Bylock hakkında gelen sorular için tek tek cevap yazmaktan yorulduğum için, bir önceki makalemde sorulan soruları ve cevaplarını bir araya getirip, bazılarını genelleştirerek ve ek bilgiler ekleyerek, bazılarını da yeni bilgilere istinaden düzelterek genel bir Sık Sorulan Sorular yazısı yazmaya karar verdim. Artık çok daha fazla bilgiye sahip olduğumuz için, önceki makaledeki tahmini yorumlarımın aksine buradaki bilgiler daha kesin ve net olacak.
Sorduğunuz/soracağınız soru için lütfen önce buraya müracaat ediniz. Burada bulamadığınız bir soru olursa, yorum yazarsanız sorunuza cevap verebilir, o cevabı da bu makaleye ekleyebilirim.
EN YAYGIN SORU
Soru 1: Kesinlikle Bylock kullanmadım, ama kullandığım iddiasıyla ihraç oldum/tutuklandım. Bu nasıl olabilir?
Bu Blogdaki diğer makaledeki 7. Maddede, bunun 26 çeşit yolu anlatılmakta. Fakat temel olarak şunları sayabiliriz:
a) Sizin internetiniz veya cep telefonunuz üzerinden bir başkası (hotspot açarak veya ortak kullanımla veya hackleyerek veya telefonu eline geçirerek vs) kullanmıştır.
b) Operatör NAT kayıtlarını ayrıştıramamıştır veya log saatlerinde tutarsızlık vardır. Yanlış kişi bilgisi gönderilmiştir.
c) Operatör'de bulunabilecek kripto FETÖ'cüler, yanlış bilgi göndermiştir.
d) Log kayıtlarının alındığı Bylock sunucusundaki kayıtlar hatalıdır, veya üzerinde bilerek oynanmıştır (alakasız kişileri de o kayıtlara eklemiş olabilirler).
e) MİT'teki veya Emniyet'teki Bylock kayıtlarına birileri dışarıdan müdahale etmiştir.
f) Telefonunda Bylock kurulu olan birine "Abi 5dk SIM kartımı telefonuna takabilir miyim?" diye rica etmişsinizdir. Siz SIM kartını taktığınızda onun telefonu Bylock'a bağlanmıştır. Kullanım sizin hattınızda görünmüştür.
ve benzerleri... Detay için diğer makaleye müracaat edebilirsiniz.
TEMEL KAVRAMLAR
Soru 2: IP Adresi nedir?
IP Adresi (Internet Protocol Address), bir bilgisayar ya da sunucunun internetteki kapı numarası gibi bir numaradır. Tüm web sitelerinin ve internete bağlanan bilgisayarların/telefonların vs. bir IP adresi olmak zorundadır. Bu adres 0.0.0.0 ila 255.255.255.255 rakamları arasında olur.
Soru 3: IP Adresleri nasıl verilir?
IP Adresleri bir ana merkezden tahsis edilerek, ISP'lere (Internet Service Provider / İnternet Servis Sağlayıcı) gruplar halinde dağıtılmıştır. En düşük tahsis 256 adettir. Ortalama 65.536 adet ve üzeri olarak tahsis edilirler. Örneğin Bilkent'in kendine ait 65.536 adet IP Adresi vardır. Bunların tamamı 139.179. ile başlar. 139.179.0.0'dan 139.179.255.255'e kadar 65.536 adet IP adresi sığar. Bilkent, kendi bünyesindeki bilgisayarlara bu IP'leri kendi dilediği gibi dağıtabilir.
Soru 4: Dünyada kaç adet IP Adresi var?
Teorik olarak 4 milyar civarında (4.294.967.296), fakat bunların yaklaşık 590 milyonu rezerve olduğundan ve geri kalanları da blok halinde dağıtıldıklarından (örneğin Bilkent kendisine ait 65.536 adet IP Adresinin ancak 10bin tanesini kullanıyordur, bu durumda 55bin IP adresi boştadır ama Bilkent'e ait olduğundan başkası da kullanamaz) belki reel olarak 1-2 milyar civarında IP Adresi kullanımdadır.
Soru 5: Türkiye'deki Operatörlerin tahsisli IP Adresleri kaç adettir?
Tüm Türkiye: Yaklaşık 15.534.000.
Türk Telekom 6.930.000, Türkcell 2.228.000, Vodafone 1.655.000, AVEA - 811.000, Tellcom 664.000, Superonline 545.000, Türksat (Uydunet) 459.000, Digitürk 410.000. Bir miktar da ufak tefek 256 ve 65.636'nın katları olacak şekilde müstakil kurum ve şirketlere ait IP'ler vardır.
Soru 6: Dinamik / Statik IP nedir?
Her kurum ve Operatör, kendi altındaki bilgisayarlara bir IP adresi verir. Bu adres, talep halinde statik yani sabit IP adresi olur ve değişmez. Web sitesi sunucuları vb. internette yayın yapan yerlerin IP adresleri çok büyük oranda statiktir. Fakat normal müşterilerin IP adresleri dinamik yani değişken IP adresleridir ve bu IP adresleri her bağlantıda (modem resetlendiğinde ya da cep telefonu baz istasyonu değiştirdiğinde) değişebilir.
Soru 7: Genel IP Adresi / Özel IP Adresi nedir?
Dünyadaki internet istemcilerinin (yani internete erişim isteyen bilgisayar/telefon/IP kamera vb. tüm cihazlar) sayısı, dünyadaki IP adreslerinin sayısından çok daha fazla olduğu için, iki tür IP adresi kullanılmaktadır. Bunlardan bir tanesi kurum (operatör) içi, bir tanesi kurum (operatör) dışı. Dışarıdaki IP Adresi, Genel IP Adresidir. İçerideki IP adresi, Özel IP adresidir. Örneğin bir şirketin 422 00 00 olan telefonu Genel IP Adresine; şirket içinde kullanılan 2242 gibi dahili numaralar da Özel IP Adresine örnek gösterilebilir.
Soru 8: NAT / CGNAT nedir?
NAT (Network Adress Translation), yukarıda bahsedilen Özel IP Adresi kullanımını düzenleyen sistemdir. Yani bir şirketin Telefon Santrali gibi, dışarıdan gelen bağlantıları dahili telefonlara yönlendiren, içeriden giden aramaları şirket hattından çıkış yaparak dışarıdaki hatlara bağlayan sistemdir. Sizin Özel IP'niz ile Genel IP'niz arasındaki çevrimi yapar ve internet ile aradaki bağlantıları kurar. CGNAT da bunun büyük boyutlu versiyonudur (Türk Telekomun ana santrali gibi).
Turkcell 35 milyon, Vodafone 20 milyon, Avea 15 milyon kullanıcıya sahip. Yukarıda verdiğim IP Adresleri ile karşılaştırılınca, Avea'da 18.5 kişiye 1 IP, Turkcell'de 15 kişiye 1 IP, Vodafone'da 12 kişiye 1 IP düşüyor. Bu hatların yarısı kadar gerçek kullanıcı olsa, internet kullanıcı sayısı bunun yarısı olsa, onların da aynı anda interneti açık olanlar yarısı olsa, demek ki Türkiye'deki operatörler aynı anda, aynı IP adresini en az 2-3 kişiye vermek durumundalar... Bu da ancak NAT/CGNAT yolu ile, yani kullanıcılara Genel IP/Özel IP diye iki farklı IP adresi ataması yaparak olabilir.
Soru 9: CGNAT Logları / Kayıtları nedir?
Operatörlerin kendi içlerindeki IP Adresi tahsislerine dair tuttukları kayıtlardır. Telefon benzetimi ile, sizin şirketten dışarı çıkan aramalar için şirketteki telefon santralinin tuttuğu iç kayıtlardır. Böylece şirkete "Falan tarihte sizin numaradan aranmışız" gibi bir talep geldiğinde, şirket kendi iç kayıtlarına bakarak o aramanın hangi dahili numaradan yapıldığını görebilir. Bunun internet dünyasındaki karşılığı CGNAT Loglarıdır.
Soru 10: Bylock'un IP Adresi nedir?
Bylock'un ana IP Adresi 46.166.160.137'dir. Buna ek olarak tahsis edilen 8 adet daha IP adresi (46.166.164.176'dan 46.166.164.183'e kadar) daha vardır ama Bylock kullanıldığı süreç içerisinde bu IP adresleri DNS arşiv kayıtlarında gözükmediği için, kullanılmadığı düşünülmektedir. Gene de sadece IP tabanlı olarak kullanılmış olabilirler. Fakat bu düşük bir ihtimaldir.
Soru 11: User ID (uid/UID) nedir?
User ID, Bylock'ta kullanıcı hesabı açan herkese sistemin otomatik olarak verdiği bir kayıt numarasıdır. Muhtemelen 1'den başlayıp 500bin'e kadar gitmiştir. User ID'ler benzersizdir (unique) ve TC Kimlik No gibi, kullanıcı hesaplarındaki tüm bilgiler, User ID altında kaydedilmiş durumdadır. Örneğin mesajlaşma bilgileri IP Adresi vb. detaylar içermez. 444 User ID, 555 User ID'ye, falan mesajı attı diye kaydedilir.
BYLOCK HAKKINDA GENEL BİLGİLER
Soru 12: Bylock kriptolu bir haberleşme programı mı?
Bu propaganda amacıyla söylenen klişe bir laf. Tabi ki kriptolu, çünkü dünyada artık kriptosuz haberleşme diye birşey neredeyse yok. Tüm cep telefonu görüşmeleri, https'le başlayan tüm web siteleri gezintileri, whatsapp vb. tüm haberleşme programları, araya giren birisinin bu mesajları rahatlıkla okuyamaması için kriptoludur (yani hepsi encryption kullanır).
Soru 13: Bylock kim tarafından yazılmış?
Tilki lakaplı FETÖ'cü Atalay Candelen tarafından yazılmış. Fakat Apple Store'a arkadaşı David Keynes'in (Alparslan Demir) kredi kartı ile kaydolduğundan, sahibi David Keynes olarak gözüküyor. Detayları İsmail Saymaz'ın röportajında var. Ben röportaj içeriklerinin büyük oranda doğru olduğunu düşünüyorum.
Soru 14: Bylock FETÖ'ye özel mi yazılmış?
Muhtemelen hayır. Çünkü gerçekten çok acemi işi bir yazılım. Zira:
a) Şifre Kuralları (Password Policy) yok. Oysa en basit bir web sitesine bile kayıt olacağınız zaman, sizden Büyük-Küçük Harf ve bir rakam içeren ve en az 6 karakterden oluşan bir şifre oluşturmanızı isterler. Bu, deneme yanılma yöntemi ile şifrelerin çözülmesini zorlaştırmak içindir. Oysa MİT raporuna göre Bylock'ta kullanılan şifrelerin %85'i basit şifreler. 1234, 123456, 1453, 0, asdfgh, qwerty, vb. klasik şifrelerin her biri yüzlerce kişi tarafından kullanılmış. 0 diye şifre kullanımına izin veren bir programı ortaokul çocuğu bile yazmaz...
b) Şifreleri sunucuda kaydetmek için MD5 hash algoritması kullanmışlar. MD5, 2012 yılında büyük açıkları bulunduğundan beri kullanılmayan, güvensiz bir hash algoritması. Ayrıca MD5'la kaydedilmiş şifreleri çözmek için trilyonlarca şifrelik veri tabanları (Rainbow Tables) internette mevcut. Yani 2014 yılında "gizli haberleşme" için kod yazan birinin bu algoritmayı kullanması çok anlamsız. Ya programcı Siber Güvenlik dünyasından haberi olmayan acemi biri, ki o zaman neden programı yazma işini ona vermişler? Hiç mi iş bilen adam yokmuş? Ya da kasten yapmış...
c) Program her türlü giriş/çıkış ve işlem kayıtlarını hem de çok uzun bir aralığı kapsayacak şekilde tutmuş. Gizli bir örgüt yazılımı olsa, bu kayıtların büyük çoğunluğunun tutulmaması gerekir. Hücre tipi yapılanmayla çalışan gizli bir örgütün, her türlü arşiv kaydını tutması o kadar anlamsız ki.
d) Program sunucusu olarak Litvanya'da sunucu hizmeti veren ticari bir şirketin sunucuları kullanılmış. Gizli bir örgütün tüm üye bilgilerini ve haberleşme içeriklerini bir ticari şirketin sunucusuna koyması mantıksız. Hele kendisi ABD emrinde iken, bu bilgileri Litvanya gibi Rus etkisinde bir ülkenin sunucularına koyması iyice mantıksız.
Fakat öte yandan, 15 Kasım 2014'te bir şekilde tespit edildiklerini farkettikleri için VPN şartı getirmeleri, programın kontrolünün FETÖ'nün elinde olduğuna da kuvvetli bir işaret.
Gene bunun zıddına olarak, belki flash disk bulundurma ve taşıma nizamnamesi yayınlayacak kadar dijital bilgilerini korumaya dikkat eden bir örgüt, kendi yazdığı programı kullanmayı bırakacak ve Şubat 2016'da tüm örgüt içi haberleşme bilgilerini tutmuş olan o sunucunun ücretini ödemeyi bırakacak ve yüzbin kişilik örgüt şeması çıkarılabilecek kadar detaylı bilgiyi Litvanya'da bir bilgisayar üzerinde terkedecek..
Ortada büyük bir gariplik var ama nedenlerini çözemiyorum. Sanki gerçekten hem kendi tabanlarını, hem de alakasız kişileri kurban etmek için kurulmuş bir düzenek gibi.
Soru 15: Bylock'u sadece FETÖ'cüler mi kullanmış?
İsmail Saymaz röportajında David Keynes'in verdiği %90 oranına ben de katılıyorum. Bu program müstakil yazılmış da olsa, sonra bir şekilde FETÖ içinde yaygınlaşmış ve büyük bir kesim tarafından kullanılmaya başlanmış. Öyle ki kullanıcılarının tamamına yakını FETÖ'cülerden oluşmuş. Ama bunların haricinde de bu programı indirip kuran ve kullananlar olmuş.
Programın (artık sadece web arşivlerinde bulunan) Google Play sayfasındaki yorumlarda rastgele sorular soran yabancı kullanıcı yorumları da bulunmakta. Merak edenler aşağıdaki linkten bakabilirler. (Link, zaman makinası niteliğindeki zararsız bir web arşiv linkidir. Bylock sunucusu zaten çoktan kapanmış durumda.)
https://web.archive.org/web/20140818062556/https://play.google.com/store/apps/details?id=net.client.by.lock
Burada altta yorum yapan kullanıcıların Google+ sayfa linkleri de halen duruyor. Örneğin ilk yorumcu muhtemelen uzakdoğulu olan şu şahsiyet:
https://play.google.com/store/people/details?id=116403911064032531572
O yüzden program sadece FETÖ'cülere has denemez. Ama FETÖ'cülerin bu programı kendi aralarında yaydıkları ve çok kısa süre içerisinde yüzbinlerce kullanıcıya ulaşmasını sağladıkları ortada. Zaten MİT raporu da aynı şeyi söylüyor.
Soru 16: Bylock'ta kaç kullanıcı varmış?
MİT'in elde ettiği veri tabanında, 215.092 adet kullanıcı bulunduğu bilgisi verilmiş. APK sitelerinde 500-600bin adet indirme olduğu bahsi var. Fakat telefonu yenilediği için veya fabrika ayarlarına döndüğü için programı tekrar indirenler, belki versiyon yenileyenler vs. göz önüne alınırsa, 215bin kullanıcıya mukabil 500bin indirme normal bir rakam. Dolayısıyla 215.092 adet kullanıcının var olduğunu kabul edebiliriz.
Fakat sonraki sayfalarda en az 1 mesaj atmış olan kullanıcı sayısı 60.473 adet olarak verilmiş. Sadece sesli mesaj için kullanan kişi sayısı da 46.799 olarak verilmiş. Programın mail/dosya gönderme, mesaj gönderme ve sesli arama haricinde bir kullanım yöntemi olmadığına göre, en az bir mesaj atmış olanlarla, sadece sesli arama için kullanmış kişilerin (yani hiç mesaj atmamış olanların) sayısı toplanırsa, (sadece mail atanlar vs. istisna edilirse, yaklaşık olarak) tüm kullanıcı adedini vermesi gerekir. Bu da demektir ki 107.272 kişi (veya biraz daha fazlası) programı herhangi bir şekilde kullanmış. Bu durumda, herhangi bir içeriği olmayan, yani mesaj atmamış veya sesli arama gerçekleştirmemiş, 107.820 kişi var.. Bu da tüm kullanıcıların neredeyse %50'si demek.
Bu garip bir durum. 100bin kişi, programı indirmiş ve kullanıcı hesabı oluşturmuş ama programı kullanmamış. Neden?
