5 Ocak 2018 Cuma

BYLOCK Hakkında Herşey - Bylock Bilgi Bankası

Bylock hakkında gelen sorular için tek tek cevap yazmaktan yorulduğum için, bir önceki makalemde sorulan soruları ve cevaplarını bir araya getirip, bazılarını genelleştirerek ve ek bilgiler ekleyerek, bazılarını da yeni bilgilere istinaden düzelterek genel bir Sık Sorulan Sorular yazısı yazmaya karar verdim. Artık çok daha fazla bilgiye sahip olduğumuz için, önceki makaledeki tahmini yorumlarımın aksine buradaki bilgiler daha kesin ve net olacak.

Sorduğunuz/soracağınız soru için lütfen önce buraya müracaat ediniz. Burada bulamadığınız bir soru olursa, yorum yazarsanız sorunuza cevap verebilir, o cevabı da bu makaleye ekleyebilirim.

EN YAYGIN SORU

Soru 1: Kesinlikle Bylock kullanmadım, ama kullandığım iddiasıyla ihraç oldum/tutuklandım. Bu nasıl olabilir?
Bu Blogdaki diğer makaledeki 7. Maddede, bunun 26 çeşit yolu anlatılmakta. Fakat temel olarak şunları sayabiliriz:
a) Sizin internetiniz veya cep telefonunuz üzerinden bir başkası (hotspot açarak veya ortak kullanımla veya hackleyerek veya telefonu eline geçirerek vs) kullanmıştır.
b) Operatör NAT kayıtlarını ayrıştıramamıştır veya log saatlerinde tutarsızlık vardır. Yanlış kişi bilgisi gönderilmiştir.
c) Operatör'de bulunabilecek kripto FETÖ'cüler, yanlış bilgi göndermiştir.
d) Log kayıtlarının alındığı Bylock sunucusundaki kayıtlar hatalıdır, veya üzerinde bilerek oynanmıştır (alakasız kişileri de o kayıtlara eklemiş olabilirler).
e) MİT'teki veya Emniyet'teki Bylock kayıtlarına birileri dışarıdan müdahale etmiştir.
f) Telefonunda Bylock kurulu olan birine "Abi 5dk SIM kartımı telefonuna takabilir miyim?" diye rica etmişsinizdir. Siz SIM kartını taktığınızda onun telefonu Bylock'a bağlanmıştır. Kullanım sizin hattınızda görünmüştür.

ve benzerleri... Detay için diğer makaleye müracaat edebilirsiniz.

TEMEL KAVRAMLAR

Soru 2: IP Adresi nedir?
IP Adresi (Internet Protocol Address), bir bilgisayar ya da sunucunun internetteki kapı numarası gibi bir numaradır. Tüm web sitelerinin ve internete bağlanan bilgisayarların/telefonların vs. bir IP adresi olmak zorundadır. Bu adres 0.0.0.0 ila 255.255.255.255 rakamları arasında olur.

Soru 3: IP Adresleri nasıl verilir?
IP Adresleri bir ana merkezden tahsis edilerek, ISP'lere (Internet Service Provider / İnternet Servis Sağlayıcı) gruplar halinde dağıtılmıştır. En düşük tahsis 256 adettir. Ortalama 65.536 adet ve üzeri olarak tahsis edilirler. Örneğin Bilkent'in kendine ait 65.536 adet IP Adresi vardır. Bunların tamamı 139.179. ile başlar. 139.179.0.0'dan 139.179.255.255'e kadar 65.536 adet IP adresi sığar. Bilkent, kendi bünyesindeki bilgisayarlara bu IP'leri kendi dilediği gibi dağıtabilir.

Soru 4: Dünyada kaç adet IP Adresi var?
Teorik olarak 4 milyar civarında (4.294.967.296), fakat bunların yaklaşık 590 milyonu rezerve olduğundan ve geri kalanları da blok halinde dağıtıldıklarından (örneğin Bilkent kendisine ait 65.536 adet IP Adresinin ancak 10bin tanesini kullanıyordur, bu durumda 55bin IP adresi boştadır ama Bilkent'e ait olduğundan başkası da kullanamaz) belki reel olarak 1-2 milyar civarında IP Adresi kullanımdadır.

Soru 5: Türkiye'deki Operatörlerin tahsisli IP Adresleri kaç adettir?
Tüm Türkiye: Yaklaşık 15.534.000.
Türk Telekom 6.930.000, Türkcell 2.228.000, Vodafone 1.655.000, AVEA - 811.000, Tellcom 664.000, Superonline 545.000, Türksat (Uydunet) 459.000, Digitürk 410.000. Bir miktar da ufak tefek 256 ve 65.636'nın katları olacak şekilde müstakil kurum ve şirketlere ait IP'ler vardır.

Soru 6: Dinamik / Statik IP nedir?
Her kurum ve Operatör, kendi altındaki bilgisayarlara bir IP adresi verir. Bu adres, talep halinde statik yani sabit IP adresi olur ve değişmez. Web sitesi sunucuları vb. internette yayın yapan yerlerin IP adresleri çok büyük oranda statiktir. Fakat normal müşterilerin IP adresleri dinamik yani değişken IP adresleridir ve bu IP adresleri her bağlantıda (modem resetlendiğinde ya da cep telefonu baz istasyonu değiştirdiğinde) değişebilir.

Soru 7: Genel IP Adresi / Özel IP Adresi nedir?
Dünyadaki internet istemcilerinin (yani internete erişim isteyen bilgisayar/telefon/IP kamera vb. tüm cihazlar) sayısı, dünyadaki IP adreslerinin sayısından çok daha fazla olduğu için, iki tür IP adresi kullanılmaktadır. Bunlardan bir tanesi kurum (operatör) içi, bir tanesi kurum (operatör) dışı. Dışarıdaki IP Adresi, Genel IP Adresidir. İçerideki IP adresi, Özel IP adresidir. Örneğin bir şirketin 422 00 00 olan telefonu Genel IP Adresine; şirket içinde kullanılan 2242 gibi dahili numaralar da Özel IP Adresine örnek gösterilebilir.

Soru 8: NAT / CGNAT nedir?
NAT (Network Adress Translation), yukarıda bahsedilen Özel IP Adresi kullanımını düzenleyen sistemdir. Yani bir şirketin Telefon Santrali gibi, dışarıdan gelen bağlantıları dahili telefonlara yönlendiren, içeriden giden aramaları şirket hattından çıkış yaparak dışarıdaki hatlara bağlayan sistemdir. Sizin Özel IP'niz ile Genel IP'niz arasındaki çevrimi yapar ve internet ile aradaki bağlantıları kurar. CGNAT da bunun büyük boyutlu versiyonudur (Türk Telekomun ana santrali gibi).

Turkcell 35 milyon, Vodafone 20 milyon, Avea 15 milyon kullanıcıya sahip. Yukarıda verdiğim IP Adresleri ile karşılaştırılınca, Avea'da 18.5 kişiye 1 IP, Turkcell'de 15 kişiye 1 IP, Vodafone'da 12 kişiye 1 IP düşüyor. Bu hatların yarısı kadar gerçek kullanıcı olsa, internet kullanıcı sayısı bunun yarısı olsa, onların da aynı anda interneti açık olanlar yarısı olsa, demek ki Türkiye'deki operatörler aynı anda, aynı IP adresini en az 2-3 kişiye vermek durumundalar... Bu da ancak NAT/CGNAT yolu ile, yani kullanıcılara Genel IP/Özel IP diye iki farklı IP adresi ataması yaparak olabilir.

Soru 9: CGNAT Logları / Kayıtları nedir?
Operatörlerin kendi içlerindeki IP Adresi tahsislerine dair tuttukları kayıtlardır. Telefon benzetimi ile, sizin şirketten dışarı çıkan aramalar için şirketteki telefon santralinin tuttuğu iç kayıtlardır. Böylece şirkete "Falan tarihte sizin numaradan aranmışız" gibi bir talep geldiğinde, şirket kendi iç kayıtlarına bakarak o aramanın hangi dahili numaradan yapıldığını görebilir. Bunun internet dünyasındaki karşılığı CGNAT Loglarıdır.

Soru 10: Bylock'un IP Adresi nedir?
Bylock'un ana IP Adresi 46.166.160.137'dir. Buna ek olarak tahsis edilen 8 adet daha IP adresi (46.166.164.176'dan 46.166.164.183'e kadar) daha vardır ama Bylock kullanıldığı süreç içerisinde bu IP adresleri DNS arşiv kayıtlarında gözükmediği için, kullanılmadığı düşünülmektedir. Gene de sadece IP tabanlı olarak kullanılmış olabilirler. Fakat bu düşük bir ihtimaldir.

Soru 11: User ID (uid/UID) nedir?
User ID, Bylock'ta kullanıcı hesabı açan herkese sistemin otomatik olarak verdiği bir kayıt numarasıdır. Muhtemelen 1'den başlayıp 500bin'e kadar gitmiştir. User ID'ler benzersizdir (unique) ve TC Kimlik No gibi, kullanıcı hesaplarındaki tüm bilgiler, User ID altında kaydedilmiş durumdadır. Örneğin mesajlaşma bilgileri IP Adresi vb. detaylar içermez. 444 User ID, 555 User ID'ye, falan mesajı attı diye kaydedilir.

BYLOCK HAKKINDA GENEL BİLGİLER

Soru 12: Bylock kriptolu bir haberleşme programı mı?
Bu propaganda amacıyla söylenen klişe bir laf. Tabi ki kriptolu, çünkü dünyada artık kriptosuz haberleşme diye birşey neredeyse yok. Tüm cep telefonu görüşmeleri, https'le başlayan tüm web siteleri gezintileri, whatsapp vb. tüm haberleşme programları, araya giren birisinin bu mesajları rahatlıkla okuyamaması için kriptoludur (yani hepsi encryption kullanır).

Soru 13: Bylock kim tarafından yazılmış?
Tilki lakaplı FETÖ'cü Atalay Candelen tarafından yazılmış. Fakat Apple Store'a arkadaşı David Keynes'in (Alparslan Demir) kredi kartı ile kaydolduğundan, sahibi David Keynes olarak gözüküyor. Detayları İsmail Saymaz'ın röportajında var. Ben röportaj içeriklerinin büyük oranda doğru olduğunu düşünüyorum.

Soru 14: Bylock FETÖ'ye özel mi yazılmış?
Muhtemelen hayır. Çünkü gerçekten çok acemi işi bir yazılım. Zira:
a) Şifre Kuralları (Password Policy) yok. Oysa en basit bir web sitesine bile kayıt olacağınız zaman, sizden Büyük-Küçük Harf ve bir rakam içeren ve en az 6 karakterden oluşan bir şifre oluşturmanızı isterler. Bu, deneme yanılma yöntemi ile şifrelerin çözülmesini zorlaştırmak içindir. Oysa MİT raporuna göre Bylock'ta kullanılan şifrelerin %85'i basit şifreler. 1234, 123456, 1453, 0, asdfgh, qwerty, vb. klasik şifrelerin her biri yüzlerce kişi tarafından kullanılmış. 0 diye şifre kullanımına izin veren bir programı ortaokul çocuğu bile yazmaz...
b) Şifreleri sunucuda kaydetmek için MD5 hash algoritması kullanmışlar. MD5, 2012 yılında büyük açıkları bulunduğundan beri kullanılmayan, güvensiz bir hash algoritması. Ayrıca MD5'la kaydedilmiş şifreleri çözmek için trilyonlarca şifrelik veri tabanları (Rainbow Tables) internette mevcut. Yani 2014 yılında "gizli haberleşme" için kod yazan birinin bu algoritmayı kullanması çok anlamsız. Ya programcı Siber Güvenlik dünyasından haberi olmayan acemi biri, ki o zaman neden programı yazma işini ona vermişler? Hiç mi iş bilen adam yokmuş? Ya da kasten yapmış...
c) Program her türlü giriş/çıkış ve işlem kayıtlarını hem de çok uzun bir aralığı kapsayacak şekilde tutmuş. Gizli bir örgüt yazılımı olsa, bu kayıtların büyük çoğunluğunun tutulmaması gerekir. Hücre tipi yapılanmayla çalışan gizli bir örgütün, her türlü arşiv kaydını tutması o kadar anlamsız ki.
d) Program sunucusu olarak Litvanya'da sunucu hizmeti veren ticari bir şirketin sunucuları kullanılmış. Gizli bir örgütün tüm üye bilgilerini ve haberleşme içeriklerini bir ticari şirketin sunucusuna koyması mantıksız. Hele kendisi ABD emrinde iken, bu bilgileri Litvanya gibi Rus etkisinde bir ülkenin sunucularına koyması iyice mantıksız.

Fakat öte yandan, 15 Kasım 2014'te bir şekilde tespit edildiklerini farkettikleri için VPN şartı getirmeleri, programın kontrolünün FETÖ'nün elinde olduğuna da kuvvetli bir işaret.

Gene bunun zıddına olarak, belki flash disk bulundurma ve taşıma nizamnamesi yayınlayacak kadar dijital bilgilerini korumaya dikkat eden bir örgüt, kendi yazdığı programı kullanmayı bırakacak ve Şubat 2016'da tüm örgüt içi haberleşme bilgilerini tutmuş olan o sunucunun ücretini ödemeyi bırakacak ve yüzbin kişilik örgüt şeması çıkarılabilecek kadar detaylı bilgiyi Litvanya'da bir bilgisayar üzerinde terkedecek..

Ortada büyük bir gariplik var ama nedenlerini çözemiyorum. Sanki gerçekten hem kendi tabanlarını, hem de alakasız kişileri kurban etmek için kurulmuş bir düzenek gibi.

Soru 15: Bylock'u sadece FETÖ'cüler mi kullanmış?
İsmail Saymaz röportajında David Keynes'in verdiği %90 oranına ben de katılıyorum. Bu program müstakil yazılmış da olsa, sonra bir şekilde FETÖ içinde yaygınlaşmış ve büyük bir kesim tarafından kullanılmaya başlanmış. Öyle ki kullanıcılarının tamamına yakını FETÖ'cülerden oluşmuş. Ama bunların haricinde de bu programı indirip kuran ve kullananlar olmuş.

Programın (artık sadece web arşivlerinde bulunan) Google Play sayfasındaki yorumlarda rastgele sorular soran yabancı kullanıcı yorumları da bulunmakta. Merak edenler aşağıdaki linkten bakabilirler. (Link, zaman makinası niteliğindeki zararsız bir web arşiv linkidir. Bylock sunucusu zaten çoktan kapanmış durumda.)

https://web.archive.org/web/20140818062556/https://play.google.com/store/apps/details?id=net.client.by.lock

Burada altta yorum yapan kullanıcıların Google+ sayfa linkleri de halen duruyor. Örneğin ilk yorumcu muhtemelen uzakdoğulu olan şu şahsiyet:

https://play.google.com/store/people/details?id=116403911064032531572

O yüzden program sadece FETÖ'cülere has denemez. Ama FETÖ'cülerin bu programı kendi aralarında yaydıkları ve çok kısa süre içerisinde yüzbinlerce kullanıcıya ulaşmasını sağladıkları ortada. Zaten MİT raporu da aynı şeyi söylüyor.

Soru 16: Bylock'ta kaç kullanıcı varmış?
MİT'in elde ettiği veri tabanında, 215.092 adet kullanıcı bulunduğu bilgisi verilmiş. APK sitelerinde 500-600bin adet indirme olduğu bahsi var. Fakat telefonu yenilediği için veya fabrika ayarlarına döndüğü için programı tekrar indirenler, belki versiyon yenileyenler vs. göz önüne alınırsa, 215bin kullanıcıya mukabil 500bin indirme normal bir rakam. Dolayısıyla 215.092 adet kullanıcının var olduğunu kabul edebiliriz.

Fakat sonraki sayfalarda en az 1 mesaj atmış olan kullanıcı sayısı 60.473 adet olarak verilmiş. Sadece sesli mesaj için kullanan kişi sayısı da 46.799 olarak verilmiş. Programın mail/dosya gönderme, mesaj gönderme ve sesli arama haricinde bir kullanım yöntemi olmadığına göre, en az bir mesaj atmış olanlarla, sadece sesli arama için kullanmış kişilerin (yani hiç mesaj atmamış olanların) sayısı toplanırsa, (sadece mail atanlar vs. istisna edilirse, yaklaşık olarak) tüm kullanıcı adedini vermesi gerekir. Bu da demektir ki 107.272 kişi (veya biraz daha fazlası) programı herhangi bir şekilde kullanmış. Bu durumda, herhangi bir içeriği olmayan, yani mesaj atmamış veya sesli arama gerçekleştirmemiş, 107.820 kişi var.. Bu da tüm kullanıcıların neredeyse %50'si demek.

Bu garip bir durum. 100bin kişi, programı indirmiş ve kullanıcı hesabı oluşturmuş ama programı kullanmamış. Neden?

Yoksa kullanmışlar ama bilgileri mi silinmiş? Bilerek silinmiş ise, geri kalan 107bin kişinin içerikleri neden silinmemiş? Yanlışlıkla silinmiş olsa, 60 bin kişinin ortalama 284 mesajı silinmemiş ve ele geçirilmiş, ama 107bin kişinin tüm haberleşme içerikleri mi silinmiş? İstatistiksel olarak çok anlamsız.

Belki de Bylock'un tespit edildiğini farkettikleri için (15 Kasım 2014'teki VPN şartı getirmeleri gösteriyor ki, farketmişler) log tablosunu kendileri bir o kadar da satır ekleyerek kalabalıklaştırdı. Ama bu sonradan eklenenleri sadece log tablosuna ekledikleri için, herhangi bir haberleşme içerikleri de olmadı. Kimbilir..

Soru 17: Bylock hangi telefonlara ve nereden/nasıl yüklenmiş?
Android telefonlara (Samsung, HTC vs.) 11 Nisan 2014'ten, 3 Nisan 2016'ya kadar Google Play Store'dan, iPhonelara Nisan 2014'ten 7 Eylül 2014'e kadar Apple Store'dan indirerek kurulabilmiş (Bylock programı, iOS 6 ile uyumlu olmadığı için, Eylül 2014 gibi devreden çıkıyor). Bu tarihler dışında, Android telefonlara "apk" dosyası indirilerek dışarıdan da kurulabilmiş. Fakat iPhone'lara dışarıdan kurulması çok zor (mümkün, ama zahmetli ve teknik bilgi gerektiren bir işlem olduğu için, yapabilen çok azdır). Blackberry ve Windows telefonlara zaten kurulamıyor.

Soru 18: Bylock sadece flash disk ile dışarıdan mı kurulabilir?
MİT Raporunda bile Bylock'un 2014 yılı başlarında Google Play'de kullanıma sunulduğu yazmakta. Zaten tüm arşivlerde bu durum açıkça görünüyor. Dolayısıyla Bylock yaklaşık 2 yıl boyunca internetten indirilip kurulabiliyormuş. Google/Apple Store'a konulmadan önce veya Store'dan kaldırıldıktan sonra apk/mail vb. yöntemler ile kurulmuş da olabilir. Ama belli bir süre boyunca internetten serbest indirime açık olduğu ve (az sayıda da olsa) FETÖ veya Türkiye ile hiç alakası olmayan yabancılar tarafından da indirilip kullanıldığı açık.

Soru 19: Bylock'a bağlanmak için referans gerekiyor mu?
Hayır. Doğrudan hesap açarak kullanılabiliyormuş. Fakat bir kullanıcı listesi vs. olmadığı için, haberleşmek istediğiniz kişinin kullanıcı numarasını alarak eklemeniz gerekiyormuş. Bu da 10 veya 12 rakamlı telefon numarası gibi bir dizi karaktermiş (111AB2233CD4 gibi) . Dolayısıyla programı herkes kurabiliyor, ama biriyle haberleşmek için haberleşeceğiniz kişiden telefon numarası alır gibi Bylock numarasını almanız gerekiyormuş. Bu işlem kulaktan kulağa yoluyla Türk basınına düşünce, referans numarası zannedilmiş. (Ayrıca Bylock'a kaydolan herkese programın kendi içinde atadığı bir User ID / Kullanıcı Kodu var, bu farklı birşey. Bu 1'den başlayıp 600.000'e kadar giden bir sıra numarası).

Soru 20: Bylock'ta 16-24 karakter arası şifre mi kullanılmış?
MİT'in çözümlediği şifreler arasında bir tanesi 1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p diye 38 karakterli bir şifreymiş. Fakat bu şifre aslında klavyedeki tuşların yukarıdan aşağıya sıralı basımı olduğu için, çok düşük entropili bir şifre ve bu yüzden basitçe kırılmış. Bunun haricinde tek tük uzun şifre örnekleri vermişler. Ama MİT Raporuna göre (çözebildikleri) şifrelerin %65'i 8 karakter ve altında, %35'i de 9 veya 10 karakter (az sayıda da 10 karakter üzeri şifre vardır).

Soru 21: FETÖ'cülerde bulunan 1 Dolarların Bylock şifresi olduğu iddia ediliyor.
Tamamen magazinsel bir haber. MİT raporunda çözülmüş şifre örnekleri var. Şifreler klasik insan şifreleri. 1234 gibi yüzlerce basit şifre var. Öyle hepsi dolar seri numarası olsa şifrelerdeki benzerlik anında göze batardı zaten.

O 1 dolar mevzusu benim anladığım kadarıyla, Fetullah'ın müritlerine gönderdiği paralar. Hatıra niyetine saklamışlar/saklıyorlar. Bir kısmı da belki masonik işaretlerden vs. ötürü veya hatıra para niyetiyle tutmuştur, bilemiyorum. Ama Bylock şifreleriyle veya kullanıcı kodlarıyla bir bağlantısı yok. Bu kesin.

Soru 22: Bylock nasıl kırılmıştır?
Bylock sunucusunun satın alındığı veya Litvanya'ya gidilerek sunucuların bulunduğu binaya sızıldığı vb. genel kanaatlerin aksine, MİT raporunda verilen ekran görüntülerinden benim anladığım şu:

MİT, Google Store / Apple Store'daki Bylock yazılımının iletişim bilgilerine / ödeme bilgilerine ulaşıp, dashjohn@yandex.com adresini kullanan birisi (muhtemelen David Keynes, ya da Atalay Candelen) adına kayıtlı olduğunu öğreniyor. Sonra da Yandex Maili hackleyerek (ya da Rus istihbaratı ile işbirliği yapıp şifresini alarak) dashjohn@yandex.com'un maillerine ulaşıyorlar. Oradan mesaj içeriklerinde "160.137" araması yaparak, Baltic Servers tarafından 08.08.2014 tarihinde David Keynes'e gönderilen sunucu bilgileri mailine ulaşıyorlar. Orada da sunucuya Username: root, Password: 4Pxvw68VV kullanılarak login olunabileceği bilgisini alıyorlar ve uzaktan telnet/ssh gibi bir yöntemle Bylock sunucusuna bağlanarak, sunucu içerisindeki kayıtları ele geçiriyorlar. Devamında muhtemelen bir undelete (geri çağırma) yazılımı kullanarak sunucuda silinmiş bilgilerden de kurtarabildiklerini kurtarıyorlar.

MİT Raporu zaten neredeyse açıkça bu durumu anlatmış. "Söz konusu kanuni yetkiye (MİT Kanunu Md. 6) istinaden, Teşkilata özgü teknik istihbarat usül, araç ve yöntemleri kullanılmak suretiyle Bylock uygulamasına ait sunucular üzerindeki veriler ile uygulama sunucusunun ve IP adreslerinin satın alındığı e-posta adreslerinin içerikleri başta olmak üzere muhtelif veriler elde edilmiştir."

