporun orijinal taranmış nüshasını PDF olarak bu adresten indirebilirsiniz:
bylock-mit-raporu.pdf
EGM Bylock raporu: Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı tarafından hazırlanmış resmi Bylock raporudur. Orijinal olarak buradan PDF halinde indirebilirsiniz:
siber-bylock-raporu.pdf
BTK: Bilgi Teknolojileri ve İletişim Kurumu
TİB: Telekomünikasyon İletişim Başkanlığı. Çalışanlarının %85’i darbe girişiminin hemen sonrasında ihraç edilmiş, binası terk edilmiş ve 17 Ağustos 2016 tarihinde yayımlanan KHK ile kapatılmıştır. Bütün arşivleri BTK’ya devredilmiştir.
UserID (Kullanıcı NO): Veri tabanının, kullanıcıların bilgilerini ve işlemlerini kayıt altına alabilmek için tahsis ettiği TC-Kimlik NO gibi düşünebilirsiniz.
CG-NAT (CGN, Carrier Grade Network Address Translation): İnternet servisi sağlayıcılarınca kullanılan ve aynı anda tek bir IP adresini aboneler arasında paylaştırmaya yarayan teknolojidir. Böylelikle internet servisi sağlayıcıları finansal yatırımlardan önemli miktarlarda tasarruf ederler. CG-NAT kayıtları ise bir internet erişiminin hangi Özel IP ve Port bilgileri kullanılarak, hangi Hedef IP’ye yapıldığını gösteren kayıtlardır. Ancak NAT manipülasyonu ve DNS hırsızlığı gibi yollarla kayıtlar üzerinde tahrifat yapmak mümkündür. Ayrıca zaman damgası ile hash (kriptografik özet) değerleri alınmamış kayıtlar her zaman değiştirilebilir. Mahkemelerce BTK’ya yazılan müzekkere sonucu hazırlanan bir CG-NAT sorgu örneği aşağıdaki Resim 1’deki gibidir:
Resim 1: BTK’dan mahkemelere delil olarak gönderilen CG-NAT raporunda ki 1 satırın ekran görüntüsü
2. İnceleme
2.1) Hatasız güncelleme ve 2. liste diye bilinen Bylock listesi BTK tarafından tamamıyla TİB’den miras kalan CG-NAT kayıtlarının taranması ile hazırlandı. MİT raporunda da ifade edilen 9 adet belirli IP adresine geçmişte 1 defa bile erişim isteği yapan internet bağlantısına sahip hat sahipleri BTK’nın Bylock listesine girdi. Bunun sonucu BTK tek başına 250.000 kişiden oluşan bir liste hazırladı. Fakat rakamın çok büyük olması ve hata olabilir kanısı sonucu BTK/MİT 1 ve 2 gün IP erişimi olan kişilerin, erişim sayısına bakılmadan listeden çıkartılmasına karar verdi. Böylece listeden 141.000 kişi çıkartıldı ve liste 109.000 kişiye indirildi. Bu durum basına 1 ve 2 günler çıkartılarak kesin kullanıcılar listeye eklendi şeklinde yansıdı. Basında 215.000 kişiden (MİT raporundaki User ID sayısı) 102.000 kişiye (sadece GSM) indiği iddia ediliyor. Fakat basın bilgisi, MİT raporundaki User ID sayısını temel aldığı için bu rakamlar CG-NAT kayıtları ile elde edilen listedeki kişi sayısını ifade etmemektedir. Bahsettiğimiz bu hususların doğruluğu BTK’ya sorularak ve bu raporun ilerleyen kısmında gösterdiğimiz resmi MİT evrakı ile teyit edilebilir.