Yoksa kullanmışlar ama bilgileri mi silinmiş? Bilerek silinmiş ise, geri kalan 107bin kişinin içerikleri neden silinmemiş? Yanlışlıkla silinmiş olsa, 60 bin kişinin ortalama 284 mesajı silinmemiş ve ele geçirilmiş, ama 107bin kişinin tüm haberleşme içerikleri mi silinmiş? İstatistiksel olarak çok anlamsız.
Belki de Bylock'un tespit edildiğini farkettikleri için (15 Kasım 2014'teki VPN şartı getirmeleri gösteriyor ki, farketmişler) log tablosunu kendileri bir o kadar da satır ekleyerek kalabalıklaştırdı. Ama bu sonradan eklenenleri sadece log tablosuna ekledikleri için, herhangi bir haberleşme içerikleri de olmadı. Kimbilir..
Soru 17: Bylock hangi telefonlara ve nereden/nasıl yüklenmiş?
Android telefonlara (Samsung, HTC vs.) 11 Nisan 2014'ten, 3 Nisan 2016'ya kadar Google Play Store'dan, iPhonelara Nisan 2014'ten 7 Eylül 2014'e kadar Apple Store'dan indirerek kurulabilmiş (Bylock programı, iOS 6 ile uyumlu olmadığı için, Eylül 2014 gibi devreden çıkıyor). Bu tarihler dışında, Android telefonlara "apk" dosyası indirilerek dışarıdan da kurulabilmiş. Fakat iPhone'lara dışarıdan kurulması çok zor (mümkün, ama zahmetli ve teknik bilgi gerektiren bir işlem olduğu için, yapabilen çok azdır). Blackberry ve Windows telefonlara zaten kurulamıyor.
Soru 18: Bylock sadece flash disk ile dışarıdan mı kurulabilir?
MİT Raporunda bile Bylock'un 2014 yılı başlarında Google Play'de kullanıma sunulduğu yazmakta. Zaten tüm arşivlerde bu durum açıkça görünüyor. Dolayısıyla Bylock yaklaşık 2 yıl boyunca internetten indirilip kurulabiliyormuş. Google/Apple Store'a konulmadan önce veya Store'dan kaldırıldıktan sonra apk/mail vb. yöntemler ile kurulmuş da olabilir. Ama belli bir süre boyunca internetten serbest indirime açık olduğu ve (az sayıda da olsa) FETÖ veya Türkiye ile hiç alakası olmayan yabancılar tarafından da indirilip kullanıldığı açık.
Soru 19: Bylock'a bağlanmak için referans gerekiyor mu?
Hayır. Doğrudan hesap açarak kullanılabiliyormuş. Fakat bir kullanıcı listesi vs. olmadığı için, haberleşmek istediğiniz kişinin kullanıcı numarasını alarak eklemeniz gerekiyormuş. Bu da 10 veya 12 rakamlı telefon numarası gibi bir dizi karaktermiş (111AB2233CD4 gibi) . Dolayısıyla programı herkes kurabiliyor, ama biriyle haberleşmek için haberleşeceğiniz kişiden telefon numarası alır gibi Bylock numarasını almanız gerekiyormuş. Bu işlem kulaktan kulağa yoluyla Türk basınına düşünce, referans numarası zannedilmiş. (Ayrıca Bylock'a kaydolan herkese programın kendi içinde atadığı bir User ID / Kullanıcı Kodu var, bu farklı birşey. Bu 1'den başlayıp 600.000'e kadar giden bir sıra numarası).
Soru 20: Bylock'ta 16-24 karakter arası şifre mi kullanılmış?
MİT'in çözümlediği şifreler arasında bir tanesi 1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p diye 38 karakterli bir şifreymiş. Fakat bu şifre aslında klavyedeki tuşların yukarıdan aşağıya sıralı basımı olduğu için, çok düşük entropili bir şifre ve bu yüzden basitçe kırılmış. Bunun haricinde tek tük uzun şifre örnekleri vermişler. Ama MİT Raporuna göre (çözebildikleri) şifrelerin %65'i 8 karakter ve altında, %35'i de 9 veya 10 karakter (az sayıda da 10 karakter üzeri şifre vardır).
Soru 21: FETÖ'cülerde bulunan 1 Dolarların Bylock şifresi olduğu iddia ediliyor.
Tamamen magazinsel bir haber. MİT raporunda çözülmüş şifre örnekleri var. Şifreler klasik insan şifreleri. 1234 gibi yüzlerce basit şifre var. Öyle hepsi dolar seri numarası olsa şifrelerdeki benzerlik anında göze batardı zaten.
O 1 dolar mevzusu benim anladığım kadarıyla, Fetullah'ın müritlerine gönderdiği paralar. Hatıra niyetine saklamışlar/saklıyorlar. Bir kısmı da belki masonik işaretlerden vs. ötürü veya hatıra para niyetiyle tutmuştur, bilemiyorum. Ama Bylock şifreleriyle veya kullanıcı kodlarıyla bir bağlantısı yok. Bu kesin.
Soru 22: Bylock nasıl kırılmıştır?
Bylock sunucusunun satın alındığı veya Litvanya'ya gidilerek sunucuların bulunduğu binaya sızıldığı vb. genel kanaatlerin aksine, MİT raporunda verilen ekran görüntülerinden benim anladığım şu:
MİT, Google Store / Apple Store'daki Bylock yazılımının iletişim bilgilerine / ödeme bilgilerine ulaşıp, dashjohn@yandex.com adresini kullanan birisi (muhtemelen David Keynes, ya da Atalay Candelen) adına kayıtlı olduğunu öğreniyor. Sonra da Yandex Maili hackleyerek (ya da Rus istihbaratı ile işbirliği yapıp şifresini alarak) dashjohn@yandex.com'un maillerine ulaşıyorlar. Oradan mesaj içeriklerinde "160.137" araması yaparak, Baltic Servers tarafından 08.08.2014 tarihinde David Keynes'e gönderilen sunucu bilgileri mailine ulaşıyorlar. Orada da sunucuya Username: root, Password: 4Pxvw68VV kullanılarak login olunabileceği bilgisini alıyorlar ve uzaktan telnet/ssh gibi bir yöntemle Bylock sunucusuna bağlanarak, sunucu içerisindeki kayıtları ele geçiriyorlar. Devamında muhtemelen bir undelete (geri çağırma) yazılımı kullanarak sunucuda silinmiş bilgilerden de kurtarabildiklerini kurtarıyorlar.
MİT Raporu zaten neredeyse açıkça bu durumu anlatmış. "
Söz konusu kanuni yetkiye (MİT Kanunu Md. 6) istinaden, Teşkilata özgü teknik istihbarat usül, araç ve yöntemleri kullanılmak suretiyle Bylock uygulamasına ait sunucular üzerindeki veriler ile uygulama sunucusunun ve IP adreslerinin satın alındığı e-posta adreslerinin içerikleri başta olmak üzere muhtelif veriler elde edilmiştir."
Yani MİT'in kendisi bu e-posta adresinin içeriklerinin istihbari yöntemlerle elde edildiğini söylemiş. O içerik elde edildikten sonra zaten sunucuya direk telnet/ssh/ftp bağlantısı kurulabileceği ve sunucudaki tüm bilgiler alınabileceği için, başkaca bir işleme gerek de yok.
Bu faaliyetin CMK'ya bakan yönleri üzerinde hukukçular ayrıca yorum yapabilir.
Bu arada FETÖ'nün gizli haberleşme programı için kullandığı yazışma adresinin, Rus hükümetinin her türlü baskısına açık olan Yandex'ten alınması da ayrı bir garabet...
Soru 23: Bylock sunucusu MİT tarafından satın alınmış. Mahkeme kararında var.
İki şeyi bir birine karıştırmayın. Bir şeyin mahkeme kararı olması, bunun gerçek olduğunu göstermez. Örneğin ben mahkemeye başvursam ve doğum yılımı 1970 olarak düzelttirsem, gerçekte 1970'te doğmuş olmam.
Tabi ki mahkeme "Bylock sunucusu satın alındı" diyecek. Çünkü yüzlerce kez mahkemelere itiraz edildi "Bunlar istihbarat kapsamında elde edilen bilgiler, mahkemelerde kullanılamaz" diye. Mahkemeler ne desin? "Evet haklısınız, bu kadar yargılama yasal olmayan deliller üzerinden yapılıyor, hadi herkes evine" mi?
Ama o kararın doğru olmadığını, bizzat MİT Raporunun kendisinden anlayabilirsiniz (Bu rapor da tüm mahkemelere gitti ve dosyalara girdi).
"
3.1 Dayanak ve Yöntem:
...
(özetle) MİT Kanunu Madde 6.d'ye göre istihbarat faaliyeti yapabiliriz...
devamında aynen şu ifade var:
"
Söz konusu kanuni yetkiye istinaden Teşkilata özgü teknik istihbarat usül, araç ve yöntemleri kullanılmak suretiyle Bylock uygulamasına ait sunucular üzerindeki veriler ile uygulama sunucusunun ve IP adreslerinin satın alındığı e-posta adreslerinin içerikleri olmak üzere muhtelif veriler elde edilmiştir."
devamında gene:
"
Devletin teknik istihbarat faaliyetlerine ilişkin imkan ve kabiliyetlerin açığa çıkarılmaması ve istihbarata karşı koyma amacıyla, verilerin temin edilmesine ilişkin hassas yöntem, usul ve araç|ara yer verilmemiştir."
Satın almış olsalar lafı bu kadar dolandırmazlar.
Soru 24: Playstore'da 2014'te iki tane Bylock varmış, birini MİT yazmış diyorlar?
Yaptılarsa ve yutturdularsa helal olsun. Ama doğrudan göze batardı diye tahmin ediyorum. Gene de yapmışlarsa, bir kısım acemileri oltaya düşürmüş olabilirler. Aslı var mı araştırmak lazım.
Soru 25: Bylock sunucusu orjinalde Kanada'da imiş diyorlar?
Bylock'u yazmak ayrı, Google Play Store'a koymak ayrı, programın işleyişi ile ilgili sunucu (server) ayarlamak ayrı işler. Sunucu'yu Litvanya'dan kiralamışlar. Kanada değil. Baştan beri de aynı sunucuyu kullanmışlar muhtemelen. Çünkü farklı birşey duymadım. Ödeme bilgileri/belgeleri vs. de bunu gösteriyor.
Soru 26: Morbeyin adlı şirketin Freezy/Kıble Pusulası gibi programlar vasıtası ile milleti Bylock kullanmış gibi gösterdiği ortaya çıktı. Bunun haricinde de başka birşey yapmış olabilirler mi?
Benim bir yılı aşkın süredir çırpınarak söylemeye çalıştığım şey de bu. Bu adamlar bu kadar dikkatsiz, bu kadar beceriksiz değiller. Freezy'nin web arşivlerinde 2014 yılından kalma kayıtları var. 2014 yılındaki versiyonlarında bile bu program, hiç farkında olmayan kişilerin telefonları üzerinden Bylock sunucusuna bağlantısı kuracak şekilde ayarlanmış. Programı yazan kişiler TÜBİTAK'da vs. çalışan tescilli FETÖ'cüler ve şu an kaçaklar.
Bu ortada acaip bir planlama olduğunu gösteriyor... 2014 yılından bahsediyoruz. Darbeden 2 sene önce, insanlar Bylock'tan tutuklanmaya başlamadan 2 yıl önce. O tarihte neden alakası olmayan insanları Bylock kullanmış gibi göstersinler? Ortalığı bulandırmak ve kendi üyelerini gizlemek için değil mi? Demek ki Bylock'tan tutuklanacaklarını biliyorlar. Peki o zaman neden Bylock sunucusunu adam gibi temizlememişler?? Neden tüm kayıtları orada bırakmışlar? Muhtemelen gerçekçi olsun diye kendi tabanlarını da bilerek kurban etmişler ki sapla saman karışsın, memleket yangın yerine dönsün diye. Demek ki darbede başarılı olmayacaklarını biliyorlar. Ya da darbeyi zaten başarılı olmamak üzerine kurgulamışlar. Demek ki daha o tarihte yapılmış bir fitne-fesat ve iç savaş kurgusu var... Yok diyenler buyursun bu durumu izah etsin.
BYLOCK KULLANIMININ TESPİTİ
Soru 27: Bylock kullananların kimlikleri nasıl tespit edilmiş?
İlk başta sadece Bylock sunucusundan ele geçirilen veri tabanı kullanılarak kimlik tespiti yapılmış. Çok sonraları, operatörlerden bilgi istenilerek, 46.166.160.137 numaralı Bylock IP adresine çıkış yapan IP adreslerinin kullanıcı bilgileri istenilmiş ve buradan ayrı bir liste oluşturulmuş.
Soru 28: Bylock sunucusundan alınan bilgilerle kimlik tespiti nasıl yapılıyor?
Bylock programındaki "Action" tablosundaki 8. satırda Login bilgileri var. Bylock programına bağlanan kişilerle ilgili "User ID, Bağlanma Zamanı, Bağlanan IP, Telefon İşletim Sistemi, Bylock Programının Yazılım Versiyonu" bilgileri sunucuda bulunan bir veri tabanında log tablosu olarak tutulmuş. Bu tablodan elde edilen IP adresleri ve bağlantı zamanı bilgileri operatörlere gönderilerek, kullanıcı bilgileri istenilmiş. Operatörler de gelen bilgilere karşılık gelen kullanımın, hangi TC numaralı şahıs üzerine kayıtlı olduğunu tespit edip onun kimlik bilgilerini göndermişler.
Örneğin Bylock sunucusunda aşağıdaki gibi bir log satırı var:
"UserID: 113049; Bağlantı Zamanı: 00:27:55 11-12-2015; Bağlanan IP Adresi: 206.190.151.208"
MİT operatörlere yazı yazarak "11-12-2015 tarihinde, saat 00:27:55'te 206.190.151.208 numaralı IP adresini tahsis ettiğiniz kişi kimdir?" diye soruyor. Operatörlerden birisi cevap veriyor "IP adresi bize ait, o saatte o IP adresinin tahsis edildiği kullanıcı falan kişidir" diye. Bu bilgiye dayanarak o şahıs Bylock listesine ekleniyor.
Soru 29: Operatörlerin loglarına dayanarak (CGNAT logları) kimlik tespiti nasıl yapılıyor?
Operatörlere yazı yazılarak "2014-2016 tarihleri arasında 46.166.160.137 numaralı IP adresine bağlanan kullanıcı bilgileri" isteniliyor. Operatör de kullanıcı bilgilerini gönderiyor.
Soru 30: Bu ikisi arasındaki fark ne?
İlkinde sunucudaki giriş bilgilerine dayanılarak kimlik tespiti yapılıyor. İkincisinde operatörlerdeki çıkış bilgilerine dayanılarak kimlik tespiti yapılıyor. Sunucudaki login tablosu üzerinde, sunucunun sahibi sonradan oynamış olabilir. Operatörlerdeki IP çıkış bilgileri arasında ise, gerçekte sunucuya hiç bağlantı gerçekleştirememiş çıkışlar olabilir.
Yani iki ülke arasındaki yolcu trafiğinde, birinde karşı ülke giriş gümrüğüne soruyorsunuz "Size buradan kim geldi?" diye, birinde bizim çıkış gümrüğüne soruyorsunuz "Buradan karşı ülkeye kim çıktı" diye. Hangi tarafın kayıtlarına ne kadar güvenebileceğiniz size kalmış. Bizde çıkış kaydı olup, karşı ülkeye hiç gitmemiş vatandaşlar da olabilir (Freezy vb. Morbeyin uygulamalarının yaptığı bu); karşı tarafta giriş kaydı olup, gerçekte oraya hiç gitmemiş vatandaşlar da olabilir (örn. Atalay Candelen/David Keynes vb. birisi sunucudaki logları değiştirmişse).
Soru 31: Operatörlerin kayıtları ne kadar güvenilir?
Bu sorunun cevabı operatörlerin kayıt tutarken gösterdikleri özene ve kullandıkları yazılımlara ve donanımlara bağlı olarak değişir. Büyük oranda güvenilir oldukları söylenebilir. Ama yazılım/donanım hatalarından veya kayıt tutma standartlarına uymama gibi sebeplerden ötürü operatör kayıtlarında hatalar olabilir.
Soru 32: Operatör kayıtları sonradan değiştirilebilir mi?
Normalde kayıtlar tutulurken, güvenilir bir sunucu ile (timestamp server) senkronize olarak zaman damgalı olarak tutulur ve sonradan değiştirilemez olmaları gerekir. Fakat her halükarda dijital veri söz konusu olduğu için, yeterli teknik bilgi ve/veya donanım erişimi olan kişilerin (örneğin operatörde çalışan kripto FETÖ'cüler) bu kayıtlara sonradan ekleme/çıkarma yapması da mümkündür.
Soru 33: 15 Kasım 2014'ten sonra Bylock'a bağlanmak için VPN kullanılmış. 15 Kasım 2015'ten önceki loglar da silinmiş. O zaman kullanıcıları neye göre tespit etmişler?