Yani MİT'in kendisi bu e-posta adresinin içeriklerinin istihbari yöntemlerle elde edildiğini söylemiş. O içerik elde edildikten sonra zaten sunucuya direk telnet/ssh/ftp bağlantısı kurulabileceği ve sunucudaki tüm bilgiler alınabileceği için, başkaca bir işleme gerek de yok.

Bu faaliyetin CMK'ya bakan yönleri üzerinde hukukçular ayrıca yorum yapabilir.

Bu arada FETÖ'nün gizli haberleşme programı için kullandığı yazışma adresinin, Rus hükümetinin her türlü baskısına açık olan Yandex'ten alınması da ayrı bir garabet...

Soru 23: Bylock sunucusu MİT tarafından satın alınmış. Mahkeme kararında var.
İki şeyi bir birine karıştırmayın. Bir şeyin mahkeme kararı olması, bunun gerçek olduğunu göstermez. Örneğin ben mahkemeye başvursam ve doğum yılımı 1970 olarak düzelttirsem, gerçekte 1970'te doğmuş olmam.

Tabi ki mahkeme "Bylock sunucusu satın alındı" diyecek. Çünkü yüzlerce kez mahkemelere itiraz edildi "Bunlar istihbarat kapsamında elde edilen bilgiler, mahkemelerde kullanılamaz" diye. Mahkemeler ne desin? "Evet haklısınız, bu kadar yargılama yasal olmayan deliller üzerinden yapılıyor, hadi herkes evine" mi?

Ama o kararın doğru olmadığını, bizzat MİT Raporunun kendisinden anlayabilirsiniz (Bu rapor da tüm mahkemelere gitti ve dosyalara girdi).

"3.1 Dayanak ve Yöntem:
...
(özetle) MİT Kanunu Madde 6.d'ye göre istihbarat faaliyeti yapabiliriz...

devamında aynen şu ifade var:
"Söz konusu kanuni yetkiye istinaden Teşkilata özgü teknik istihbarat usül, araç ve yöntemleri kullanılmak suretiyle Bylock uygulamasına ait sunucular üzerindeki veriler ile uygulama sunucusunun ve IP adreslerinin satın alındığı e-posta adreslerinin içerikleri olmak üzere muhtelif veriler elde edilmiştir."

devamında gene:
"Devletin teknik istihbarat faaliyetlerine ilişkin imkan ve kabiliyetlerin açığa çıkarılmaması ve istihbarata karşı koyma amacıyla, verilerin temin edilmesine ilişkin hassas yöntem, usul ve araç|ara yer verilmemiştir."

Satın almış olsalar lafı bu kadar dolandırmazlar.

Soru 24: Playstore'da 2014'te iki tane Bylock varmış, birini MİT yazmış diyorlar?
Yaptılarsa ve yutturdularsa helal olsun. Ama doğrudan göze batardı diye tahmin ediyorum. Gene de yapmışlarsa, bir kısım acemileri oltaya düşürmüş olabilirler. Aslı var mı araştırmak lazım.

Soru 25: Bylock sunucusu orjinalde Kanada'da imiş diyorlar?
Bylock'u yazmak ayrı, Google Play Store'a koymak ayrı, programın işleyişi ile ilgili sunucu (server) ayarlamak ayrı işler. Sunucu'yu Litvanya'dan kiralamışlar. Kanada değil. Baştan beri de aynı sunucuyu kullanmışlar muhtemelen. Çünkü farklı birşey duymadım. Ödeme bilgileri/belgeleri vs. de bunu gösteriyor.

Soru 26: Morbeyin adlı şirketin Freezy/Kıble Pusulası gibi programlar vasıtası ile milleti Bylock kullanmış gibi gösterdiği ortaya çıktı. Bunun haricinde de başka birşey yapmış olabilirler mi?
Benim bir yılı aşkın süredir çırpınarak söylemeye çalıştığım şey de bu. Bu adamlar bu kadar dikkatsiz, bu kadar beceriksiz değiller. Freezy'nin web arşivlerinde 2014 yılından kalma kayıtları var. 2014 yılındaki versiyonlarında bile bu program, hiç farkında olmayan kişilerin telefonları üzerinden Bylock sunucusuna bağlantısı kuracak şekilde ayarlanmış. Programı yazan kişiler TÜBİTAK'da vs. çalışan tescilli FETÖ'cüler ve şu an kaçaklar.

Bu ortada acaip bir planlama olduğunu gösteriyor... 2014 yılından bahsediyoruz. Darbeden 2 sene önce, insanlar Bylock'tan tutuklanmaya başlamadan 2 yıl önce. O tarihte neden alakası olmayan insanları Bylock kullanmış gibi göstersinler? Ortalığı bulandırmak ve kendi üyelerini gizlemek için değil mi? Demek ki Bylock'tan tutuklanacaklarını biliyorlar. Peki o zaman neden Bylock sunucusunu adam gibi temizlememişler?? Neden tüm kayıtları orada bırakmışlar? Muhtemelen gerçekçi olsun diye kendi tabanlarını da bilerek kurban etmişler ki sapla saman karışsın, memleket yangın yerine dönsün diye. Demek ki darbede başarılı olmayacaklarını biliyorlar. Ya da darbeyi zaten başarılı olmamak üzerine kurgulamışlar. Demek ki daha o tarihte yapılmış bir fitne-fesat ve iç savaş kurgusu var... Yok diyenler buyursun bu durumu izah etsin.

BYLOCK KULLANIMININ TESPİTİ

Soru 27: Bylock kullananların kimlikleri nasıl tespit edilmiş?
İlk başta sadece Bylock sunucusundan ele geçirilen veri tabanı kullanılarak kimlik tespiti yapılmış. Çok sonraları, operatörlerden bilgi istenilerek, 46.166.160.137 numaralı Bylock IP adresine çıkış yapan IP adreslerinin kullanıcı bilgileri istenilmiş ve buradan ayrı bir liste oluşturulmuş.

Soru 28: Bylock sunucusundan alınan bilgilerle kimlik tespiti nasıl yapılıyor?
Bylock programındaki "Action" tablosundaki 8. satırda Login bilgileri var. Bylock programına bağlanan kişilerle ilgili "User ID, Bağlanma Zamanı, Bağlanan IP, Telefon İşletim Sistemi, Bylock Programının Yazılım Versiyonu" bilgileri sunucuda bulunan bir veri tabanında log tablosu olarak tutulmuş. Bu tablodan elde edilen IP adresleri ve bağlantı zamanı bilgileri operatörlere gönderilerek, kullanıcı bilgileri istenilmiş. Operatörler de gelen bilgilere karşılık gelen kullanımın, hangi TC numaralı şahıs üzerine kayıtlı olduğunu tespit edip onun kimlik bilgilerini göndermişler.

Örneğin Bylock sunucusunda aşağıdaki gibi bir log satırı var:
"UserID: 113049; Bağlantı Zamanı: 00:27:55 11-12-2015; Bağlanan IP Adresi: 206.190.151.208"
MİT operatörlere yazı yazarak "11-12-2015 tarihinde, saat 00:27:55'te 206.190.151.208 numaralı IP adresini tahsis ettiğiniz kişi kimdir?" diye soruyor. Operatörlerden birisi cevap veriyor "IP adresi bize ait, o saatte o IP adresinin tahsis edildiği kullanıcı falan kişidir" diye. Bu bilgiye dayanarak o şahıs Bylock listesine ekleniyor.

Soru 29: Operatörlerin loglarına dayanarak (CGNAT logları) kimlik tespiti nasıl yapılıyor?
Operatörlere yazı yazılarak "2014-2016 tarihleri arasında 46.166.160.137 numaralı IP adresine bağlanan kullanıcı bilgileri" isteniliyor. Operatör de kullanıcı bilgilerini gönderiyor.

Soru 30: Bu ikisi arasındaki fark ne?
İlkinde sunucudaki giriş bilgilerine dayanılarak kimlik tespiti yapılıyor. İkincisinde operatörlerdeki çıkış bilgilerine dayanılarak kimlik tespiti yapılıyor. Sunucudaki login tablosu üzerinde, sunucunun sahibi sonradan oynamış olabilir. Operatörlerdeki IP çıkış bilgileri arasında ise, gerçekte sunucuya hiç bağlantı gerçekleştirememiş çıkışlar olabilir. 

Yani iki ülke arasındaki yolcu trafiğinde, birinde karşı ülke giriş gümrüğüne soruyorsunuz "Size buradan kim geldi?" diye, birinde bizim çıkış gümrüğüne soruyorsunuz "Buradan karşı ülkeye kim çıktı" diye. Hangi tarafın kayıtlarına ne kadar güvenebileceğiniz size kalmış. Bizde çıkış kaydı olup, karşı ülkeye hiç gitmemiş vatandaşlar da olabilir (Freezy vb. Morbeyin uygulamalarının yaptığı bu); karşı tarafta giriş kaydı olup, gerçekte oraya hiç gitmemiş vatandaşlar da olabilir (örn. Atalay Candelen/David Keynes vb. birisi sunucudaki logları değiştirmişse).

Soru 31: Operatörlerin kayıtları ne kadar güvenilir?
Bu sorunun cevabı operatörlerin kayıt tutarken gösterdikleri özene ve kullandıkları yazılımlara ve donanımlara bağlı olarak değişir. Büyük oranda güvenilir oldukları söylenebilir. Ama yazılım/donanım hatalarından veya kayıt tutma standartlarına uymama gibi sebeplerden ötürü operatör kayıtlarında hatalar olabilir.

Soru 32: Operatör kayıtları sonradan değiştirilebilir mi?
Normalde kayıtlar tutulurken, güvenilir bir sunucu ile (timestamp server) senkronize olarak zaman damgalı olarak tutulur ve sonradan değiştirilemez olmaları gerekir. Fakat her halükarda dijital veri söz konusu olduğu için, yeterli teknik bilgi ve/veya donanım erişimi olan kişilerin (örneğin operatörde çalışan kripto FETÖ'cüler) bu kayıtlara sonradan ekleme/çıkarma yapması da mümkündür.

Soru 33: 15 Kasım 2014'ten sonra Bylock'a bağlanmak için VPN kullanılmış. 15 Kasım 2015'ten önceki loglar da silinmiş. O zaman kullanıcıları neye göre tespit etmişler?
MİT Raporunda bu engellemenin 17.11.2014 tarihinde yapıldığı, 15.11.2014 tarihinden önceki logların da silindiği yazıyor. Fakat bana gönderilen içerikler arasında 8 Kasım 2014'ten sonraki kullanımlarla ilgili loglar var. Bu durumda iki ihtimal var.
a) Engelleme işlemini 17 Kasım 2014'te yapmışlar, ama 8 Kasım 2014 öncesi logları silmişler. O arada kalan 6 günlük loglardan yola çıkarak çok kişiyi tespit etmişler.
b) Silme işlemini tek seferlik yapmışlar. O yüzden silinen loglar undelete yöntemi ile geri getirilmiş.

Soru 34: 2015 yılında Bylock kullandığım iddia ediliyor. 2015 yılında VPN'siz bağlanılmıyorsa, benim kullandığımı nasıl tespit etmişler?
a) VPN şirketine yazı yazarak, o tarihte VPN'in size tahsis ettiği IP adresine bağlanan IP adresinin ne olduğunu sormuş olabilirler. Ama bu yorucu bir bürokratik işlem olduğu için, nadir bazı durumlar haricinde çok yapıldığını zannetmiyorum.
b) 15 Kasım 2014 öncesi bağlantı loglarından kimlik tespiti yapıp, o User ID'nin sonraki bağlantılarını da bağlantı olarak yazmışlardır. Bu durumda 2015'te herhangi tarihte VPN'den bağlanmış da olsanız, zaten kimlik tespiti daha önceden yapılmış olacağı için birşey değişmeyecektir.

Soru 35: Avea bana IP+port bilgisi verirseniz size gerçek kullanıcıyı verebilirim diyor. MİT IP'leri sunucudan aldıysa port bilgisini nereden bilecek. Sunucuda IP harici port bilgisi de var mı?
Sunucuda sadece IP Adresi bilgisi var. Programın portu zaten belli, 443. Ama bu port karşı tarafın bağlantı portu. Buradaki çıkış portu herhangi bir porttur. Dolayısı ile siz Avea'ya port bilgisi veremezsiniz. İşin garibi, bu bilgiyi size ancak Avea verebilir.. Sizden niye istiyor ki?

Soru 36: Eşimi bylock yüklendiği tespit edildiği gerekçesi ile tutukladılar. Siber suçlarda geçmişe yönelik araştırma yapıp eşimin bu programı yüklemediğini, veya yüklendiyse hangi tarihte yüklendiğini bulamazlar mı?
Tekrar edeyim. Tespit ettikleri "Eşinizin Bylock yüklediği" değil, "Bylock sunucusunda bulunan IP adresinin, eşinize ait hat üzerinde gözüktüğü".
Telefona yükleyip yüklemediği, telefonun Bilirkişi incelemesi ve telefonda kurulu Google Hesabının uygulama geçmişinin Google'dan istenmesi sonucunda netleşir.
Siber Suçlar o tarz şeylerle ilgilenmez. Normal zamanlarda belki de, şu aralar kimse bakmaz bile. Bilirkişiye gönderirler. O da programın yüklü olup olmadığına bakar. Hangi tarihte kurulduğuna bakmaz. Ayrıca talep ederlerse, biraz uğraşırsa tarihle ilgili detay bulabilir de, bulamayabilir de... Program kurulduktan sonra telefonda bir değişiklik olmadıysa, bulunur. Ama silindiyse, tarihini tespit etmek telefonda ne kadar iz kaldığına bakar... Her zaman da mümkün olmaz.

BYLOCK KULLANIMI İLE İLGİLİ GENEL SORULAR

Soru 37: İkinci el telefon alacağım ama ya telefonun önceki sahibi Bylock'çu ise ben Bylock kullanmış görünür müyüm?
Normalde Bylock kullanımlarını sadece IP Adresi üzerinden (sunucudan veya operatörden alınan IP adresi bilgileri üzerinden) tespit ettikleri için, bir problem olmaması gerekiyor. Şimdiye kadar IMEI numarası üzerinden bir tespit yaptıklarını ve telefon sahibine soruşturma açtıklarını duymadım. Farzı muhal öyle bir durum olursa, onun da izahı kolay. Bylock kullanıldığı iddia edilen tarihte, o telefona takılı olan hat bellidir. O hattın size ait olmadığını söylediğinizde, kontrolünü yaparlar ve öyle olmadığını zaten görürler. O yüzden ikinci el telefon almakta ufak bir risk olsa da, çok da korkacak bir durum yok.

Soru 38: Bana gelen tespit tutanağında 40 mail aldığım ama 1000 mail okuduğum görünüyor. Bu tutarsız değil mi?
Sunucu log tutarken, (muhtemelen programlama hatasından) bazı yerlerde her saniye log tutmuş. Örneğin siz maili okumaya başlamışsınız, 10dk boyunca mail açık kalmış, o arada program 600 tane mail okumuşsunuz gibi her saniye mail okuma logu kaydetmiş.

Soru 39: Tespit tutanağında gelen mesaj 35, okunan mesaj 45 diyor.
Aynı mesajları sonradan tekrar okumuş olabilirsiniz.

Soru 40: Bazı kullanıcıların birkaç ayda binlerce kez Bylock kullandığı iddia ediliyor. Bu nasıl olabilir?
Bu da muhtemelen yukarıdaki gibi, sunucunun log tutma sisteminden (ya da hatasından) kaynaklanıyor. Gün içerisinde belki 1 tane bile mesaj atmamış bir kişinin telefonu, belki 10 dakikada 1 (yani günde 100 kere) Bylock sunucusuna bağlanıp mesaj olup olmadığını kontrol ediyor. Bu durumda kişi bir ayda 3000 kere, bir yılda 36.000 kere Bylock bağlantısı kurmuş görünüyor.

Ya da sunucu logları normal tutmuş ama, CGNAT kayıtlarında, her port değiştirdiğinde tekrar bağlantı kurmuş gibi gözüktüğünden, toplamda 10 dakika süren tek bir bağlantı, yüzlerce satır olarak gönderilmiş ve yüzlerce bağlantı varmış gibi gözükmüş.

Soru 41: 15 Kasım 2014'ten önceki loglar silinmiş ve sonrası için VPN şartı getirilmiş deniyor. O zaman 2015 yılındaki kullanımlara ait bilgileri nasıl elde etmişler?
15 Kasım 2014 öncesi loglar ya silinmemiş, ya da kurtarılmış. Veya büyük ihtimalle, VPN şartı 17 Kasım 2014'te getirilmiş ama 1 Kasım 2014 öncesi loglar silinmiş. Dolayısıyla bu aradaki logları kullanarak, User ID'ye göre tespit yapıyorlar. Yani şöyle:
5555 User ID'li kullanıcı, 10 Kasım 2014'te XX IP Adresinden bağlanmış. Bu IP Adresi, Ahmet oğlu Mehmet'in adına kayıtlı imiş. Bu durumda 5555 User ID'li kullanıcı bu kişidir. Bu User ID'si ile, sonradan 100 kere daha login olmuş. Sonraki 100 loginin hepsi de VPN kullanılarak yapılmış, fakat önemli değil. Çünkü en baştaki IP Adresinden kimliği tespit edildiği için, sonraki kullanımlarda tekrar kimlik tespitine gerek yok.

Soru 42: Yüzlerce bağlantı var diyorlar ama, ben 1 kere bile Bylock kullanmadım. Bu kadar yoğun kullanımda bir hata nasıl olur?
Yukarıda izah edildiği gibi, yüzlerce bağlantının çoğu, VPN kullanıldığı döneme ait ise ve Bylock kullananın kimliğini tespit işlemini VPN kullanılmamış olan ilk bir veya birkaç bağlantıya göre yapmışlarsa, bu durumda rahatlıkla hata olabilir. Örneğin şahıs Avea üzerinden bağlanmış, IP adresi belli, oradan kimlik çıkarıyorlar. Ama saat/adres/loglarda hata olsun ve yanlış kişiyi tespit etmiş olsunlar. Aynı kişi sonradan VPN üzerinden 100 kere bağlandıysa, toplamda 100 bağlantı var, yoğun kullanılmış diyebilirler. Bu, yapılan kimlik tespitinin birden fazla IP adresine dayandığı anlamına gelmiyor.

Soru 43: İlk defa 2015 yılında Bylock kullanmışım. Oysa o tarihlerde VPN kullanımı zorunlu imiş. O zaman bunu nasıl tespit etmişlerdir? Bir bilişim uzmanı "Sunucudan çıkan VPN IP'sine hangi IP'nin bağlandığını BTK'ya sormuşlardır" demişti. Böyle olabilir mi?
1. 17 Kasım 2014'te VPN şartı getirilmiyor. Neredeyse tüm Türkiye IP'leri banlandığı için, VPN'siz bağlanamaz oluyorsunuz. Ama bu IP banlaması %100 alanı kapsamaz, kapsamıyor. Kıyıda köşede kalan farklı IP'lerden, örneğin kendi IP adresi olan üniversiteler veya özel şirketlerden alınan sunucu hizmetlerinde vs. kullanılan IP adresleri banlanmamış olabilir. Dolayısıyla bu adresler tespit edilmiş olabilir.
2. VPN şirketinden bilgi almış olabilirler. Falan tarihte falan IP çıkışını yapan kullanıcının giriş IP Adresi nedir diye. Ama yüzbinlerce IP'yi sorup cevap almak yıllar sürer. Ayrıca Avrupa'da bireysel IP'lere ait ayrı ayrı mahkeme kararları olmadan bilgi de vermezler. O yüzden de böyle bir işlem yapıldıysa da ancak kısıtlı sayıda yapılmıştır.
3. Türkiye 17/25 Aralık sürecinde bir süre DNS Hijacking yapmıştı. (Yani adres listeleri üzerinde oynamıştı da, atıyorum DNS'e microsoft.com neresi diye sorduğunuzda, Amerika'daki ana sunucuyu değil, Mamak'taki bir bilgisayarı gösteriyordu)
Yani vatandaş VPN'e bağlanıyorum zannedip, aslında TİB'deki bir sunucuya bağlanıyor oradan da VPN sunucusuna bağlanıyor olabilir. TİB'deki sunucuya açık (şifresiz) bağlantı yapacağı için, oradan VPN'e çıkıp, oradan da Bylock'a bağlanması izlerini gizlemez.
4. https çalışmıyordur ve VPN sunucusu ile şifresiz haberleşmişsinizdir. Bu durumda tüm veri paketleri incelenebileceği için, oradan tespit etmişlerdir.

Öteki türlü size söylenen anlamsız. Çünkü VPN sunucusunun IP adresi ile, VPN sunucusunun size verdiği çıkış IP'si genellikle aynı olmaz.. Yani giriş çıkışları gizlemek için kurulmuş 1 giriş kapısı, 100 çıkış kapısı olan bir evden, girdiğiniz kapıdan çıkmazsınız. O yüzden VPN'in bağlantı adresi ayrıdır, size verdiği çıkış adresi farklıdır. Öyle direk BTK logları üzerinden karşılaştırıp tespit yapamazlar. Yaparlarsa hatalı olur.

Soru 44: Ben Bylock'u Google Play'den indirmişim. Ne zaman indirdiğimi de hatırlamıyorum. İzah etsem kendimi temize çıkarabilir miyim?
Zaten kullananların çoğu Google Play Store'dan indirmişler. Sonradan usb/flash/link yolu ile apk olarak kuranlar olmuşsa da, asıl rakamlar Google Play'de görünüyor. Dolayısı ile Google Play'den indirip kurmuş olmak sizi temize çıkarmaz. Gidip bağlantısız/alakasız olduğunuzu ispat etmeniz gerekir. O da "yok"un ispatı olduğu için zor iş. "Ben karımı aldatıyordum. Bu programı da Google Play'den şifreli haberleşme programı diye indirdim, sevgilimle yazışırken kullandım" diyen birini serbest bırakmadıklarını duydum. "Biz masonlar olarak aramızda kullanıyorduk" savunması yapan birine de itibar etmemişler. İddiaların doğruluk/yanlışlıklarını bilemem, ama bu tarz savunmaları dikkate almadıklarını biliyorum.

Soru 45: Bylock kullandığım iddia edilen IMEI numarası, iPhone telefonuma ait. Bu telefonda kullandığım Apple hesabıma indirilen tüm programların listesini mahkemeye versem beraat eder miyim?
Apple hesap bilgilerini isteyen mahkemeye vs. vermez ama, siz gidip aldınız ve mahkemeye sundunuz diyelim. O hesabın, Bylock kullanılan tarihte telefonda kullanılan hesap olup olmadığını ispatlamanız zor. Onu da ispatlasanız (veya sormayı düşünmeseler de o tarihteki hesabınız olduğunu farzetseler), lehinize delil olarak değerlendirilmesi gerekir. Çünkü Apple'da zamanında indirilmiş ve kaldırılmış uygulamalar da olsa, tüm bilgiler hesap detaylarında tutuluyor diye biliyorum.

Soru 46: Eşim Bylock iddiasıyla yargılanıyor ama iddia edilen telefon numarası, şirket hatlarından birisi.
Garabet bir durum ama, yapacak birşey yok. Eşiniz kendi şahsi kullandığı telefonun bilgisini ve Bylock kullanılan şirket hattının kime tahsis edildiğinin bilgisini Savcılığa ilettiği takdirde muhtemelen serbest bırakılacaktır.

Soru 47: Bylock kullanmadığımı MAC adresim üzerinden doğrulatabilir miyim?
MAC adresi hiçbir yerde (ne operatörde, ne sunucularda) tutulmamış. Zaten siz özel izin vermedikçe, MAC Adresi bilgisine dışarıdan kimse erişemez, o yüzden de genelde kaydı olmaz.