2.2) Listeyi BTK’nın hazırladığı EGM Siber’in Bylock raporunda da aşağıdaki şekilde dile getirilmiştir:
Resim 2: Resmi EGM Siber Bylock raporundaki PDF safya 14’ün ekran görüntüsü
2.3) Listenin nasıl hazırlandığını daha net biçimde anlatan açıklama tutanağı ise MİT tarafından yazılmıştır. Aşağıda taranmış MİT evrakının ekran görüntüsü (Resim 4) gösterilmiştir. MİT’in listelerin nasıl hazırlandığını anlatan raporu bize çok önemli bilgiler sunmaktadır. MİT tutanağının kaynağı, aşağıda bağlantısı verildiği üzere Avukat Ali Aktaş’tır. Tutanağın doğruluğu farklı kaynaklar ile de teyit edilmiştir. Tutanak, basına yansıyan bazı bilgiler ve elde ettiğimiz diğer veriler ile uyumludur.
Resim 3: MİT tarafından hazırlanmış Bylock listelerinin nasıl hazırlandığını anlatan açıklama tutanağı
2.3.1) Açıklama tutanağına göre operatörlerin verileri doğru ve noksansız verdiği varsayılmaktadır. Fakat bu konu bilirkişi incelemesine dayanmamaktadır ve bilirkişilerce teyit edilmemiştir. Aynı zamanda operatörlerin IP paylaşımı yapmak ve kayıtları saklamak için kullandıkları CG-NAT sistemlerinin kişi şahsileştirmesinde çok ciddi sıkıntılar çıkarabildiği ve adli işlem açısından güvenilir olmadığı bu raporun ileriki kısımlarında delilleri ile anlatılmaktadır.
2.3.2) MİT bahsi geçen raporda “İmkânlar nispetinde doğrulama yapılmıştır.” demektedir fakat çok sayıda kişinin veri tabanı içeriğinin olmaması ve mağduriyetlerin yaşandığına dair (başka hiçbir kriteri sağlamama, FETÖ’ye muhalif tavırları ispat edilebilir olma ile) desteklenebilen iddiaların çok olması, yapılan doğrulamanın yeterli olmadığı kanısını güçlendirmektedir.
2.3.4) Görüldüğü üzere MİT hazırladığı raporda açık açık “söz konusu uygulamanın kullanıldığı değerlendirilen abonelik bilgileri” ifadesini kullanmıştır. Bu ifade kesinlik taşımamaktadır. Buna rağmen şu anda mahkemeler BTK’nın hazırladığı bu listeyi kesin ve itiraz edilemez delil olarak görmekte ve sadece bu veriler ile hükme gitmektedir.
2.3.5) MİT/BTK 1 ve 2 gün erişim isteği yapmış gözüken kullanıcıların kayıtlarının hatalı olduğunu varsaymış ve bu kullanıcıları listeden çıkarmıştır. Bu yapılan aslında sistemin hatalı olduğunun itirafıdır. Şu anda 3 gün IP erişimi yapanlar listededir ve mahkemeler bu listeye dayanarak hükme gitmektedir. 3 gün ile insanlar aylarca hapiste mahkeme tarihlerini beklemektedir. Yani 3 gün kriteri ile oluşturulmuş listelere %100 kesin ve doğrudur şeklinde muamele edilmekte fakat 1 ve 2 günün hatalı olduğu varsayılmaktadır. Bu da muazzam bir çelişkidir. Listeden 1 ve 2 gün erişim yapanların çıkartılması aslında listelerde hata olduğunun kabul edilmesidir. (Burada bahsi geçenin kullanım değil IP üzerinden erişim olduğuna dikkat edilmelidir. Erişimden neyin kast edildiği ileride açıklanacaktır.)