MİT Raporunda bu engellemenin 17.11.2014 tarihinde yapıldığı, 15.11.2014 tarihinden önceki logların da silindiği yazıyor. Fakat bana gönderilen içerikler arasında 8 Kasım 2014'ten sonraki kullanımlarla ilgili loglar var. Bu durumda iki ihtimal var.
a) Engelleme işlemini 17 Kasım 2014'te yapmışlar, ama 8 Kasım 2014 öncesi logları silmişler. O arada kalan 6 günlük loglardan yola çıkarak çok kişiyi tespit etmişler.
b) Silme işlemini tek seferlik yapmışlar. O yüzden silinen loglar undelete yöntemi ile geri getirilmiş.
Soru 34: 2015 yılında Bylock kullandığım iddia ediliyor. 2015 yılında VPN'siz bağlanılmıyorsa, benim kullandığımı nasıl tespit etmişler?
a) VPN şirketine yazı yazarak, o tarihte VPN'in size tahsis ettiği IP adresine bağlanan IP adresinin ne olduğunu sormuş olabilirler. Ama bu yorucu bir bürokratik işlem olduğu için, nadir bazı durumlar haricinde çok yapıldığını zannetmiyorum.
b) 15 Kasım 2014 öncesi bağlantı loglarından kimlik tespiti yapıp, o User ID'nin sonraki bağlantılarını da bağlantı olarak yazmışlardır. Bu durumda 2015'te herhangi tarihte VPN'den bağlanmış da olsanız, zaten kimlik tespiti daha önceden yapılmış olacağı için birşey değişmeyecektir.
Soru 35: Avea bana IP+port bilgisi verirseniz size gerçek kullanıcıyı verebilirim diyor. MİT IP'leri sunucudan aldıysa port bilgisini nereden bilecek. Sunucuda IP harici port bilgisi de var mı?
Sunucuda sadece IP Adresi bilgisi var. Programın portu zaten belli, 443. Ama bu port karşı tarafın bağlantı portu. Buradaki çıkış portu herhangi bir porttur. Dolayısı ile siz Avea'ya port bilgisi veremezsiniz. İşin garibi, bu bilgiyi size ancak Avea verebilir.. Sizden niye istiyor ki?
Soru 36: Eşimi bylock yüklendiği tespit edildiği gerekçesi ile tutukladılar. Siber suçlarda geçmişe yönelik araştırma yapıp eşimin bu programı yüklemediğini, veya yüklendiyse hangi tarihte yüklendiğini bulamazlar mı?
Tekrar edeyim. Tespit ettikleri "Eşinizin Bylock yüklediği" değil, "Bylock sunucusunda bulunan IP adresinin, eşinize ait hat üzerinde gözüktüğü".
Telefona yükleyip yüklemediği, telefonun Bilirkişi incelemesi ve telefonda kurulu Google Hesabının uygulama geçmişinin Google'dan istenmesi sonucunda netleşir.
Siber Suçlar o tarz şeylerle ilgilenmez. Normal zamanlarda belki de, şu aralar kimse bakmaz bile. Bilirkişiye gönderirler. O da programın yüklü olup olmadığına bakar. Hangi tarihte kurulduğuna bakmaz. Ayrıca talep ederlerse, biraz uğraşırsa tarihle ilgili detay bulabilir de, bulamayabilir de... Program kurulduktan sonra telefonda bir değişiklik olmadıysa, bulunur. Ama silindiyse, tarihini tespit etmek telefonda ne kadar iz kaldığına bakar... Her zaman da mümkün olmaz.
BYLOCK KULLANIMI İLE İLGİLİ GENEL SORULAR
Soru 37: İkinci el telefon alacağım ama ya telefonun önceki sahibi Bylock'çu ise ben Bylock kullanmış görünür müyüm?
Normalde Bylock kullanımlarını sadece IP Adresi üzerinden (sunucudan veya operatörden alınan IP adresi bilgileri üzerinden) tespit ettikleri için, bir problem olmaması gerekiyor. Şimdiye kadar IMEI numarası üzerinden bir tespit yaptıklarını ve telefon sahibine soruşturma açtıklarını duymadım. Farzı muhal öyle bir durum olursa, onun da izahı kolay. Bylock kullanıldığı iddia edilen tarihte, o telefona takılı olan hat bellidir. O hattın size ait olmadığını söylediğinizde, kontrolünü yaparlar ve öyle olmadığını zaten görürler. O yüzden ikinci el telefon almakta ufak bir risk olsa da, çok da korkacak bir durum yok.
Soru 38: Bana gelen tespit tutanağında 40 mail aldığım ama 1000 mail okuduğum görünüyor. Bu tutarsız değil mi?
Sunucu log tutarken, (muhtemelen programlama hatasından) bazı yerlerde her saniye log tutmuş. Örneğin siz maili okumaya başlamışsınız, 10dk boyunca mail açık kalmış, o arada program 600 tane mail okumuşsunuz gibi her saniye mail okuma logu kaydetmiş.
Soru 39: Tespit tutanağında gelen mesaj 35, okunan mesaj 45 diyor.
Aynı mesajları sonradan tekrar okumuş olabilirsiniz.
Soru 40: Bazı kullanıcıların birkaç ayda binlerce kez Bylock kullandığı iddia ediliyor. Bu nasıl olabilir?
Bu da muhtemelen yukarıdaki gibi, sunucunun log tutma sisteminden (ya da hatasından) kaynaklanıyor. Gün içerisinde belki 1 tane bile mesaj atmamış bir kişinin telefonu, belki 10 dakikada 1 (yani günde 100 kere) Bylock sunucusuna bağlanıp mesaj olup olmadığını kontrol ediyor. Bu durumda kişi bir ayda 3000 kere, bir yılda 36.000 kere Bylock bağlantısı kurmuş görünüyor.
Ya da sunucu logları normal tutmuş ama, CGNAT kayıtlarında, her port değiştirdiğinde tekrar bağlantı kurmuş gibi gözüktüğünden, toplamda 10 dakika süren tek bir bağlantı, yüzlerce satır olarak gönderilmiş ve yüzlerce bağlantı varmış gibi gözükmüş.
Soru 41: 15 Kasım 2014'ten önceki loglar silinmiş ve sonrası için VPN şartı getirilmiş deniyor. O zaman 2015 yılındaki kullanımlara ait bilgileri nasıl elde etmişler?
15 Kasım 2014 öncesi loglar ya silinmemiş, ya da kurtarılmış. Veya büyük ihtimalle, VPN şartı 17 Kasım 2014'te getirilmiş ama 1 Kasım 2014 öncesi loglar silinmiş. Dolayısıyla bu aradaki logları kullanarak, User ID'ye göre tespit yapıyorlar. Yani şöyle:
5555 User ID'li kullanıcı, 10 Kasım 2014'te XX IP Adresinden bağlanmış. Bu IP Adresi, Ahmet oğlu Mehmet'in adına kayıtlı imiş. Bu durumda 5555 User ID'li kullanıcı bu kişidir. Bu User ID'si ile, sonradan 100 kere daha login olmuş. Sonraki 100 loginin hepsi de VPN kullanılarak yapılmış, fakat önemli değil. Çünkü en baştaki IP Adresinden kimliği tespit edildiği için, sonraki kullanımlarda tekrar kimlik tespitine gerek yok.
Soru 42: Yüzlerce bağlantı var diyorlar ama, ben 1 kere bile Bylock kullanmadım. Bu kadar yoğun kullanımda bir hata nasıl olur?
Yukarıda izah edildiği gibi, yüzlerce bağlantının çoğu, VPN kullanıldığı döneme ait ise ve Bylock kullananın kimliğini tespit işlemini VPN kullanılmamış olan ilk bir veya birkaç bağlantıya göre yapmışlarsa, bu durumda rahatlıkla hata olabilir. Örneğin şahıs Avea üzerinden bağlanmış, IP adresi belli, oradan kimlik çıkarıyorlar. Ama saat/adres/loglarda hata olsun ve yanlış kişiyi tespit etmiş olsunlar. Aynı kişi sonradan VPN üzerinden 100 kere bağlandıysa, toplamda 100 bağlantı var, yoğun kullanılmış diyebilirler. Bu, yapılan kimlik tespitinin birden fazla IP adresine dayandığı anlamına gelmiyor.
Soru 43: İlk defa 2015 yılında Bylock kullanmışım. Oysa o tarihlerde VPN kullanımı zorunlu imiş. O zaman bunu nasıl tespit etmişlerdir? Bir bilişim uzmanı "Sunucudan çıkan VPN IP'sine hangi IP'nin bağlandığını BTK'ya sormuşlardır" demişti. Böyle olabilir mi?
1. 17 Kasım 2014'te VPN şartı getirilmiyor. Neredeyse tüm Türkiye IP'leri banlandığı için, VPN'siz bağlanamaz oluyorsunuz. Ama bu IP banlaması %100 alanı kapsamaz, kapsamıyor. Kıyıda köşede kalan farklı IP'lerden, örneğin kendi IP adresi olan üniversiteler veya özel şirketlerden alınan sunucu hizmetlerinde vs. kullanılan IP adresleri banlanmamış olabilir. Dolayısıyla bu adresler tespit edilmiş olabilir.
2. VPN şirketinden bilgi almış olabilirler. Falan tarihte falan IP çıkışını yapan kullanıcının giriş IP Adresi nedir diye. Ama yüzbinlerce IP'yi sorup cevap almak yıllar sürer. Ayrıca Avrupa'da bireysel IP'lere ait ayrı ayrı mahkeme kararları olmadan bilgi de vermezler. O yüzden de böyle bir işlem yapıldıysa da ancak kısıtlı sayıda yapılmıştır.
3. Türkiye 17/25 Aralık sürecinde bir süre DNS Hijacking yapmıştı. (Yani adres listeleri üzerinde oynamıştı da, atıyorum DNS'e microsoft.com neresi diye sorduğunuzda, Amerika'daki ana sunucuyu değil, Mamak'taki bir bilgisayarı gösteriyordu)
Yani vatandaş VPN'e bağlanıyorum zannedip, aslında TİB'deki bir sunucuya bağlanıyor oradan da VPN sunucusuna bağlanıyor olabilir. TİB'deki sunucuya açık (şifresiz) bağlantı yapacağı için, oradan VPN'e çıkıp, oradan da Bylock'a bağlanması izlerini gizlemez.
4. https çalışmıyordur ve VPN sunucusu ile şifresiz haberleşmişsinizdir. Bu durumda tüm veri paketleri incelenebileceği için, oradan tespit etmişlerdir.
Öteki türlü size söylenen anlamsız. Çünkü VPN sunucusunun IP adresi ile, VPN sunucusunun size verdiği çıkış IP'si genellikle aynı olmaz.. Yani giriş çıkışları gizlemek için kurulmuş 1 giriş kapısı, 100 çıkış kapısı olan bir evden, girdiğiniz kapıdan çıkmazsınız. O yüzden VPN'in bağlantı adresi ayrıdır, size verdiği çıkış adresi farklıdır. Öyle direk BTK logları üzerinden karşılaştırıp tespit yapamazlar. Yaparlarsa hatalı olur.
Soru 44: Ben Bylock'u Google Play'den indirmişim. Ne zaman indirdiğimi de hatırlamıyorum. İzah etsem kendimi temize çıkarabilir miyim?
Zaten kullananların çoğu Google Play Store'dan indirmişler. Sonradan usb/flash/link yolu ile apk olarak kuranlar olmuşsa da, asıl rakamlar Google Play'de görünüyor. Dolayısı ile Google Play'den indirip kurmuş olmak sizi temize çıkarmaz. Gidip bağlantısız/alakasız olduğunuzu ispat etmeniz gerekir. O da "yok"un ispatı olduğu için zor iş. "Ben karımı aldatıyordum. Bu programı da Google Play'den şifreli haberleşme programı diye indirdim, sevgilimle yazışırken kullandım" diyen birini serbest bırakmadıklarını duydum. "Biz masonlar olarak aramızda kullanıyorduk" savunması yapan birine de itibar etmemişler. İddiaların doğruluk/yanlışlıklarını bilemem, ama bu tarz savunmaları dikkate almadıklarını biliyorum.
Soru 45: Bylock kullandığım iddia edilen IMEI numarası, iPhone telefonuma ait. Bu telefonda kullandığım Apple hesabıma indirilen tüm programların listesini mahkemeye versem beraat eder miyim?
Apple hesap bilgilerini isteyen mahkemeye vs. vermez ama, siz gidip aldınız ve mahkemeye sundunuz diyelim. O hesabın, Bylock kullanılan tarihte telefonda kullanılan hesap olup olmadığını ispatlamanız zor. Onu da ispatlasanız (veya sormayı düşünmeseler de o tarihteki hesabınız olduğunu farzetseler), lehinize delil olarak değerlendirilmesi gerekir. Çünkü Apple'da zamanında indirilmiş ve kaldırılmış uygulamalar da olsa, tüm bilgiler hesap detaylarında tutuluyor diye biliyorum.
Soru 46: Eşim Bylock iddiasıyla yargılanıyor ama iddia edilen telefon numarası, şirket hatlarından birisi.
Garabet bir durum ama, yapacak birşey yok. Eşiniz kendi şahsi kullandığı telefonun bilgisini ve Bylock kullanılan şirket hattının kime tahsis edildiğinin bilgisini Savcılığa ilettiği takdirde muhtemelen serbest bırakılacaktır.
Soru 47: Bylock kullanmadığımı MAC adresim üzerinden doğrulatabilir miyim?
MAC adresi hiçbir yerde (ne operatörde, ne sunucularda) tutulmamış. Zaten siz özel izin vermedikçe, MAC Adresi bilgisine dışarıdan kimse erişemez, o yüzden de genelde kaydı olmaz.
Soru 48: Bir avukat, müvekkiline ait kayıtları paylaşmış. HTS kayıtlarında çok kısa aralıklarla farklı şehirlerde olduğu görünüyor.
Adam aynı dakikada hem İzmir, hem Antalya'dan veya hem Forum, hem Esenler'den baz istasyonu kaydı alıyorsa,
a) operatörün bilgisayar saatlerinde bir tutarsızlık vardır (logları tutan bilgisayarların saatleri otomatik senkronize değilse ve yanlış ise, olmayan dakikalarda bağlantı gözükebilir).
b) CGNAT kayıtlarında problem vardır, başkasına ait olması gereken IP adresi, size ait gibi gösterilmiştir. O yüzden baz istasyonları farklı görünüyordur.
c) operatörde gizli FETÖcüler vardır, loglarla oynamışlardır.
d) IP adresi veya telefon numarası, kullanıcı adı vs. gibi eşleştirmeleri yaparken maddi hata (sehiv-yanlışlık vs.) yapmışlardır.
Ek olarak, 2g ve 3g'de telefon görüşmesi esnasında internet kesilir. Dolayısıyla aynı anda hem telefon konuşması, hem de internet bağlantısı varsa, bunlardan birisi kesinlikle yanlış demektir.
Soru 49: Saat senkronizasyonlarından kaynaklı hatalar olabilir mi?
Kimlik tespiti bilgileri, sunucuda bulunan bağlantı kayıtlarındaki IP Adresleri ve bunların bağlantı zamanları operatörlere sorularak elde edildiği için, burada oluşabilecek ufak bir dakika hatası bile yanlış sonuçlara yol açacaktır.
Örneğin sunucu saatinden ve bu saatin atıyorum Avea-Turkcell-Vodafone ile senkron olduğundan, GMT farklarından ve yaz saati tutarsızlıklarından kaynaklı hatalar olabilir.
Sunucuda görünen zamanları direk alıp kullandılarsa, sunucu log tutarken hangi zaman fonksiyonuna erişiyor, logları neye göre tutuyor, net olarak bilinmiyor olabilir. Örneğin C++'de zaman kaydı, time() fonksiyonu ile UTC +0 olarak tutulur. Ama adam fonksiyona bir satır ekleyip de bunu Litvanya veya Türkiye yerel zamanı olarak kaydettirmişse, bunu bilemeyebilirsiniz. Database Structure'ı çözmüş olmak, kodu tam olarak çözmüş olmak anlamına gelmez. Sunucunun saati otomatik senkronize edilmiyorsa ve 1-2dk ileri geri ise, alakasız bir sürü insanı bu zaman farkından itham etmiş olabilirler.
Yaz saati farklarından kaynaklı olarak Türkiye bazen Amman/Beyrut/Kahire ile aynı saat diliminde GMT+2, bazen de Bağdat/Tahran vb. ile aynı dilimde GMT+3 olur. Bu ülkelerin bazıları yaz saati kullanır, bazıları kullanmaz. Dolayısı ile programlanmış bir saat dilimi, yılın 6 ayında doğru, 6 ayında yanlış olabilir.