Soru 48: Bir avukat, müvekkiline ait kayıtları paylaşmış. HTS kayıtlarında çok kısa aralıklarla farklı şehirlerde olduğu görünüyor.
Adam aynı dakikada hem İzmir, hem Antalya'dan veya hem Forum, hem Esenler'den baz istasyonu kaydı alıyorsa,
a) operatörün bilgisayar saatlerinde bir tutarsızlık vardır (logları tutan bilgisayarların saatleri otomatik senkronize değilse ve yanlış ise, olmayan dakikalarda bağlantı gözükebilir).
b) CGNAT kayıtlarında problem vardır, başkasına ait olması gereken IP adresi, size ait gibi gösterilmiştir. O yüzden baz istasyonları farklı görünüyordur.
c) operatörde gizli FETÖcüler vardır, loglarla oynamışlardır.
d) IP adresi veya telefon numarası, kullanıcı adı vs. gibi eşleştirmeleri yaparken maddi hata (sehiv-yanlışlık vs.) yapmışlardır.

Ek olarak, 2g ve 3g'de telefon görüşmesi esnasında internet kesilir. Dolayısıyla aynı anda hem telefon konuşması, hem de internet bağlantısı varsa, bunlardan birisi kesinlikle yanlış demektir.

Soru 49: Saat senkronizasyonlarından kaynaklı hatalar olabilir mi?
Kimlik tespiti bilgileri, sunucuda bulunan bağlantı kayıtlarındaki IP Adresleri ve bunların bağlantı zamanları operatörlere sorularak elde edildiği için, burada oluşabilecek ufak bir dakika hatası bile yanlış sonuçlara yol açacaktır.

Örneğin sunucu saatinden ve bu saatin atıyorum Avea-Turkcell-Vodafone ile senkron olduğundan, GMT farklarından ve yaz saati tutarsızlıklarından kaynaklı hatalar olabilir.

Sunucuda görünen zamanları direk alıp kullandılarsa, sunucu log tutarken hangi zaman fonksiyonuna erişiyor, logları neye göre tutuyor, net olarak bilinmiyor olabilir. Örneğin C++'de zaman kaydı, time() fonksiyonu ile UTC +0 olarak tutulur. Ama adam fonksiyona bir satır ekleyip de bunu Litvanya veya Türkiye yerel zamanı olarak kaydettirmişse, bunu bilemeyebilirsiniz. Database Structure'ı çözmüş olmak, kodu tam olarak çözmüş olmak anlamına gelmez. Sunucunun saati otomatik senkronize edilmiyorsa ve 1-2dk ileri geri ise, alakasız bir sürü insanı bu zaman farkından itham etmiş olabilirler.

Yaz saati farklarından kaynaklı olarak Türkiye bazen Amman/Beyrut/Kahire ile aynı saat diliminde GMT+2, bazen de Bağdat/Tahran vb. ile aynı dilimde GMT+3 olur. Bu ülkelerin bazıları yaz saati kullanır, bazıları kullanmaz. Dolayısı ile programlanmış bir saat dilimi, yılın 6 ayında doğru, 6 ayında yanlış olabilir.

Oysa IP adresi dediğiniz şey, kimi insan için 3-5 saat, kimi insan için 3-5dk'lığına tahsis edilir. Hele baz istasyonu değiştikçe IP adresinin değiştiğini hesap ederseniz, 100'le giden bir arabadaki cep telefonunda 1 dakikada bir IP adresi değişebilir. Böyle bir durumda sizin tüm loglarınızın aynı saat diliminde ve aynı zaman sunucusu ile senkron olması ve saat dilimlerinin düzgün kodlanmış olması gerekir. Aksi halde hatalar kaçınılmaz olur ve tahminim olmuştur da.

Soru 50: Google'a yazı yazıp, benim telefonuma daha önce Bylock indirilmediğinin bilgisini isteyebilir miyiz?
Google Play'den telefon numarası veya telefon IMEI'si ile programa bakamazsınız. Google'da telefon modeliniz ve kullanıcı hesabınız kayıtlıdır. Dolayısı ile hesap içeriğinize Google hesabınız ile bakabilirsiniz. Google Türkiye'ye de mail atar-telefon açar ya da yazı yazarsanız, indirme geçmişinizi size verebilir. Daha önce alanların olduğunu biliyorum. Fakat bu Google hesabınızın, telefonunuzda 2014 yılında kullanılan Google hesabı olduğunu ispatlamanız gerekebilir.

Soru 51: "BTK, özel bir program sayesinde örgüt mensuplarının söz konusu IP adresine (46.166.160.137) bağlanıp bağlanmadığını araştıracak" dendi. BTK nın bu çalışması ile temize çıkar mıyız? AVEA da bir alicengizlik varsa, BTK nın kayıtları doğrusunu gösterir mi? AVEA ve BTK kayıtları farklı mı?
BTK'nın "özel program"ı, olsa olsa bir GET FROM WHERE... diye basit bir database sorgusudur. Yani ellerindeki log kayıtlarında Bylock IP adresine bağlandığı görünenleri listeyen basit bir yazılımdır. Fakat bu da aslında aynı şey. Ha logları Bylock sunucusundan almışlar, ha BTK'dan almışlar. Çok fark olacağını sanmıyorum. Tam tersi mağdur sayısını artırırlar o kadar.

Ayrıca, Avea'da bir alicengizlik varsa, o da aynen BTK'ya yansır zaten. Aradaki modemlerin sahibi BTK değil ki, Avea. O kayıtları Avea tutuyor ve BTK'ya veriyor/vermesi gerekiyor. Avea'da bir miktar FETÖ'cü varsa, ki vardır, o kayıtları da çok güzel manipüle edebilirler. (Normalde Timestamping Authority dedikleri herhangi bir sunucudan hashli olarak kayıt alınır, onlar da kolaylıkla değiştirilemez de. Avea bunu yapıyor muydu, eğer yapıyor idiyse bunu kim kontrol edecek, kim tasdik edecek vs vs. meçhul.)

Soru 52: İlk başta 215bin dedikleri kullanıcı sayısına şu an neden 102bin diyorlar?
215.092, Bylock sunucusundaki kayıtlı olan kullanıcı sayısı. Bu sayının bir kısmı mükerrer hesaplar, bir kısmı alakasız ülkelerden, bir kısmı indirmiş ama kullanılmamış, bir kısmının telefon hattı tespit edilememiş veya sahte kimlikmiş ve saire. Bunları ayıkladıkları için, son aşamada "102bin'e indirdik" diyorlar.

Soru 53: Eşim karakol komutanıydı ve karakola internet bağlattıkları zaman kendi adına aldı. Şimdi o ADSL hattında Bylock kullanıldı diye tutuklandı. Derdimizi nasıl anlatırız?
Eğer anlattığınız gibiyse, ispatlanması çok zor değil. Mahkemeye şöyle bir dilekçe yazın:

"ANKARA 19. AĞIR CEZA MAHKEMESİNE (ya da mahkeme ne ise)
Eşim 111111111 TC Kimlik Numaralı XXX, ....2016 tarihinden beri tutuklu durumdadır. İsnad edilen suç Terör Örgütü Üyeliği ve buna dayanak gösterilen delil de, ADSL hattı üzerinden Bylock kullanılmasıdır.

Eşim YYYY ilçesinde(ya da mahalle vs.) karakol komutanıydı (veya görevi ne ise). ADSL hattını kendi üzerine aldı ve karakoldaki herkes o hattın üzerinden internet kullandı. Bylock kullanılmışsa da, kimin kullandığını bilmiyoruz. Telefon incelemesi yapıldı ve temiz çıktı. Ayrıca eşimin bu örgütle hiçbir bağlantısı da yok.

Emniyet Müdürlüğüne müzekkere yazılarak, eşime ait olan hat üzerinden kullanılan Bylock'un kullanıcı adı her kime ait ise, bu kullanıcı veya kullanıcıların GSM hatları üzerinden de Bylock kullanıp kullanmadığı ve böylece gerçek kimliklerinin tespit edilebileceğini ve eşimin masum olduğunun bu şekilde anlaşılabileceğini düşünüyorum. Saygılarımla arz ederim."

Soru 54: Benim sevgilim 2014 ağustos ayında (o zamanlar 16 yaşında ve bu tarihte amcasıyla antalyaya tatile gitmiş telefonu bozulmuş tamirciye yaptırmış ama yüklediği güne mi denk geliyor hatırlamıyor) telefonuna bylock yüklenmiş gözüküyor. İlerleyen tarihlerde bu telefonu bozulduğu için annesi atıyor. Yine de tutuklu yargılanma kararı verildi. Gerekçe olarak 1-Telefon niye satılmadı da atıldı. 2-(biz lise 4 deyken) 1 yıllık zaman gazetesi aboneliği niye var? Sevgilim masumluğu nasıl ispatlanacak?
Sevgiliniz 16 yaşında FETÖ'cü mü olmuş da, tutuklanmış? Bunlar bir zamanlar "cemaat" iken, milletin çoluk çocuğuna ders verirlerken, evlerine gidip gelen binlerce insan vardı. Bunların hepsine FETÖ'cü denmez ki. Çocuk yaşta biri ne bilsin paralel devleti de, kumpası da, örgütü de. Zaman abonesi olsa ne olur? Gerçekten Bylock kullanmış olsa ne olur?

Hadi diyelim bunların dersanelerine, evlerine gidiyordu, ablaları vardı da ona da "telefonuna bu programı kur, bunun üzerinden haberleşiriz" dediler de, o da öyle yaptı vs. vs. Lise öğrencisi biri, FETÖ kapsamında ne gibi bir suç işlemiş olabilir? 

16 yaşında birisi, olsa olsa bu örgütün mağduru olur. Üyesi olamaz ki.

Soru 55: BTK'dan gelen kayıtlarda Genel IP / Özel IP yazıyor. Özel IP dedikleri benim ADSL hattımı kullananların IP adresleri mi? Bu durumda ben temize çıkar mıyım?
Operatörler hat üzerinden çıkış yapan gerçek cihazın MAC Adresi veya IMEI bilgisini tutmaz, tutamaz. Bu sadece sizin evdeki modemde (ya da cep telefonunuzun iç modeminde/yazılımında) tutulabilir. O da kayıt tutuyorsa, ki %99'u tutmaz...

Yani siz ev internetinizi 4 kişiye kullandırsanız veya cep telefonunuzla hotspot açsanız ve 4 kişi oradan aynı anda internete bağlansa, tüm çıkışlar sizin IP'niz üzerinden gözükür. Operatör bunun 4 kişi olduğunu ayıramaz. Hepsini sizin hanenize yazar...

O BTK verilerinde görünen Genel IP, Özel IP vs. Operatörlerin Routerları (Modemleri) ve Networkleri (kendi içlerindeki ağ yapısı) ile alakalı.

Dolayısıyla, eğer internet paylaşımından kaynaklanan bir mağduriyet varsa, bunu giderebilecek bir sistemleri hala yok, kolay kolay olmaz da.

Soru 56: Avea mağduru olduğumu düşünüyorum. Mayıs ve Haziran aylarında mobil interneti hiç açmadım. Ama buna rağmen mayıs ayında 21 bağlantı ve 3 mb. kullanım, Haziran ayında ise 14 bağlantı ve 6 kb. kullanım görünüyor. Kullanımlar 1sn ve 2 saat arasında değişiyor. 2 saat internet kullanımında 1012 byte kullanım olur mu?
Cellular Data (hücresel veri) kapalı olduğunda normalde operatörün internetini kullanamıyor olmanız lazım. Ama 21 bağlantı gözüküyorsa bir gariplik var. Belki telefonu açıp kapatıyorsanız, açılırken data açık açılıp, sonra ayarlar devreye girip kapatıyordur, bilemiyorum. Ya da MMS gibi bir şey mi hesaplıyorlar da data yazıyorlar? Anlamsız...

2 saatte 1012 byte kullanım olabilir. Telefon bir yere bağlantı yapıp, hiçbir şey yapmadan bekleyip, 2 saat sonra veriyi kapatmışsa olabilir. Yani sadece handshake yapıp bekleyip sonra bağlantıyı kesmiştir. Hücresel veri kapalı iken 21 kere bağlantı ile 3mb internet kullanmış olmanız saçma. Avea'dan detaylarını isteyin bakalım ne diyecekler. Nerelere bağlanmışsınız vs. Size vermek istemezlerse mahkeme/savcılık kanalıyla müzekkere yazdırıp istetin.

Soru 57: İki sene önce taşındığım evdeki internet hattını ben devraldım. Eğer benden önceki kullanıcı Bylock kullanmışsa, bundan ben etkilenir miyim? Kısacası, ben devir aldığımda internet hattı veya IP adresi sıfırlanıyor değil mi?
Eğer internet hattının sizden önceki sahibi Bylock kullanmışsa, bu sizi normalde etkilemez. Çünkü bağlantı tarihleri vardır. O tarihlerde hattın sahibi olan abonenin bilgileri de vardır. Ama bu sonuç kayıtların ve kayıtları inceleyenlerin ne kadar düzgün olduğuna bakar. Düzgün kayıt tutmamışlarsa, hattın önceki sahibi siz de gözükebilirsiniz.. Bundan ötesi de kısmet.

Siz aboneliği devraldığınızda, önceki abonenin statik IP adresi yoksa (ki %99 yoktur) IP adresleri sıfırlanır. Sıfırlanmasa bile, tarih aralıkları farklı olacağı için, size bir şey isnad etmeleri zor...

Soru 58: Bylock raporunda 9 adet IP adresi var. Sonra yalnız birinin alan adı aldığı diğerlerinin alan adı almadığı belirlendi diyor. Ama tüm 9 IP adresi için de btk iletişim sorgusunu yapıyorlar. Birisi bile denk gelse Bylock var diyorlar. Bu nasıl olur? Alan adı almadan IP adresi kullanılabilir mi? Yoksa bunlar başka uygulamaların IP adresleri olabilir mi?
MİT raporunda denilen şu: Bylock sunucusuna sonradan tahsis edilen 9 adet IP adresi, o döneme ait DNS kayıtlarında gözükmüyor. Yani Bylock.net alan adı ile ilişkilendirilmemiş. Fakat DNS kaydı olmadan da bu adreslere doğrudan program içinden bağlantı kurulabilir. Dolayısı ile bu IP adresleri üzerinden de sorgulama yapmaları normal. Ama gerçekten de Bylock sunucusu tarafından kullanılıp kullanılmadıklarını bilemiyorum.

Bu IP adresleri Bylock'a tahsisli olduğundan, muhtemelen başka uygulamaların olduğu sunucular bu IP adreslerini kullanmıyordur. İmkansız değil, ama bu yönde bir şeye denk gelmedim daha.

Soru 59: 9 dakika içinde 25 kere bağlantı kurmuş gözüküyorum. Bu nasıl olur?
Muhtemelen BTK loglarını kastediyorsunuz. Belki program o arada veri alışverişi yapıyordur. Belki yolda hareket halindesinizdir ve kendi bağlandığınız baz istasyonu devamlı değiştiği için, IP adresiniz ve dolayısıyla bağlantı bilgileriniz de yenileniyordur. Belki operatörün modemi size farklı portlar atayıp duruyordur ve o arada farklı bağlantı kurmuş gibi gözüküp duruyorsunuzdur. Herhangi birşey olabilir.

"BYLOCK KULLANMADIM AMA ÖYLE GÖRÜNÜYORUM"

Soru 60: Bylock kullanmadığımızı nasıl ispatlarız?
"Yok"un ispatı zor birşey. Normalde müddei iddiasını ispatla mükelleftir. Ceza Hukukunda da, şüpheye mahal bırakmayacak şekilde ispat gerekir. Yani düşük bir ihtimal de olsa başka birşey mümkünse, delil yetersizliği olur. Fakat hukuk şu an pek işlemiyor. O yüzden birkaç şey deneyebilirsiniz:
Bylock sunucusuna bağlandığınız iddia edilen saatler için HTS kayıtlarını isteyebilirsiniz.

Soru 61: Bylock kullandığım iddia edilen telefon Blackberry / eski tuşlu Nokia vb. Bu nasıl olur?
Android telefonlar ve iPhone haricinde Bylock kullanılamıyor diye biliyoruz. Dolayısıyla Bylock kullandığınız iddia edilen IMEI, Blackberry (ya da tuşlu Nokia vb) bir telefona ait ise, Savcılığa ya da Mahkemeye dilekçe verip "Bylock kullandığım iddia edilen hat 0532xxx, telefon IMEI numarası yyyyy. Ama bu telefon Nokia 3110 (örnek) modeli tuşlu telefon. Bir yanlışlık olduğunu düşünüyoruz. İncelenmesini talep ediyoruz" vs. gibi bir dilekçe verin. Ya da gidip bizzat görüşün. Muhtemelen düzelteceklerdir.

Soru 62: Hatalı Bylock söylemleri neden Avea hatlarda daha çok?
Avea ile ilgili çok söylenti var. Ya orada bulunan FETÖ'cüler ortalığı bulandırmak için gelen bilgi taleplerine bilerek yanlış cevap gönderdiler. Ya IP adresinden kullanıcı bilgisi çıkarırken mükerrer IP'lere dikkat etmediler (CGNAT kayıtlarını tutmadılar/yanlış tuttular). Ya da Avea sunucularının saat ayarlarında hata vardı (örneğin sunucu GMT+2 yerine GMT+3 girilmişti, ya da yaz saati ayarları otomatikti ama ülke yaz saatinde değildi, ya da sunucu saatleri otomatik ayarda değildi ve birkaç dakika kaymıştı vb.) Artık her ne olduysa. En büyük operatör Turkcell iken "kesinlikle kullanmadım" diyenlerin büyük bir çoğunluğu Avea çıkması, burada bir kasıt ya da hata olduğunu düşündürtüyor.

Soru 63: Birine hotspot açtım / başkası benim ev internetimden kablosuz ağ üzerinden bağlanmış. Bunu nasıl ispatlarım?
İspatlayamazsınız. Bu bilgiler haberleşme kaydı olarak tutulmaz/tutulamaz. Şirkette sizin odanızdan birisi dışarıyı arasa, arama sizin odanızdan görünür. Telefonu başkasının kullandığını ispatlayamazsınız. Ama (ses kaydı vb. ek delil yoksa) onlar da sizin kullandığınızı ispatlayamazlar.

Soru 64: Evden taşınmıştım ama ev internetini geç kapattırdım. O arada benden sonra gelen kiracı ev internetimi kullanmış ve Bylock kullanmış. Bana soruşturma açıldı.
Soruşturmalar doğrudan hattın resmi sahibine açılıyor. O yüzden böyle bir şanssızlık yaşadıysanız geçmiş olsun. İlk yapacağınız mahkemeye bir dilekçe yazarak o tarihte taşındığınızı ve sizden sonra taşınan kiracının sizin internetinizi kullandığını izah etmek olmalı. Eğer yeni taşındığınız yerde tekrar internet bağlantısı yaptırdıysanız, yeni bağlantı bilgilerini de dilekçe ekinde sunun. Örneğin 12 Haziran 2015'te taşındıysanız, 20 Haziran 2015'te yeni bir ADSL hattı açtırdıysanız, Bylock da sizin eski ADSL hattınızda 10 Temmuz 2015'te kullanıldıysa, bu tarihleri mahkemeye belgeleriyle sunduğunuz takdirde suçsuz olduğunuzu ispatlayabilirsiniz.

Soru 65: Bylock kullandığım iddia edilen tarihlerde yeni telefon almıştım. Telefonu fabrika ayarlarına getirmeden, direk sim kartımı takarak kullandım. Bu yüzden Bylock kullanmış gibi gözüküyor olabilir miyim?
Tabi ki. Eğer ikinci el olarak aldığınız telefonda Bylock programı yüklü idiyse, siz hattınızı taktığınız ve internetiniz aktif hale geldiği anda, Bylock ana sunucuya bağlanarak kullanıcı bilgileri ile giriş yapmak ve kendisine gelen bir mesaj olup olmadığını kontrol etmek isteyecektir. Kullanıcı bilgileri telefonda kayıtlı olarak tutuluyorsa, ki öyledir, başarılı bir login yapacaktır. Eğer ilk halinde Bylock kurulu bir telefonu fabrika ayarlarına döndürmeden birkaç gün boyunca kullanmışsanız, o süre içerisinde sizin hattınızdan Bylock kullanıldığı gözükecektir.

Soru 66: 9 yaşındaki kızıma aldığım ve adıma kayıtlı olan hatta Bylock çıktığı için açığa alındım.
Savcılığa başvurarak, telefonu kızınızın kullandığını, bunun da sms kayıtlarından ve arama kayıtlarından belli olabileceğini, FETÖ'cü bile olsa hiçbir babanın kızını böyle işlere bulaştırmayacağını, Bylock kullandığınız iddia edilen tarih ve saatlerdeki telefonunuzun arama, sms ve HTS kayıtlarının incelenmesini, eğer bu kayıtlar kızınıza ait çıkarsa, %99 kızınızın hattı üzerinden, wireless şifresi kırılarak başkalarının kullandığını, ya da NAT loglarında hata olduğunu, bu durumların araştırılarak beraatinizin verilmesini vs... talep eden bir dilekçe yazın.

Soru 67: Telefonuma benden habersiz Bylock yüklemiş olabilirler mi?
Düşük ihtimal ama, olabilir. Farzediyorum bir devlet kurumunda daire başkanısınız ve yerinize göz koymuşlar. Telefonu odada unuttuğunuz bir esnada, (muhtemelen telefon şifrenizi bilen) çalışma arkadaşınız telefonunuza Bylock yükleyebilir. Fakat böyle bir durumda, Bylock içeriğiniz olmaz. Ya da arkadaşınız Bylock'u kurduğunda bir de mesaj vs. göndermişse, çok az sayıda olur. Eklediğiniz arkadaş, haberleştiğiniz kişiler olmaz veya çok az sayıda olur.

Soru 68: Mail şifremi bilen veya ele geçiren biri, telefonuma uzaktan Bylock yükleyebilir mi?
Android telefonlara (Samsung, HTC, Sony vs.) doğrudan Google Play Store üzerinden uygulama yükleme yapılabiliyor. Dolayısı ile mail şifrenizi eline geçiren birisi telefonunuzu hiç görmeden, doğrudan store üzerinden "yükle" diyerek program yükleyebilir. Bylock'un Play Store'da bulunduğu Nisan 2014-Nisan 2016 tarihleri arasında bu işlemi yapmış olmaları mümkün. Ama bu durumda Bylock hesabınız, kullanıcı kodunuz (User ID), haberleşme detaylarınız vs. bulunmaz. Sadece telefona Bylock kurulmuş görünür / Google hesabınızda bir dönem Bylock yüklediğiniz görülür. Bunun benzeri Apple Store için de geçerli olabilir, uzun zamandır iPhone kullanmadığım için bilmiyorum.

Soru 69: İnternette başkasının telefonunu uzaktan kontrol etmenize yarayan Crupt Fyr adında bir virüs olduğunu ve paralı olarak satıldığını gördüm. Telefonuma bu yöntemle Bylock yüklenmiş olabilir mi?
Sadece o program değil, benzeri bir sürü program var. Bunların da sadece bir kısmını internette görebilirsiniz. Büyük bir kısmını ise sadece kodu yazanlar bilir. İstihbarat servislerinden tutun da, büyük şirketlere ve paralı hackerlara kadar, yüzlerce varyantı var bu tarz şeylerin.

Benim bir önceki makale içerisinde 12. Maddede belirttiğim şey bu. Özellikle de üst düzey kişilerde Bylock çıkması durumunda, onların ayrıca incelenmesi gerektiğini, zira bu yöntemlerin çoğunun sıradan insanlara kadar düşmeyeceğini, ama ayağını kaydırmak istedikleri bir general için misal rahatlıkla yapılacağını vs. anlattım. Dikkate alırlar mı bilmiyorum.