2.3.6) Çok dikkat çekici diğer bir unsur ise 102.192 GSM abonesi tespit edilirken sadece 6.748 ADSL (evden internet aboneliği) kullanıcısı tespit edilmiş olmasıdır. 1’e 15 olan bu oran kesinlikle hayatın olağan akışına aykırı bir durumdur. Günümüzde pek çok kişi mobil + sabit internet hattı kullanmaktadır. Ayrıca hayatın olağan akışına göre kişiler evlerinde sabit internet hatlarını kullanmaktadır. Çünkü sabit internet hatları sınırsız kotaya sahipken mobil aboneliklerin kota miktarları çok daha azdır. Bu nedenle sabit hatlarda Bylock görünmezken mobil hatlarda görünmesi çok ciddi kuşku doğurmaktadır. Bunun tam nedeninin tespiti için bilirkişi incelemesi yapılması şarttır. Fakat bir tahmin yürütülecek olursa -raporun ileriki kısımlarında ispatlı olarak anlatılacağı üzere- GSM operatörlerinin CG-NAT sistemlerinin hatalı çalışıyor olması olabilir.
2.4) Siber raporunda belirtilen Private IP, yetersiz sayıdaki IP adreslerini çoğaltmaya yarayan ve ilk başta ifade edilen CG-NAT sistemleri ile üretilmekte ve alt ip, iç ip gibi adlarla bilinmektedir. Elindeki IP sayısı yeterli olmayan AVEA, daha fazla abone kazanabilmek için, Amerikalı F5 Networks firmasından CG-NAT sistemi satın almıştır. En azından AVEA Operatörünün kullandığı CG-NAT sisteminde hata olduğu resmi olarak kanıtlıdır. AVEA, F5’in CG-NAT sistemine geçtiğini büyük bir gurur ile buradaki resmi haberde anlatmıştır.Avea Achieves 25 Percent Subscriber Growth with F5 Carrier-Grade NAT Platform
Resim 5: AVEA’nın F5 sistemine geçişi ile ilgili haber sayfasından bir görüntü
AVEA bu sisteme geçmekle LOG tutmak için gereken donanım ihtiyacını çok ciddi azalttığını ve bu sayede milyonlarca dolar kâr ettiğini ifade etmektedir. Ayrıca sahip olduğu 800.000 IP havuzu ile 16.000.000 kişiye nasıl IP verebildiğini gururla açıklamaktadır. Fakat F5’in CG-NAT sisteminde hata olduğu, sistemde hata kaydı olarak açılan aşağıdaki ticket’da 2013 senesinde dile getirilmiş ve bu hatanın varlığı 2017 senesinde F5 tarafından onaylanıp hatayı düzeltmek için bug-fix yayınlanmıştır.
Kaynak: https://support.f5.com/csp/article/K14526
Ekran resmi aşağıda gösterilen ticket’dan anlaşıldığı üzere CG-NAT kayıtları özel bir sıkıştırma algoritması ile sıkıştırılarak saklanmaktadır ve reverse-mapping denilen tekniğin uygulanması sonucu ham kayıtlar elde edilmektedir. Fakat açılan hata bildiriminde açık olarak birden fazla ağın tek bir ağa map edilebileceği ve sıkıştırma işlemi geriye döndürülürken deterministik (kesin) olarak döndürülememesinin söz konusu olduğu ifade edilmiştir. Bu durum AVEA’nın TİB’e verdiği tüm CG-NAT kayıtlarını şaibeli hale getirmektedir. Bunlar göz önünde bulundurulduğu zaman konuyla ilgili olarak kamuoyunda IP çakışması olarak bilinen durumun ortaya çıkabileceği anlaşılmaktadır
Resim 6: AVEA’nın resmi olarak CG-NAT sistemini kullandığı F5 firmasının destek bölümünde açılan hata raporu sayfasının ekran görüntüsü
Fakat hatalı CG-NAT kayıtları AVEA’ya özel değildir ve tüm operatörler bir CG-NAT sistemi kullanmaktadır. Yani meselede her operatörden kaynaklanan hatalar mevcuttur. En çok AVEA’nın gündeme gelmesinin sebebi ise hatalı kayıt mağdurunun en fazla AVEA’da olmasıdır.