Oysa IP adresi dediğiniz şey, kimi insan için 3-5 saat, kimi insan için 3-5dk'lığına tahsis edilir. Hele baz istasyonu değiştikçe IP adresinin değiştiğini hesap ederseniz, 100'le giden bir arabadaki cep telefonunda 1 dakikada bir IP adresi değişebilir. Böyle bir durumda sizin tüm loglarınızın aynı saat diliminde ve aynı zaman sunucusu ile senkron olması ve saat dilimlerinin düzgün kodlanmış olması gerekir. Aksi halde hatalar kaçınılmaz olur ve tahminim olmuştur da.
Soru 50: Google'a yazı yazıp, benim telefonuma daha önce Bylock indirilmediğinin bilgisini isteyebilir miyiz?
Google Play'den telefon numarası veya telefon IMEI'si ile programa bakamazsınız. Google'da telefon modeliniz ve kullanıcı hesabınız kayıtlıdır. Dolayısı ile hesap içeriğinize Google hesabınız ile bakabilirsiniz. Google Türkiye'ye de mail atar-telefon açar ya da yazı yazarsanız, indirme geçmişinizi size verebilir. Daha önce alanların olduğunu biliyorum. Fakat bu Google hesabınızın, telefonunuzda 2014 yılında kullanılan Google hesabı olduğunu ispatlamanız gerekebilir.
Soru 51: "BTK, özel bir program sayesinde örgüt mensuplarının söz konusu IP adresine (46.166.160.137) bağlanıp bağlanmadığını araştıracak" dendi. BTK nın bu çalışması ile temize çıkar mıyız? AVEA da bir alicengizlik varsa, BTK nın kayıtları doğrusunu gösterir mi? AVEA ve BTK kayıtları farklı mı?
BTK'nın "özel program"ı, olsa olsa bir GET FROM WHERE... diye basit bir database sorgusudur. Yani ellerindeki log kayıtlarında Bylock IP adresine bağlandığı görünenleri listeyen basit bir yazılımdır. Fakat bu da aslında aynı şey. Ha logları Bylock sunucusundan almışlar, ha BTK'dan almışlar. Çok fark olacağını sanmıyorum. Tam tersi mağdur sayısını artırırlar o kadar.
Ayrıca, Avea'da bir alicengizlik varsa, o da aynen BTK'ya yansır zaten. Aradaki modemlerin sahibi BTK değil ki, Avea. O kayıtları Avea tutuyor ve BTK'ya veriyor/vermesi gerekiyor. Avea'da bir miktar FETÖ'cü varsa, ki vardır, o kayıtları da çok güzel manipüle edebilirler. (Normalde Timestamping Authority dedikleri herhangi bir sunucudan hashli olarak kayıt alınır, onlar da kolaylıkla değiştirilemez de. Avea bunu yapıyor muydu, eğer yapıyor idiyse bunu kim kontrol edecek, kim tasdik edecek vs vs. meçhul.)
Soru 52: İlk başta 215bin dedikleri kullanıcı sayısına şu an neden 102bin diyorlar?
215.092, Bylock sunucusundaki kayıtlı olan kullanıcı sayısı. Bu sayının bir kısmı mükerrer hesaplar, bir kısmı alakasız ülkelerden, bir kısmı indirmiş ama kullanılmamış, bir kısmının telefon hattı tespit edilememiş veya sahte kimlikmiş ve saire. Bunları ayıkladıkları için, son aşamada "102bin'e indirdik" diyorlar.
Soru 53: Eşim karakol komutanıydı ve karakola internet bağlattıkları zaman kendi adına aldı. Şimdi o ADSL hattında Bylock kullanıldı diye tutuklandı. Derdimizi nasıl anlatırız?
Eğer anlattığınız gibiyse, ispatlanması çok zor değil. Mahkemeye şöyle bir dilekçe yazın:
"ANKARA 19. AĞIR CEZA MAHKEMESİNE (ya da mahkeme ne ise)
Eşim 111111111 TC Kimlik Numaralı XXX, ....2016 tarihinden beri tutuklu durumdadır. İsnad edilen suç Terör Örgütü Üyeliği ve buna dayanak gösterilen delil de, ADSL hattı üzerinden Bylock kullanılmasıdır.
Eşim YYYY ilçesinde(ya da mahalle vs.) karakol komutanıydı (veya görevi ne ise). ADSL hattını kendi üzerine aldı ve karakoldaki herkes o hattın üzerinden internet kullandı. Bylock kullanılmışsa da, kimin kullandığını bilmiyoruz. Telefon incelemesi yapıldı ve temiz çıktı. Ayrıca eşimin bu örgütle hiçbir bağlantısı da yok.
Emniyet Müdürlüğüne müzekkere yazılarak, eşime ait olan hat üzerinden kullanılan Bylock'un kullanıcı adı her kime ait ise, bu kullanıcı veya kullanıcıların GSM hatları üzerinden de Bylock kullanıp kullanmadığı ve böylece gerçek kimliklerinin tespit edilebileceğini ve eşimin masum olduğunun bu şekilde anlaşılabileceğini düşünüyorum. Saygılarımla arz ederim."
Soru 54: Benim sevgilim 2014 ağustos ayında (o zamanlar 16 yaşında ve bu tarihte amcasıyla antalyaya tatile gitmiş telefonu bozulmuş tamirciye yaptırmış ama yüklediği güne mi denk geliyor hatırlamıyor) telefonuna bylock yüklenmiş gözüküyor. İlerleyen tarihlerde bu telefonu bozulduğu için annesi atıyor. Yine de tutuklu yargılanma kararı verildi. Gerekçe olarak 1-Telefon niye satılmadı da atıldı. 2-(biz lise 4 deyken) 1 yıllık zaman gazetesi aboneliği niye var? Sevgilim masumluğu nasıl ispatlanacak?
Sevgiliniz 16 yaşında FETÖ'cü mü olmuş da, tutuklanmış? Bunlar bir zamanlar "cemaat" iken, milletin çoluk çocuğuna ders verirlerken, evlerine gidip gelen binlerce insan vardı. Bunların hepsine FETÖ'cü denmez ki. Çocuk yaşta biri ne bilsin paralel devleti de, kumpası da, örgütü de. Zaman abonesi olsa ne olur? Gerçekten Bylock kullanmış olsa ne olur?
Hadi diyelim bunların dersanelerine, evlerine gidiyordu, ablaları vardı da ona da "telefonuna bu programı kur, bunun üzerinden haberleşiriz" dediler de, o da öyle yaptı vs. vs. Lise öğrencisi biri, FETÖ kapsamında ne gibi bir suç işlemiş olabilir?
16 yaşında birisi, olsa olsa bu örgütün mağduru olur. Üyesi olamaz ki.
Soru 55: BTK'dan gelen kayıtlarda Genel IP / Özel IP yazıyor. Özel IP dedikleri benim ADSL hattımı kullananların IP adresleri mi? Bu durumda ben temize çıkar mıyım?
Operatörler hat üzerinden çıkış yapan gerçek cihazın MAC Adresi veya IMEI bilgisini tutmaz, tutamaz. Bu sadece sizin evdeki modemde (ya da cep telefonunuzun iç modeminde/yazılımında) tutulabilir. O da kayıt tutuyorsa, ki %99'u tutmaz...
Yani siz ev internetinizi 4 kişiye kullandırsanız veya cep telefonunuzla hotspot açsanız ve 4 kişi oradan aynı anda internete bağlansa, tüm çıkışlar sizin IP'niz üzerinden gözükür. Operatör bunun 4 kişi olduğunu ayıramaz. Hepsini sizin hanenize yazar...
O BTK verilerinde görünen Genel IP, Özel IP vs. Operatörlerin Routerları (Modemleri) ve Networkleri (kendi içlerindeki ağ yapısı) ile alakalı.
Dolayısıyla, eğer internet paylaşımından kaynaklanan bir mağduriyet varsa, bunu giderebilecek bir sistemleri hala yok, kolay kolay olmaz da.
Soru 56: Avea mağduru olduğumu düşünüyorum. Mayıs ve Haziran aylarında mobil interneti hiç açmadım. Ama buna rağmen mayıs ayında 21 bağlantı ve 3 mb. kullanım, Haziran ayında ise 14 bağlantı ve 6 kb. kullanım görünüyor. Kullanımlar 1sn ve 2 saat arasında değişiyor. 2 saat internet kullanımında 1012 byte kullanım olur mu?
Cellular Data (hücresel veri) kapalı olduğunda normalde operatörün internetini kullanamıyor olmanız lazım. Ama 21 bağlantı gözüküyorsa bir gariplik var. Belki telefonu açıp kapatıyorsanız, açılırken data açık açılıp, sonra ayarlar devreye girip kapatıyordur, bilemiyorum. Ya da MMS gibi bir şey mi hesaplıyorlar da data yazıyorlar? Anlamsız...
2 saatte 1012 byte kullanım olabilir. Telefon bir yere bağlantı yapıp, hiçbir şey yapmadan bekleyip, 2 saat sonra veriyi kapatmışsa olabilir. Yani sadece handshake yapıp bekleyip sonra bağlantıyı kesmiştir. Hücresel veri kapalı iken 21 kere bağlantı ile 3mb internet kullanmış olmanız saçma. Avea'dan detaylarını isteyin bakalım ne diyecekler. Nerelere bağlanmışsınız vs. Size vermek istemezlerse mahkeme/savcılık kanalıyla müzekkere yazdırıp istetin.
Soru 57: İki sene önce taşındığım evdeki internet hattını ben devraldım. Eğer benden önceki kullanıcı Bylock kullanmışsa, bundan ben etkilenir miyim? Kısacası, ben devir aldığımda internet hattı veya IP adresi sıfırlanıyor değil mi?
Eğer internet hattının sizden önceki sahibi Bylock kullanmışsa, bu sizi normalde etkilemez. Çünkü bağlantı tarihleri vardır. O tarihlerde hattın sahibi olan abonenin bilgileri de vardır. Ama bu sonuç kayıtların ve kayıtları inceleyenlerin ne kadar düzgün olduğuna bakar. Düzgün kayıt tutmamışlarsa, hattın önceki sahibi siz de gözükebilirsiniz.. Bundan ötesi de kısmet.
Siz aboneliği devraldığınızda, önceki abonenin statik IP adresi yoksa (ki %99 yoktur) IP adresleri sıfırlanır. Sıfırlanmasa bile, tarih aralıkları farklı olacağı için, size bir şey isnad etmeleri zor...
Soru 58: Bylock raporunda 9 adet IP adresi var. Sonra yalnız birinin alan adı aldığı diğerlerinin alan adı almadığı belirlendi diyor. Ama tüm 9 IP adresi için de btk iletişim sorgusunu yapıyorlar. Birisi bile denk gelse Bylock var diyorlar. Bu nasıl olur? Alan adı almadan IP adresi kullanılabilir mi? Yoksa bunlar başka uygulamaların IP adresleri olabilir mi?
MİT raporunda denilen şu: Bylock sunucusuna sonradan tahsis edilen 9 adet IP adresi, o döneme ait DNS kayıtlarında gözükmüyor. Yani Bylock.net alan adı ile ilişkilendirilmemiş. Fakat DNS kaydı olmadan da bu adreslere doğrudan program içinden bağlantı kurulabilir. Dolayısı ile bu IP adresleri üzerinden de sorgulama yapmaları normal. Ama gerçekten de Bylock sunucusu tarafından kullanılıp kullanılmadıklarını bilemiyorum.
Bu IP adresleri Bylock'a tahsisli olduğundan, muhtemelen başka uygulamaların olduğu sunucular bu IP adreslerini kullanmıyordur. İmkansız değil, ama bu yönde bir şeye denk gelmedim daha.
Soru 59: 9 dakika içinde 25 kere bağlantı kurmuş gözüküyorum. Bu nasıl olur?
Muhtemelen BTK loglarını kastediyorsunuz. Belki program o arada veri alışverişi yapıyordur. Belki yolda hareket halindesinizdir ve kendi bağlandığınız baz istasyonu devamlı değiştiği için, IP adresiniz ve dolayısıyla bağlantı bilgileriniz de yenileniyordur. Belki operatörün modemi size farklı portlar atayıp duruyordur ve o arada farklı bağlantı kurmuş gibi gözüküp duruyorsunuzdur. Herhangi birşey olabilir.
"BYLOCK KULLANMADIM AMA ÖYLE GÖRÜNÜYORUM"
Soru 60: Bylock kullanmadığımızı nasıl ispatlarız?
"Yok"un ispatı zor birşey. Normalde müddei iddiasını ispatla mükelleftir. Ceza Hukukunda da, şüpheye mahal bırakmayacak şekilde ispat gerekir. Yani düşük bir ihtimal de olsa başka birşey mümkünse, delil yetersizliği olur. Fakat hukuk şu an pek işlemiyor. O yüzden birkaç şey deneyebilirsiniz:
Bylock sunucusuna bağlandığınız iddia edilen saatler için HTS kayıtlarını isteyebilirsiniz.
Soru 61: Bylock kullandığım iddia edilen telefon Blackberry / eski tuşlu Nokia vb. Bu nasıl olur?
Android telefonlar ve iPhone haricinde Bylock kullanılamıyor diye biliyoruz. Dolayısıyla Bylock kullandığınız iddia edilen IMEI, Blackberry (ya da tuşlu Nokia vb) bir telefona ait ise, Savcılığa ya da Mahkemeye dilekçe verip "Bylock kullandığım iddia edilen hat 0532xxx, telefon IMEI numarası yyyyy. Ama bu telefon Nokia 3110 (örnek) modeli tuşlu telefon. Bir yanlışlık olduğunu düşünüyoruz. İncelenmesini talep ediyoruz" vs. gibi bir dilekçe verin. Ya da gidip bizzat görüşün. Muhtemelen düzelteceklerdir.
Soru 62: Hatalı Bylock söylemleri neden Avea hatlarda daha çok?
Avea ile ilgili çok söylenti var. Ya orada bulunan FETÖ'cüler ortalığı bulandırmak için gelen bilgi taleplerine bilerek yanlış cevap gönderdiler. Ya IP adresinden kullanıcı bilgisi çıkarırken mükerrer IP'lere dikkat etmediler (CGNAT kayıtlarını tutmadılar/yanlış tuttular). Ya da Avea sunucularının saat ayarlarında hata vardı (örneğin sunucu GMT+2 yerine GMT+3 girilmişti, ya da yaz saati ayarları otomatikti ama ülke yaz saatinde değildi, ya da sunucu saatleri otomatik ayarda değildi ve birkaç dakika kaymıştı vb.) Artık her ne olduysa. En büyük operatör Turkcell iken "kesinlikle kullanmadım" diyenlerin büyük bir çoğunluğu Avea çıkması, burada bir kasıt ya da hata olduğunu düşündürtüyor.
Soru 63: Birine hotspot açtım / başkası benim ev internetimden kablosuz ağ üzerinden bağlanmış. Bunu nasıl ispatlarım?
İspatlayamazsınız. Bu bilgiler haberleşme kaydı olarak tutulmaz/tutulamaz. Şirkette sizin odanızdan birisi dışarıyı arasa, arama sizin odanızdan görünür. Telefonu başkasının kullandığını ispatlayamazsınız. Ama (ses kaydı vb. ek delil yoksa) onlar da sizin kullandığınızı ispatlayamazlar.
Soru 64: Evden taşınmıştım ama ev internetini geç kapattırdım. O arada benden sonra gelen kiracı ev internetimi kullanmış ve Bylock kullanmış. Bana soruşturma açıldı.
Soruşturmalar doğrudan hattın resmi sahibine açılıyor. O yüzden böyle bir şanssızlık yaşadıysanız geçmiş olsun. İlk yapacağınız mahkemeye bir dilekçe yazarak o tarihte taşındığınızı ve sizden sonra taşınan kiracının sizin internetinizi kullandığını izah etmek olmalı. Eğer yeni taşındığınız yerde tekrar internet bağlantısı yaptırdıysanız, yeni bağlantı bilgilerini de dilekçe ekinde sunun. Örneğin 12 Haziran 2015'te taşındıysanız, 20 Haziran 2015'te yeni bir ADSL hattı açtırdıysanız, Bylock da sizin eski ADSL hattınızda 10 Temmuz 2015'te kullanıldıysa, bu tarihleri mahkemeye belgeleriyle sunduğunuz takdirde suçsuz olduğunuzu ispatlayabilirsiniz.
Soru 65: Bylock kullandığım iddia edilen tarihlerde yeni telefon almıştım. Telefonu fabrika ayarlarına getirmeden, direk sim kartımı takarak kullandım. Bu yüzden Bylock kullanmış gibi gözüküyor olabilir miyim?
Tabi ki. Eğer ikinci el olarak aldığınız telefonda Bylock programı yüklü idiyse, siz hattınızı taktığınız ve internetiniz aktif hale geldiği anda, Bylock ana sunucuya bağlanarak kullanıcı bilgileri ile giriş yapmak ve kendisine gelen bir mesaj olup olmadığını kontrol etmek isteyecektir. Kullanıcı bilgileri telefonda kayıtlı olarak tutuluyorsa, ki öyledir, başarılı bir login yapacaktır. Eğer ilk halinde Bylock kurulu bir telefonu fabrika ayarlarına döndürmeden birkaç gün boyunca kullanmışsanız, o süre içerisinde sizin hattınızdan Bylock kullanıldığı gözükecektir.
