BYLOCK LİSTELERİNİN Kaynağı SORGULANMALı
ANAYASA, “HUKUKSUZ ELDE EDİLEN DELİL, DELİL DEĞİLDİR” DİYE EMREDER. BYLOCKLA İLGİLİ “HUKUKSUZ ELDE EDİLDİ” İDDİA VE İTİRAFLARI MAHKEME KARARLARINA YANSIDI.
Raporda “3.1 Dayanak ve Yöntem” başlığı altında;
“1.11.1983 Tarihli ve 2937 Sayılı Devlet İstihbarat Hizmetleri ve Millî İstihbarat Teşkilâtı Kanununun 6. maddesinin (d) bendinde; Millî İstihbarat Teşkilâtının görevleri yerine getirirken; gizli çalışma usûl, prensip ve teknikleri kullanabileceği (i) bendinde ise Millî İstihbarat Teşkilâtı ‘dış istihbarat, millî savunma, terörle mücadele ve uluslar arası suçlar ile siber güvenlik konularında her türlü teknik istihbarat ve insan istihbaratı usûl, araç ve sistemlerini kullanmak suretiyle bilgi, belge, haber ve veri toplama, kaydetmek, analiz etmek ve üretilen istihbaratı gerekli kuruluşlara ulaştırmak’ yetkisiyle donatılmış bulunmaktadır” denilmektedir [Sayfa 12]. Kanunda, burası, 6’ncı maddenin (i) bendi değil, 4’üncü maddenin (i) bendi olarak geçiyor [12].
Dayanak olarak kullanılan “kanunî yetki” de belirtildiği gibi, üretilen bilgi ve analizler “istihbarî”dir. İstihbarî bilgi delil yerine kullanılamaz, haricen delillendirilmesi gereklidir. [Ek-1] [Ek-2]
“Söz konusu kanunî yetkiye müsteniden Teşkilâta özgü teknik istihbarat usûl, araç ve yöntemleri kullanılmak suretiyle Bylock uygulamasına ait sunucular üzerindeki veriler ile uygulama sunucusunun ve IP adreslerinin satın alındığı e-posta adreslerinin içerikleri başta olmak üzere muhtelif veriler elde edilmiştir” denilmektedir [Sayfa 12].
Raporun başka hiçbir yerinde Bylock sunucularının veya üzerindeki verilerin elde edilme yönteminden söz edilmemiştir. “Devletin teknik istihbarat faaliyetlerine ilişkin imkân ve kabiliyetlerinin açığa çıkarılmaması ve istihbarata karşı koyma amacıyla, verilerin temin edilmesine ilişkin hassas yöntem, usûl ve araçlara yer verilmemiştir” gibi bir gerekçeyle konu kapatılmıştır [Sayfa 12].
Ancak; 100 binden fazla kişi “Bylock listesinde bulunmak”(“bylock kullanmak”değil) suçuna istinaden zan altında bırakılması, gözaltına alınması, aylarca tutuklu bulunması, hatta hüküm giymesi, başka bir deyişle hürriyetten mahrum bırakılması ile sonuçlanan böyle önemli bir bilginin/listenin kaynağı sorgulanmalıdır. Hukuksuz elde edilen delil, delil değildir [Anayasa 38, CMK 206].
Sunucuyu elde etmek için, erişim bilgilerine sahip bir kişiye işkence mi yapılmıştır? Yoksa Balticservers sunucuları bir devlet kurumumuz tarafından hacklenmek suretiyle uluslar arası bir suç mu işlenmiştir [6] [13]? Ya da Balticservers veri merkezindeki (datacenter) server ve storagelar özel bir operasyonla mı elde edilmiştir [14]? Veyahut Balticservers şirketi satın alınmış, sonra da bir mahkeme kararı ile sunucular MİT’E mi teslim edilmiştir? Hadi sunucu elde edildi diyelim. Çalışmaya başlamadan önce sunucu ve/veya yedekleri ham imajları ya da veri tabanı dosyaları, hash kodları ile korumaya alınmış mıdır? Belki de sunucular hiçbir zaman elde edilmemiştir de, eldeki bazı bulanık bilgiler kullanılarak tüm bu (sözde) sunucu bilgileri laboratuvar ortamlarında üretilmiştir. Belki de tüm bu liste çalışmaları, bir şekilde fişlenen kişileri kamuoyu ve mahkeme nezdinde suçlu göstermek için uydurma argümanlardır.