Örneğin bir sanığa mahkemenin müzekkeresi sonucu BTK tarafından aleyhinde tek delil olarak gönderilen aşağıdaki CG-NAT tam sayfa raporu, aslında sanığın Bylock programını asla kullanmadığına delildir. Çünkü WhatsApp gibi anlık mesajlaşma ve sesli görüşme programı olan Bylock, sürekli olarak sunucu ile iletişim kurmak zorunda ve sürekli olarak IP erişimi gerçekleştirmek zorundadır. Aksi halde size gelen bir aramayı zamanında gösteremez veya anlık mesajı zamanında iletemez. Programın aşağıdaki raporda belirtildiği kadar az sayıda IP erişimi yapılarak kullanılması imkânsızdır. Bu yüzden bu kayıtlar kesin olarak programın kullanımı sonucu oluşmamıştır. O zaman tamamı otomatik ve yazılımsal olan CG-NAT sisteminde böyle bir tek hatalı kaydın olması bile, tüm sistemde hatalar olabileceğinin delili ve ispatıdır. Kaldı ki KOM sorgusundan “Veri tabanı içeriği yoktur.” raporu gelen çok sayıda asla programı kullanmamış kişiye buna benzer kayıtlar gönderilmiştir. Yani CG-NAT LOG sistemlerinde bütün operatörlerde çok ciddi hatalar bulunmaktadır. En azından 2014 ve 2015 yıllarında hataların çokluğu göze çarpmaktadır. Veya bu bilgileri saklayan FETÖ kumpas üssü TİB’in kayıtlar ile oynama yapmış olması da muhtemeldir.
Resim 7: Bir sanığa aleyhindeki tek delil olarak gönderilen CG-NAT BTK raporu
2.5) Bylock programının Google Marketten, programın çalıştığı tüm süreç boyunca kaldırılmadığı resmi kanıtlı olarak ortaya çıkmıştır. MİT ve EGM’in raporlarında belirtildiği gibi, yapılan açık kaynak araştırmaları sonucu, programın 11 Nisan 2014 tarihinde Google Markete yüklendiği, 20 Mayıs 2014 tarihinde 5,000 indirme rakamına ulaştığı, 24 Ağustos 2014 tarihinde 50,000 indirmeye ulaştığı, 19 Ocak 2015 tarihinde 100,000 indirme rakamına ulaştığı ve3 Nisan 2016 tarihinde Google Marketten kaldırıldığı AppBrain denen dünyanın en büyük Android uygulamaları ile ilgili istatistik sitesinde kayıt altına alınmıştır. MİT raporu PDF sayfa 59’da bizim aşağıdaki Resim 8’de gösterdiğimiz AppBrain Bylock sayfasının resmini kaynak olarak göstermiştir. AppBrain 2009 senesinden beri hizmet veren resmi bir istatistik web sitesidir ve kayıtları herkes tarafından kontrol edilip onaylanabilmektedir. Bu durumu sitenin kendisi “Our company was launched in 2009 by two former Googlers. We started off as an app studio and have grown into being a leading source of information about the Android ecosystem and trusted advertising partner of thousands of developers.” şeklinde ifade etmiştir.
Bylock ile ilgili bilgilere bu açık kaynak bağlantısından ulaşılabilir:ByLock: Secure Chat & Talk - Android app on AppBrain
Resim 8: APP Brain resmi Bylock sayfası ekran görüntüsü
2.6) Bylock programını, A ve B kişisinin Google Marketten indirdikten sonra 3. bir şahsın onayına veya referansına ihtiyaç duymadan programa kayıt olup aralarında iletişim kurabileceği, resmi MİT ve EGM’nin Bylock raporları ile aşağıdaki şekilde ifade edilmiştir. Ayrıca bu durum, bilirkişi uzmanlarının geriye mühendislik yapması sonucunda da teyit edilmiştir. Aşağıdaki resimlerde MİT ve EGM raporlarının ilgili kısımlarının ekran görüntüleri gösterilmiştir.