Soru 66: 9 yaşındaki kızıma aldığım ve adıma kayıtlı olan hatta Bylock çıktığı için açığa alındım.
Savcılığa başvurarak, telefonu kızınızın kullandığını, bunun da sms kayıtlarından ve arama kayıtlarından belli olabileceğini, FETÖ'cü bile olsa hiçbir babanın kızını böyle işlere bulaştırmayacağını, Bylock kullandığınız iddia edilen tarih ve saatlerdeki telefonunuzun arama, sms ve HTS kayıtlarının incelenmesini, eğer bu kayıtlar kızınıza ait çıkarsa, %99 kızınızın hattı üzerinden, wireless şifresi kırılarak başkalarının kullandığını, ya da NAT loglarında hata olduğunu, bu durumların araştırılarak beraatinizin verilmesini vs... talep eden bir dilekçe yazın.
Soru 67: Telefonuma benden habersiz Bylock yüklemiş olabilirler mi?
Düşük ihtimal ama, olabilir. Farzediyorum bir devlet kurumunda daire başkanısınız ve yerinize göz koymuşlar. Telefonu odada unuttuğunuz bir esnada, (muhtemelen telefon şifrenizi bilen) çalışma arkadaşınız telefonunuza Bylock yükleyebilir. Fakat böyle bir durumda, Bylock içeriğiniz olmaz. Ya da arkadaşınız Bylock'u kurduğunda bir de mesaj vs. göndermişse, çok az sayıda olur. Eklediğiniz arkadaş, haberleştiğiniz kişiler olmaz veya çok az sayıda olur.
Soru 68: Mail şifremi bilen veya ele geçiren biri, telefonuma uzaktan Bylock yükleyebilir mi?
Android telefonlara (Samsung, HTC, Sony vs.) doğrudan Google Play Store üzerinden uygulama yükleme yapılabiliyor. Dolayısı ile mail şifrenizi eline geçiren birisi telefonunuzu hiç görmeden, doğrudan store üzerinden "yükle" diyerek program yükleyebilir. Bylock'un Play Store'da bulunduğu Nisan 2014-Nisan 2016 tarihleri arasında bu işlemi yapmış olmaları mümkün. Ama bu durumda Bylock hesabınız, kullanıcı kodunuz (User ID), haberleşme detaylarınız vs. bulunmaz. Sadece telefona Bylock kurulmuş görünür / Google hesabınızda bir dönem Bylock yüklediğiniz görülür. Bunun benzeri Apple Store için de geçerli olabilir, uzun zamandır iPhone kullanmadığım için bilmiyorum.
Soru 69: İnternette başkasının telefonunu uzaktan kontrol etmenize yarayan Crupt Fyr adında bir virüs olduğunu ve paralı olarak satıldığını gördüm. Telefonuma bu yöntemle Bylock yüklenmiş olabilir mi?
Sadece o program değil, benzeri bir sürü program var. Bunların da sadece bir kısmını internette görebilirsiniz. Büyük bir kısmını ise sadece kodu yazanlar bilir. İstihbarat servislerinden tutun da, büyük şirketlere ve paralı hackerlara kadar, yüzlerce varyantı var bu tarz şeylerin.
Benim bir önceki makale içerisinde 12. Maddede belirttiğim şey bu. Özellikle de üst düzey kişilerde Bylock çıkması durumunda, onların ayrıca incelenmesi gerektiğini, zira bu yöntemlerin çoğunun sıradan insanlara kadar düşmeyeceğini, ama ayağını kaydırmak istedikleri bir general için misal rahatlıkla yapılacağını vs. anlattım. Dikkate alırlar mı bilmiyorum.
Soru 70: Abim subay ve karargahta telefon yasak olduğu için girerken telefonu nizamiyede bırakmaları gerekiyor. Mesai çıkışı alıyorlar. Bylock kullanmadığını nasıl ispatlayabiliriz?
Bylock kullandığı iddia edilen saatleri öğrenebilirseniz (tespit tutanağında vardır) işinize yarayabilir.
Savcılığa/mahkemeye dilekçe verip, şunları yazın/isteyin.
"Abimin Bylock kullandığı iddia edilen tarih ve saatlerin bir müzekkere ile İl Emniyet Müdürlüğünden istenmesini talep ediyoruz. Zira abim X karargahında çalışıyor ve mesaide telefon yasak olduğu için, sabah işe girerken telefonu bırakıyor, akşam çıkışta alıyorlar. Bu husus rahatlıkla ispatlanabilir. Nizamiyede kamera da mevcuttur. Bu FETÖ'cüler her türlü melaneti yapabileceği için, abimin telefonu bıraktığı nizamiyede birisi gündüz kendi hattını takıp, abimin telefonunu kullanmış olabilirler. Ya da abimin telefonunu alıp, doğrudan kendileri onun üzerinden Bylock kullanmış da olabilirler. Abimin telefonunda PIN kodu olup olmadığını da bilemiyorum." vs..
Soru 71: Ev internetinden (ADSL hattı) Bylock kullandığım iddia ediliyor. Kullanmadığımı nasıl ispatlarım?
Bunun ispatı zor, ama aksinin ispatı da zor. Yani bir ADSL hattında kullanılan Bylock'u kimin kullandığını teknik olarak tespit etmek imkansıza yakın. Fakat Bylock kullandığınız iddia edilen tarih ve saatleri elde edebilirseniz (tespit tutanağında olur) ve aynı zamanda o tarihlere denk gelen HTS kayıtlarınızı operatörden alabilirseniz, bu ikisi arasında karşılaştırma yaparak tutarsızlık varsa bulup çıkarabilirsiniz. Örneğin, öğlen 12:04'de Mamak'taki evinizde Bylock kullanıyor görünüyorsunuzdur, ama o saatte İstanbul'dasınızdır ve HTS kaydınız da bunu göstermektedir. Bu tarz tutarsızlıklar yüksek sayıda olursa, masum olduğunuzu daha rahat ispatlarsınız diye düşünüyorum.
Soru 72: Bylock sunucusunun da bulunduğu Baltic Servers, Bylock sunucusunun IP'sini başka uygulama sunucularında da kullanmış olabilir mi? Bu durumda ben bilmeden Bylock IP'sine bağlanmış gibi gözükebilir miyim?
MİT raporundaki ödeme bilgilerine göre, 2 adet "dedicated" Xeon server kiralamışlar. Yani sadece Bylock uygulamasına mahsus sunucular. Dolayısıyla IP'si (doğal olarak statiktir) ve tektir (başka uygulamanın aynı IP adresi olma ihtimali yoktur). Tabi sonradan başka uygulama üretip aynı sunucu üzerine koymamışlarsa..
Soru 73: Ben komşuya uğradığımda onun kablosuz ağına bağlandığım oluyordu. O esnada o kablosuz ağa bağlı başka birisi Bylock kullanmışsa, ben de telefonumdan Bylock kullanmış gibi gözükebilir miyim?
Hayır o durumda sadece kablosuz hattın resmi sahibi olan komşunuz Bylock kullanmış gibi gözükür. O da Bylock'u kimin kullandığını (kayıt tutacak şekilde ayarlanmış üst düzey modemleri yoksa, ki büyük şirketler haricinde yoktur) ispatlayamaz.
Soru 74: Bu cemaatle hiçbir bağlantısı olmayan, yılların milli görüşçüsü babamı, hattında Bylock bulundu diye tutukladılar. Ne yapabiliriz?
Savcılığa aşağıdaki bir dilekçe yazabilirsiniz:
"Sn. Savcım,
Babam, kendisine isnad edilen bu Bylock programını asla kullanmış değildir. Fakat bu yönde bir kayıt mevcut ise, bunun çeşitli yanlışlık veya kasıtlardan kaynaklanabileceğine dair internette bolca makale vardır. Bunlardan en yaygın olanı, babama ait internet hattından başkalarına iyilik olsun diye hotspot açması, veya bir başkasının babamdan habersiz telefonuna zararlı yazılım yüklemesi veya operatörlerin CGNAT kayıtlarını doğru ayrıştırmayarak, farklı kişilere ait olan internet bağlantılarını başka kişilere ait gibi gösterebilmesidir. Bunların haricinde de kötü niyetli kişilerin yapabileceği çeşitli yollar mevcuttur.
Bu hususun açıklığa kavuşturulması ve babamın masumiyetinin ispatlanması için aşağıdaki hususları talep ediyoruz.
1) İl Emniyet Müdürlüğüne bir müzekkere yazılarak aşağıdaki hususların sorulmasını:
a. İddia edilen Bylock kullanım tarihleri nelerdir? Sadece 26.09.2014 gününe mi mahsustur?
Yoksa farklı günlerde de online olunmuş mudur?
b. İddia edilen Bylock kullanımında, kullanıcı kodu olan UserID nedir? Bu UserID'ye sahip Bylock kullanıcısı, başka IP adresleri üzerinden de internete bağlanmış mıdır? Varsa, bunlar kime aittir?
c. İddia edilen Bylock kullanımına ait mesaj içerikleri var mıdır? Varsa bunların içerikleri incelenerek, Bylock kullanıcısının kim olabileceği hususu değerlendirilmiş midir?
2. Ayrıca BTK'ya bir müzekkere yazılarak, aşağıdaki hususların sorulmasını talep ediyoruz:
Bylock kullanıldığı iddia edilen tarih ve saatlerdeki HTS kayıtlarının gönderilmesini ve babama ait baz istasyonu kayıtları ile, iddia edilen Bylock internet bağlantı kayıtlarının baz istasyonlarının karşılaştırılmasını.
3. Ayrıca cep telefonunun teknik bilirkişi incelemesinin yapılarak, üzerinde Bylock programının kullanılıp kullanılmadığına dair bir tespit yapılmasının İl Emniyet Müdürlüğüne yazılmasını..."
Soru 75: Mahkemeye operatör bilgilerinde hata olduğunu anlatmaya çalıştık ama Hakim MAC adresleri olduğunu belirtip operatör hatasını kabul etmedi.
Operatörlerde MAC Adresleri yok, olmaz ve olamaz. Kim "var" diyorsa uyduruyor...
MAC Adresi bir alt katmanda olduğu için, siz o bilgiye özel erişim izni vermedikçe (ki talep edemezler böyle bir erişim iznini) öyle web siteleri veya operatörler göremez.
Soru 76: Ocak 2015'te satın aldığımız (faturalı) telefon IMEI'si üzerinden Ekim 2014'te Bylock kullandığımız iddia ediliyor.
Eğer dediğiniz gibiyse, yani Ocak 2015'ten itibaren alınan/kullanılan bir telefon ile Ekim 2014'te Bylock kullandığınız iddia ediliyorsa bence hiç durmayın.
Ya BTK'yı arayın, ya da Ankara'daysanız bizzat gidin. Dilekçe vererek hat+IMEI kullanım bilgilerinizi isteyin. Ya da operatörünüzün (Avea-Turkcell vs.) şehrinizdeki müdürlüğüne giderek aynı bilgileri isteyin/alın.
Sonra da bu belgeyi alarak Savcılığa/Mahkemeye şahsen götürüp verin ve durumu anlatın. İlla ki ilgileneceklerdir...
Soru 77: Cep telefonundan Bylock kullanmış gözüküyorum ama cep telefonumda internet bağlantısı yoktu. İnterneti sadece ev internetinden kablosuz kullanıyordum. Bu kullanım cep telefonuma yansır mı?
Eğer Bylock cep telefonu hattı üzerinden gözüküyorsa, bağlantı telefonun interneti üzerindendir. Telefondan wifi'ye baglansaniz, oradan da Bylock'a baglansaniz, Bylock wifi hattın (ADSL hattının) üzerinde gözükür. Eger internet tarifesi olmayan ve o tarihteki tarifesiz internet kullanimi da 0 olan bir hat uzerinde Bylock gozukuyorsa, ortada bir hata vardir. GSM operatörünü zorlayıp bu bilgileri alın ve mahkemeye/savcılığa götürün.
Soru 78: Programı yüklemeyen birinde(sehven indirmiş bile olsa) uid (User ID) olur mu?
User ID, kullanıcı oluşturunca veriliyor. Yani sadece programı indirmekle olmaz, girip bir de hesap açması ve kendine bir nick/isim seçmesi gerekiyor.
Soru 79: Online olmak ne demek. Bylock yüklemeyen biri online görünebilir mi? Bazı arkadaşlar online için zayıf sinyal felan dediler. Bylock da insanlara söylenen online ne demek?
Online olmak, internet varken programı çalıştırmak demek. Yani Bylock sunucusuna bağlanmak demek. Gmail veya hotmail'de mail adresinize girmek gibi. "Login" olduğunuz zaman online gözükürsünüz. Bu da programı çalıştırdığınızda, eğer Kullanıcı Hesabı açmış iseniz, otomatik olarak gerçekleşir. Öteki türlü olmaz.
Yani... User ID olmadan, online olamazsınız.
Yani... Sadece programı indirmiş olan, online gözükemez...
Soru 80: Telefonumuzdaki Whatsapp'a tıklayıp Whatsapp'a girmesek bile internet erişimimiz olduğu sürece online gözükmez miyiz? Sonuç olarak Whatsapp kendisi mesaj var mı yok mu diye sunucuya bağlanmaz mı?
Whatsapp'ta normalde her zaman online gözükmezsin. Arkadaşına mesaj yazacağın zaman, "Last online at 17:42 Today" diye yazar. Mesajı okurken "Online" der. Sana mesaj yazıyorken "Typing..." der. Ama arada mesaj atılsa gelir. O da Whatsapp belirli aralıklarla push-pull yapar. Yani veri gönderir/alır. O esnada Whatsapp sunucusu ile bağlantı kurar. Ve saire.
Bylock'un sunucuya bağlanma sistemi nasıl kodlanmış bilmiyorum, ama muhtemelen benzerdir.
Her halükarda, buradan oraya bir bağlantı yapıldığı zaman, bunu "Login" adı altında loglamışlar (kayıtlarını tutmuşlar).
User ID: 54231, SessionID 5442939423... Time 14.12.2014 17:25, IP: 52.44.23.114 Platform Android... gibi.
Ama buradaki 1 login, ne kadarlık bir süreyi kapsıyor, onu bilemiyorum. Anlık mı, yoksa 24 saatlik mi, yoksa 3 günlük mü.
Özetle: "4 kere online olmuşsunuz" dedikleri, teknik olarak "log tablosunda 4 satırda IP adresiniz var" demek.
Soru 81: Google Play'den indirdiğimiz her programdan IP adresi tespit edilir mi? Programı indirdiğimiz zaman otomatik sistemde hesap açıyor mu?
Google Play'den indirilen programın IP adresi tespit edilemez. İndirirken Google'ın serverlarına bağlanıyorsunuz çünkü.
Programı indirdiğinizde program kendisi hesap açmaz. Ama programı çalıştırdığınızda Bylock sunucusuna bağlanıyordur. Fakat login olmayı denemediğiniz müddetçe login tablosuna girmez. Ancak hesap açtıktan sonra "başarılı login" olarak login tablosuna girersiniz. Ya da başarısız login denemesi yaparsanız, başarısız olarak gözükür. Ama onları da "online oldun" diye saymıyorlardır. Programa bağlanamayan adamı kullanmakla itham edemezler ya (normal bir dünyada...).
İşin özeti, sadece indirmiş olmakla IP adresiniz çıkmaz, çıkmıyordur. Bylock listelerine girmezsiniz.
Ama telefonunuz incelenirse, "Bylock kurulmuş" derler... Çünkü programın izi telefonunuzda kalır.
Soru 82: Bylock kullandığım iddia edilen tarihlerdeki IP log kayıtlarının incelenmesi için bilirkişi atanmasını talep edeceğim. Log kayıtları değiştirilebilir mi? Değiştirildikleri takdirde bilirkişi bunu tespit edebilir mi?
Log kayıtları nerede ve nasıl tutulmuş tam olarak bilemiyorum. Loglar birkaç çeşit tutulabilir. "Basit" log tutmada, sadece bilgileri bilgisayara kaydeder. Bunları sunucuya erişebilen herhangi biri değiştirebilir. "Hardcopy" log tutmada, loglar tutulurken aynı zamanda yazıcıdan çıktı alınır. Bunları da o çıktılara erişebilen biri değiştirebilir. "Sertifikalı" diyebileceğimiz log tutmada, (Türkçe tabirlerini tam bilemiyorum) loglar tutulurken aynı zamanda başka bir sunucudan (timestamp server) zaman bilgileri hash'li olarak alınır ve loglara eklenir. Bu durumda, zaman sertifikasını aldıkları sunucuya erişemedikleri müddetçe, logları değiştiremezler. Bu biraz bizim şimdilerde e-devlet uygulamalarında yaygınlaşan "elektronik belge doğrulama" sistemi gibi çalışır. Bir de sanırım hash-chain şeklinde log tutuyorlar. Bunda da ara değerleri değiştiremezler. vs vs.