Bu sunucuların elde edilme yöntemi usûlsüz mü ki, raporda paylaşılmadı? Bu gizemin giderilmesi, raporu hazırlayan teknik heyetin (ya da personelin) sorumluluğunda olmasa bile Millî İstihbarat Teşkilâtının sorumluluğundadır. Kaldı ki, teknik heyetin (ya da personelin) teknik olmayan birçok konu hakkında da raporda yorum yaptığı görülmektedir. Gizem giderilse bile–mahkeme kararı olmadığı müddetçe–listenin istihbarî olduğu gerçeğini değiştirmez ve delil niteliği yoktur. Tarafsız heyetlerce teyide muhtaçtır. Bununla birlikte, sunucunun elde edildiği iddiası ile ilgili olarak raporda tam ikna edici bilgi mevcut değildir.
Bylock istisna Bir uygulama mı?
Raporda “2.4Bylock Uygulamasını Global ve Ticarî Anlık Mesajlaşma (İnstant Messaging- IM) Uygulamalarından Ayıran Farklılıklar” başlığı altında;
“Anlık mesajlaşma uygulamalarının çoğu, kullanıcılara kolay kullanım özelliği sunmaktadır. Bylock uygulamasında ise, uygulamayı kullanan şahıs, iletişim kurmak istediği şahsa ait ‘Kullanıcı Adı’ bilgisine sahip değilse, bu kişi ile iletişim kuramamaktadır” denilmektedir [Sayfa 11].
“Anlık mesajlaşma uygulamaları, kullanıcılarına hızlı iletişim imkânı sunar. Bylock uygulamasını kullanan bir şahıs uygulamayı telefonuna indirdiğinde, rehberindeki diğer şahıslara uygulamayı kullanıp kullanamadığını görememekte, şahıslar ile doğrudan iletişime geçememektedir.” denilmektedir [Sayfa 11].
Bu tarz ifadeler ile bir tarafından kullanıcı adı girilerek iletişime geçilen, başka anlık mesajlaşma uygulaması bulunmadığı yönünde algı oluşturulmaya çalışırken, diğer taraftan ‘çoğu’ kelimesini kullanarak Bylock’un bir istisna olmadığı kabul edilmiştir. Nitekim Yahoo Messenger, tıpkı Bylock gibi kullanıcı adı bilinmek suretiyle arkadaş eklemeye imkân vermekte olup rehberdeki kişileri otomatik ekleme özelliğine sahip değildir [3].
“Anlık mesajlaşma uygulamalarında, şahıslar sosyal çevresiyle günlük ve çoğunlukla rutine dair iletişime geçmektedir. Bylock uygulamasındaki iletişim ağı ve içerikler incelendiğinde ise, örgütsel amaç ve temalı kullanım görülmektedir” denilmektedir [Sayfa 11].
Burada da uygulamaların kullanım amacı konusunda yanlış genelleme yapılmıştır. Whatsapp anlık mesajlaşma uygulamasında, günlük iletişimden ziyade, sadece iş için kullanılan özel gruplar (sohbet odaları) oluşturulduğu bilinmektedir. Örneğin okul müdürleri, oluşturdukları gruplar ile meslekî paylaşım yapmaktadır. Bununla beraber incelenen Bylock içeriklerinin kaç tanesinin örgütsel amaç ve temalı, kaç tanesinin günlük rutine dair iletişimden ibaret olduğundan bahsedilmemiştir. Sadece rutine dair iletişim yapan kullanıcıların listeden çıkarılıp çıkarılmayacağı merak konusudur?