Resim 9: Resmi MİT Bylock raporu PDF sayfa 10
Resim 10: Resmi EGM Siber Bylock raporu PDF sayfa 5
2.7) MİT resmi Bylock raporunda PDF sayfa 25’te uygulamanın sahibinin Türkiye IP’lerini erişime kapattığı ve VPN kullanımını zorunlu kıldığı iddia edilmektedir. Aynı zamanda sunucudaki bu tarihten önceki tüm IP kayıtlarının silindiği de dile getirilmektedir. Bu iddianın doğru olduğu varsayıldığında veri tabanında Türkiye’ye ait hiçbir çıplak IP bulunamayacak ve BTK’nın IP erişim kayıtları ile sunucu IP erişim kayıtları eşleştirilemeyecektir. Ayrıca BTK’nın IP erişim kayıtlarında bu tarihten sonra hala nasıl çıplak IP’lerin bulunduğu ise bir muammadır. Çünkü VPN kullanımının zorunlu kılınması sonrası böyle bir durumun söz konusu olmaması gerekmektedir. Bu yüzden VPN’in zorunlu olduğu bir sistemde IP kayıtları üzerinden gerçek kullanıcı tespit etmeye çalışmak bir çelişkidir. VPN kullanan gerçek kullanıcılar asla BTK’nın IP erişim listesine girmeyecektir. Bu yüzden IP erişim kayıtlarının tamamı %100 kesinlikte doğru olsaydı bile salt IP erişimi ile hazırlanan 2. listede programı aksatmadan VPN ile kullanmış çok sayıda gerçek kullanıcı bulunmayacaktı.
Resim 11: Resmi MİT Bylock raporu sayfa PDF sayfa 25
3. Sonuç
Gelinen süreçte MİT, raporunda Bylock veri tabanını elde ettiğini, şifreleri ve içerikleri nasıl muazzam şekilde çözdüğünü ifade etmektedir. EGM Siber ise, Bylock programının nasıl ve ne şekilde telefon ve cihazlardan tespit edilebileceğini detaylı olarak anlatmaktadır. Fakat sonuç olarak Bylock listesi, veri tabanı içeriğine göre veya cihaz incelemesine göre değil; BTK’nın FETÖ kumpas ve casusluk üssü TİB’den aldığı CG-NAT IP erişim kayıtlarına göre hazırlanmıştır. Bu kayıtlarda muazzam hatalar bulunmaktadır. Zaten en azından AVEA’nın kullandığı sistemde kritik bir problem olduğu resmi olarak ispatlıdır.
Europol’un (Avrupa Polis Ofisi) 31 Ocak 2017’de yaptığı toplantıda, GSM operatörlerinin çoğunun artan IP istek sayısı sonucunda CG-NAT (CGN) sistemine geçtiği fakat bu sistemin yapılan adli soruşturmaların %80’inde problem çıkardığı açıkça ifade edilmiştir.
Resim 12: Europol basın açıklamasındaki ilgili kısmın ekran görüntüsü
Kaynak: Closing the Online Crime Attribution Gap: European law enforcement tackles Carrier-Grade NAT (CGN)
Çok sayıda insan asla bu programı yüklememiş olmasına rağmen şu anda adları IP ile hazırlanan bu listededir ve mahkemeler sadece HTS kaydı ile 6 yıl ceza vermeye başlamış durumdadır. HTS kaydı sadece iddia edilen telefon numarasının size ait olduğunu ispat için kullanılmaktadır. İşin ironik kısmı ise mağdur olan bu kişiler zaten telefon numaralarının kendilerine ait olduğunu reddetmemektedir.