Soru 70: Abim subay ve karargahta telefon yasak olduğu için girerken telefonu nizamiyede bırakmaları gerekiyor. Mesai çıkışı alıyorlar. Bylock kullanmadığını nasıl ispatlayabiliriz?
Bylock kullandığı iddia edilen saatleri öğrenebilirseniz (tespit tutanağında vardır) işinize yarayabilir.
Savcılığa/mahkemeye dilekçe verip, şunları yazın/isteyin.
"Abimin Bylock kullandığı iddia edilen tarih ve saatlerin bir müzekkere ile İl Emniyet Müdürlüğünden istenmesini talep ediyoruz. Zira abim X karargahında çalışıyor ve mesaide telefon yasak olduğu için, sabah işe girerken telefonu bırakıyor, akşam çıkışta alıyorlar. Bu husus rahatlıkla ispatlanabilir. Nizamiyede kamera da mevcuttur. Bu FETÖ'cüler her türlü melaneti yapabileceği için, abimin telefonu bıraktığı nizamiyede birisi gündüz kendi hattını takıp, abimin telefonunu kullanmış olabilirler. Ya da abimin telefonunu alıp, doğrudan kendileri onun üzerinden Bylock kullanmış da olabilirler. Abimin telefonunda PIN kodu olup olmadığını da bilemiyorum." vs..

Soru 71: Ev internetinden (ADSL hattı) Bylock kullandığım iddia ediliyor. Kullanmadığımı nasıl ispatlarım?
Bunun ispatı zor, ama aksinin ispatı da zor. Yani bir ADSL hattında kullanılan Bylock'u kimin kullandığını teknik olarak tespit etmek imkansıza yakın. Fakat Bylock kullandığınız iddia edilen tarih ve saatleri elde edebilirseniz (tespit tutanağında olur) ve aynı zamanda o tarihlere denk gelen HTS kayıtlarınızı operatörden alabilirseniz, bu ikisi arasında karşılaştırma yaparak tutarsızlık varsa bulup çıkarabilirsiniz. Örneğin, öğlen 12:04'de Mamak'taki evinizde Bylock kullanıyor görünüyorsunuzdur, ama o saatte İstanbul'dasınızdır ve HTS kaydınız da bunu göstermektedir. Bu tarz tutarsızlıklar yüksek sayıda olursa, masum olduğunuzu daha rahat ispatlarsınız diye düşünüyorum.

Soru 72: Bylock sunucusunun da bulunduğu Baltic Servers, Bylock sunucusunun IP'sini başka uygulama sunucularında da kullanmış olabilir mi? Bu durumda ben bilmeden Bylock IP'sine bağlanmış gibi gözükebilir miyim?
MİT raporundaki ödeme bilgilerine göre, 2 adet "dedicated" Xeon server kiralamışlar. Yani sadece Bylock uygulamasına mahsus sunucular. Dolayısıyla IP'si (doğal olarak statiktir) ve tektir (başka uygulamanın aynı IP adresi olma ihtimali yoktur). Tabi sonradan başka uygulama üretip aynı sunucu üzerine koymamışlarsa..

Soru 73: Ben komşuya uğradığımda onun kablosuz ağına bağlandığım oluyordu. O esnada o kablosuz ağa bağlı başka birisi Bylock kullanmışsa, ben de telefonumdan Bylock kullanmış gibi gözükebilir miyim?
Hayır o durumda sadece kablosuz hattın resmi sahibi olan komşunuz Bylock kullanmış gibi gözükür. O da Bylock'u kimin kullandığını (kayıt tutacak şekilde ayarlanmış üst düzey modemleri yoksa, ki büyük şirketler haricinde yoktur) ispatlayamaz.

Soru 74: Bu cemaatle hiçbir bağlantısı olmayan, yılların milli görüşçüsü babamı, hattında Bylock bulundu diye tutukladılar. Ne yapabiliriz?
Savcılığa aşağıdaki bir dilekçe yazabilirsiniz:
"Sn. Savcım,

Babam, kendisine isnad edilen bu Bylock programını asla kullanmış değildir. Fakat bu yönde bir kayıt mevcut ise, bunun çeşitli yanlışlık veya kasıtlardan kaynaklanabileceğine dair internette bolca makale vardır. Bunlardan en yaygın olanı, babama ait internet hattından başkalarına iyilik olsun diye hotspot açması, veya bir başkasının babamdan habersiz telefonuna zararlı yazılım yüklemesi veya operatörlerin CGNAT kayıtlarını doğru ayrıştırmayarak, farklı kişilere ait olan internet bağlantılarını başka kişilere ait gibi gösterebilmesidir. Bunların haricinde de kötü niyetli kişilerin yapabileceği çeşitli yollar mevcuttur.

Bu hususun açıklığa kavuşturulması ve babamın masumiyetinin ispatlanması için aşağıdaki hususları talep ediyoruz.

1) İl Emniyet Müdürlüğüne bir müzekkere yazılarak aşağıdaki hususların sorulmasını:
a. İddia edilen Bylock kullanım tarihleri nelerdir? Sadece 26.09.2014 gününe mi mahsustur?
Yoksa farklı günlerde de online olunmuş mudur?
b. İddia edilen Bylock kullanımında, kullanıcı kodu olan UserID nedir? Bu UserID'ye sahip Bylock kullanıcısı, başka IP adresleri üzerinden de internete bağlanmış mıdır? Varsa, bunlar kime aittir?
c. İddia edilen Bylock kullanımına ait mesaj içerikleri var mıdır? Varsa bunların içerikleri incelenerek, Bylock kullanıcısının kim olabileceği hususu değerlendirilmiş midir?

2. Ayrıca BTK'ya bir müzekkere yazılarak, aşağıdaki hususların sorulmasını talep ediyoruz:
Bylock kullanıldığı iddia edilen tarih ve saatlerdeki HTS kayıtlarının gönderilmesini ve babama ait baz istasyonu kayıtları ile, iddia edilen Bylock internet bağlantı kayıtlarının baz istasyonlarının karşılaştırılmasını.

3. Ayrıca cep telefonunun teknik bilirkişi incelemesinin yapılarak, üzerinde Bylock programının kullanılıp kullanılmadığına dair bir tespit yapılmasının İl Emniyet Müdürlüğüne yazılmasını..."

Soru 75: Mahkemeye operatör bilgilerinde hata olduğunu anlatmaya çalıştık ama Hakim MAC adresleri olduğunu belirtip operatör hatasını kabul etmedi.
Operatörlerde MAC Adresleri yok, olmaz ve olamaz. Kim "var" diyorsa uyduruyor...
MAC Adresi bir alt katmanda olduğu için, siz o bilgiye özel erişim izni vermedikçe (ki talep edemezler böyle bir erişim iznini) öyle web siteleri veya operatörler göremez.

Soru 76: Ocak 2015'te satın aldığımız (faturalı) telefon IMEI'si üzerinden Ekim 2014'te Bylock kullandığımız iddia ediliyor.
Eğer dediğiniz gibiyse, yani Ocak 2015'ten itibaren alınan/kullanılan bir telefon ile Ekim 2014'te Bylock kullandığınız iddia ediliyorsa bence hiç durmayın.

Ya BTK'yı arayın, ya da Ankara'daysanız bizzat gidin. Dilekçe vererek hat+IMEI kullanım bilgilerinizi isteyin. Ya da operatörünüzün (Avea-Turkcell vs.) şehrinizdeki müdürlüğüne giderek aynı bilgileri isteyin/alın.

Sonra da bu belgeyi alarak Savcılığa/Mahkemeye şahsen götürüp verin ve durumu anlatın. İlla ki ilgileneceklerdir...

Soru 77: Cep telefonundan Bylock kullanmış gözüküyorum ama cep telefonumda internet bağlantısı yoktu. İnterneti sadece ev internetinden kablosuz kullanıyordum. Bu kullanım cep telefonuma yansır mı?
Eğer Bylock cep telefonu hattı üzerinden gözüküyorsa, bağlantı telefonun interneti üzerindendir. Telefondan wifi'ye baglansaniz, oradan da Bylock'a baglansaniz, Bylock wifi hattın (ADSL hattının) üzerinde gözükür. Eger internet tarifesi olmayan ve o tarihteki tarifesiz internet kullanimi da 0 olan bir hat uzerinde Bylock gozukuyorsa, ortada bir hata vardir. GSM operatörünü zorlayıp bu bilgileri alın ve mahkemeye/savcılığa götürün.

Soru 78: Programı yüklemeyen birinde(sehven indirmiş bile olsa) uid (User ID) olur mu?
User ID, kullanıcı oluşturunca veriliyor. Yani sadece programı indirmekle olmaz, girip bir de hesap açması ve kendine bir nick/isim seçmesi gerekiyor.

Soru 79: Online olmak ne demek. Bylock yüklemeyen biri online görünebilir mi? Bazı arkadaşlar online için zayıf sinyal felan dediler. Bylock da insanlara söylenen online ne demek?
Online olmak, internet varken programı çalıştırmak demek. Yani Bylock sunucusuna bağlanmak demek. Gmail veya hotmail'de mail adresinize girmek gibi. "Login" olduğunuz zaman online gözükürsünüz. Bu da programı çalıştırdığınızda, eğer Kullanıcı Hesabı açmış iseniz, otomatik olarak gerçekleşir. Öteki türlü olmaz.
Yani... User ID olmadan, online olamazsınız.
Yani... Sadece programı indirmiş olan, online gözükemez...

Soru 80: Telefonumuzdaki Whatsapp'a tıklayıp Whatsapp'a girmesek bile internet erişimimiz olduğu sürece online gözükmez miyiz? Sonuç olarak Whatsapp kendisi mesaj var mı yok mu diye sunucuya bağlanmaz mı?
Whatsapp'ta normalde her zaman online gözükmezsin. Arkadaşına mesaj yazacağın zaman, "Last online at 17:42 Today" diye yazar. Mesajı okurken "Online" der. Sana mesaj yazıyorken "Typing..." der. Ama arada mesaj atılsa gelir. O da Whatsapp belirli aralıklarla push-pull yapar. Yani veri gönderir/alır. O esnada Whatsapp sunucusu ile bağlantı kurar. Ve saire.

Bylock'un sunucuya bağlanma sistemi nasıl kodlanmış bilmiyorum, ama muhtemelen benzerdir. 

Her halükarda, buradan oraya bir bağlantı yapıldığı zaman, bunu "Login" adı altında loglamışlar (kayıtlarını tutmuşlar).
User ID: 54231, SessionID 5442939423... Time 14.12.2014 17:25, IP: 52.44.23.114 Platform Android... gibi.
Ama buradaki 1 login, ne kadarlık bir süreyi kapsıyor, onu bilemiyorum. Anlık mı, yoksa 24 saatlik mi, yoksa 3 günlük mü.

Özetle: "4 kere online olmuşsunuz" dedikleri, teknik olarak "log tablosunda 4 satırda IP adresiniz var" demek.

Soru 81: Google Play'den indirdiğimiz her programdan IP adresi tespit edilir mi? Programı indirdiğimiz zaman otomatik sistemde hesap açıyor mu?
Google Play'den indirilen programın IP adresi tespit edilemez. İndirirken Google'ın serverlarına bağlanıyorsunuz çünkü.
Programı indirdiğinizde program kendisi hesap açmaz. Ama programı çalıştırdığınızda Bylock sunucusuna bağlanıyordur. Fakat login olmayı denemediğiniz müddetçe login tablosuna girmez. Ancak hesap açtıktan sonra "başarılı login" olarak login tablosuna girersiniz. Ya da başarısız login denemesi yaparsanız, başarısız olarak gözükür. Ama onları da "online oldun" diye saymıyorlardır. Programa bağlanamayan adamı kullanmakla itham edemezler ya (normal bir dünyada...).

İşin özeti, sadece indirmiş olmakla IP adresiniz çıkmaz, çıkmıyordur. Bylock listelerine girmezsiniz.

Ama telefonunuz incelenirse, "Bylock kurulmuş" derler... Çünkü programın izi telefonunuzda kalır.

Soru 82: Bylock kullandığım iddia edilen tarihlerdeki IP log kayıtlarının incelenmesi için bilirkişi atanmasını talep edeceğim. Log kayıtları değiştirilebilir mi? Değiştirildikleri takdirde bilirkişi bunu tespit edebilir mi?
Log kayıtları nerede ve nasıl tutulmuş tam olarak bilemiyorum. Loglar birkaç çeşit tutulabilir. "Basit" log tutmada, sadece bilgileri bilgisayara kaydeder. Bunları sunucuya erişebilen herhangi biri değiştirebilir. "Hardcopy" log tutmada, loglar tutulurken aynı zamanda yazıcıdan çıktı alınır. Bunları da o çıktılara erişebilen biri değiştirebilir. "Sertifikalı" diyebileceğimiz log tutmada, (Türkçe tabirlerini tam bilemiyorum) loglar tutulurken aynı zamanda başka bir sunucudan (timestamp server) zaman bilgileri hash'li olarak alınır ve loglara eklenir. Bu durumda, zaman sertifikasını aldıkları sunucuya erişemedikleri müddetçe, logları değiştiremezler. Bu biraz bizim şimdilerde e-devlet uygulamalarında yaygınlaşan "elektronik belge doğrulama" sistemi gibi çalışır. Bir de sanırım hash-chain şeklinde log tutuyorlar. Bunda da ara değerleri değiştiremezler. vs vs.

Lakin... Öncelikle, Bylock sunucusundaki Logların "sertifikalı" veya benzeri bir şekilde tutulduğunu hiç zannetmiyorum. Düz metin veritabanı olarak tutmuşlar gibi duruyor. O yüzden bu loglar %90 müdahale edilip değiştirilebilecek şeylerdir. Öyle bir durumda değiştirilip değiştirilmediği de kolaylıkla tespit edilemez.

Operatörler ise muhtemelen zaman damgalı log tutuyorlardır. Ama hepsi mi yapıyor, hangi sunucudan zaman bilgileri alıyorlar vs. bilemiyorum. Gene de bir miktar daha güvenlidirler diye tahmin ediyorum.

Eğer Bylock sunucusunda loglarda oynamışlarsa ve BTK logları sağlamsa, o zaman karşılaştırılınca pek çok kişi temize çıkabilir. Ama ikisinde de oynamışlarsa, yapacak bir şey yok... Ya da karışıklık IP haricinde (örneğin internet paylaşımı) gelişmişse, BTK bilgileri de aynı çıkacaktır.

Soru 83: User ID veya içerik bilgisi yok. Sadece 10 gün içinde 8 ayrı kere 1'er sn'lik online olmuşsun diyorlar. Bu nasıl olur?
Program kurulu ise, kendisi farklı zamanlarda mesaj var mı yok mu diye bakmış olabilir. Veya Freezy/Kıble Pusulası gibi bir Morbeyin uygulamasını bilmeden yüklediyseniz, bu programlar siz farkında olmadan anlık olarak sizi Bylock sunucusuna yönlendirmiş olabilir.

Soru 84: BTK kayıtları ve Bylock sunucusundan alınan tespit tutanakları geldi. Bu veriler birbiri ile uyumsuz.
Uyumsuzluk birkaç türlü olur. Eğer Bylock sunucusunda 60 login varsa, 60 tane bağlantı gözükür. Ama BTK loglarında buna karşılık 600 veya daha fazla bağlantı çıkabilir. Çünkü BTK, anlık bağlantıları arka arkaya yazıyor. Yani atıyorum 2 saatlik bir film izliyorsunuz. Bylock sunucusu "16:30'da şu filmi izlemiş" diyor. BTK ise "16:30'da film izliyor, 16:31'de film izliyor, 16:32'de film izliyor..." diye dakika dakika logları dizmiş göndermiş.

O yüzden bazı haberlerde "falanca FETÖ'cü 100bin bağlantı kurmuş" gibi uçuk kaçık rakamlar veriyorlar.

BTK'da az bağlantı, Bylock sunucusunda çok bağlantı çıkması, 17.11.2014 sonrası VPN kullanımına geçilmesinden kaynaklı da olabilir. Yani BTK'daki kayıtlar çok büyük oranda Ağustos-Kasım 2014 arasını kapsıyor. Bylock sunucusundaki kayıtlar ise Ağustos 2014- Şubat 2016 arasını. Dolayısı ile 60 bağlantıya karşılık 300 BTK logu çıkmış olabilir.

Saatlerin tutarsız olması ise, Saat Dilimleri ile veya sunucunun saat senkronizasyonu ile alakalı olabilir. Ama bu hatalar aynı zamanda IP tahsis sürelerini de etkileyebileceğindne, sizinle alakalı olmayan bir IP'yi size tahsis edilmiş gibi gösterilmesine de yol açabilir. Karışık bir durum.

Bunların haricinde tutarsızlıklar varsa, bir tarafın verilerinde hata var demektir. Bu da şüphe unsurunu ortaya çıkarır ve normalde beraatinize sebep olması gerekir.

Eğer veriler tamamiyle tutarlı olsa, o zaman büyük ihtimalle kullanım bilgisi doğrudur. Çünkü aynı bilgileri tutarlı bir şekilde hem Bylock sunucusuna hem de operatöre/BTK'ya girmeleri çok zor.

Soru 85: Eşime Kasım 2014'te Avea hattı üzerinden Bylock kullandığı bilgisi geldi. Oysa numaramız 0505 ile başlıyor ama o tarihte Turkcell kullanıyorduk. Bizim numaramızı Avea bir başkasına da vermiş olabilir mi?
Böyle birşey teknik olarak mümkün değil. Fakat aynı numara ile, aynı tarihlerde hem Avea hem Turkcell olarak gözüküyorsa, o zaman büyük saçmalık var. Hakimin de bunu dikkate alması lazım. Hattınız Turkcell iken, Avea hattınızda Bylock kullandığınız söyleniyorsa size özür borçlular...

Soru 86: 13 Kasım 2014'te Bylock kullanmış görünüyorum. Ama Bylock kullandığım iddia edilen ADSL hattını Ağustos 2014'te taşındığım için kapattırmıştım.
Eğer interneti Ağustos ayında kapattıysanız ve kasım ayında bile Bylock kullandığınıza dair kayıt gönderiyorlarsa, birkaç ihtimal var.
1. Operatör (TTNet/Superonline) abone bilgilerini güncellememiş. Sizden sonra yerinize taşınan adamın bilgilerini girmemişler, abonelikte sizin bilgileriniz kalmış.
2. Operatör sizin aboneliği kapatmamış, sizden sonra evinize taşınan adam sizin aboneliği kullanmış.

Bu durumda mahkemeden Bylock tespit tutanaklarını isteyin. Orada User ID'si varsa, o User ID ile bağlanılan herhangi bir cep telefonu hattı görünüyorsa, asıl kullanıcı büyük ihtimalle o cep telefonu kullanıcısıdır. Mahkemeye bir dilekçe yazarak bunu izah edin. Ayrıca siz Ağustos 2014'te başka bir internet aboneliği açmışsanız, bunun bilgilerini de verin. 

Soru 87: Telefonumun hacklenerek benim bilgim haricinde Bylock yüklendiğini düşünüyorum.
Hackerlik yöntemiyle Bylock yüklenenler olabilir. 

Çünkü 15 Kasım 2014'te, takip edildiklerini farkederek VPN şartı getirdiler değil mi? Bunu niye yaptılar? Biri bizi buradan tespit edemesin diye. Demek ki Bylock kullandıklarının tespit edilmesi ile cemaat üyeliğinin ortaya çıkabileceğini tahmin ediyorlardı. O zaman bunu başkalarına yamamış olmaları da mümkün. Yani birilerini itham etmek için telefonuna hack yolu ile Bylock yüklemiş olabilirler.

Ama gene de bunun çok nadir olabileceğine ihtimal vermiyorum. Belki belli bazı üst düzey bürokratlara vs. yapılabileceğini tahmin ediyorum.

Telefon hacklenerek Bylock yüklenmişse, a) eğer sadece program yüklenmişse, mesaj gönderip almamıştır. Bağlantısı gözükür ama mesajı olmaz, trafiği olmaz. Sadece program kendisi günlük ana sunucuya bağlanır ve mesaj kontrol eder vs. b) hackleyen adam programı kurup, kendisi de arka plandan mesaj atıp almışsa, o zaman da iş zor. eğer mesaj içerikleri varsa belki kendini kurtarabilir. Zira mesaj içeriklerinden farklı kişiler olduğu ortaya çıkabilir.

Soru 88: Bylock kullanmadığım halde, telefonum da incelemede temiz çıktığı halde, mahkeme "telefonu kendisi sonradan temizlemiş olabilir" diye dikkate almayarak ceza verdi. İstinafa başvuracağım ama Bylock kullanmadığımı nasıl ispatlayabilirim?
Bu tarz bir şeyi mahkemeye ispatlayamazsınız. İspatlamanız da gerekmez. O mahkemenin yaptığı, Ceza Hukukunu tersine çevirmektir.

Ceza Hukukunda deliller kesin olur. Eğer delilde şüphe varsa, şüpheden sanık yararlanır. İnsanlar suçlu olma ihtimallerine binaen ceza alamazlar. %99 da suçlu olma ihtimali olsa, %1 suçsuz olma ihtimali varsa, delil yetersizliğinden beraat eder. Ceza Hukuku böyledir. Medeni Hukuk (Borçlar Hukuku, Ticaret Hukuku vs) farklıdır. Orada %51'le haklı buldukları adam davayı kazanabilir.

Ayrıca müddei iddiasını ispatla mükelleftir. Yani savcı size "Örgüt üyesisin, aksini ispat et" diyemez. Örgüt üyesisin diyorlarsa, şüpheye mahal bırakmayacak şekilde bunu ispat etmesi gereken mahkemedir. Ortaya koydukları delil telefona yüklenmiş Bylock ise, TEM incelemesinde telefon temiz çıkmışsa "ama silmiş de olabilir" diyemezler. "Silmediğini ispatla" diyemezler. Bu hukuku tersine çevirmektir.

ZİRA. Var ispat edilir, Yok ispat edilemez. Kimseye "falan ev geçen hafta soyulmuş, bu evi soymadığını ispatla" diyemezler. Adam ne yapacak? Geçmişe dönüp, 7 gün 24 saat evi ve kendini kameraya alıp sonra bunu mahkemeye mi sunacak? Bu imkansızdır. Her durumda böyledir. Ama "bu evi sen soydun" diyen adam, tek bir fotoğrafla bile bunu ispatlayabilir. Aksini ispatlamak için kesintisiz ve süresiz yüzbin fotoğraf yetmez.

O yüzden, iddia eden ispatlar. Savunan değil. Şüpheden de sanık yararlanır, iddia makamı değil.

Telefon temiz çıktıysa, başka da bir delil ellerinde yoksa, Bylock'ta bu kadar hatanın bulunduğu görüldüğü şu tarihte, bu delil yetersizliğidir. İstinaf mahkemesine aynen bu yukarıda yazdıklarımı paragraf yapıp sunabilirsiniz. Ceza Hukukunda kesin delil olması esastır.

Soru 89: CGNAT sunucularında hata olduğu, bazen aynı Özel IP'nin de birden fazla kişiye verildiği söyleniyor. Bu mümkün mü?
Uzun süre bilgisayar kullanmış olan herkes IP çakışması mesajına ara sıra denk gelmiştir. "Ağdaki başka bir bilgisayar bu bilgisayarla aynı IP adresine sahip. Bu sorunu çözme konusunda yardım almak için ağ yöneticinize başvurun."

Çünkü IP dağıtımları bazen dinamik yapılır (DHCP ile) bazen de statik olur. DHCP serverları da bazı durumlarda aynı IP'yi birden fazla bilgisayara verebilir. 