Lakin... Öncelikle, Bylock sunucusundaki Logların "sertifikalı" veya benzeri bir şekilde tutulduğunu hiç zannetmiyorum. Düz metin veritabanı olarak tutmuşlar gibi duruyor. O yüzden bu loglar %90 müdahale edilip değiştirilebilecek şeylerdir. Öyle bir durumda değiştirilip değiştirilmediği de kolaylıkla tespit edilemez.
Operatörler ise muhtemelen zaman damgalı log tutuyorlardır. Ama hepsi mi yapıyor, hangi sunucudan zaman bilgileri alıyorlar vs. bilemiyorum. Gene de bir miktar daha güvenlidirler diye tahmin ediyorum.
Eğer Bylock sunucusunda loglarda oynamışlarsa ve BTK logları sağlamsa, o zaman karşılaştırılınca pek çok kişi temize çıkabilir. Ama ikisinde de oynamışlarsa, yapacak bir şey yok... Ya da karışıklık IP haricinde (örneğin internet paylaşımı) gelişmişse, BTK bilgileri de aynı çıkacaktır.
Soru 83: User ID veya içerik bilgisi yok. Sadece 10 gün içinde 8 ayrı kere 1'er sn'lik online olmuşsun diyorlar. Bu nasıl olur?
Program kurulu ise, kendisi farklı zamanlarda mesaj var mı yok mu diye bakmış olabilir. Veya Freezy/Kıble Pusulası gibi bir Morbeyin uygulamasını bilmeden yüklediyseniz, bu programlar siz farkında olmadan anlık olarak sizi Bylock sunucusuna yönlendirmiş olabilir.
Soru 84: BTK kayıtları ve Bylock sunucusundan alınan tespit tutanakları geldi. Bu veriler birbiri ile uyumsuz.
Uyumsuzluk birkaç türlü olur. Eğer Bylock sunucusunda 60 login varsa, 60 tane bağlantı gözükür. Ama BTK loglarında buna karşılık 600 veya daha fazla bağlantı çıkabilir. Çünkü BTK, anlık bağlantıları arka arkaya yazıyor. Yani atıyorum 2 saatlik bir film izliyorsunuz. Bylock sunucusu "16:30'da şu filmi izlemiş" diyor. BTK ise "16:30'da film izliyor, 16:31'de film izliyor, 16:32'de film izliyor..." diye dakika dakika logları dizmiş göndermiş.
O yüzden bazı haberlerde "falanca FETÖ'cü 100bin bağlantı kurmuş" gibi uçuk kaçık rakamlar veriyorlar.
BTK'da az bağlantı, Bylock sunucusunda çok bağlantı çıkması, 17.11.2014 sonrası VPN kullanımına geçilmesinden kaynaklı da olabilir. Yani BTK'daki kayıtlar çok büyük oranda Ağustos-Kasım 2014 arasını kapsıyor. Bylock sunucusundaki kayıtlar ise Ağustos 2014- Şubat 2016 arasını. Dolayısı ile 60 bağlantıya karşılık 300 BTK logu çıkmış olabilir.
Saatlerin tutarsız olması ise, Saat Dilimleri ile veya sunucunun saat senkronizasyonu ile alakalı olabilir. Ama bu hatalar aynı zamanda IP tahsis sürelerini de etkileyebileceğindne, sizinle alakalı olmayan bir IP'yi size tahsis edilmiş gibi gösterilmesine de yol açabilir. Karışık bir durum.
Bunların haricinde tutarsızlıklar varsa, bir tarafın verilerinde hata var demektir. Bu da şüphe unsurunu ortaya çıkarır ve normalde beraatinize sebep olması gerekir.
Eğer veriler tamamiyle tutarlı olsa, o zaman büyük ihtimalle kullanım bilgisi doğrudur. Çünkü aynı bilgileri tutarlı bir şekilde hem Bylock sunucusuna hem de operatöre/BTK'ya girmeleri çok zor.
Soru 85: Eşime Kasım 2014'te Avea hattı üzerinden Bylock kullandığı bilgisi geldi. Oysa numaramız 0505 ile başlıyor ama o tarihte Turkcell kullanıyorduk. Bizim numaramızı Avea bir başkasına da vermiş olabilir mi?
Böyle birşey teknik olarak mümkün değil. Fakat aynı numara ile, aynı tarihlerde hem Avea hem Turkcell olarak gözüküyorsa, o zaman büyük saçmalık var. Hakimin de bunu dikkate alması lazım. Hattınız Turkcell iken, Avea hattınızda Bylock kullandığınız söyleniyorsa size özür borçlular...
Soru 86: 13 Kasım 2014'te Bylock kullanmış görünüyorum. Ama Bylock kullandığım iddia edilen ADSL hattını Ağustos 2014'te taşındığım için kapattırmıştım.
Eğer interneti Ağustos ayında kapattıysanız ve kasım ayında bile Bylock kullandığınıza dair kayıt gönderiyorlarsa, birkaç ihtimal var.
1. Operatör (TTNet/Superonline) abone bilgilerini güncellememiş. Sizden sonra yerinize taşınan adamın bilgilerini girmemişler, abonelikte sizin bilgileriniz kalmış.
2. Operatör sizin aboneliği kapatmamış, sizden sonra evinize taşınan adam sizin aboneliği kullanmış.
Bu durumda mahkemeden Bylock tespit tutanaklarını isteyin. Orada User ID'si varsa, o User ID ile bağlanılan herhangi bir cep telefonu hattı görünüyorsa, asıl kullanıcı büyük ihtimalle o cep telefonu kullanıcısıdır. Mahkemeye bir dilekçe yazarak bunu izah edin. Ayrıca siz Ağustos 2014'te başka bir internet aboneliği açmışsanız, bunun bilgilerini de verin.
Soru 87: Telefonumun hacklenerek benim bilgim haricinde Bylock yüklendiğini düşünüyorum.
Hackerlik yöntemiyle Bylock yüklenenler olabilir.
Çünkü 15 Kasım 2014'te, takip edildiklerini farkederek VPN şartı getirdiler değil mi? Bunu niye yaptılar? Biri bizi buradan tespit edemesin diye. Demek ki Bylock kullandıklarının tespit edilmesi ile cemaat üyeliğinin ortaya çıkabileceğini tahmin ediyorlardı. O zaman bunu başkalarına yamamış olmaları da mümkün. Yani birilerini itham etmek için telefonuna hack yolu ile Bylock yüklemiş olabilirler.
Ama gene de bunun çok nadir olabileceğine ihtimal vermiyorum. Belki belli bazı üst düzey bürokratlara vs. yapılabileceğini tahmin ediyorum.
Telefon hacklenerek Bylock yüklenmişse, a) eğer sadece program yüklenmişse, mesaj gönderip almamıştır. Bağlantısı gözükür ama mesajı olmaz, trafiği olmaz. Sadece program kendisi günlük ana sunucuya bağlanır ve mesaj kontrol eder vs. b) hackleyen adam programı kurup, kendisi de arka plandan mesaj atıp almışsa, o zaman da iş zor. eğer mesaj içerikleri varsa belki kendini kurtarabilir. Zira mesaj içeriklerinden farklı kişiler olduğu ortaya çıkabilir.
Soru 88: Bylock kullanmadığım halde, telefonum da incelemede temiz çıktığı halde, mahkeme "telefonu kendisi sonradan temizlemiş olabilir" diye dikkate almayarak ceza verdi. İstinafa başvuracağım ama Bylock kullanmadığımı nasıl ispatlayabilirim?
Bu tarz bir şeyi mahkemeye ispatlayamazsınız. İspatlamanız da gerekmez. O mahkemenin yaptığı, Ceza Hukukunu tersine çevirmektir.
Ceza Hukukunda deliller kesin olur. Eğer delilde şüphe varsa, şüpheden sanık yararlanır. İnsanlar suçlu olma ihtimallerine binaen ceza alamazlar. %99 da suçlu olma ihtimali olsa, %1 suçsuz olma ihtimali varsa, delil yetersizliğinden beraat eder. Ceza Hukuku böyledir. Medeni Hukuk (Borçlar Hukuku, Ticaret Hukuku vs) farklıdır. Orada %51'le haklı buldukları adam davayı kazanabilir.
Ayrıca müddei iddiasını ispatla mükelleftir. Yani savcı size "Örgüt üyesisin, aksini ispat et" diyemez. Örgüt üyesisin diyorlarsa, şüpheye mahal bırakmayacak şekilde bunu ispat etmesi gereken mahkemedir. Ortaya koydukları delil telefona yüklenmiş Bylock ise, TEM incelemesinde telefon temiz çıkmışsa "ama silmiş de olabilir" diyemezler. "Silmediğini ispatla" diyemezler. Bu hukuku tersine çevirmektir.
ZİRA. Var ispat edilir, Yok ispat edilemez. Kimseye "falan ev geçen hafta soyulmuş, bu evi soymadığını ispatla" diyemezler. Adam ne yapacak? Geçmişe dönüp, 7 gün 24 saat evi ve kendini kameraya alıp sonra bunu mahkemeye mi sunacak? Bu imkansızdır. Her durumda böyledir. Ama "bu evi sen soydun" diyen adam, tek bir fotoğrafla bile bunu ispatlayabilir. Aksini ispatlamak için kesintisiz ve süresiz yüzbin fotoğraf yetmez.
O yüzden, iddia eden ispatlar. Savunan değil. Şüpheden de sanık yararlanır, iddia makamı değil.
Telefon temiz çıktıysa, başka da bir delil ellerinde yoksa, Bylock'ta bu kadar hatanın bulunduğu görüldüğü şu tarihte, bu delil yetersizliğidir. İstinaf mahkemesine aynen bu yukarıda yazdıklarımı paragraf yapıp sunabilirsiniz. Ceza Hukukunda kesin delil olması esastır.
Soru 89: CGNAT sunucularında hata olduğu, bazen aynı Özel IP'nin de birden fazla kişiye verildiği söyleniyor. Bu mümkün mü?
Uzun süre bilgisayar kullanmış olan herkes IP çakışması mesajına ara sıra denk gelmiştir. "Ağdaki başka bir bilgisayar bu bilgisayarla aynı IP adresine sahip. Bu sorunu çözme konusunda yardım almak için ağ yöneticinize başvurun."
Çünkü IP dağıtımları bazen dinamik yapılır (DHCP ile) bazen de statik olur. DHCP serverları da bazı durumlarda aynı IP'yi birden fazla bilgisayara verebilir.
Yani sadece CGNAT sunucularının LSN havuzlarından IP alırken aynı IP'yi birden fazla sunucunun alması da değil, daha alt düzeyde de hatalar olabilir ve oluyor da.
Basitleştirmek gerekirse, elinizde 100bin numara var ve bu numaraları dağıtan 100 tane farklı adamınız var. Aynı numarayı havuzdan aynı anda iki dağıtıcı çekip vermeye kalkarsa, aynı numara iki kişide olabilir. Veya bir IP adresi alan bilgisayar, adresi havuza geri veriyorum bilgisi verdikten sonra geri vermemiş ve IP adresi serbest bırakılmamış olabilir. Bu tarz durumlarda aynı Özel IP adresi iki kişide görünebilir. Evet bu kişilerin birinde internet bağlantısı olmaz ama log kayıtlarında ikisi gözükebilir.
Soru 90: Bylock kullandığım iddia edilen saatte gelen HTS loglarında internet kullandığım gözükmüyor. Tam tersine uzun bir telefon görüşmesi yapıyormuşum. Telefon görüşmesi esnasında Bylock kullanabilir miyim?
2014 tarihinde Türkiye'de 4G yoktu. 2G ve 3G ile de, telefon görüşmesine başladığınız anda internet bağlantınız kopar. Eğer bahsi geçen saatlerde, telefon görüşmesi gözüküyorsa, o esnada Bylock bağlantısı olması imkansızdır. Çünkü Bylock sadece internet üzerinden çalışır.
Zaten HTS kayıtlarında internet gözükmeyen saatlerde Bylock kullanmış görünüyorsa, bu da ayrı bir tutarsızlıktır.
Bu iki hususu mahkemeye/kuruma dilekçe yazarak aynen bildirin.
BYLOCK İÇERİKLERİ
Soru 91: Bylock mesaj içerikleri var mı?
Şifresi çözülebilenlerin bir kısmına ait mesaj içerikleri var. Yaklaşık 60 bin kişiye ait mesaj içeriği olduğu iddia ediliyor. Ama bu içeriklerden benim denk geldiklerim büyük oranda basit günlük yazışmalar.
Soru 92: İçerikleri elde edilen mesajlar gerçekten 17 Milyon adet mi?
MİT Raporunda 17.169.632 adet mesaj gönderilip alındığı, bunlardan 15.520.552'sinin çözümlendiği yazıyor. Yani mesajların %90'ının çözülmüş olması gerekiyor. Ama bana ulaştırılan Bylock tutanaklarında çok az sayıda (%1'den az) mesaj içeriği var. Dolayısıyla mesajların büyük oranda silinmiş olduğunu, ancak tek tük kurtarılan mesajların bulunduğunu tahmin ediyorum.
Buna mukabil, MİT Raporunda 109GB'lık veri tabanı dosyası elde edildiği yazıyor. Verilen bilgiler bağlamında,1.218.784 adet arama kaydı, 17.169.632 adet mesaj, 4.675 adet mail eki, 187.629 adet grup üyeliği bilgisi, 31.886 adet grup bilgisi, 3.158.388 adet mail, 1.350.624 adet roster bilgisi ve 215.092 adet kullanıcı bilgisi; bu bilgileri kaydetmek için ayrılmış int11, varchar(32), varchar(512) gibi veri karşılıkları ile kıyaslandığında, 50-60 GB kadar bir yer tutacağı görülüyor. Üzerine kalan 50 GB da, belki başka loglar veya sayısı verilmeyen dosya paylaşımı içeriği olabilir.
Dolayısı ile, 109 GB veri tabanı elde edilmişse, bahsi geçen tüm verilerin elde edildiğini düşünebiliriz. Ayrıca 17 milyon mesaj için en az 1 mesaj attığı bilgisi verilen 60.473 kişinin, adam başı 284 mesaj atmış olması gerekiyor. Bu da programın yoğun kullanıldığı 1 yıllık bir dönem için, ortalama olarak normal bir rakam.
Fakat böyle bir durumda, (mesajı olanlar için) kişi başı ortalama 250 mesaj içeriğinin verilmesi gerekiyor. Ama mahkemelere gelen tespit tutanaklarından gördüğüm, kişi başı 1 veya birkaç mesaj içeriğinin geldiği. Şifrelerin tamamı çözülmediği için diyeceksiniz, değil. O zaman 0 olması lazım. Muhtemelen sunucuda 17 milyon mesaj değil, belki 17 milyon mesaj atıldığına dair bir log kaydı var. Ya da başka bilmediğimiz bir durum var.
Soru 93: Bylock mesajları sunucuda tutulmuyormuş. Bu durumda mesaj içerikleri nasıl olur?
P2P modeli bir anlık haberleşme sistemi olmadığı takdirde, mesajların bir ana sunucuda tutulması bir zorunluluk. Yoksa karşı taraf online olmadığı durumda mesaj atamazsınız. Bu durumda da Bylock'un bir mesajlaşma uygulaması gibi kullanılması çok zorlaşır. Dolayısı ile mesajları karşı tarafa ileteceği ana kadar, en azından bir süre olsun sunucuda tutmak zorunda. Bu da aslında MİT raporunda Settings kısmında timeout süreleri olarak saniye cinsinden belirtilmiş.
timeout_for_not_received_chat 1296000
timeout_for_not_received_file_transfer 1296000
timeout_for_not_received_mail 1296000
timeout_for_received_chat 86400
timeout_for_received_file_transfer 259200
timeout_for_received_mail 259200
Bu özetle şu demek, okunmamış mesajlar ve mailler ve iletilememiş dosyalar 15 gün boyunca sunucuda saklanıyor. Mesajlar okunduysa 1 gün sonra, mailler ve iletilmiş dosyalar 3 gün sonra sunucudan siliniyor.
Yani sunucuda en fazla 15 günlük mesaj kaydı tutulması gerekiyor. Fakat görünen o ki daha fazlası tutulmuş. Bu da ya kasten yapılmış, ya da silindikten sonra geri kurtarılmış.
Soru 94: Bylock üzerinden yüzlerce bağlantı kurduğum ve bir sürü mesajlaştığım iddia ediliyor. Fakat yazdığım iddia edilen mesajlar bana ait değil. İçerikleri de benimle uyuşmuyor.