anonimlik
Raporda “2.4Bylock Uygulamasını Global ve Ticarî Anlık Mesajlaşma (Instant Messaging – IM) Uygulamalarından Ayıran Farklılıklar” başlığı altında;
“Anlık mesajlaşma uygulamalarının çoğu, reklâm v.b. servisler ile uygulamanın olabildiğince çok kullanıcı tarafından kullanılmasını sağlamak suretiyle uygulamanın marka değerini ve kazancını arttırmayı hedelemektedir. Bylock uygulamasında ise, daha fazla kullanıcıya ulaşmak ve ticarî bir değer haline gelmek yerine ‘anonimlik’ temelinde belirli bir kullanıcı sayısını aşmamak istendiği anlaşılmaktadır” denilmektedir [Sayfa 11].
Raporda da bahsedildiği gibi, bylockapp.wordpress.com, Google Playstore ve Apple Appstore gibi ortamlarda uygulama hakkında bilgi bulunduğuna göre, geliştiricinin uygulamayı gizlemek gibi bir niyetinin olmadığı anlaşılmaktadır. Tüm kaynak kodlar ve veri tabanı ele geçirilmiş ve/veya çözülmüş olmasına rağmen, uygulama kodunda ya da kullanıcı tablosunda belirli bir sayıya ulaştığında kullanıcı kaydını reddeden bir koda rastlanmamış anlaşılan ki; geliştiricinin anonimlik tercihi “belirli bir kullanıcı sayısını aşmamak” şeklinde yorumlanmış.
Yazılımcılar ya da web tasarımcıları kendi kimliklerini ve/veya iletişim bilgilerini whois sorgusundan gizlemek için rumuz kullanmaları bilinen bir gerçektir. Hatta domain hizmeti veren firmalar bu seçeneği müşterilerine ücretli ya da ücretsiz sunmaktadır. Örneğin Godaddy firması faturalandırma aşamasında“keepmypersonalinfopublic”ve“Makemy domain pravatefor Euro7.99/yr!” seçeneklerinden birini seçmelerini zorunlu kılmaktadır [15].
Anonimlik, sadece yazılımcılar ya da web tasarımcılarının tercihi değildir. Örneğin bir ürün satın alındığının ortaya çıkması durumunda utanacağını düşünen bir kişinin kimliğini gizlemek için anonimlik sağlayan ödeme yöntemlerini kullanmasından daha doğal ne olabilir?
Hatta, rapor yazar(lar)ı da anonimlik tercihinde bulunmuş ki hiçbir yerde isim ve unvanları ile iş tecrübeleri geçmiyor.
Ayrıca, uygulamanın kayıtlı sahibi Türk asıllı David Keynes, hakkında soruşturma açılması ve ifadesine başvurulması halinde, Bylock geliştiricisinin kimlik bilgilerini verebileceğini, bu kişinin Türkiye’de yaşadığını söylüyor [5]. Bir gazetecinin ulaşabildiği kişiye, MİT ya da güvenlik güçleri ulaşamamış mıdır?
indirme ve kullanma karmaşası
Raporda “3.3Bylock Uygulamasına İlişkin Açık Kaynak Tespitleri” başlığı altında;
“Tüm çalışmalarda bilinçli veya bilinçsiz ‘indirme’ değil kullanma durumu irdelenmiştir. Dolayısıyla, muhtelif indirme rakamlarından ziyade, anılan uygulamaya ‘kayıt olmuş’ kullanıcıların esas alınması gerekmektedir” denilmektedir [Sayfa 15-16].
“İndirme” nin önemli olmadığı, “kullanma” durumunun önemli olduğu vurgulanmış ve kullanmak – uygulamaya kayıt olmak şeklinde bir tanım yapılmıştır.