Yani sadece CGNAT sunucularının LSN havuzlarından IP alırken aynı IP'yi birden fazla sunucunun alması da değil, daha alt düzeyde de hatalar olabilir ve oluyor da. 

Basitleştirmek gerekirse, elinizde 100bin numara var ve bu numaraları dağıtan 100 tane farklı adamınız var. Aynı numarayı havuzdan aynı anda iki dağıtıcı çekip vermeye kalkarsa, aynı numara iki kişide olabilir. Veya bir IP adresi alan bilgisayar, adresi havuza geri veriyorum bilgisi verdikten sonra geri vermemiş ve IP adresi serbest bırakılmamış olabilir. Bu tarz durumlarda aynı Özel IP adresi iki kişide görünebilir. Evet bu kişilerin birinde internet bağlantısı olmaz ama log kayıtlarında ikisi gözükebilir.

Soru 90: Bylock kullandığım iddia edilen saatte gelen HTS loglarında internet kullandığım gözükmüyor. Tam tersine uzun bir telefon görüşmesi yapıyormuşum. Telefon görüşmesi esnasında Bylock kullanabilir miyim?
2014 tarihinde Türkiye'de 4G yoktu. 2G ve 3G ile de, telefon görüşmesine başladığınız anda internet bağlantınız kopar. Eğer bahsi geçen saatlerde, telefon görüşmesi gözüküyorsa, o esnada Bylock bağlantısı olması imkansızdır. Çünkü Bylock sadece internet üzerinden çalışır.

Zaten HTS kayıtlarında internet gözükmeyen saatlerde Bylock kullanmış görünüyorsa, bu da ayrı bir tutarsızlıktır.

Bu iki hususu mahkemeye/kuruma dilekçe yazarak aynen bildirin.

BYLOCK İÇERİKLERİ

Soru 91: Bylock mesaj içerikleri var mı?
Şifresi çözülebilenlerin bir kısmına ait mesaj içerikleri var. Yaklaşık 60 bin kişiye ait mesaj içeriği olduğu iddia ediliyor. Ama bu içeriklerden benim denk geldiklerim büyük oranda basit günlük yazışmalar.

Soru 92: İçerikleri elde edilen mesajlar gerçekten 17 Milyon adet mi?
MİT Raporunda 17.169.632 adet mesaj gönderilip alındığı, bunlardan 15.520.552'sinin çözümlendiği yazıyor. Yani mesajların %90'ının çözülmüş olması gerekiyor. Ama bana ulaştırılan Bylock tutanaklarında çok az sayıda (%1'den az) mesaj içeriği var. Dolayısıyla mesajların büyük oranda silinmiş olduğunu, ancak tek tük kurtarılan mesajların bulunduğunu tahmin ediyorum.

Buna mukabil, MİT Raporunda 109GB'lık veri tabanı dosyası elde edildiği yazıyor. Verilen bilgiler bağlamında,1.218.784 adet arama kaydı, 17.169.632 adet mesaj, 4.675 adet mail eki, 187.629 adet grup üyeliği bilgisi, 31.886 adet grup bilgisi, 3.158.388 adet mail, 1.350.624 adet roster bilgisi ve 215.092 adet kullanıcı bilgisi; bu bilgileri kaydetmek için ayrılmış int11, varchar(32), varchar(512) gibi veri karşılıkları ile kıyaslandığında, 50-60 GB kadar bir yer tutacağı görülüyor. Üzerine kalan 50 GB da, belki başka loglar veya sayısı verilmeyen dosya paylaşımı içeriği olabilir.

Dolayısı ile, 109 GB veri tabanı elde edilmişse, bahsi geçen tüm verilerin elde edildiğini düşünebiliriz. Ayrıca 17 milyon mesaj için en az 1 mesaj attığı bilgisi verilen 60.473 kişinin, adam başı 284 mesaj atmış olması gerekiyor. Bu da programın yoğun kullanıldığı 1 yıllık bir dönem için, ortalama olarak normal bir rakam.

Fakat böyle bir durumda, (mesajı olanlar için) kişi başı ortalama 250 mesaj içeriğinin verilmesi gerekiyor. Ama mahkemelere gelen tespit tutanaklarından gördüğüm, kişi başı 1 veya birkaç mesaj içeriğinin geldiği. Şifrelerin tamamı çözülmediği için diyeceksiniz, değil. O zaman 0 olması lazım. Muhtemelen sunucuda 17 milyon mesaj değil, belki 17 milyon mesaj atıldığına dair bir log kaydı var. Ya da başka bilmediğimiz bir durum var.

Soru 93: Bylock mesajları sunucuda tutulmuyormuş. Bu durumda mesaj içerikleri nasıl olur?
P2P modeli bir anlık haberleşme sistemi olmadığı takdirde, mesajların bir ana sunucuda tutulması bir zorunluluk. Yoksa karşı taraf online olmadığı durumda mesaj atamazsınız. Bu durumda da Bylock'un bir mesajlaşma uygulaması gibi kullanılması çok zorlaşır. Dolayısı ile mesajları karşı tarafa ileteceği ana kadar, en azından bir süre olsun sunucuda tutmak zorunda. Bu da aslında MİT raporunda Settings kısmında timeout süreleri olarak saniye cinsinden belirtilmiş.

timeout_for_not_received_chat 1296000
timeout_for_not_received_file_transfer 1296000
timeout_for_not_received_mail 1296000
timeout_for_received_chat 86400
timeout_for_received_file_transfer 259200
timeout_for_received_mail 259200

Bu özetle şu demek, okunmamış mesajlar ve mailler ve iletilememiş dosyalar 15 gün boyunca sunucuda saklanıyor. Mesajlar okunduysa 1 gün sonra, mailler ve iletilmiş dosyalar 3 gün sonra sunucudan siliniyor.

Yani sunucuda en fazla 15 günlük mesaj kaydı tutulması gerekiyor. Fakat görünen o ki daha fazlası tutulmuş. Bu da ya kasten yapılmış, ya da silindikten sonra geri kurtarılmış.

Soru 94: Bylock üzerinden yüzlerce bağlantı kurduğum ve bir sürü mesajlaştığım iddia ediliyor. Fakat yazdığım iddia edilen mesajlar bana ait değil. İçerikleri de benimle uyuşmuyor.
Sonraki dönemlerde VPN kullanıldığı için, kimlik tespitini ilk birkaç IP adresine göre yapıp o User ID'yi size yazmışlarsa, o User ID'nin tüm bağlantıları ve haberleşme içeriklerini de size yazarlar. Eğer mesaj içerikleri çok alakasız ise (örneğin hitap ederken "Abla" diyorlar, ama erkeksiniz. ya da mesleğinizle alakasız içerikler var. örneğin hademesiniz ama mühendislik yorumları yapmışsınız vs) bunu izah eden bir dilekçe yazın ve ilk kimlik tespitinin hatalı olduğundan, hiç kullanmadığınız bir Bylock User ID'nin hataen size izafe edildiğini söyleyin.

Soru 95: FETÖ'cüler Bylock sunucusundaki içerikleri neden silmemişler / silememişler?
Silinen bir dosyanın rahatlıkla geri getirilebileceğini ortaokul çocukları bile bilir. O yüzden güvenli dosya silme için "shredder" tabir edilen programlar ve "wipe" yöntemleri kullanılır. Bunların en basiti, windows'un kendi içinde bulunan "Cipher /w" komutudur. Linux'ta da shred ve dd gibi komutlarla güvenli dosya silme işlemi yapılabilir.

En basit muhasebe hesabı tuttukları bilgisayarlara CCleaner gibi hazır programlar kurup, her kullanımdan sonra bu program vasıtası ile 32 pass (kat) silme işlemi yapan bir örgütün, tüm örgüt haberleşme içeriğini tuttukları bir sunucuda güvenli silme işlemi yapmamış olması ve bu bilgilerin geri kurtarılmış olması bir muamma.

Kendi özel imzalı sertifikasını kullanacak kadar güvenliğe dikkat eden, üstüne gerçek bir "rastgele sayı üretme fonksiyonu (random function)" olsun diye rastgele parmak hareketleri ile şifreleme yapan bir programcının, güvenli dosya silmeyi becerememesi mantıkla izah edilir değil.

Yani adam o kadar usta ki, suç işlediği yere saç kılı veya deri parçası düşmesin de DNA izi bile kalmasın diye tüm vücudunu örtecek steril bir kıyafet giyecek, ama siz suç mahallinin her tarafında parmak izi bulacaksınız.

Burada ya büyük bir hata/unutkanlık/dalgınlık var. Ya da bir Ali Cengiz oyunu var..

Ya silmediler de silmiş gibi yaptı, veya geri getirileceğini bilerek tek sefer sildiler ve wipe işlemi yapmadılar. Bu durumda, içerikleri bilerek orada bıraktılar.

Bu durumda: A) Manipülasyon için listeleri olduğu gibi bıraktılar. Belki içinden kendi tepe yöneticilerini sildiler. Belki sap saman karışsın, devlet teşkilatı çöksün, milletin devlete güveni kalmasın diye alakası olmayan bir sürü adamı eklediler. B) David Keynes zaten baştan beri MİT elemanıydı veya arada satın alındı. Listeleri de silmedi ve doğrudan MİT'e teslim etti veya bıraktı..

Soru 96: Bylock P2P (peer to peer) yani sunucuda içerik verisi tutmayan bir yazılım olduğu için, mesaj içeriklerinin elde edildiği iddiası bence doğru değil.
Bylock "P2P" bir yazılım değil. Sunucuda bir veritabanında mesajları tutmuş. Zaten tutmasa, online olmayanlara mesaj iletemez. Fakat ilginçtir, mesajları silmesi gereken sürede silmemiş.

Soru 97: MİT'in 17 milyon mesajın 15 milyon adedini kırması imkansız. Her bir mesajı kırmak için binlerce gün bilgisayar çalıştırmak gerekiyor. Ayrıca 38 karakterli şifreler Brute Force ile kırılamaz. 8 karakterli bir şifreyi kırmak 10 yıl sürer. Apple'ın kısa telefon şifresini bile haftalarca kıramadılar. Bence bunların hepsi algı operasyonu. Bu şifrelerin çözüldüğü iddiasını külahıma anlatın.
1. Evet mesajları Encrypted olarak tutmuşlar. Ama Encryption Key, vatandaşların şifresi imiş. Dolayısıyla 215bin adet kısa şifreyi kırdıktan sonra, geri kalan tüm mesajları çözmek çocuk oyuncağı.

2. Şifre uzunluğu ile Brute Force şifre kırmaya gelince... 38 karakter dedikleri şifre, zaten 1 tane. Onu da raporda göstermişler zaten. 123qweasdzxc456rtyfgh... gibi ardışık klavye tuşlarından oluşuyor. O yüzden bu şifre, 38 karakter olsa da, Entropisi çok düşük... Rahatlıkla kırılabilecek bir şifre ve kırılmış da... (Entropi nedir merak edenler, Google: Password Entropy)

3. Apple telefondaki 4 haneli şifrenin haftalarca kırılamaması, deneme imkanı olmadığı için. Atıyorum 5 kere yanlış denediğinizde telefonu 1 saat kitlediği için. Ama deneme kısıtı olmadığında, saniyede 1 milyon şifre deneyebiliyorsunuz. 4 rakamlı bir şifreyi çözmeniz de 1sn sürmez.

4. 8 haneli bir şifrenin kırılması tek bilgisayarla 10 yıl sürebilir. Ama 10bin bilgisayarla 8 saat sürer... 10bin bilgisayar nedir demeyin, "GPU Cluster" diye birşey var. Merak ediyorsanız, Google... Daha da ötesi, Distributed Computing var... 1 milyon bilgisayarı bile kullandırabilirsiniz aynı işte. Örneğin meşhur SETI @ Home vardı, milyonlarca bilgisayarı kullanan... Meraklıysanız, gene Google...

5. Kaldı ki şifre kırmak, sadece Brute Force ile yapılmaz... Bunun çok çeşitli yöntemleri var. En rahat olanı da, Rainbow Tables... Bununla mevcut şifrelerin %95'ini 1 günde kırabilirsiniz. Zaten MİT de hepsini kırdık dememiş...

Eğer meraklıysanız, okuyacağınız kaynak da wiki'deki "Şifre Kırma" maddesi olmasın bir zahmet... Sonra mevzu ilkokul Fen Bilgisi hocasının, Feynman'ın teorilerini reddetmesine benzer...

Bakın şöyle yerler de var...
https://arxiv.org/list/cs.CR/recent

Biraz kurcalayın da genel kültürünüz artsın... Sonra "külah"lara da şifre çözmeyi anlatabilirsiniz...

BYLOCK KULLANILAN TELEFON

Soru 98: Bize söyledikleri IMEI numarası yanlış (14 rakamdan oluşuyor).
IMEI'nin aslı 14 rakamdır. 15. rakam, Luhn Algoritması denilen bir kontrol mekanizması için vardır ve GSM şirketleri bu rakamı kaydetmezler. Dolayısı ile size verilen bilgideki 14 rakamlı IMEI, sizin telefonun IMEI'sinin ilk 14 hanesi ile uyumlu ise, bilgi doğrudur.

Soru 99: IMEI numaramızı nereden öğrenebiliriz.
Telefonunuzda *#06# çevirerek. Ayrıca orjinal faturası varsa, IMEI numarası faturada yazar.

Soru 100: Bylock kullandığımı iddia ettikleri telefonun IMEI'si (ilk 14 rakamı dahil) benim telefonuma/telefonlarıma ait değil. Bu nasıl olur?
Eğer piliniz bitmiş de sim kartınızı başka bir telefona takmışsanız, o telefonda da Bylock kurulu ise, siz telefonu açtığınız anda Bylock sunucusuna bağlanıp mesaj kontrolü yapacaktır. Bu durumda hat sizin, ama IMEI başkasının görünür. IMEI'nin kime ait olduğunun bilgisini mahkemeden/kurumdan müzekkere yazılarak sorulmasını isteyin.

Soru 101: Bylock kullandığım iddia edilen telefon, BTK sorgusunda neden çıkmıyor.
Telefonun IMEI numarası kaydedilmemiş veya kaydı herhangi bir gerekçeyle sonradan silinmiş olabilir.

Soru 102: Bylock kullandığım iddia ediliyor. Ama telefonum incelemede temiz çıktı.
Bu Bylock kullanmadığınız anlamına gelmez, zira (düşük ihtimal de olsa) iz bırakmadan silmiş de olabilirsiniz. Fakat telefonunuz temiz çıkmışsa ve hakkınızda başkaca bir delil yoksa, Bylock kullanmadığınıza dair bir karine sayılması gerekir.
Bunun tam tersi, telefonunuzda Bylock da çıkabilir. Ama bu da kesin kullandığınız manasına gelmez, zira dışarıdan veya bilginiz haricinde kurulmuş da olabilir. Fakat olasılığı düşüktür bunların. Teknik tabirle "possible but improbable" diyeyim...

Soru 103: Bylock kullandığım iddia edilen telefonun IMEI'si kopyalanmış.
IMEI kopyalanmış da olsa, kimlik tespitlerini hat sahipliği bilgisi üzerinden yaptıkları için çok bir anlam ifade etmez. Ama doğrudan IMEI numarası ile ilgili bir tespit varsa, itiraz ederek durumu anlatan bir dilekçe yazın.

Soru 104: Arkadaşım yurtdışından telefon almış, o dönemde benim yurtdışı çıkışım olduğu için telefon benim pasaportuma kaydedildi. Başıma birşey gelir mi?
IMEI'lerin hangi pasaport üzerine kayıtlı olduğunun bir önemi yok. O telefona takılı hattın sahibine bakarlar. Yoksa Atatürk Havalimanında hacdan dönen yaşlıları çevirip, pasaportlarına IMEI kaydeden bir sürü uyanık var. Bunlarda Bylock çıksa yaşlı hacıları mı alıp götürecekler...

Soru 105: Ben telefonumu sıkça bozulduğu için devamlı fabrika ayarlarına döndürüyordum. Belki 10 kere yapmışımdır. Fakat telefon incelememde gene de Bylock var dediler.
Telefonu fabrika ayarlarına döndürmek, telefon içindeki bilgileri kalıcı olarak silmez. Dolayısı ile incelemede Bylock çıkması normal. Ama farzediyorum telefonun içinde boş yer kalmayacak kadar video vb. dosya ile doldurup, sonra telefondaki verileri şifreleyip fabrika ayarlarına döndürdünüz ve bu işlemi birkaç kere tekrarladınız. Artık telefonunuzda iz kalmaz diye birşey yok. Örneğin telefonu aynı Google hesabı ile açmışsanız, o hesabın geçmiş uygulama bilgilerinde de Bylock verisi bulunacağından, telefonunuzun incelemesinde yine Bylock bulunur.

Soru 106: Eşimin suçlandigi tarih 2014 Ağustos. Biz o tarihte kullandığı telefonu 2015'te ikinci el olarak satmıştık. Tutuklandığında şu an kullandığı telefona el konuldu. Eşimin suçlandığı tarihteki telefonu bulmamız gerekir mi? Bu program ille de cihaz üzerinde mi bulunuyor?
Suçlandığınız tarihteki telefonu bulup inceletmeniz de çok bir şeyi değiştirmeyecektir. Zira "Ağustos 2014" dedikleri tarihi, o tarihte sizin adınıza kayıtlı GSM hattı üzerinden çıkarmışlardır, telefon üzerinden değil.

Program cihaz üzerine kuruluyor ama "programı kullandı" bilgisi cihazlara dayanmıyor. Bylock sunucusundaki IP bilgisi, operatörden hat bilgisine, o da hat sahibi bilgisine dönüştürülüyor. Oradan telefon IMEI'si ve TC numarasını çıkarıp "Siz Bylock kullanmışsınız" diyorlar.

O telefonu bulsanız ve inceletseniz şöyle bir handikap da olabilir... Hibe ettiğiniz kişi ya da onun sattığı kişi telefonda Bylock kullanmışsa, telefon incelendi mi kendi aleyhinize delil yaratıp kendinizi yakmış olursunuz. Çünkü telefonda "Bylock"un bulunup bulunmadığına bakıyorlar. Telefona hangi tarihte kurulduğunu incelemiyorlar. İnceleseler de çoğunlukla bilemezler veya emin olamazlar...

O yüzden bence eski telefonu bulmaya çok uğraşmayın...

Soru 107: Bylock kullandığım için ihraç edildim. Yüzbaşıyım ve uzun operasyonlara gittiğimizde askerlere hotspot açıyordum. Bunun şahitleri de çok. Durumu mahkemeye anlattım ve "askerlerden birisi Bylock kullanmış olabilir." dedim. Bana "kullandığımız telefonun IMEI numarası da geldi. Bu size ait olan telefonun IMEI numarası. O yüzden başkası kullanmış olamaz." dediler.
Çok yanlış bir yorum yapmışlar. Zira IMEI numaraları Bylock sunucusunda tutulamaz ve tutulmamış. IMEI bilgisi operatörlerde var ve bu bilgiyi operatörler veriyor. Buradaki mevzu şu: Bylock sunucusundan gelen IP adresi bilgisini operatörler hat sahibi bilgisine dönüştürüyorlar ve o hat sahibinin o esnada kullandığı IMEI numarasının bilgisini de gönderiyorlar. O yüzden mahkemelerde IMEI bilgisi de oluyor.

Fakat, buradaki kritik nokta şu. Bağlantı hat üzerinden yapıldığı için, sizin hotspot açtığınız biri Bylock'a bağlansa sizin hattınızda Bylock kullanılmış gözüküyor. Operatör de o esnada sizin hattınızın takılı olduğu sizin telefonunuzun IMEI numarasını gönderiyor. Yoksa Bylock'a bağlanan adamın IMEI'sini göndermiyor, gönderemez de. Çünkü siz telefonu hotspot yapıp modeme çevirdiğinizde, o hat üzerinden kimlerin çıkış yaptığını operatör bilemez.

Soru 108: Telefonum incelendi ve Bylock izi bulundu. Ben asla bu programı indirmedim ve kurmadım. Böyle birşey nasıl olur?
Telefonda bulunan veri ve izler, kullanıcıya ait olmayabilir. Telefon ikinci el ise, siz satın aldıktan sonra fabrika ayarlarına döndürüp kullanmış bile olsanız, önceki kullanıcının bilgileri telefonda durabilir.

Veya, bazen kullanıcı internetten telefon alıyor, 10 gün kullanıyor sonra da cayma hakkını kullanarak iade ediyor. Bu telefonları fabrika ayarlarına getirip, kutusunu allayıp pullayıp sıfır diye satıyorlar. Sıfır telefon alıyorum diye böyle bir telefon satın almış da olabilirsiniz.

Bir başka ihtimal, siz telefona Custom Rom yüklersiniz. (Cyanogenmod, AOSP vs. gibi meşhur ROM'lar var). Oysa o ROM aslında o ROM'u yazan kişinin kendi telefonundan derlediği kodlardan oluşur. O şahıs telefonuna Bylock vb. programlar yüklemiş ise, bunların izi o ROM'da bulunur. Siz Custom ROM'u telefona yüklediğinizde sizin telefona da aynen geçer. İncelendiğinde de izi çıkar...

Tabi bunlar düşük ihtimal olan şeyler, ama gene de ihtimaldir. O yüzden telefonda Bylock izi bulunması Bylock kullanımına "kesin olarak" işaret etmez.

Tabi bir de Adli Bilişimcinin kim olduğu veya Adli Emanete alınan telefonlara birinin erişimi olup olmadığı gibi fiziksel müdahale yapılabilecek durumlar da var. Örneğin Adli inceleme yapan uzman kripto FETÖ'cü ise, telefona kendisi Bylock yükleyip, sonra "Telefonda Bylock bulduk" da diyebilir. Kim aksini iddia edebilecek? Teğmen Mehmet Ali Çelebi'nin telefonuna "sehven" numara yükleyen FETÖ'cülerin varlığı artık herkesçe biliniyor.

Normalde dijital veriler delil olarak toplandığı zaman, hard disk vb. şeylerin kopyası-yedeği, "hash değerleri" vs. alınır ve şüpheliye verilir. Böylece üzerinde sonradan oynama yapılırsa, bunlar rahatlıkla ispat edilebilir.

Ama bu FETÖ soruşturmalarında bu usulün uygulandığına dair hiçbir şey duymadım. Tam tersine, KHK çıkarıldı "Yedek vermek zorunda değiliz" mealinde...

Uzun sözün kısası, telefonuzda incelemede Bylock çıkmışsa, bu büyük ihtimalle sizin kurduğunuz manasına gelir. Ama bir kesinlik de ifade etmez, edemez. Haberleşme tespit tutanakları, içerikler ve benzeri kayıtlarla beraber değerlendirilmesi gerekiyor.

Soru 109: Telefonumda incelemede Kakao çıktı. Ama ben bu programı asla kullanmadım.
Samsung bazı modellerinde Bundle olarak Whatsapp vb. yanında Kakao'yu da kurulu olarak gönderiyor. O yüzden pek çok Android telefonda, sahibi hayatında kullanmamış da olsa Kakao programının izi çıkar, normaldir. Ayrıca dünya genelinde 500 milyon indirme olan bir programı örgüt üyeliği kapsamında araştırmaları trajikomik. Eski dönemde her MEKAP giyene PKK'lı demekten de beter, her spor ayakkabı giyen PKK'lı demek gibi birşey.

Soru 110: Bylock iddiası olan tarihteki telefonumuzun peşine düşüp, 3 el değiştirmiş telefonu geri aldık. Şimdi de bilişim şirketinden incelenmesi için fiyat istedik. 5000 Euro talep ettiler. Bu lanet program o cihazda var ise, biz sattıktan sonra arada kullanmış 3 kişide de o programın sinyal vermesi ve o kişilerin de kullanıcı olarak görünmesi gerekmez miydi?
O kişiler telefonunuzu fabrika ayarlarına döndürmeden kullanmış olsalar, program onlarda da görünebilir. Fakat genelde satın alınan telefonlar formatlanır.