Sonraki dönemlerde VPN kullanıldığı için, kimlik tespitini ilk birkaç IP adresine göre yapıp o User ID'yi size yazmışlarsa, o User ID'nin tüm bağlantıları ve haberleşme içeriklerini de size yazarlar. Eğer mesaj içerikleri çok alakasız ise (örneğin hitap ederken "Abla" diyorlar, ama erkeksiniz. ya da mesleğinizle alakasız içerikler var. örneğin hademesiniz ama mühendislik yorumları yapmışsınız vs) bunu izah eden bir dilekçe yazın ve ilk kimlik tespitinin hatalı olduğundan, hiç kullanmadığınız bir Bylock User ID'nin hataen size izafe edildiğini söyleyin.
Soru 95: FETÖ'cüler Bylock sunucusundaki içerikleri neden silmemişler / silememişler?
Silinen bir dosyanın rahatlıkla geri getirilebileceğini ortaokul çocukları bile bilir. O yüzden güvenli dosya silme için "shredder" tabir edilen programlar ve "wipe" yöntemleri kullanılır. Bunların en basiti, windows'un kendi içinde bulunan "Cipher /w" komutudur. Linux'ta da shred ve dd gibi komutlarla güvenli dosya silme işlemi yapılabilir.
En basit muhasebe hesabı tuttukları bilgisayarlara CCleaner gibi hazır programlar kurup, her kullanımdan sonra bu program vasıtası ile 32 pass (kat) silme işlemi yapan bir örgütün, tüm örgüt haberleşme içeriğini tuttukları bir sunucuda güvenli silme işlemi yapmamış olması ve bu bilgilerin geri kurtarılmış olması bir muamma.
Kendi özel imzalı sertifikasını kullanacak kadar güvenliğe dikkat eden, üstüne gerçek bir "rastgele sayı üretme fonksiyonu (random function)" olsun diye rastgele parmak hareketleri ile şifreleme yapan bir programcının, güvenli dosya silmeyi becerememesi mantıkla izah edilir değil.
Yani adam o kadar usta ki, suç işlediği yere saç kılı veya deri parçası düşmesin de DNA izi bile kalmasın diye tüm vücudunu örtecek steril bir kıyafet giyecek, ama siz suç mahallinin her tarafında parmak izi bulacaksınız.
Burada ya büyük bir hata/unutkanlık/dalgınlık var. Ya da bir Ali Cengiz oyunu var..
Ya silmediler de silmiş gibi yaptı, veya geri getirileceğini bilerek tek sefer sildiler ve wipe işlemi yapmadılar. Bu durumda, içerikleri bilerek orada bıraktılar.
Bu durumda: A) Manipülasyon için listeleri olduğu gibi bıraktılar. Belki içinden kendi tepe yöneticilerini sildiler. Belki sap saman karışsın, devlet teşkilatı çöksün, milletin devlete güveni kalmasın diye alakası olmayan bir sürü adamı eklediler. B) David Keynes zaten baştan beri MİT elemanıydı veya arada satın alındı. Listeleri de silmedi ve doğrudan MİT'e teslim etti veya bıraktı..
Soru 96: Bylock P2P (peer to peer) yani sunucuda içerik verisi tutmayan bir yazılım olduğu için, mesaj içeriklerinin elde edildiği iddiası bence doğru değil.
Bylock "P2P" bir yazılım değil. Sunucuda bir veritabanında mesajları tutmuş. Zaten tutmasa, online olmayanlara mesaj iletemez. Fakat ilginçtir, mesajları silmesi gereken sürede silmemiş.
Soru 97: MİT'in 17 milyon mesajın 15 milyon adedini kırması imkansız. Her bir mesajı kırmak için binlerce gün bilgisayar çalıştırmak gerekiyor. Ayrıca 38 karakterli şifreler Brute Force ile kırılamaz. 8 karakterli bir şifreyi kırmak 10 yıl sürer. Apple'ın kısa telefon şifresini bile haftalarca kıramadılar. Bence bunların hepsi algı operasyonu. Bu şifrelerin çözüldüğü iddiasını külahıma anlatın.
1. Evet mesajları Encrypted olarak tutmuşlar. Ama Encryption Key, vatandaşların şifresi imiş. Dolayısıyla 215bin adet kısa şifreyi kırdıktan sonra, geri kalan tüm mesajları çözmek çocuk oyuncağı.
2. Şifre uzunluğu ile Brute Force şifre kırmaya gelince... 38 karakter dedikleri şifre, zaten 1 tane. Onu da raporda göstermişler zaten. 123qweasdzxc456rtyfgh... gibi ardışık klavye tuşlarından oluşuyor. O yüzden bu şifre, 38 karakter olsa da, Entropisi çok düşük... Rahatlıkla kırılabilecek bir şifre ve kırılmış da... (Entropi nedir merak edenler, Google: Password Entropy)
3. Apple telefondaki 4 haneli şifrenin haftalarca kırılamaması, deneme imkanı olmadığı için. Atıyorum 5 kere yanlış denediğinizde telefonu 1 saat kitlediği için. Ama deneme kısıtı olmadığında, saniyede 1 milyon şifre deneyebiliyorsunuz. 4 rakamlı bir şifreyi çözmeniz de 1sn sürmez.
4. 8 haneli bir şifrenin kırılması tek bilgisayarla 10 yıl sürebilir. Ama 10bin bilgisayarla 8 saat sürer... 10bin bilgisayar nedir demeyin, "GPU Cluster" diye birşey var. Merak ediyorsanız, Google... Daha da ötesi, Distributed Computing var... 1 milyon bilgisayarı bile kullandırabilirsiniz aynı işte. Örneğin meşhur SETI @ Home vardı, milyonlarca bilgisayarı kullanan... Meraklıysanız, gene Google...
5. Kaldı ki şifre kırmak, sadece Brute Force ile yapılmaz... Bunun çok çeşitli yöntemleri var. En rahat olanı da, Rainbow Tables... Bununla mevcut şifrelerin %95'ini 1 günde kırabilirsiniz. Zaten MİT de hepsini kırdık dememiş...
Eğer meraklıysanız, okuyacağınız kaynak da wiki'deki "Şifre Kırma" maddesi olmasın bir zahmet... Sonra mevzu ilkokul Fen Bilgisi hocasının, Feynman'ın teorilerini reddetmesine benzer...
Bakın şöyle yerler de var...
https://arxiv.org/list/cs.CR/recent
Biraz kurcalayın da genel kültürünüz artsın... Sonra "külah"lara da şifre çözmeyi anlatabilirsiniz...
BYLOCK KULLANILAN TELEFON
Soru 98: Bize söyledikleri IMEI numarası yanlış (14 rakamdan oluşuyor).
IMEI'nin aslı 14 rakamdır. 15. rakam, Luhn Algoritması denilen bir kontrol mekanizması için vardır ve GSM şirketleri bu rakamı kaydetmezler. Dolayısı ile size verilen bilgideki 14 rakamlı IMEI, sizin telefonun IMEI'sinin ilk 14 hanesi ile uyumlu ise, bilgi doğrudur.
Soru 99: IMEI numaramızı nereden öğrenebiliriz.
Telefonunuzda *#06# çevirerek. Ayrıca orjinal faturası varsa, IMEI numarası faturada yazar.
Soru 100: Bylock kullandığımı iddia ettikleri telefonun IMEI'si (ilk 14 rakamı dahil) benim telefonuma/telefonlarıma ait değil. Bu nasıl olur?
Eğer piliniz bitmiş de sim kartınızı başka bir telefona takmışsanız, o telefonda da Bylock kurulu ise, siz telefonu açtığınız anda Bylock sunucusuna bağlanıp mesaj kontrolü yapacaktır. Bu durumda hat sizin, ama IMEI başkasının görünür. IMEI'nin kime ait olduğunun bilgisini mahkemeden/kurumdan müzekkere yazılarak sorulmasını isteyin.
Soru 101: Bylock kullandığım iddia edilen telefon, BTK sorgusunda neden çıkmıyor.
Telefonun IMEI numarası kaydedilmemiş veya kaydı herhangi bir gerekçeyle sonradan silinmiş olabilir.
Soru 102: Bylock kullandığım iddia ediliyor. Ama telefonum incelemede temiz çıktı.
Bu Bylock kullanmadığınız anlamına gelmez, zira (düşük ihtimal de olsa) iz bırakmadan silmiş de olabilirsiniz. Fakat telefonunuz temiz çıkmışsa ve hakkınızda başkaca bir delil yoksa, Bylock kullanmadığınıza dair bir karine sayılması gerekir.
Bunun tam tersi, telefonunuzda Bylock da çıkabilir. Ama bu da kesin kullandığınız manasına gelmez, zira dışarıdan veya bilginiz haricinde kurulmuş da olabilir. Fakat olasılığı düşüktür bunların. Teknik tabirle "possible but improbable" diyeyim...
Soru 103: Bylock kullandığım iddia edilen telefonun IMEI'si kopyalanmış.
IMEI kopyalanmış da olsa, kimlik tespitlerini hat sahipliği bilgisi üzerinden yaptıkları için çok bir anlam ifade etmez. Ama doğrudan IMEI numarası ile ilgili bir tespit varsa, itiraz ederek durumu anlatan bir dilekçe yazın.
Soru 104: Arkadaşım yurtdışından telefon almış, o dönemde benim yurtdışı çıkışım olduğu için telefon benim pasaportuma kaydedildi. Başıma birşey gelir mi?
IMEI'lerin hangi pasaport üzerine kayıtlı olduğunun bir önemi yok. O telefona takılı hattın sahibine bakarlar. Yoksa Atatürk Havalimanında hacdan dönen yaşlıları çevirip, pasaportlarına IMEI kaydeden bir sürü uyanık var. Bunlarda Bylock çıksa yaşlı hacıları mı alıp götürecekler...
Soru 105: Ben telefonumu sıkça bozulduğu için devamlı fabrika ayarlarına döndürüyordum. Belki 10 kere yapmışımdır. Fakat telefon incelememde gene de Bylock var dediler.
Telefonu fabrika ayarlarına döndürmek, telefon içindeki bilgileri kalıcı olarak silmez. Dolayısı ile incelemede Bylock çıkması normal. Ama farzediyorum telefonun içinde boş yer kalmayacak kadar video vb. dosya ile doldurup, sonra telefondaki verileri şifreleyip fabrika ayarlarına döndürdünüz ve bu işlemi birkaç kere tekrarladınız. Artık telefonunuzda iz kalmaz diye birşey yok. Örneğin telefonu aynı Google hesabı ile açmışsanız, o hesabın geçmiş uygulama bilgilerinde de Bylock verisi bulunacağından, telefonunuzun incelemesinde yine Bylock bulunur.
Soru 106: Eşimin suçlandigi tarih 2014 Ağustos. Biz o tarihte kullandığı telefonu 2015'te ikinci el olarak satmıştık. Tutuklandığında şu an kullandığı telefona el konuldu. Eşimin suçlandığı tarihteki telefonu bulmamız gerekir mi? Bu program ille de cihaz üzerinde mi bulunuyor?
Suçlandığınız tarihteki telefonu bulup inceletmeniz de çok bir şeyi değiştirmeyecektir. Zira "Ağustos 2014" dedikleri tarihi, o tarihte sizin adınıza kayıtlı GSM hattı üzerinden çıkarmışlardır, telefon üzerinden değil.
Program cihaz üzerine kuruluyor ama "programı kullandı" bilgisi cihazlara dayanmıyor. Bylock sunucusundaki IP bilgisi, operatörden hat bilgisine, o da hat sahibi bilgisine dönüştürülüyor. Oradan telefon IMEI'si ve TC numarasını çıkarıp "Siz Bylock kullanmışsınız" diyorlar.
O telefonu bulsanız ve inceletseniz şöyle bir handikap da olabilir... Hibe ettiğiniz kişi ya da onun sattığı kişi telefonda Bylock kullanmışsa, telefon incelendi mi kendi aleyhinize delil yaratıp kendinizi yakmış olursunuz. Çünkü telefonda "Bylock"un bulunup bulunmadığına bakıyorlar. Telefona hangi tarihte kurulduğunu incelemiyorlar. İnceleseler de çoğunlukla bilemezler veya emin olamazlar...
O yüzden bence eski telefonu bulmaya çok uğraşmayın...
Soru 107: Bylock kullandığım için ihraç edildim. Yüzbaşıyım ve uzun operasyonlara gittiğimizde askerlere hotspot açıyordum. Bunun şahitleri de çok. Durumu mahkemeye anlattım ve "askerlerden birisi Bylock kullanmış olabilir." dedim. Bana "kullandığımız telefonun IMEI numarası da geldi. Bu size ait olan telefonun IMEI numarası. O yüzden başkası kullanmış olamaz." dediler.
Çok yanlış bir yorum yapmışlar. Zira IMEI numaraları Bylock sunucusunda tutulamaz ve tutulmamış. IMEI bilgisi operatörlerde var ve bu bilgiyi operatörler veriyor. Buradaki mevzu şu: Bylock sunucusundan gelen IP adresi bilgisini operatörler hat sahibi bilgisine dönüştürüyorlar ve o hat sahibinin o esnada kullandığı IMEI numarasının bilgisini de gönderiyorlar. O yüzden mahkemelerde IMEI bilgisi de oluyor.
Fakat, buradaki kritik nokta şu. Bağlantı hat üzerinden yapıldığı için, sizin hotspot açtığınız biri Bylock'a bağlansa sizin hattınızda Bylock kullanılmış gözüküyor. Operatör de o esnada sizin hattınızın takılı olduğu sizin telefonunuzun IMEI numarasını gönderiyor. Yoksa Bylock'a bağlanan adamın IMEI'sini göndermiyor, gönderemez de. Çünkü siz telefonu hotspot yapıp modeme çevirdiğinizde, o hat üzerinden kimlerin çıkış yaptığını operatör bilemez.
Soru 108: Telefonum incelendi ve Bylock izi bulundu. Ben asla bu programı indirmedim ve kurmadım. Böyle birşey nasıl olur?
Telefonda bulunan veri ve izler, kullanıcıya ait olmayabilir. Telefon ikinci el ise, siz satın aldıktan sonra fabrika ayarlarına döndürüp kullanmış bile olsanız, önceki kullanıcının bilgileri telefonda durabilir.
Veya, bazen kullanıcı internetten telefon alıyor, 10 gün kullanıyor sonra da cayma hakkını kullanarak iade ediyor. Bu telefonları fabrika ayarlarına getirip, kutusunu allayıp pullayıp sıfır diye satıyorlar. Sıfır telefon alıyorum diye böyle bir telefon satın almış da olabilirsiniz.
Bir başka ihtimal, siz telefona Custom Rom yüklersiniz. (Cyanogenmod, AOSP vs. gibi meşhur ROM'lar var). Oysa o ROM aslında o ROM'u yazan kişinin kendi telefonundan derlediği kodlardan oluşur. O şahıs telefonuna Bylock vb. programlar yüklemiş ise, bunların izi o ROM'da bulunur. Siz Custom ROM'u telefona yüklediğinizde sizin telefona da aynen geçer. İncelendiğinde de izi çıkar...
Tabi bunlar düşük ihtimal olan şeyler, ama gene de ihtimaldir. O yüzden telefonda Bylock izi bulunması Bylock kullanımına "kesin olarak" işaret etmez.
Tabi bir de Adli Bilişimcinin kim olduğu veya Adli Emanete alınan telefonlara birinin erişimi olup olmadığı gibi fiziksel müdahale yapılabilecek durumlar da var. Örneğin Adli inceleme yapan uzman kripto FETÖ'cü ise, telefona kendisi Bylock yükleyip, sonra "Telefonda Bylock bulduk" da diyebilir. Kim aksini iddia edebilecek? Teğmen Mehmet Ali Çelebi'nin telefonuna "sehven" numara yükleyen FETÖ'cülerin varlığı artık herkesçe biliniyor.
Normalde dijital veriler delil olarak toplandığı zaman, hard disk vb. şeylerin kopyası-yedeği, "hash değerleri" vs. alınır ve şüpheliye verilir. Böylece üzerinde sonradan oynama yapılırsa, bunlar rahatlıkla ispat edilebilir.
Ama bu FETÖ soruşturmalarında bu usulün uygulandığına dair hiçbir şey duymadım. Tam tersine, KHK çıkarıldı "Yedek vermek zorunda değiliz" mealinde...
Uzun sözün kısası, telefonuzda incelemede Bylock çıkmışsa, bu büyük ihtimalle sizin kurduğunuz manasına gelir. Ama bir kesinlik de ifade etmez, edemez. Haberleşme tespit tutanakları, içerikler ve benzeri kayıtlarla beraber değerlendirilmesi gerekiyor.
Soru 109: Telefonumda incelemede Kakao çıktı. Ama ben bu programı asla kullanmadım.