Ancak kullanmak fiili iyi tanımlı değildir. Üzerinde düşünülmesi gereken bir konudur. Bir uygulamayı kullanmak o uygulamaya kayıt olmaktan ibaret değildir. Örneğin Bylock için kullanmak kelimesi “uygulama üzerinden en az bir kez mesaj atmış ve/veya almış, ya da en az bir başarılı sesli görüşme yapmış olmak” şeklinde tanımlanabilir. Raporda; Uygulamaya Kayıt Olan Kullanıcı Sayısı = 215.092 En Az 1 Kez Mesaj Atmış ve/veya Almış Şahıs Sayısı = 60.473
Uygulamayı Sadece Sesli İletişim için Kullanan Şahıs Sayısı= 46.799
Şeklinde istatistik verilmiş [Sayfa 56].(Tablonun gidişatından buradaki “şahıs” kelimesi ile “kullanıcı” kastedildiği düşünülmektedir.)
Yukarıdaki örnek tanıma göre Bylock kullanan kullanıcı sayısı 107.272 olarak bulunur. Bu durumda bile, birden fazla kullanıcı hesabına sahip olanlar ile (exception ya da cal_history tablosu incelenerek) hiç başarılı sesli görüşme yapamayanlar sayıdan düşürülmelidir.
Bu arada, raporda sesli görüşme içerikleri ile ilgili hiçbir veri ve çalışmadan söz edilmemiştir. İçerik çalışması sadece mesaj/mail trafiği olan 60.473 ile ilgilidir. Dolayısıyla basına yansıyan 122.000 kişilik güncel Bylock listesindeki [16] kişilerin en azından 61.527 si hakkında kesinlikle içerik çalışması yoktur. Bu konu daha sonra ayrıntılı olarak ele alınacaktır.
Ayrıca raporda indirmenin masum olduğu ve irdelenmemesi gerektiği söylenmesine rağmen, teknik incelemelerde cihazlarında Bylock izine rastlanan şahısların–listelerde olmasa bile–aylardır tutuklu bulunduğu ve bunun somut delil sayıldığı bir gerçektir.
sunucu analizleri
Raporda “3.4.2.1. Statik Analiz” başlığı altında;
“Uygulamanın kaynak kodları içerisinde, Türkçe “Dosya”, “Posta” ve “Sesli Arama” şeklinde ifadelerin bulunduğu görülmüştür (Ek-5)” denilmiştir [Sayfa 18].
Kaynak kodlardaki Türkçe ifadelerle ilgili raporun değişik yerlerinde de vurgular yapılmıştır. Ancak David Keynes gibi Türk kökenli birinin de aralarında bulunduğu bir ekibin Türkçe değişken isimleri kullanılmış olmasında ne gibi bir gariplik olduğu, hangi sonuçlara ulaşmanın hedelendiği anlaşılamamıştır. Raporda “Uygulama Sunucusuna Ortadoğu IP Adreslerinden Erişimin Engellenmesi” başlığı altında; root@hst-46-166-160-137:~# iptables – N LOGGİNG iptables –A İNPUT –s 5.2.80.0/21-j LOGGİNG şeklinde bir konsol çıktısı verilmeye çalışılmıştır [Sayfa 26].
Ancak raporun başka yerinde “select * fromation;” gibi çıktıyı veren komut yazılırken, burada hangi komut ile böyle bir çıktı alındığı belirtilmemiştir. Çalışan bir güvenlik duvarındaki (firewall) kurallar olduğu kuşkuludur. Yönetici komut geçmişinde(history) bulunması bir şey ifade etmez.
sesli iletişim muhtevası yok
Raporda “3.6.2.3’ call_history’ tablosu” başlığı altında;
“Userid eşleştirilmesi yapılabilen şahıslara ait elde edilen çağrı hareketlerine ilişkin kayıtlardan, kimlerin , ne zaman Bylock uygulaması üzerinden sesli iletişim kurduğunun tesbiti yapılabilmektedir” denilmektedir [Sayfa 30].
Tablo alan isimlerinden ve sonuç cümlesinden anlaşılacağı üzere sesli görüşmelerde muhteva kaydı yoktur.
Yarın: Mesaj muhtevaları elde edildi mi?