Eğer arada satın alanlardan birisi Bylock kullandıysa, kendi hattı üzerinden Bylock gözükür. O hattın da, o IMEI'li telefona takılı olduğu da gözükür.

Telefonu sizin incelettirmenizi de mahkeme ciddiye almayabilir. Maddi durumunuz müsait değilse, boşuna kendinizi zorlamayın bunun için. Mahkeme kendisi incelettirecektir zaten.

Ama o durumda da, telefon temiz çıksa "ee zaten silinmiştir 2 sene sonunda" diyecekler. Hasbel kader arada satın alan 3 kişiden biri Bylock'çu ise ve telefonda Bylock izi çıkarsa, o zaman onu da size yazacaklar...

Bu durumda arada satın almış kişilerin hatları ve onlar üzerinden Bylock kullanılıp kullanılmadığı bilgilerine ulaşmanız, onların Bylock kaydı varsa, iddia edilen tarihlerdeki HTS kayıtlarından, IMEI karşılaştırması vs. yaparak, o telefonda Bylock kullananın aradaki kişiler olduğunu ispatlamanız gerekir. Bu da uzun ve zor bir iş.

Yani telefonu incelettirmeniz, çok faydasını görebileceğiniz bir şey değil. Gene de savcılığa teslim edin, "Telefonu sattığımız kişilerden iz sürerek bulduk ve geri aldık, incelenmesini talep ediyoruz" deyin. Bir baksınlar bakalım Bylock izi var mı yok mu.

Soru 111: Bir tanıdığıma tek hat üzerinden 2 farklı IMEI numarasıyla Bylock kullandığı iddia edilmiş. Fakat bu iki IMEI de onun telefonuna ait değilmiş. Bu IMEI'lerin hangi telefonlara ait olduğunu ve o tarihte kimler tarafından kullanıldıklarını öğrenebilir miyiz?
Bylock tespiti hat üzerinden yapıldığı için, IMEI'nin farklı çıkması mahkeme gözünde bir anlam ifade etmez. O tarihteki telefonları atmış/satmış olabilirsin derler.

Fakat sizin açınızdan düşünelim. Tanıdığınızın tek telefonu mu varmış? Hiç hattını pili bittiği için vs. başka birinin telefonuna takmış mı? Eğer hattını, telefonunda Bylock bulunan birinin telefonuna taknış ise, o kişinin telefonu açıldığında otomatik Bylock'a bağlanıp mesaj kontrol etmiş ise, bağlantı sizin hattınız üzerinden ama bilmediğiniz bir IMEI ile kullanılmış gibi gözükür. Çünkü telefon adamın, kurulu Bylock adamın, ama hat sizin.

IMEI kontrolü bildiğim kadarıyla edevlet sitesinden ya da BTK sitesinden yapılabiliyordu. Google'da bir aratırsanız bulursunuz.

Ama iddia edilen tarihlerde o IMEI'li telefonlarda hangi hatların takılı olduğunu ancak BTK ya da operatörler bilir. Onlar da dilekçe ile vereceklerini zannetmiyorum. Ama mahkeme talep ederse gönderirler.

O IMEI'ler farklı hatlarda kullanılıyor da, atıyorum 1-2 saatlik bir süre için sizin tanıdığınızın hattında gözüküyorsa, oradan bir şey çıkabilir.

Yani örneğin:

X şahsın, Ağustos ayı süresince 0532 444.. numaralı hattının 4444444... IMEI numaralı telefonda kullanıldığı gözüküyor.

Ama 12 Ağustos'ta 2 saatlik bir süre için hattı 555555.. IMEI numaralı telefonda kullanılmış..

555555... IMEI numaralı telefonda diğer vakitlerde 0555 222... numaralı bir hat kullanılıyormuş...

gibi bir senaryo olursa, buradan temize çıkabilirsiniz. "Bu telefon bizim telefonumuz değil, iddia edilen bağlantı da 2 saatlik bir bağlantı. O arada X şahsın pili bitmiş de diğer arkadaştan görüşme yapmak için telefonu isteyip de sim kartını o telefona takmış. O telefonda kurulu olan Bylock, X şahsın hattı takılı iken sunucuya bağlantı kurmuş." diyebilirsiniz.

Ama IMEI'lerin kime ait oldukları ve hangi telefonda kullanıldıkları bilgileri lazım. Mahkeme kanalı ile istetin.

SONRADAN SORULAN SORULAR:
Bundan sonra sorulan sorulara verilen cevapları sıra ile buraya ekleyeceğim.

Soru 112: Bu Morbeyin işi nasıl ortaya çıktı? İçeriği ne derece güvenilir?
Şu anki nokta, belki 1 yıla yakın bir sürecin sonucu. Uzun süredir kardeşiyle ilgili Bylock iddiasını çözmeye çalışan Binbaşı Levent Mazılıgüney, 2017 başlarında Hakan Erdoğan adlı bilirkişiye gidip geliyor ve Bylock üzerine ortak bir rapor hazırlamaya çalışıyorlar. (Detaylarını biliyorum, çünkü o raporu hazırlarken benim bir önceki makalemden alıntı yapmak için benden de izin aldılar). O arada Hakan Erdoğan, Zerrin Gölyeri adlı bir avukatın da telefonunu inceliyor. Bu inceleme esnasında, daha önce Bylock bulundu denilen telefonda Bylock izlerinin bulunduğunu, fakat bu izlerin Bylock programında değil, Freezy adlı bir müzik uygulaması içinde olduğunu görüyor. Bunun üzerine bir rapor yazıyor ve Zerrin Gölyeri kurtuluyor. Levent Mazılıgüney'in de bu rapordan haberi oluyor, ama Bylock'un delil niteliğine dokunduğundan, Hakan Erdoğan bu raporun yayılmasını istemiyor. Fakat bir ara denk getirip raporun bir kısmını fotoğraflıyorlar. Sonra Koray Peksayar'a götürüyorlar. Beraber bir çalışma başlatıyorlar. Morbeyin'in yazdığı programları arşivlerden buluyor, içeriklerini inceliyorlar. Gerçekten de Freezy ve Kıble Pusulası gibi birkaç program içinde morbeyin'in sitesine yönlendirme yapan bir iFrame olduğunu, morbeyin sitesinden de Bylock'un IP Adresine yönlendirme olduğunu görüyorlar. Beraber bir rapor hazırlıyorlar, (ki hazırlanan raporu bana da gönderdiler ve ben de bunun gerçekliğine ikna oldum). Sonra Ekim ayında bu raporu Avukat Ali Aktaş'a götürüyorlar. O da önce inanmak istemiyor ama sonrasında ikna oluyor ve beraberce peşine düşüyorlar. Sonradan bilirkişi Tuncay Beşikçi'ye götürüyorlar. O da aynı şekilde böyle birşey olabileceğine ihtimal vermiyor. Ama gene de inceleme sözü veriyor. Sonrasında o da olayı teyit ediyor. Bu sefer MİT'e ulaştırıyorlar. MİT'teki elemanlar da inceleyip, onlar da bu işin doğruluğunu teyit edince, kademe kademe yukarıya kadar çıkıyor. Sonrasında olay medyaya yansıyor, ve saire.

Soru 113: Telefonların Bilirkişi incelemesi nasıl yapılıyor?
Telefonların bilirkişi incelemesi temel olarak şöyle yapılıyor: Sleuth Kit, Autopsy, Encase gibi Digital Forensics (Dijital Adli Tıp) yazılımları var. Önce telefonun imajını alıyorlar. Sonra da bu yazılımlar vasıtası ile o imaj üzerinde kelime veya kelime dizisi araması yapıyorlar. (Daha önce silinmiş dosyaların izleri de -eğer sonradan üzerlerine başka veri yazılmamış ise- o imaj üzerinde duruyor). Aradıkları kelimeler de net.client.by.lock, 46.166.160.137, by/lock, keynes97209@gmail.com gibi Bylock uygulamasına özgü veriler. Telefon imajı üzerinde bu aramaların sonuçlarını ayrı ayrı inceliyorlar. Çünkü "Standby Lock" gibi alakasız yerler de denk geliyor. Sonrasında imaj üzerinde bu verilerin bulunduğunu, bulunduğu dosyalar/yerler vb. ile beraber belirtip, "Telefonda Bylock izi bulunmuştur" diye rapor düzenliyorlar.

Soru 114: 17 Kasım 2014'te Türkiye'den engellenen IP adreslerinin listesi nedir?
Listenin aslı MİT raporunda mevcut. Kullanımı şu şekilde:

Örneğin engellenen IP aralığı: 37.123.0.0/18
Buradaki 18 rakamı, kaç adet IP adresinin engellendiğini gösteriyor. Ama CIDR formatında. Aralıktaki IP Adresi sayısı da 2^(32-x) diye hesaplanıyor..
Yani örneğimizde 2^16 = 65.536 adet
Yani 37.123.0.0'dan 37.123.255.255'e kadar olan aralık banlanmış.

Örnek 2:
Sonradan Bylock'a tahsis edilen IP aralığı:
46.166.164.176/29
2^(32-29) = 8 => 46.166.164.176 ile başlayarak 8 IP Adresi tahsis edilmiş.

Örnek 3:
Ban listesinde bulunan bir adres
37.154.0.0/15
2^17 = 131.072 adet
37.154.0.0'dan 37.155.255.255'e kadar olan 131.072 adet IP Adresi

Eğer 17 Kasım 2014 sonrası CGNAT loglarında Bylock sunucularına bağlantınız gözüküyorsa, Türkiye'den engellenen IP Adresi listesini inceleyerek, size o tarihte verilen IP adresinin (Genel IP) o listede olup olmadığına bakabilirsiniz...

Soru 115: Bylock'un Diğer IP'leri ne zaman kullanıma girmiş?
(Soru 10'a düzeltme)
Ek olarak tahsis edilen 8 adet IP adresi (46.166.164.176'dan 46.166.164.183'e kadar) 24 Ağustos 2014 tarihinde tahsis edilmiş ve çok kısa bir süre içerisinde bu adresler Bylock uygulamasının yeni versiyonu tarafından kullanılmaya başlanmıştır. Fakat DNS kayıtlarına girmeden, doğrudan IP Adresi üzerinden bağlantı kurulmuştur. (MİT Raporunda bu konudaki muğlak ifade, 1 Eylül 2015-9 Ekim 2016 tarihleri arasındaki DNS kayıtlarında bu adreslerin Bylock alan adı ile eşleşmediğine dair bir bilgidir. Kullanılmadıklarını değil, adres defterine kaydedilmediklerini söylemektedir.)

Soru 116: Bylock Tespit Tutanağı ve CGNAT kayıtları uyumsuz ise bu ne demektir?
Normalde Bylock sunucusundan gelen Log kayıtlarının, BTK'nın gönderdiği CGNAT kayıtları ile tutarlı olması gerekir. Yani örneğin Bylock sunucusunda 14.12.2014'te saat 16:24 ile 17:00 arasında login olduğunuz gözüküyorsa, CGNAT kayıtlarında da aynı gün 16:24 ile 17:00 arasında yaklaşık 60-70 satır bağlantı bilgisi olması gerekir. Eğer bu konuda tutarsızlıklar varsa, bunlar bir hata olduğunu gösterebilir.

Fakat.. (Yaklaşık) 1 Kasım 2014 öncesi loglar Bylock sunucusundan silindiği için, Bylock tespit tutanağında 1 Kasım 2014 öncesine ait bağlantı kayıtları gözükmeyebilir. Fakat CGNAT kayıtlarında bunlar gözükür. Bu tutarsızlık değil, sadece kayıtların bir kısmının Bylock sunucusundan silindiğinin göstergesidir.

Ayrıca, CGNAT kaydında bağlantı gözükebilir, ama Bylock tespit tutanağında bağlantı olmayabilir. Bu da sunucuya bağlantı kurduğunuz, ama login olmadığınız/olamadığınız anlamına gelir. Yani BTK evin kapısını görebiliyor, kapıyı çaldığınızı görebiliyor, ama içeri girip girmediğinizi, veya içerde ne yaptığınızı bilemiyor. Dolayısıyla başarısız login denemeleri, CGNAT'ta olur ama Bylock tespit tutanağında olmaz.

Ayrıca, Bylock tespit tutanağında bağlantı gözükebilir, ama CGNAT kaydında bağlantı olmayabilir. Bu da artık sadece VPN üzerinden bağlantı kurduğunuz anlamına gelir. Yani BTK'nın gördüğü, sizin başka ülkeye gittiğiniz olur. Ama o ülkeden Bylock'a geçmişsinizdir, bunu BTK (normalde) görmez.

------------------------------------

Not1: Yorum olarak yazacağınız sorulara cevap verebilirim (vermeyebilirim de). Sorunun cevabı yukarıda varsa, cevap yazmam. Güzel soru ise, cevabını makale içeriğine ekleyebilirim. ve saire. Genelde 3-5 günde bir bakıyorum, o yüzden hemen cevap beklemeyin. Ama denk gelir de hemen de yazabilirim. 10dk'dan 1 haftaya kadar süresi var.

Not2: Ücret mukabili danışmanlık vs. yapmıyorum. "Size ulaşabilir miyim" diye yazanlar, sorularını yazarlarsa cevap verebilirim. Özel bilgi isteyenler yorum yazıp kendi mail adreslerini belirtsinler. Yorumu yayınlamadan kendilerine mail atabilirim.

Not3: Vaktim varsa ve keyfim yerindeyse, Bylock tespit tutanaklarınızı / BTK kayıtlarınızı inceleyip tutarsızlık olup olmadığına bakabilirim. Ücret almam, fakat herkesin kayıtlarını incelememi de beklemeyin.

Not4: Bir süredir Bylock kelimesinden bile tiksinmiş haldeyim. Cevap yazmadıklarım gücenmesin.

Not5: Her zaman olduğu gibi, bu yazı da dahil olmak üzere yazılarımın tamamı için her türlü alıntıya müsaadem vardır. Copyright, royalty vs. derdim yok. İşine yaradığı müddetçe isteyen, istediği kısmını alıp kullanabilir. Alıntı yaptığınız kısımları da sizi bağlar. Sonra gelip benim başıma ekşimeyin.

Not6: Merak edenler için, kızkardeşim halen ihraç durumda ve halen Ağır Cezada (neyse ki tutuksuz) yargılanmakta. Kendi adına olan ADSL hattından sadece 1 kere Bylock bağlantısı gözükmesine, o Bylock User ID de bir başkasının cep telefonuna ait olduğu ve o şahsın da zaten tutuklu yargılanmakta olduğu ortaya çıkmış olmasına ve banka, sendika, gazete, dergi, okul, dersane, itirafçı beyanı vs. gibi tek bir bilgi/itham/bağlantı/iltisak/irtibat/vs. gösteremedikleri halde, tek 1 satırla "Bylock listesinde adı var" diye ihraç edip, gözaltına alıp, 1.5 yıldır terörist diye yargıladıkları kızkardeşimi, beraat ettirmediler...
Utanç davası gibi, başlarını önlerine eğdiler ve davanın devamına karar verdiler. Türk Hukuk Sistemini bu hale getirenleri Allah'a havale ediyorum...

Not7: FETÖ dediğimden gücenenler oluyor. Ben FETÖ derken bu yapının pis işlerini bilen ve organize eden, hiçbir şeyden habersiz masumları da pisliklerine alet eden, paralel devlet yapısı kurarak devleti çökertmek isteyen, sonrasında memleketi parçalamak isteyen ve bu işi bilerek ve kasten yapan kadroyu kastediyorum. Yoksa bu yapının "ibadet tabanı" denilen çoğu mensubunun masum olduğunu, hatta bir kısmının çok takva ve salih amel sahibi olduğunu ve belki manevi mertebe olarak benden kat kat yüksek olduklarını da biliyorum. FETÖ ibaresini onlara hitaben değil, onların saf niyetlerini kullanarak memleketi bölmeye çalışanlara hitaben söylüyorum.

61 yorum:

Adsız dedi ki...

Merhaba eşimin Btk dan gelen CGNAT verilerinde 3 farklı gün toplam 6 ip kaydı var.Kesinlikle bu programı kullanmadık.Son 3 bağlantı Kasım ayına denk geldiği için morbeyin listesine dahil olamadık.Bizim merak ettiğimiz Kasım ayındaki 3 bağlantıda genel ip,özel ip ve genel port değişirken özel port sabit kalmış.Sizce bu normal mi?Cevaplarsanız sevinirim.

Adsız dedi ki...

merhaba dün eşimin cgnat kaydıyla ilgili mesaj atmıştım.Dün genel ip ile özel ipnin değiştiğini yazmıştım.ama orası hatalı olmuş.genel ve özel ip sabitken genel port değişmiş özel port sabit kalmış.Bunun nedeni sizce ne olabilir

Sultan-ı Yegah dedi ki...

@ Adsız 22 Ocak 2018 10:12
IP Adresleri zaten bağlantı sabit olduğu müddetçe sabit kalır, portlar devamlı değişir.

Özel Port sabitken Genel Portun değişmesi de normal bence.

Büyük bir deponun 1000 tane giriş kapısı, 1000 tane çıkış kapısı olsun. Bu kapıları belli işçilere tahsis ediyorlar, onlar da ya içeri ya dışarı malzeme taşıyor olsun. IP Adresi o depo ise, portlar da kapıları gibi düşünebilirsiniz.

Özel IP Adresi + Port, sizin Operatörün iç ağında kullandığınız IP Adresi ve Port. Genel IP Adresi ve Port, sizin Internet dünyasına yansıyan adresiniz ve portunuz.

Yani operatör ağı için giriş ve çıkış gibi düşünebilirsiniz. Dolayısıyla burada Özel Port sabit iken, Genel Port değişebilir bence..

Fakat şimdiye kadar gördüğüm tüm CGNAT kayıtlarında, Özel Port değişiyorsa Genel Port da değişiyor. O da belki operatörlerin yönlendirme yazılımlarından kaynaklanıyordur, bilemiyorum..

Twitter'dan Koray Peksayar'a yazıp sorsanıza. O daha net biliyordur bu konuyu.

Mağdur dedi ki...

Merhaba. Benim cgnat kayıtlarında 3 günde 35 adet sinyal var ve hepsi ...177 li server a bağlanmış. Yazınızda 177 li ip nin bylock sunucusu olarak kullanıldığı bile kesin değil demissiniz. Benim durumumda olan başka biri var mı acaba. Yazdıklarınizi doğru mu anladım acaba?

Sultan-ı Yegah dedi ki...
Bu yorum yazar tarafından silindi.
Sultan-ı Yegah dedi ki...

@Mağdur 29 Ocak 2018 22:26

Düzeltme yapıyorum.
46.166.164.177 adresi, Bylock sunucusu tarafından 2014 sonlarında kullanılmış. Fakat DNS kaydına girmemiş...

3 günde 35 sinyal herhangi birşey olabilir.. Normal bir kullanımda binlerce sinyal görünür ama, 35 adet değil.

Bana ulaşmak istiyorsanız, yazıda da dediğim gibi, kendi mail adresinizi yorum olarak bırakın ki ben size mail atabileyim..

Sultan-ı Yegah dedi ki...

Yorum yazıp silen arkadaş:

Sene 2015, ortada ne FETÖ var ne Bylock, sen de gittin 2. el telefon aldın. Meğer Bylock kuruluymuş.. Bu durumda sen hiç programı çalıştırmasan bile kendi bağlantı kurar mı diye soruyorsun..

Telefonu fabrika ayarlarına döndürmeden satan çok kimse olmaz.. Ama hadi binde 1 oldu diyelim.. Muhtemelen telefona hattınızı takıp internet bağlantısını da açtığınızda, program kendisi bağlantı kurup mesaj gelip gelmediğine bakıyordur..

Muhtemelen diyorum, çünkü hala programın sen login olmadan da girip sunucuda mesaj olup olmadığına baktığından (whatsapp vb. gibi) emin değilim...

Ama bir ihtimal de program login olmadan bağlantı kurmuyordur..

Bir ara elimdeki CGNAT kayıtlarını inceleyeyim de.. Daha net cevap veririm.

Adsız dedi ki...

Merhaba, burayi yeni buldum gecmise yonelik okudum cok mukemmel bilgiler mevcut elinize saglik, benim basima soyle bir olay geldi , baylok oldugu gerekcediyle gozaltina alindim , burada 30.08.2014 tarihinde tespit bulundugunu soylediler, buradan ve diger sosyal medyadan bu programin goggle playda bulundugunu ogrrndim , tabi o donem kullandium mail adresim yok bu yuzden indirip indirmedigimi teyit edemedim, kesinlikle kullanmadim, bana soylenen kullanici adimin ve mesaj icerigimin olmadigi, ayrica morbeyin uygulamalarindan kible pusulasinida polis telefonlarima el koyana kadar kullaniyordum, bu sebepten olduguna inaniyorum,dosyamda sadece bylok tespiti mevcut, bu yapiyla en ufak baglantim da yok cok sukur, sorum ise soyle
1- bu hazirlanan 102 bin kisilik liste icerisinde indirip programi kurmayanlar var mi? Bunu hata ile indirmis olsam bu listede bulunurmuydum,bunu netlestiremiyorum cunku mail adresimi unuttum.
2- user id ve mesaj iceriginin olmadigi ne anlama geliyor
3-morbeyin listesi devami hakkinda ne dusunuyorsunuz, 11480 sayisi bana devaminin bulundugunu gosteriyor fikriniz nedir?
4- morbeyinde sadece 137 li ip ve 2014 yilina bakildigi soyleniyor ayrica incelemenin devam ettigi hususunda sosyal medyada bilgiler mevcut bilginiz var mi,

Yanitiniz icin simdiden tesekkur ederim.

Sultan-ı Yegah dedi ki...

@Adsız 2 Mart 2018 12:30

1- 102bin kişilik liste içerisinde Bylock'çu olmayan bir sürü insan mevcut. Zaten bir önceki makale uzun uzun bu konuyu anlatıyor. O liste gerçekte birinin adına kayıtlı hatta tahsis edilmiş olan IP Adresinden, belli bir saatte Bylock sunucusuna bağlantı yapıldığına dair bir liste.. Kullandılar demek değil bu.. Programı hiç indirmemiş olsanız da o listede olabiliyorsunuz. Birinci örneği benim kardeşim...
2- User ID ve mesaj içeriği olmadığı, büyük ihtimalle Bylock hesabınızın olmadığı, yani bu programı aslında kullanmadığınız anlamına geliyor. Bir diğer ihtimalle de, Bylock sunucusundaki IP Adresleri ile sizin adreslerinizi eşleştiremedikleri, yani size ait olan User ID'yi bulamadıkları anlamına geliyor. Bunlardan hangisinin geçerli olduğunu bilmeleri zor..
3- Morbeyin listesinin devamı vardır.
4-137 haricindeki diğer 8 IP Adresi ve 2015 yılındaki kullanımları da incelediklerini ben de duydum.. Muhtemelen bir süre sonra ek bir liste daha yayınlanır..

Adsız dedi ki...

10 Ağustos 2016 tarihinde 2.el telefon(markası samsung galaxy a8) alan birisinin eğer telefonun önceki kullanıcısı bylock kullanmış ise adlı işlem görme olasılığı var mıdır?

Adsız dedi ki...