Mahkemelere KOM’dan Bylock veri tabanı içeriğine dair raporlar gelmektedir. Veri tabanı kaydı bulunmayanlar dahi asla beraat ettirilmemekte, ya 6 yıl ceza almakta ya da duruşmaları ertelenmektedir. Artık 4. duruşması gelenler ise daha fazla ertelenmemekte ve ceza almaktadır. Yargıtay, mahkemelerin sadece BTK kayıtları ile ceza verebilmesi için çok sayıda maddi hata üzerine kurguladığı bir gerekçeli karar yayınlamıştır. Tüm hâkim ve savcılar şu anda bu kararı temel almaktadır. Yargıtay’ın verdiği kararın maddi hatalar üzerine kurulu olduğunu anlatan PDF rapora aşağıdaki Google Drive bağlantısı üzerinden ulaşabilirsiniz:
https://drive.google.com/open?id=0B4yLZYhnWsYxUzZKUmhnR1ZfV28
Bu durumda verilen cezaların hepsi ileride en geç Avrupa İnsan Hakları Mahkemesi’nden dönecektir. Türkiye’nin de taraf olduğu Konvansiyonun 5. Maddesi bu konudaki başvuruların davaları kazanmasına neden olacaktır. Fakat bu sürece kadar insanlar yıllarca hapis yatmak durumu ile karşı karşıya kalacaktır.
Bylock listelerinde yapılan hatalı tespitlerin ve dolayısıyla mağduriyetlerin artması nedeniyle 2017 yılı Haziran ayında Yargıtay hâkimlerinin verdikleri ilk Bylock kararında atıf yaptıkları isimlerden biri olan Prof. Dr. İzzet Özgenç’in 6-9 Eylül 2017 tarihleri arasında şahsi Twitter hesabından (https://twitter.com/izzetoezgenc) konu hakkında yaptığı şu paylaşımlar büyük önem taşımaktadır:
“Her bir kullanıcının Bylock’u hangi tarih itibarıyla kapalı devre iletişim aracı olarak kullandığının tespit edilmesi gerekmektedir. Bu tespitin de ancak Litvanya’daki yer sağlayıcının veri tabanındaki bilgiler itibarıyla mümkün olması gerekir. Buna karşılık, Türkiye’deki erişim veya servis sağlayıcılardan temin edilen trafik bilgilerinden bu tespitin yapılmasının mümkün olmaması gerekir. Litvanya’daki yer sağlayıcının veri tabanında mevcut olan veriler dikkate alınmadan, Bylock kullandığı iddiasıyla hakkında soruşturma ve kovuşturma yapılan kişilerle ilgili olarak adil bir kararın verilmesi mümkün gözükmemektedir.”
Ayrıca daha önce ifade edildiği gibi FETÖ’cü TİB’in sakladığı IP kayıtları kesin doğru ve CG-NAT sistemi kusursuz olsaydı bile, sadece IP üzerinden bir programın kullanımının tespit edilmesi çok sayıda hata ihtimalini barındırmaktadır. Herhangi bir IP adresine herhangi bir program veya web sitesi HTTPS port’u üzerinden erişim isteği yapabilir. Bu durumda herhangi bir kişi, hiçbir dahli olmadan ve Bylock programını asla kullanmadan Bylock sunucusuna erişim yaptırılmış olabilir. Örneğin ziyaret ettiğiniz bir web sitesi üzerinde Bylock sunucu IP adresine bir resim (resmin var olması gerekmemektedir) bağlantısı olsaydı, siz otomatik olarak BTK’nın listesine dâhil olmuş olurdunuz. Çünkü tarayıcı resmin varlığını tespit etmek ve var ise indirmek için bağlantı isteği yapardı. Zaten gün kuralı gelmeden 250.000 kişinin adının listede olması da buna bir ayrı kanıt olabilir. Zira MİT’e göre veri tabanında 215.000 User ID tespit edilmiştir. Ayrıca yine MİT raporunda yer aldığı gibi, VPN’nin zorunlu kılındığı iddiası doğruysa (Aralık 2014), bu tarihten itibaren kullanmaya yeni başlayanlar asla BTK’nın IP listesine girmeyecektir.