Samsung bazı modellerinde Bundle olarak Whatsapp vb. yanında Kakao'yu da kurulu olarak gönderiyor. O yüzden pek çok Android telefonda, sahibi hayatında kullanmamış da olsa Kakao programının izi çıkar, normaldir. Ayrıca dünya genelinde 500 milyon indirme olan bir programı örgüt üyeliği kapsamında araştırmaları trajikomik. Eski dönemde her MEKAP giyene PKK'lı demekten de beter, her spor ayakkabı giyen PKK'lı demek gibi birşey.
Soru 110: Bylock iddiası olan tarihteki telefonumuzun peşine düşüp, 3 el değiştirmiş telefonu geri aldık. Şimdi de bilişim şirketinden incelenmesi için fiyat istedik. 5000 Euro talep ettiler. Bu lanet program o cihazda var ise, biz sattıktan sonra arada kullanmış 3 kişide de o programın sinyal vermesi ve o kişilerin de kullanıcı olarak görünmesi gerekmez miydi?
O kişiler telefonunuzu fabrika ayarlarına döndürmeden kullanmış olsalar, program onlarda da görünebilir. Fakat genelde satın alınan telefonlar formatlanır.
Eğer arada satın alanlardan birisi Bylock kullandıysa, kendi hattı üzerinden Bylock gözükür. O hattın da, o IMEI'li telefona takılı olduğu da gözükür.
Telefonu sizin incelettirmenizi de mahkeme ciddiye almayabilir. Maddi durumunuz müsait değilse, boşuna kendinizi zorlamayın bunun için. Mahkeme kendisi incelettirecektir zaten.
Ama o durumda da, telefon temiz çıksa "ee zaten silinmiştir 2 sene sonunda" diyecekler. Hasbel kader arada satın alan 3 kişiden biri Bylock'çu ise ve telefonda Bylock izi çıkarsa, o zaman onu da size yazacaklar...
Bu durumda arada satın almış kişilerin hatları ve onlar üzerinden Bylock kullanılıp kullanılmadığı bilgilerine ulaşmanız, onların Bylock kaydı varsa, iddia edilen tarihlerdeki HTS kayıtlarından, IMEI karşılaştırması vs. yaparak, o telefonda Bylock kullananın aradaki kişiler olduğunu ispatlamanız gerekir. Bu da uzun ve zor bir iş.
Yani telefonu incelettirmeniz, çok faydasını görebileceğiniz bir şey değil. Gene de savcılığa teslim edin, "Telefonu sattığımız kişilerden iz sürerek bulduk ve geri aldık, incelenmesini talep ediyoruz" deyin. Bir baksınlar bakalım Bylock izi var mı yok mu.
Soru 111: Bir tanıdığıma tek hat üzerinden 2 farklı IMEI numarasıyla Bylock kullandığı iddia edilmiş. Fakat bu iki IMEI de onun telefonuna ait değilmiş. Bu IMEI'lerin hangi telefonlara ait olduğunu ve o tarihte kimler tarafından kullanıldıklarını öğrenebilir miyiz?
Bylock tespiti hat üzerinden yapıldığı için, IMEI'nin farklı çıkması mahkeme gözünde bir anlam ifade etmez. O tarihteki telefonları atmış/satmış olabilirsin derler.
Fakat sizin açınızdan düşünelim. Tanıdığınızın tek telefonu mu varmış? Hiç hattını pili bittiği için vs. başka birinin telefonuna takmış mı? Eğer hattını, telefonunda Bylock bulunan birinin telefonuna taknış ise, o kişinin telefonu açıldığında otomatik Bylock'a bağlanıp mesaj kontrol etmiş ise, bağlantı sizin hattınız üzerinden ama bilmediğiniz bir IMEI ile kullanılmış gibi gözükür. Çünkü telefon adamın, kurulu Bylock adamın, ama hat sizin.
IMEI kontrolü bildiğim kadarıyla edevlet sitesinden ya da BTK sitesinden yapılabiliyordu. Google'da bir aratırsanız bulursunuz.
Ama iddia edilen tarihlerde o IMEI'li telefonlarda hangi hatların takılı olduğunu ancak BTK ya da operatörler bilir. Onlar da dilekçe ile vereceklerini zannetmiyorum. Ama mahkeme talep ederse gönderirler.
O IMEI'ler farklı hatlarda kullanılıyor da, atıyorum 1-2 saatlik bir süre için sizin tanıdığınızın hattında gözüküyorsa, oradan bir şey çıkabilir.
Yani örneğin:
X şahsın, Ağustos ayı süresince 0532 444.. numaralı hattının 4444444... IMEI numaralı telefonda kullanıldığı gözüküyor.
Ama 12 Ağustos'ta 2 saatlik bir süre için hattı 555555.. IMEI numaralı telefonda kullanılmış..
555555... IMEI numaralı telefonda diğer vakitlerde 0555 222... numaralı bir hat kullanılıyormuş...
gibi bir senaryo olursa, buradan temize çıkabilirsiniz. "Bu telefon bizim telefonumuz değil, iddia edilen bağlantı da 2 saatlik bir bağlantı. O arada X şahsın pili bitmiş de diğer arkadaştan görüşme yapmak için telefonu isteyip de sim kartını o telefona takmış. O telefonda kurulu olan Bylock, X şahsın hattı takılı iken sunucuya bağlantı kurmuş." diyebilirsiniz.
Ama IMEI'lerin kime ait oldukları ve hangi telefonda kullanıldıkları bilgileri lazım. Mahkeme kanalı ile istetin.
SONRADAN SORULAN SORULAR:
Bundan sonra sorulan sorulara verilen cevapları sıra ile buraya ekleyeceğim.
Soru 112: Bu Morbeyin işi nasıl ortaya çıktı? İçeriği ne derece güvenilir?
Şu anki nokta, belki 1 yıla yakın bir sürecin sonucu. Uzun süredir kardeşiyle ilgili Bylock iddiasını çözmeye çalışan Binbaşı Levent Mazılıgüney, 2017 başlarında Hakan Erdoğan adlı bilirkişiye gidip geliyor ve Bylock üzerine ortak bir rapor hazırlamaya çalışıyorlar. (Detaylarını biliyorum, çünkü o raporu hazırlarken benim bir önceki makalemden alıntı yapmak için benden de izin aldılar). O arada Hakan Erdoğan, Zerrin Gölyeri adlı bir avukatın da telefonunu inceliyor. Bu inceleme esnasında, daha önce Bylock bulundu denilen telefonda Bylock izlerinin bulunduğunu, fakat bu izlerin Bylock programında değil, Freezy adlı bir müzik uygulaması içinde olduğunu görüyor. Bunun üzerine bir rapor yazıyor ve Zerrin Gölyeri kurtuluyor. Levent Mazılıgüney'in de bu rapordan haberi oluyor, ama Bylock'un delil niteliğine dokunduğundan, Hakan Erdoğan bu raporun yayılmasını istemiyor. Fakat bir ara denk getirip raporun bir kısmını fotoğraflıyorlar. Sonra Koray Peksayar'a götürüyorlar. Beraber bir çalışma başlatıyorlar. Morbeyin'in yazdığı programları arşivlerden buluyor, içeriklerini inceliyorlar. Gerçekten de Freezy ve Kıble Pusulası gibi birkaç program içinde morbeyin'in sitesine yönlendirme yapan bir iFrame olduğunu, morbeyin sitesinden de Bylock'un IP Adresine yönlendirme olduğunu görüyorlar. Beraber bir rapor hazırlıyorlar, (ki hazırlanan raporu bana da gönderdiler ve ben de bunun gerçekliğine ikna oldum). Sonra Ekim ayında bu raporu Avukat Ali Aktaş'a götürüyorlar. O da önce inanmak istemiyor ama sonrasında ikna oluyor ve beraberce peşine düşüyorlar. Sonradan bilirkişi Tuncay Beşikçi'ye götürüyorlar. O da aynı şekilde böyle birşey olabileceğine ihtimal vermiyor. Ama gene de inceleme sözü veriyor. Sonrasında o da olayı teyit ediyor. Bu sefer MİT'e ulaştırıyorlar. MİT'teki elemanlar da inceleyip, onlar da bu işin doğruluğunu teyit edince, kademe kademe yukarıya kadar çıkıyor. Sonrasında olay medyaya yansıyor, ve saire.
Soru 113: Telefonların Bilirkişi incelemesi nasıl yapılıyor?
Telefonların bilirkişi incelemesi temel olarak şöyle yapılıyor: Sleuth Kit, Autopsy, Encase gibi Digital Forensics (Dijital Adli Tıp) yazılımları var. Önce telefonun imajını alıyorlar. Sonra da bu yazılımlar vasıtası ile o imaj üzerinde kelime veya kelime dizisi araması yapıyorlar. (Daha önce silinmiş dosyaların izleri de -eğer sonradan üzerlerine başka veri yazılmamış ise- o imaj üzerinde duruyor). Aradıkları kelimeler de
net.client.by.lock, 46.166.160.137, by/lock, keynes97209@gmail.com gibi Bylock uygulamasına özgü veriler. Telefon imajı üzerinde bu aramaların sonuçlarını ayrı ayrı inceliyorlar. Çünkü "Standby Lock" gibi alakasız yerler de denk geliyor. Sonrasında imaj üzerinde bu verilerin bulunduğunu, bulunduğu dosyalar/yerler vb. ile beraber belirtip, "Telefonda Bylock izi bulunmuştur" diye rapor düzenliyorlar.
Soru 114: 17 Kasım 2014'te Türkiye'den engellenen IP adreslerinin listesi nedir?
Listenin aslı MİT raporunda mevcut. Kullanımı şu şekilde:
Örneğin engellenen IP aralığı: 37.123.0.0/18
Buradaki 18 rakamı, kaç adet IP adresinin engellendiğini gösteriyor. Ama CIDR formatında. Aralıktaki IP Adresi sayısı da 2^(32-x) diye hesaplanıyor..
Yani örneğimizde 2^16 = 65.536 adet
Yani 37.123.0.0'dan 37.123.255.255'e kadar olan aralık banlanmış.
Örnek 2:
Sonradan Bylock'a tahsis edilen IP aralığı:
46.166.164.176/29
2^(32-29) = 8 => 46.166.164.176 ile başlayarak 8 IP Adresi tahsis edilmiş.
Örnek 3:
Ban listesinde bulunan bir adres
37.154.0.0/15
2^17 = 131.072 adet
37.154.0.0'dan 37.155.255.255'e kadar olan 131.072 adet IP Adresi
Eğer 17 Kasım 2014 sonrası CGNAT loglarında Bylock sunucularına bağlantınız gözüküyorsa, Türkiye'den engellenen IP Adresi listesini inceleyerek, size o tarihte verilen IP adresinin (Genel IP) o listede olup olmadığına bakabilirsiniz...
Soru 115: Bylock'un Diğer IP'leri ne zaman kullanıma girmiş?
(Soru 10'a düzeltme)
Ek olarak tahsis edilen 8 adet IP adresi (46.166.164.176'dan 46.166.164.183'e kadar) 24 Ağustos 2014 tarihinde tahsis edilmiş ve çok kısa bir süre içerisinde bu adresler Bylock uygulamasının yeni versiyonu tarafından kullanılmaya başlanmıştır. Fakat DNS kayıtlarına girmeden, doğrudan IP Adresi üzerinden bağlantı kurulmuştur. (MİT Raporunda bu konudaki muğlak ifade, 1 Eylül 2015-9 Ekim 2016 tarihleri arasındaki DNS kayıtlarında bu adreslerin Bylock alan adı ile eşleşmediğine dair bir bilgidir. Kullanılmadıklarını değil, adres defterine kaydedilmediklerini söylemektedir.)
Soru 116: Bylock Tespit Tutanağı ve CGNAT kayıtları uyumsuz ise bu ne demektir?
Normalde Bylock sunucusundan gelen Log kayıtlarının, BTK'nın gönderdiği CGNAT kayıtları ile tutarlı olması gerekir. Yani örneğin Bylock sunucusunda 14.12.2014'te saat 16:24 ile 17:00 arasında login olduğunuz gözüküyorsa, CGNAT kayıtlarında da aynı gün 16:24 ile 17:00 arasında yaklaşık 60-70 satır bağlantı bilgisi olması gerekir. Eğer bu konuda tutarsızlıklar varsa, bunlar bir hata olduğunu gösterebilir.
Fakat.. (Yaklaşık) 1 Kasım 2014 öncesi loglar Bylock sunucusundan silindiği için, Bylock tespit tutanağında 1 Kasım 2014 öncesine ait bağlantı kayıtları gözükmeyebilir. Fakat CGNAT kayıtlarında bunlar gözükür. Bu tutarsızlık değil, sadece kayıtların bir kısmının Bylock sunucusundan silindiğinin göstergesidir.
Ayrıca, CGNAT kaydında bağlantı gözükebilir, ama Bylock tespit tutanağında bağlantı olmayabilir. Bu da sunucuya bağlantı kurduğunuz, ama login olmadığınız/olamadığınız anlamına gelir. Yani BTK evin kapısını görebiliyor, kapıyı çaldığınızı görebiliyor, ama içeri girip girmediğinizi, veya içerde ne yaptığınızı bilemiyor. Dolayısıyla başarısız login denemeleri, CGNAT'ta olur ama Bylock tespit tutanağında olmaz.
Ayrıca, Bylock tespit tutanağında bağlantı gözükebilir, ama CGNAT kaydında bağlantı olmayabilir. Bu da artık sadece VPN üzerinden bağlantı kurduğunuz anlamına gelir. Yani BTK'nın gördüğü, sizin başka ülkeye gittiğiniz olur. Ama o ülkeden Bylock'a geçmişsinizdir, bunu BTK (normalde) görmez.
------------------------------------
Not1: Yorum olarak yazacağınız sorulara cevap verebilirim (vermeyebilirim de). Sorunun cevabı yukarıda varsa, cevap yazmam. Güzel soru ise, cevabını makale içeriğine ekleyebilirim. ve saire. Genelde 3-5 günde bir bakıyorum, o yüzden hemen cevap beklemeyin. Ama denk gelir de hemen de yazabilirim. 10dk'dan 1 haftaya kadar süresi var.
Not2: Ücret mukabili danışmanlık vs. yapmıyorum. "Size ulaşabilir miyim" diye yazanlar, sorularını yazarlarsa cevap verebilirim. Özel bilgi isteyenler yorum yazıp kendi mail adreslerini belirtsinler. Yorumu yayınlamadan kendilerine mail atabilirim.
Not3: Vaktim varsa ve keyfim yerindeyse, Bylock tespit tutanaklarınızı / BTK kayıtlarınızı inceleyip tutarsızlık olup olmadığına bakabilirim. Ücret almam, fakat herkesin kayıtlarını incelememi de beklemeyin.
Not4: Bir süredir Bylock kelimesinden bile tiksinmiş haldeyim. Cevap yazmadıklarım gücenmesin.
Not5: Her zaman olduğu gibi, bu yazı da dahil olmak üzere yazılarımın tamamı için her türlü alıntıya müsaadem vardır. Copyright, royalty vs. derdim yok. İşine yaradığı müddetçe isteyen, istediği kısmını alıp kullanabilir. Alıntı yaptığınız kısımları da sizi bağlar. Sonra gelip benim başıma ekşimeyin.
Not6: Merak edenler için, kızkardeşim halen ihraç durumda ve halen Ağır Cezada (neyse ki tutuksuz) yargılanmakta. Kendi adına olan ADSL hattından sadece 1 kere Bylock bağlantısı gözükmesine, o Bylock User ID de bir başkasının cep telefonuna ait olduğu ve o şahsın da zaten tutuklu yargılanmakta olduğu ortaya çıkmış olmasına ve banka, sendika, gazete, dergi, okul, dersane, itirafçı beyanı vs. gibi tek bir bilgi/itham/bağlantı/iltisak/irtibat/vs. gösteremedikleri halde, tek 1 satırla "Bylock listesinde adı var" diye ihraç edip, gözaltına alıp, 1.5 yıldır terörist diye yargıladıkları kızkardeşimi, beraat ettirmediler...
Utanç davası gibi, başlarını önlerine eğdiler ve davanın devamına karar verdiler. Türk Hukuk Sistemini bu hale getirenleri Allah'a havale ediyorum...
Not7: FETÖ dediğimden gücenenler oluyor. Ben FETÖ derken bu yapının pis işlerini bilen ve organize eden, hiçbir şeyden habersiz masumları da pisliklerine alet eden, paralel devlet yapısı kurarak devleti çökertmek isteyen, sonrasında memleketi parçalamak isteyen ve bu işi bilerek ve kasten yapan kadroyu kastediyorum. Yoksa bu yapının "ibadet tabanı" denilen çoğu mensubunun masum olduğunu, hatta bir kısmının çok takva ve salih amel sahibi olduğunu ve belki manevi mertebe olarak benden kat kat yüksek olduklarını da biliyorum. FETÖ ibaresini onlara hitaben değil, onların saf niyetlerini kullanarak memleketi bölmeye çalışanlara hitaben söylüyorum.