Cevabiniz icin tesekkur ederim , dun bir gelisme oldu ve cgnat kayitlarim geldi, 5 satir 4 gun gozukiyor
1. Tespit misafirlikte bulundugum tarih baska il
2 tespit yasadigim ilin baska ilcesi
3 -4 tespit calistigim is yeri civari
5. Tespit il merkezi

Sizin basinizi agritiyorum, yukarda dedigim gibi bu programi indirip indirmedigimi teyit edemedim, ancak gelen nat kayitlariyla indirip silsem boyle bir nat kaydi gelmez diye dusunuyorum dogrumu sizce:(
Birde bu programi indirmek nat kaydi olustururmu, cevaplariniz icin tesekkur ederim

Sultan-ı Yegah dedi ki...

@Adsız 14 Mart 2018 01:40
Galaxy A8'in Türkiye'de piyasaya sürüldüğü (2015 sonları) tarihte Bylock artık tedavülden kalkmak üzereydi. O yüzden telefonda Bylock kullanılmış olma ihtimali çok düşük.

Kaldı ki, kullanılmış bile olsa, kullananın hattı üzerinden gözükeceği için, sizinle alakası olmaz. Korkmanızı gerektirecek bir durum yok.

Sultan-ı Yegah dedi ki...

@Adsız 15 Mart 2018 11:27

5 satırla Bylock kullanımı olmaz. Bir seferlik bağlanıp da Bylock üzerinden mesaj alıp göndermeniz için en az 10-20 satır CGNAT kaydı çıkar, çıkması gerekir. Çünkü program her 36-37 saniyede bir sunucu ile bağlantı kuruyor...

Bu husus ile beraber, o an bulunmadığınız yerlerden sinyal gelmesinin, çok büyük ihtimalle operatörün IP çakışmasından kaynaklandığını belirten ve bu hususun detaylı olarak incelenmesini talep eden bir dilekçe yazın.

Ayrıca muhtemelen Bylock tespit tutanağı ve dolayısıyla User ID ve mesaj içeriği de yoktur hakkınızda. Bunları da belirtin dilekçenizde.

Google Play'den Bylock indirip kurmak, NAT kaydı oluşturmaz. Çünkü uygulamalar Google'ın sitesinden indiriliyor, Bylock sunucusundan değil.

Adsız dedi ki...

Tesekkur ederim cok saolun, tespit edilen yerlerde bulunuyordum , sadece ilcede bulunan tespitte o ilcede degildim diye hatirliyorum,diger tespit yerleri dogru, kullanici adim, mesaj icerigim vs . Tespitte yok , bu konu hakkinda yazi da geldi , indirip indirmediumi tespit edememistim , soyleminiz benim icin cok onemliydi, indirmeyle yada indirilen uygulamaya tiklamayla nat kaydi olusmaz olarak anladim tesekkur ederim, kible pusulasinda supheleniyorum kesinlik kazandi bu sekilde, ALLAH razi olsun

Sultan-ı Yegah dedi ki...

@Adsız 19 Mart 2018 12:56

Kıble Pusulası olmak zorunda değil..

Bakın bu Bylock işinde herkesin atladığı bir detay var. O da TCP/IP'de veri paketlerinin arada yanlış adreslere gidebildiği...

Saniyede 1 milyon kargo gönderen yüzlerce farklı firma olduğunu düşünün.. Bunların bir kısmının bazı paketleri yanlış adrese götürmesi kaçınılmaz. Ama kapıyı çaldıklarında yanlış adres olduğunu anlarlar ve paketi geri iade ederler.

İşte bunun aynısı Network'te olur. Routing hataları yüzünden devamlı yanlış gelen TCP/IP paketleri olur ve bunlar "drop" edilir. Bu hataların sıklığı, modemine göre değişir. %0.01 gibi ihtimallerle olur, ama milyon tane paket olduğunda, 100 tanesi yanlış gider..

Fakat böyle yanlış bir paket, CGNAT'ta log kaydı bırakabilir.. O yüzden 1-2 bağlantı varsa, böyle birşey olabilir.

Bir diğeri de, operatörlerin log tutma tarzından kaynaklanan hatalar. Misal Avea, Deterministic NAT diye bir sistemle log tutuyor. Bunda da hatalar oluyor. Bazen bağlantılar, farklı kişilere yazılabiliyor.

Dolayısı ile 5 satır CGNAT kaydı varsa, buna Bylock kullandı demek saçmalıktır. 5 satırla doğru düzgün bağlantı kurulup mesaj vs. atılamaz.

Bunun haricinde internet paylaşımı, saat dilimi/saniye farkları, sim kartı 2dk'lığına Bylockçu birinin telefonuna takmak vb. 10 çeşit ihtimal var.

Kıble Pusulası olsa, toplamda 5 bağlantı olarak kalmazdı..

10 kere gibi kısa süreli bir Bylock kullanımı olsa, en az 200-300 satır, uzun süreli kullanım olsa en az 2000-3000 satır CGNAT kaydı olması gerekir.

Bu yazdıklarımı aynen dilekçe gibi yazıp mahkemeye sunun. Olmadı bir bilirkişiden (ör. Koray Peksayar) kısa bir rapor isteyip onu da mahkemeye sunabilirsiniz.

Adsız dedi ki...

Anladim, yani ben bunu indirmis olsam uygulamaya tiklasam acsam , giris yapmadan hemen sonra silsem de mi boyle bir nat olusmaz, bu arada dilekcemi hazirladim son rutuslari yapip gondercegim, ALLAH razi olsn

Sultan-ı Yegah dedi ki...

@Adsız 20 Mart 2018 21:40

İndirip kursanız, uygulamaya tıklayıp açarsanız, giriş yapmasanız dahi CGNAT kaydı oluşur. Ama birkaç satırdan fazla olmaz.

Fakat böyle bir durumda (yani giriş yapmadan) sunucuda (yani Bylock Tespit Tutanağında) kayıt oluşmaz.

O yüzden bazı kişilerde CGNAT kaydı var ama User ID veya içerik yok.. Bunların bir kısmı kullanmış ama User ID tespit edilememiş olanlar. Bir kısmı da hiç kullanmamış olanlar..

Adsız dedi ki...

Öncelikle verdiğiniz faydalı bilgiler ve titizlikle yaptığınız analizler için herkes adına teşekkür ederim.Sormak istediğim hususa gelince:
Yazınızda, 2. El cihaz alan kişilerin tespitler IP üzerinden yapıldığı için fazla risk altında olmadığını söylemişsiniz.Peki cihazın ilk sahibi fetö nün kullandığı diğer uygulamalar olan eagle,kakao,talk,şifreli tango gibi uygulamalar kullanılmış ise cihazı sonradan kullanan kişinin bu uygulamalar yüzünden başı derde girer mi? Bu konuda da yapmış olduğunuz araştırmalarınız varsa cevaplayabilir misiniz? Teşekkürler.

Sultan-ı Yegah dedi ki...

Yorum yazıp silen arkadaşın sorusu:

"Ben bi sey sormak istiyorum? Ikinci el telefonda bylock kurulu ise bylock her giris cikista sifre ister mi? Bi de bu 3 kez kullanma durumu sifre ile girmek mi? Bir yerde okudum actin 1 IP diyor, girdin 1 IP diyor. Yani programi acinca da mi IP dusuyor yoksa sifre girince mi?"

Cevap:
Ondan tam emin değilim. Yani whatsapp gibiyse, şifre istemiyordur. Ama güvenli olsun diye her girişte şifre soruyor da olabilir.

Sunucu açısından 3 kez kullanma, 3 kere login olma. Yani mail adresinize üç kere girmek gibi. Tespit Tutanağında gelen 3 kullanım, bu demek.

Fakat bunun CGNAT / HTS kayıtlarındaki karşılığı, 300 bağlantı olabilir. Çünkü telefon Bylock'a bağlı kaldığı müddetçe, operatörün kayıt alma sürelerine göre (örneğin 37 saniyede 1 satır) kayıt alıyor. 10 dakikada 20 satır kayıt çıkıyor. O yüzden 20-30 kere kullanmış birisinin CGNAT logları binlerce satır olabiliyor.

Sultan-ı Yegah dedi ki...

@Adsız 21 Mart 2018 23:39

Kakao talk ve tango çok yaygın uygulamalar. Onlardan FETÖ suçlaması yapsalar zaten memleket yangın yerine döner.
Eagle'ı sadece kendileri kullanmışlar ama. O da ne kadar yaygın kullanılmış meçhul. Çünkü şimdiye kadar ortaya çıkmış en ufak bir bilgi yok. Ya çok dar bir çevrede kullanıldı, ya da çok iyi muhafaza ettiler, bilemiyorum.

Ama işin özeti, bu uygulamalara dair IP kayıtlarının incelendiğini, bunlara dair liste çıkarıldığını, bu uygulamalar yüzünden başı derde gireni vs hiç duymadım...

Gene de, şöyle bir problem olabilir..
FETÖ suçlaması ile karşı karşıya kalabilecek birisinin, ikinci el telefon alması çok mantıklı olmaz. Çünkü.. Telefonu incelemeye gönderirler "içinde kalıntı bulduk" derler, başına bela olur.. Gerçi o telefonun sonradan alındığını operatörden çok rahat ispatlarsınız.. Ama ispatlayana kadar da akla karayı seçersiniz.

Ama öteki türlü, hangi telefonda Kakao/Tango/Eagle kullanılmış bildiklerini zannetmiyorum. Bilseler de dediğim gibi, IP üzerinden bakarlar, telefon üzerinden değil.

Tek risk, telefon incelemesi yapılırsa, telefonda önceden kayıtlı birşey varsa başınıza iş açılacağıdır.

Öyle bir durumda da, telefonun hafızasını ağzına kadar doldurup (video vs. kopyalayıp), sonra Security (güvenlik) kısmından Encrypt edip (dosyaları şifreleyip), sonra da fabrika ayarlarına döndürürseniz ve bu işlemi 2-3 kere yaparsanız, öncesinden eser de kalmaz. Sonrasında telefonu rahatlıkla kullanabilirsiniz.

Adsız dedi ki...

Peki olusan nat kaydi o an indirilen adresle sınırli kalmaz mi,sonucta indirilip silinmis bir uygulama oldugunu farz edelim, indirilmis olsa o anda bulundugu adres cikar degil mi, benimki cok farkli adresler mesela. Hakkinizi helal edin ogrenmek icin cok soru sordum ozur dilerim:(

Sultan-ı Yegah dedi ki...

@Adsız 23 Mart 2018 01:02
A şahsı, 1 sene önce X programını indirip kullandıysa, onun adına kayıtlı telefon hattı, interneti vs. üzerinden CGNAT kaydı oluşur.

Siz bu telefonu alır kullanırsanız, program yüklü ise, program bağlantı kurarsa, sizin adınıza da CGNAT kaydı oluşabilir.

Siz bu telefonu alır, kullanmadan fabrika ayarlarına döndürür ve öyle kullanmaya başlarsanız, o zaman CGNAT kaydı oluşmaz, ama telefonda programın kalıntıları kalmış olabilir. Böyle bir durumda, normalde problem olmaz. Ama bir gün başka bir hususta sizi şüpheli sayar da gelir telefonunuzu incelerlerse, o kalıntılar başınıza iş açabilir.

O yüzden, 2. el telefon aldıysanız/alıyorsanız, yukarıda tarif ettiğim şekilde 3-4 kere içini doldurup, şifreleyip, fabrika ayarlarına döndürün ki kafanız rahat olsun.

Adsız dedi ki...

hocam çok faydalı bilgiler paylaşmışsınız. teşekkürler..

Adsız dedi ki...

Hocam,Telefonumdan bylock indirildi denilen gün içerisinde Bylock a ait Ip numarası BTK nın verdiği kayıtlarda görünmemektedir.Bu telefonumdan by lock indirilmediğinin ispatımıdır ? Teşekkürler.

Sultan-ı Yegah dedi ki...

@Adsız 30 Nisan 2018 13:30
"Bylock indirildi" diye bir gün söylediklerini görmedim. "Bylock kullanılan günler" var normalde. Ama kullandınız denilen günler için BTK'nın kayıtlarında Bylock bağlantısı gözükmüyorsa, bu bir tutarsızlık olabileceği gibi, VPN üzerinden Bylock'a bağlandığınız anlamına da gelebilir. Aynı gün içerisindeki diğer sunuculara ait bağlantı kayıtlarınızı, size isnad ettikleri Bylock ID'sine ait Bylock sunucusundaki bağlantı kayıtları ile karşılaştırmaları halinde net bir yorum yapabilirler. Öteki türlü tutarsızlıktır, lehinize olur.

Adsız dedi ki...

BTK tarafından gönderilen CGNAT ve HTS kayıtları karşılaştırılırken normal şartlar altında CGNAT kayıtlarındaki zaman bilgisinin birebir HTS (GPRS) kayıtları içerisinde yer alması gerekmez mi? Sonuçta CGNAT kayıtlarında hat sahibi şu saat-dakika-saniyede Bylock serverlerine erişim sağlamıştır deniliyor. Bu da internet üzerinden olacağına göre bu kayıtta yer alan zamanın HTS (GPRS) kayıtları içerisinde yer almaması nasıl açıklanabilir? Teşekkürler.

Sultan-ı Yegah dedi ki...

@Adsız 20 Mayıs 2018 14:26

Bu bir tutarsızlıktır ve böyle bir tutarsızlık normalde hatadan kaynaklanır. Verilerde bir hata varsa, bu da şüphelinin lehine değerlendirilir..

Fakat şöyle bir durum da olabilir: GPRS (internet) bağlantıları, yani internetin bağlı kaldığı süre, süre sonunda kaydediliyordur. Yani siz 15:00 ile 17:00 arasında bağlı kaldıysanız, bu bağlantının logu 17:00'da yazılabilir. Bu tarz bir fark yoksa, dediğim gibi veri tutarsızlığı vardır. Yüzde yüz herşey yanlış demek değildir, ama hatalı olma ihtimalinden ötürü lehinize değerlendirilmesi gerekir... Çünkü "Şüpheden sanık yararlanır" kaidesi evrensel hukuk kurallarındandır.

Adsız dedi ki...

Bursada ikamet etmekteyken işim gereği 1 aylığına Ankaraya gitmek durumunda kaldım. HTS kayıtları içerisinde GSM (Görüşmeler) bölümünde Ankaraya gittiğim tarihte baz istasyonu da Ankara olarak görünüyor. Ancak GPRS bölümünde Ankaraya gittiğim tarihten sonraki 1 hafta daha Bursadan sinyal almış görünüyorum. O 1 haftalık süre boyunca GSM görüşmelerindeki baz istasyonu Ankara, GPRS teki baz istasyonu Bursa. 1 hafta geçtikten sonra GPRS kayıtları da Ankara olarak görünmeye başlıyor. Bu durum normal bir şey mi? Neden kaynaklanmış olabilir? GPRS logları daha mı geç işleniyor?

Not: Hattım Avea.

Teşekkür ederim.

Adsız dedi ki...

Sayin sultan selim h. aksamlar venim sorum soyle: hakkimda tespi edilen cgnat kaydinin incelenmesi icin bilirkisi talep edilebilir mi , savciliktan ne gibi bir istekte bulunabilirim yardimci olabilirmisinz, bilirkisinin cgnat uzerinde neler yapmasi ve nasil bir inceleme yapmasi gerektigini isteyebilirmiyim, yada nasil istekte bulunabilirim simdiden tesekkurler

Sultan-ı Yegah dedi ki...

@Adsız 21 Mayıs 2018 11:43
GPRS logları işlenmemiş olabilir.. GPRS bağlantısının kesildiği bilgisi Bursa'daki modemde işlenmemiş olabilir.. Ya da ilk bağlantıyı Bursa'da kurdunuz diye Avea routing tablolarını o şekilde ayarlamış ve 1 hafta boyunca sizi Bursa üzerinden internete bağlamış olabilir..

Bunlar ihtimaller tabi. Logların nasıl tutulduğunu vs. bilemiyorum.

Fakat her halükarda tutarsızlık var demektir. İtirazınızda dile getirin. Belki de size Bursa'da tahsis edilen IP'yi sonra başkasına verdiler ama hala sizin hattınız göründü. Adam da o IP adresi üzerinden Bylock'a bağlantı kurdu ve suç size kaldı.. Kimbilir..

Sultan-ı Yegah dedi ki...

@Adsız 21 Mayıs 2018 23:26
Siz kendiniz inceleyin.. Durum müsait ise, Bilirkişi talep edin. Ya da twitter'dan Koray Peksayar'a yazın. Belli bir ücret karşılığında size CGNAT raporu yazabilir..

CGNAT raporunda az satır varsa (300-500 veya daha altı) ve sadece birkaç gün bağlantı gözüküyorsa, bağlantılar kısa süreli ise, aralarında yaklaşık 36sn gibi bir süre değil de, çok kısa veya çok uzun süreler varsa, lehinize bir rapor çıkabilir...

Ayrıca Tespit ve Değerlendirme Tutanağındaki bağlantı saatleri ile CGNAT üzerindeki bağlantı saatlerini de karşılaştırarak, tutarsızlık varsa onu da belirtebilirsiniz...

Adsız dedi ki...

Merhaba yaklaşık 2,5 sene önce gözaltına alındım .dijitallerim 6 ay önce tarafıma teslim edildi. Şimdi iddianamem hazır. Dijital materyal inceleme raporunda telefonumda Bylock kalıntısı tespit edilmis. Benim telefonu alış tarihim 9.8.2016 dır. Bu tarihte aldığım bir telefona nasıl Bylock yüklemiş olabilirim?

Sultan-ı Yegah dedi ki...

@Adsız 17 Aralık 2018 12:38

Telefonu söylediğiniz tarihte aldıysanız, siz yüklememişsinizdir, sizden önce yüklenmiştir..

Telefon 2. el mi, sıfır mı? 2. el ise, mahkemede kimden/nasıl aldığınızı söyleyin. Hatırlamasanız da önemli değil.. "Ben falan tarihte, kızılayda bir telefoncudan/Letgo'da tanımadığım birinden aldım" deseniz de olur..

Sonuçta BTK'dan sizin hattınıza dair IMEI Bilgilerini isterler.. O telefonu 2016 Şubat öncesinde kullanmadığınız ortaya çıkarsa, o Bylock da sizi bağlamaz..

Yok eğer sıfır aldıysanız, o zaman iş garip.. O zaman size telefonu satan, belki garantiden dönmüş telefonu tamir ettirdi de sattı.. Bilemezsiniz. İnceleme talep edin..

Adsız dedi ki...

Telefonu bir mağazadan sıfır aldim. Ayrıca söyle bir durum var . Benim üzerime kayıtlı adsl bağlantısından başka birisinin kendi telefonuna Bylock indirip kullandığı tespit edildi. Kalintinin bununla alakası olabilir mi ?

Sultan-ı Yegah dedi ki...

@Adsız 25 Aralık 2018 11:36

Bununla alakası olmaz.. Kalıntı telefona özel birşey. Telefona fiziki erişimi olmadan üzerine yüklenemez..

Sizin telefonda mı çıktı? Yoksa hattınızda (CGNAT kayıtlarında) mı çıktı? Karıştırmış olmayasınız?

CGNAT ise, onun farklı gerekçeleri olabilir. Telefon ise, dediğim gibi, belki garantiden dönmüş telefondur..

Adsız dedi ki...

Yaklaşık 11 senedir kullandığım hatta herhangi bir Bylock kaydı cikmadi. Ama bir haftalık telefonda Bylock kalıntısı çıktı. 11 senedir sadece bu hattı kullanıyorum ve Bylock kalıntısı çıkan telefonu da bu hatla kullandım . Bylock raporlarinda sadece adsl üzerinde kayıt çıkıyor.(adsl üzerinden Bylock indiren kişi de zaten soruşturma geçirdi bundan dolayı) Üzerime olan hat, imei Vs de Bylock çıkmamış . Benim mail adresimi kullanarak başka birisi başka telefona Bylock indirmiş olsa benim telefonda kalıntı çıkabilir mi ? Adli olarak bunun bir anlamı var mıdır ?

Sultan-ı Yegah dedi ki...

@Adsız 26 Aralık 2018 18:19

Telefonda çıkan kalıntı Bylock olmayabilir...
Bazı gerizekalılar "bilirkişiyim" diye ortada dolandığı için, telefonda "Bylock" arayıp, sonra da Android'in kernel kodunda sıkça geçen "Standby Lock" kelimelerine 50 tane hit geldiği zaman "aha telefonda Bylock çıktı" diyebiliyor..

Ya da siz Google Play Store'da gezinirken, telefon denk geldiği uygulamaların başlık bilgilerini cache'e almıştır, aralarında Bylock uygulaması da vardır, adam tutar "Bylock uygulama kalıntısı buldum" der..

Yarım hoca dolu memleket.. Kim tespit etmiş, nasıl tespit etmiş.. Bylock kalıntısının bulunduğu dosyayı, o dosyanın hafıza kartındaki yerini, tarihini vs. detaylı incelemeleri lazım..

Diyelim ki gerçekten Bylock kalıntısı buldular.. O zaman 1 haftalık telefon, 1 haftalık telefon değildir.. Önceden kullanılmış olabilir.

Hadi telefon sıfır diyelim, o zaman birisi size belli etmeden kurmuştur..

Başka da bir izahı yok bunun.

ADSL üzerinden kayıt çıkması ile telefonda Bylock bulunması farklı şeyler..
İlki, sizin ADSL hattınız üzerinden birisi Bylock sunucusuna bağlanmış demek. Bu da evinize gelen biri de olabilir, bir komşu vs. de.

Birisi mail adresinizi kullanarak başka telefona Bylock indirirse, sizin telefonda kalıntı çıkabilir.. Şöyle ki: Mail adresinizin bağlı olduğu Google Hesabında, uygulama geçmişiniz bulunur. Orada Bylock uygulamasının başlık bilgileri de olabilir "net.client.by.lock" diye.. Bunu da Bylock kalıntısı diye yazabilirler..

Bu şekilde, o mail hesabını sizden başka biri kullanıp telefonuna bylock yüklediyse, sizin telefona da izi gelebilir..

Adsız dedi ki...

merhabalar, 20 gün sonra duruşmamız olacak, sorumu cevaplarsanız çok memnun olurum.

2015 mart'a kadar tuşlu bir telefon kullanmıştım. samsung i750 model https://www.gsmarena.com/samsung_i750-1125.php

telefon kendi adıma satın alınmış, faturalı telefondu. borçlarım biter bitmez de ilk akıllı telefonumu aldım 2015 mart ayında samsung s5

BTK ya göre eski tuşlu telefonumla bylock serverına 42 kez bağlanmışım iddiası var. 2014 ağustos 2014 aralık arasında. 2 farklı seferde toplam 42 sinyal var yani. bu telefonuma bylock yüklemedim zaten yükleyemem imkanı yok. emniyetten de user id vs. içerik verisi olmadığı bilgisi geldi

gözaltına alınınca evdeki hem eski hem de yeni telefonuma el konuldu. iki telefonda incelendi eski telefonumu 2015 mart ta en son kullandığım teyit edildi, ancak yeni samsung library içinde by.lock adında bir kalıntı tespit edilmiş. el konulan telefonumda çok ilginçlikler var gözaltındayken telefon açılmış, hash filan alınması gerekiyormuş alınmamış, bunlar çok karışık şeyler avukatım söyledi ancak ben teknik olarak ne yapacağımı bilemiyorum. neden böyle bir şey başıma gelmiştir? hakimlere ne söylemeliyim?

Sultan-ı Yegah dedi ki...

@Adsız 2 Ocak 2019 12:54

i750'de bylock olamaz zaten. BTK/TİB hangi tarihte hangi IMEI numaralı telefonu kullandığınızı da kaydetmiştir. 2 farklı seferde toplam 42 sinyal varsa, o sinyallerin olduğu tarihlerde hangi baz istasyonundan hangi IMEI numaralı telefonla bağlandığınızın bilgilerini isteyip karşılaştırın.
(Duruşmada talep edin, Mahkeme BTK'ya müzekkere yazıp Detaylı HTS bilgisi istesin. O gelen bilgileri karşılaştırırsınız.)

by.lock mu tespit etmişler, net.client.bylock mu tespit etmişler?
by.lock - Standby.lock gibi standart kod parçaları olabiliyor..