Ve diğer bir husus ise “Zehirli ağacın meyvesi de zehirli olur.” şeklindeki hukuk kuralıdır. Bu ne demektir? Bylock sunucusunu işletenlerin art niyetli oldukları kabul edilmekte fakat bu kişiler tarafından hazırlanan bilgilere tam ve kesin doğru muamelesi yapılmaktadır. Örneğin böyle bir sistemi hazırlayanlardan beklenecek davranış, çok sayıda sahte kullanıcının sisteme eklenmesi veya verilerin kullananları değil başka kişileri işaret edecek şekilde KUMPASLI bir şekilde saklanmasıdır. Aynı unsur, 2014 ve 2015 senesinde tamamıyla FETÖ’nün kontrolünde olan TİB’den de beklenmelidir. TİB’in CG-NAT kayıtlarını doğru sakladığı veya üzerinde oynama yapmadığı konusunda hiçbir bilirkişi araştırılması yapılmamıştır.
3.1 Çözüm Önerileri
Hataların giderilmesi için yapılması gereken unsur acilen konunun uzmanı kişilerden oluşan bir heyet kurulmasıdır. Maalesef ekranlarda konuyla ilgili fikir beyan eden kişiler EGM ve MİT raporlarını dahi okumamış ve teknik bilgisi konuyu ihata etmeye yetmeyecek kişiler olmaktadır. Örneğin yakın zamanda Bylock hakkında fikir beyan eden bir Profesör CNN Türk canlı yayınında 15 Temmuz darbe gecesi Bylock üzerinden 70.000 mesaj gönderildiğini söyleyerek aleni maddi hatalı bilgi vermiştir. MİT raporuna göre bu programın Mart ayında artık tamamıyla işlevsiz hale geldiği bilinmektedir. Ayrıca tüm darbe sürecini planlama ve yürütmenin Bylock programından çok daha gelişmiş bir program olan WhatsApp ile yapıldığı darbe gecesine fiili katılan komutanların cep telefonlarındaki kayıtlar ile tespitlidir. Bu duruma örnek bir ekran görüntüsü aşağıdaki Resim 13’te gösterilmiştir.
Resim 13: Darbeye fiili katılmış ve suçüstü yakalanmış rütbeli askerlerin telefonlarından çıkan WhatsApp görüşmeleri
Bu yüzden ivedilikle konunun uzmanı network ve yazılım mühendisi akademisyenlerden oluşan bir bilirkişi kurulu oluşturulmalı ve konuyla ilgili tüm veriler bu kişilere sağlanmalıdır. Bu kişiler konuyu baştan sona şeffaf raporlar ile incelemelidir. Acilen maddi hatalı bilgiler üzerine inşa edilmiş Yargıtay kararı geçersiz kılınmalı ve bilirkişi heyeti tarafından hazırlanacak yeni şeffaf raporlara göre yeniden yargılama yapılmalıdır. Ek olarak FETÖ’cü TİB’in tutup sakladığı CG-NAT verileri ile hazırlanan liste acilen hükümsüz hale getirilmeli ve veri tabanı içerik çözümlenmesine göre baştan yeni liste hazırlanmalıdır.
Son olarak gerçek kişiler ve veri tabanında ki UserID’ler eşleştirilirken çok hassas davranılmalı ve kesin deliller ile hangi gerçek kişilere hangi UserID’lerin ait olduğu ispatlanmalıdır.
Tüm bunlar yapılırken mağdurların ne kadar zor durumda ve şaşkın olabileceği göz önünde bulundurularak mağduriyetlerin kısa zamanda sıfıra indirilmesi temel hedef olmalıdır.
Aşağıda veri tabanı içeriği olmayan, 0-kriter, sadece BTK’nın TİB verileri ile hazırladığı Bylock listesinde adları olan şahıslara ait gönderilen KOM resmi tutanağının evrak görüntüsü gösterilmiştir. Tarih Eylül 2017 ve mesajlar Mart ayında çözüldü (MİT raporu).
Resim 14: 0-Kriter mağdura ile ilgili gelen içerik yoktur resmi KOM raporu