Hangi dosyada tespit etmişler? Hangi tarihten kalmaymış?

Bilirkişi raporuna da itiraz edin..

sadece telefon incelemeden bylock var diye ceza veremezler, çünkü telefon incelemeleri adam gibi yapmıyorlar (başta zaten hash alıp size vermedikleri gibi, inceleme yaparken de veri bütünlüğünü korumuyorlar)..

Adsız dedi ki...

i750 telefonumu kullandığını gösteriyor BTK'nın CGNAT kayıtları. Adresler yaşadığım şehri gösteriyor ancak toplam 2 farklı bağlantı yeri var tutarlılık kontrolüne yetecek kadar veri yok. (DİĞER hts kayıtları gelmedi)

tam olarak net.client.by.lock tespit etmişler. Tespit ettikleri dosya library.dll içinde ancak hangi tarihten kalma olduğunu söylemiyor. ancak şu var ki ben telefonumu 2015 mart ayında sıfır olarak aldım, telefonun üretim tarihi de 2015 mart bu kutusunda da yazıyor. bunu faturasıyla ispatlıyorum. yani dosyanın tarihi bylock kullandığım iddia edilen 2014 ağustos ile 2014 aralık arasında bir tarih olamaz.

Sultan-ı Yegah dedi ki...

@Adsız 3 Ocak 2019 15:23

library.db (dll değil, db) dosyası, gmail accountunda kayıtlı (sonradan silinmiş de olsalar) uygulamaları gösterir.

Dolayısıyla orada bylock aslında telefonda değil, google hesabında çıkmış..

Bylock o telefonda değil, o mail hesabında (ve muhtemelen o hesabın takılı olduğu başka bir cihazda) kullanılmış..

Şöyle de olabilir.. Biri size çaktırmadan telefonunuza o programı kurup silmiş de olsa, o google hesabında bylock uygulamasının kurulduğu bilgisi o dosyaya girer.. Neyse..

Sonuçta hatalı olabilir.. Siz mahkemede aynen bunları söyleyin. Telefon 2015 Mart üretimi, CGNAT 2014 vs vs.

Ayrıca 2014 Ağustos-Aralık arasında i750 üzerinden CGNAT çıkıyorsa, bunu mahkemede ısrarla belirtin. Zaten Tespit Tutanağı vs. içerik yoksa, beraat edersiniz muhtemelen..

42 Satır CGNAT, hele de akılsız telefonda, her türlü hatanın veya morbeyin tarzı bir yönlendirmenin sonucu olabilir.

Unknown dedi ki...

asus zenfone 5 marka telefonumda by lock ve eagle kalıntısı var ekran alıntıları diye resim ler konmuş export açıdan incelenebilir raporu verildi. export raporu temiz çıktı. 2000 yılından buyana benim ve ailemin kullandığı tüm tel.nu.nın sorgusunda by lock kullanmadığım tespit edildi.telefonu 2014 yılında sıfır teknosa şirinyer/izmir bayisinden aldım.g mail hesabımda bu programlar ın yüklü olmadığı görünüyor.bu nasıl olur eagle kalıtısı olarak gösterilen kalıntıların kaynağı raporda root/data/asus.launcher/databases/recomendationprovider db.jou uzunluğu da 0xC olarak gösterilmiş.ayrıca recommendedappicons olanlarında simge resmi icon olduğu belirtilmiştir.bu kalıtı olduğunu gösterirmi?ayrıca export raporunun temiz çıkması ne demek? ayrıca ankara siber suçlara gönderildi cevap bekleniyor mahkemem devam ediyor 11 ay tutuklu kaldım.koray peksayarın bayan y ile ilgili raporundaki hususları söyleyince tutuksuz yargılanmak üzere serbest bırakıldım.

Sultan-ı Yegah dedi ki...

@Unknown 8 Ocak 2019 17:21

Muhtemelen "önerilen uygulamalar" arasında Bylock ve/veya Eagle da varmış..

Kullandığınız uygulamalara göre Google Play Store size benzer uygulamalar öneriyor ya..

Kötü bir şaka gibi.. Türk Hukuk Sistemi..

Unknown dedi ki...

yapılan aramada el konulan asıl bulgu dijital materyallerinden(asus zenfone 5) alıntılanan savcılık kopyalarının export dosyalarının yer aldığı bellek içerisinde komisyonca yapılan incelemede suç ve suç unsuru olarak değerlendirilecek veriye rastlanılmamıştır? demek ne anlama geliyor?

Sultan-ı Yegah dedi ki...

@Unknown 9 Ocak 2019 14:57
Komisyon dijital içeriklerde suç unsuru (Bylock kalıntısı) bulamamış demek..

Kısaca, "Asus Zenfone 5 telefonda Bylock yokmuş" diyebiliriz.

Unknown dedi ki...

Asus zenfone 5 marka telefonuma ait imajı alarak bir adli bilişim uzmanına incelettim.Bu uzman daha önce mor beyini ortaya çıkaran ekipte çalışmış birisi.onun yapmış olduğu inceleme sonucu emniyet siber suçlardaki memurların ne kadar bu işi bilmediği ortaya çıktı rapor özetini benim durumumda olan arkadaşların faydalanması için buraya yazıyorum.

Rapor kapsamında incelenen dijital delil, belge ve dokümanlar sadece ByLock ve Eagle uygulamalarının veya kalıntılarının tespitine yöneliktir ve mütalaa bu kapsamda tanzim edilmiştir.Yapılan incelemede, dava dosyasına sunulan Bilirkişi Raporları’ndaki tespitlere paralel olarak ByLock ve Eagle uygulamalarına ait kalıntılar bulunduğu, bulguların davaya sunulan Bilirkişi Raporu’nun doğru ve tutarlı olarak yazıldığının anlaşılmasına rağmen ByLock ve Eagle uygulamalarına ait bulunan kalıntıların kaynağının araştırılmadığı, Dava konusu cep telefonuna, ilk kullanılmaya başladığı zaman itibarı ile ByLock ve Eagle
uygulamalarının indirilmediği, kurulmadığı ve kullanılmadığı,incelemede tespit edilen ByLock ve Eagle uygulamalarına ait kalıntıların, telefonla birlikte kurulu gelen ve üretici firma tarafından geliştirilmiş, ZenUI Başlatıcı–Hızlı, Akıllı ve Dosya Yöneticisi adlarındaki iki farklı uygulamaya ait RecommendationProvider.db isimli veri tabanı
dosyasında tespit edildiği, ZenUI Başlatıcı–Hızlı, Akıllı uygulamasının, telefonun arayüzünü değiştirerek daha kullanışlı hale getiren, uygulamaları türlerine göre listeleyebilen, Türkçe dil desteği bulunan ve yeni uygulamalar keşfetmeyi kolaylaştıran ücretsiz bir başlatıcı (İng. launcher) ve optimizasyon uygulaması olduğu, uygulama içinde kategoriler halinde reklam olarak 1271 adet farklı program önerdiği, ByLock ve Eagle uygulamalarının da reklam olarak önerilen bu uygulamalardan biri olduğu, Sanığın telefonunda ZenUI Başlatıcı–Hızlı, Akıllı ve Dosya Yöneticisi uygulamaları tarafından reklam amaçlı ByLock ve Eagle uygulamalarının adı, (net.client.by.lock ve al.bts.eagle) isimli Java sınıfları, indirilme linkleri ve ByLock ve Eagle logolarının bağlantıları gibi bilgilerin İnternetten otomatik olarak ve Sanık iradesi dışında indirilip RecommendationProvider.db isimli veritabanı dosyasına diğer 1271 farklı uygulama ile birlikte kaydedildiği,ZenUI Başlatıcı–Hızlı, Akıllı ve Dosya Yöneticisi uygulamaları tarafından otomatik olarak yapılan bu işlemin, aynı marka ve model bir telefona suç isnat tarihindeki güncel sürümü bir test telefonuna kurularak tekrarlandığı ve aynı sonuçlara ulaşıldığı, uygulamalar tarafından test olarak kullanılan telefonda bulunan aynı isimli dosyaya, kullanıcının iradesi dışında 288 farklı uygulama bilgisi indirildiğinin kanıtlandığı, ByLock ve Eagle uygulamalarının Sanık cep telefonu ekranında adı ve logosu ile görüntülenmesine rağmen Sanık’ın bu bağlantıyı çalıştırıp ByLock ve Eagle indirmek için ziyaret edilmesi gereken İnternet sayfasına ulaştığına dair herhangi bir bulguya rastlanmadığı, Sonuç olarak Sanık’ın Eagle ve ByLock uygulamalarını indirmediği, çalıştırmadığı ve kullanmadığı, telefonunda bulunan ByLock ve Eagle kalıntılarının, Sanık iradesi dışında telefonla birlikte kurulu gelen ZenUI Başlatıcı–Hızlı, Akıllı ve Dosya Yöneticisi adlı farklı iki uygulama üzerinden reklam amaçlı olarak kayıt edildiği,şeklindedir.

Unknown dedi ki...

Merhaba,

Bylock Baz istasyonu ile HTS baz istasyonu arasında %82 oranında uyumsuzluk var. Geri kalan %18 ise hts sinyalinin olmadığı Bylocka gece girildiği iddia olunan zamanlara ait. Mahkemeye bylock kullandığım döneme ilişkin o zamanlarda çalıştığım kurumun elektrinik kartla giriş-çıkış yaptığım dökümlerini verdim. Bu kayıtlar HTS kayıtları ile uyumlu ama Bylock baz istasyonu kayıtları ile uyumsuz. Mahkeme bunu BTK 'dan sordu. BTK; "HIS-cgnat kayıtlarında görünen baz istasyonu bilgisi internet bağlantısı kurulduğu andaki baz istasyonudur. Oturum açık kaldığı veya kayıt güncelleme prosedürlerinin yapılmadığı sürece baz istasyonu bilgisi değişmemektedir" cevabını verdi.Bu olanaklı mıdır. Böylesi bir saçmalık olabilir mi? HTS kaydım gebze de ama ben İstanbul beşiktaş'tan bağlanmışım görülüyor. Gebzeye kadar hareket halinde iken ilk bağlantı yeri olan beşikta'tan bağlanmaya devam mı edecek? Sinyal dönemlerim Ağustos 2014 - 30 Aralık 2014.
Şimdiden teşekkürler

Sultan-ı Yegah dedi ki...

@Unknown 1 Şubat 2019 17:30

Gece HTS sinyali mi yokmuş? Bylock'a nasıl girilmiş o zaman?

Bylock'ta baz istasyonu kayıtları yok ki.. IP kayıtları var.

İnternet bağlantısı kurunca, hangi baz istasyonundan bağlı iseniz, o istasyon HTS'de kaydedilir. Sonra yeni veri alış-verişi olmazsa, siz oradan ayrılsanız bile HTS'de o istasyon kalır. BTK'nın dediği gibi yani.

Arada yer değiştirdiğinizde HTS'nin de ona göre değişmesi lazım.. Teknik olarak.. "Kayıt güncelleme prosedürleri" yapılmamışsa/yapılmıyorsa bu da BTK'nın suçu.

"Bir ihtimal" olmaz burada. Biri hız yapıp Polis radarına yakalandığında "kamera güncellenmiyor, o yüzden sizin görüntü yok" diyerek ceza yazamazsınız.. Çünkü bilemezsiniz. Çünkü ispatlayamazsınız.

Kayıt yoksa, delil de yoktur. "Ya biz kayıtları güncellemiyorduk aslında da.. prosedürler tam işlemiyordu hani.. o hala orada kalmaya devam etmiş OLABİLİR"le hüküm kurulmaz.

Avukatınıza söyleyin, mahkemeye talep dilekçesi versin.
Mahkeme müzekkere yazıp BTK'ya sorsun: "Hareket etmiş de olabilir mi?" diye. Bakın "Evet, hareket etmiş de olabilir" cevabını verecek mi vermeyecek mi..

O zaman kaydın güvenilirliğinden söz edemezsiniz. Ona dayanarak kesin hüküm de kuramazsınız.

Unknown dedi ki...

1 Şubat 2019 17:30 da attığım mesajıma ilave soru sormak istiyorum size;

* Ben yanlış ifade ettim sanırım. Siz demişsiniz ya Bylocta baz istasyonu bilgileri olmaz diye. Aksine bana gelen CGNAT (Bylock sinyal verileri) kayıtlarında BAZ istasyonu bilgileri var. IP bilgileri de var. İşte bu baz istasyonu bilgileri ile aynı zamana ait HTS kaydına ilişkin BAZ istasyonu bilgisi tutmuyor. Örneğin; sabah 10 'dan akşam saat 8'e kadar GPRS internet bağlantısının baz istasyonu(-ki Bylock sinyaline ilişkin Baz İstsyonu da aynı şekilde) zonguldak gözükmekte. HTS kaydı ise gün içerisinde farklı zamanlardaki aramalara bağlı olarak İstanbul-Adapazarı vs. olarak gözüküyor.Akşam saat 20:03 de zonguldak olan baz istasyonu saat 20:08 'de İstanbul Beşiktaş olarak gözüküyor. İşte bunu anlayamıyorum. Telefon gün içerisinde sürekli nasıl internete bağlı olabilir ve nasıl ilk alınan sinyal verisinin bağlı olduğu Baz istasyonuna bağlı olarak dolaşımda bulunulabilir?

* GPRS kayıtlarını nasıl okumalıyız? Örneğin saat 23:40:03 da xxxxx12 nolu IP'ye bağlanmışsın süre 1558 sn, yine 23:40:03 da xxxxx12 nolu IP'ye bağlanmışsın süre 1521 sn, 23:40:03 da xxxxx12 nolu IP'ye bağlanmışsın süre 1558 sn, 23:40:04 da xxxxx12 nolu IP'ye bağlanmışsın süre 1502 sn, 23:45:52 da xxxxx12 nolu IP'ye bağlanmışsın süre 1 sn, 00:03:56 da xxxxx12 nolu IP'ye bağlanmışsın süre 125 sn diyor. Şimdi burada ne kadar süre ile internete aralıksız bağlı kalmışız ve bu veriyi nasıl okumalıyız anlatabilir misiniz?

* Son olarak Mahkemeye vereceğimiz dilekçe ile BTK'dan neyi açıkça sormalıyız. Bunu da açık bir şekilde yazarsanız çok sevinirim.

Sultan-ı Yegah dedi ki...

@Unknown 5 Şubat 2019 18:59

CGNAT kayıtları Bylock sunucusundan alınma değil, operatörden (Turkcell vs) alınma. Onlarda Baz bilgisi olur. O bilgiler, HTS bilgileri ile birbirini tutmayabilir. Çünkü HTS çok sık güncellenmiyor. Zonguldak'ta bağlanıp da sonra İstanbul'a gittiyseniz, CGNAT arada değişebilir, HTS değişmeyebilir.

Bu bir tutarsızlık, ama operatörler masraftan kaçmak için kayıtları daha seyrek tutmayı tercih etmişler, durum bu.

GPRS'teki o bağlantılar ise sizin anladığınız gibi çalışmıyor..

Bir IP (ev gibi düşünün) üzerinde binlerce Port (kapı gibi düşünün) olur.

IP adresi, evin numarası. Port, kapısı.
Bağlantı kurarken, karşı tarafta belli portlara bağlantı kurarsınız. Sizin çıkışta da belli portlardan çıkarsınız.

Karşıdaki sunucuya (örneğin Bylock) aynı anda 4 tane bağlantı kurabilirsiniz. Bunların hepsi farklı portlardan olur (sizin port farklı olur, karşının 443'tür gene).
Hepsi farklı bağlantı gibi görünür. Bittiği süreye kadar da öyle devam edebilir.

Windows'ta Run menude cmd (command) yazıp command prompt isteyin. Orada
netstat -a
yazın... Karşınıza o an sizin bilgisayarın kurduğu bağlantılar ve portları gelir.

Aynı bunun gibi..

Bir de GPRS kayıtları adam gibi tutulmamış. Sizin bilgisayar bağlantıyı kapatmış, ama GPRS kayıtlarında o kayıt açık kalmış vs..

Mahkemeye neyi soracağınıza gelince..
Derdinizi tam ifade edemediğiniz için, aradaki tutarsızlığı da anlamış değilim. O yüzden "açıkça şunu sorun" diyemiyorum.

Öncelikle, Bylock Tespit Tutanağı var mı? Yoksa, sadece CGNAT üzerinden mi işlem yaptılar? Eğer öyleyse ve dosyada başkaca bir delil yoksa, bir süre sonra beraat edersiniz muhtemelen (en azından Yargıtay'dan döner).

Bu durumda, CGNAT ile HTS kayıtları ve GPRS kayıtları tutarsız olabilir. Buna sadece dikkat çekebilirsiniz:

"Hakkımda Bylock Tespit Tutanağı yoktur. Elde edilen bilgiler sadece CGNAT bağlantı bilgileridir ve HTS ve GPRS kayıtları ile tutarsızdır. Morbeyin raporunda bahsi geçen incelemenin sadece belli programlar ve belli IP'ler için yapıldığı ve bunun haricinde diğer IP'ler ve başka programlardan da yönlendirme olabileceği, onların da bilahare inceleneceği yazılıydı. Böyle bir programın kurbanı olduğumu düşünüyorum. Zaten mevcut tutarsızlıklar da bunu gösteriyor. Beraatimi talep ediyorum."

vsvs..

Ama yok tespit tutanağı varsa ve CGNAT ile GPRS tutarsız ise, çok dinlemezler.. GPRS kayıtları çok rezil çünkü.. Ama gene de itiraz edersiniz.

Adsız dedi ki...

Telefon dijital incelemesi sonucunda telefonumun library.db sinde client.by.lock kalıntısı tespit edilmiş. Ancak bu programı ne kurdum ne de kullandım. Biraz araştırma yapınca Google Play'de benim hesabım açık olan herkeste bu kalıntıların görülebileceğini anladım. Öncelikle bu bilgi yani kalıntılar bylock indirildiğinin bir kanıtı mıdır? Ne anlama gelir? Kullanıldığı anlamına kesinlikle gelir mi? Evdeki herkes benim Gmail hesabımı kullandığından onların da telefonlarında tespiti mümkün müdür? Ayrıca mail hesabım hacklenip program indirilmesi ve böylece benim library.db de görülmesi olanak dahilinde midir? İndirildiği telefonun IMEI si ile ne zaman ve nerede indirildiğinin tespiti mümkün müdür? Telefon ya da kullanıcı nasil tespit edilir?

Sultan-ı Yegah dedi ki...

@Adsız 17 Şubat 2019 22:53

Android telefon ya da tablete uygulama indirilebilmesi için Google hesabı gerekmekte. Bu hesaba kurulmuş uygulamalar muhtemelen library.db'de kaydediliyordur.

Bu hesabın kullanıldığı tüm cihaz ve telefonları bütün gibi düşünün.. Sonuçta library.db açısından asıl olan HESAP, telefon değil..

Dolayısı ile sizin Google hesabınızı kullanan herhangi bir cihazda Bylock kurulduysa, sizin telefonunuzda Bylock kurulu olmasa bile, library.db'de Bylock kalıntısı çıkar.

Bu sizin eski telefonunuz da olabilir, hesabınızı eşiniz/çocuğunuz/anneniz gibi birinin telefonuna girdiyseniz, onlar program kurduysa, onların kurduğu Bylock da olabilir.

Mail hesabınız hacklenir de bu hesapla bir telefon üzerinde Bylock kurulursa, bu durumda da sizin telefonda library.db üzerinde Bylock kalıntısı çıkacaktır.

İndiren telefonun IMEI'sini tespit etmek normalde mümkün değil..

Yapabileceğiniz şudur: Bylock Tespit Tutanağı ve CGNAT kayıtlarında Bylock'a bağlandığınıza dair bir bilgi yoksa, "... telefonda çıkabilecek Bylock kalıntısının herhangi bir gerekçeyle olabileceğini, eğer Bylock kullanmış olsaydınız Bylock sunucusundan alınan verilere göre düzenlenen Tespit Tutanaklarında adınıza dair kayıt olması gerekeceğini ve operatörden gelen CGNAT kayıtlarında Bylock sunucusuna bağlantı kurduğunuza dair yüzlerce satırlık kayıtlar gelmesi gerekeceğini, bunlar olmadığı için de telefondaki Bylock kalıntısının herhangi bir sebepten olabileceğini ve buna dayanarak hüküm kurulamayacağını" mahkemeye bir dilekçe ile anlatın.

Gerekirse benim bu yazımı çıktı alıp götürün. Bilirkişiden bu konuda ek rapor alınmasını isteyin..

Adsız dedi ki...

Merhaba, BTK ve emniyet tarafından 2014 yılından 2015 nisana kadar bylock ip sine bağlandığım iddia ediliyor. ID ve tespit tutanağı da yok. Nasıl olabilir de VPN le baglanilan bylocka 15 kasim 2014 tarihinden sonra bağlandığım görülüyor VPN varsa... Teşekkürler

Sultan-ı Yegah dedi ki...

@Adsız 3 Mart 2019 19:38
1. ID ve Tespit tutanağı yoksa, emniyet birşey iddia edemez.. BTK (CGNAT) kaydıdır o.
2. CGNAT kayıtlarında, sizin telefon hattınızdan Bylock sunucusuna giden (veya gitmeye çalışan) bağlantılar (veya bağlantı talepleri) görünür. Bu VPN kullanılan dönemden sonra ise, telefon bağlanmaya çalışır, ama bağlantı kuramaz. Bu durumda CGNAT satır sayısı az olur. Örneğin bir gün için 5-10 tane gibi.. Bu da zaten bağlantı kurulamadığını gösterir.
Çünkü normal Bylock kullanıcısı birinin CGNAT kaydında 1000-50.000 civarı satır olur..
3. Durumunuz buna uyuyorsa, ya mahkemeye anlatıp bilirkişi incelemesi isteyin, ya da kendiniz birinden uzman görüşü alıp mahkemeye sunun..

Sultan-ı Yegah dedi ki...

Resim gönderip yorum isteyen arkadaş:

Yazışma/mail durumu: Pasif demek, o programı yazışma veya mail için kullanmamışsınız demek.

2 defa girmişsiniz, 2 mail almışsınız.. Güya..

Ama giriş verisi yok.. O zaman o ID'nin size ait olduğunu nasıl tespit etmişler?

Her halükarda, zamanında google play store'dan indirip, bir deneyip silmiş bir vatandaşın tespit tutanağına benziyor.. Bundan FETÖ'cü çıkmaz, çıkmamalı..

Adsız dedi ki...

merhaba. cep telefonumda bylock kalıntısı çıktığına dair mahkemeden adli bilirkişi raporu geldi. 2.5 yıldır devam eden mahkememde şimdiye kadar bylock ile ilgili hiçbir bilgi ve belge gelmedi. cep telefonumun .ldb dosyasında 3 adet kalıntı çıktığına dair ekran görüntüsünü rapor diye göndermişler. kaynağı araştırılmamış. ayrıca taraf bilirkişi olarak uzman bir adli bilişim uzmanına inceleme yaptırmak için cep telefon imajını mahkemeden yazılı ve savunmada sözlü beyanlarıma rağmen teslim etmediler. sadece cep telefonumu teslim ettiler. ayrıca gmail hesabından kaynaklı olduğunu öğrendim bu kalıntının. gmail hesabıma bağlı google play store mağazasına şifrem ile girerek şimdiye kadar kullandığım tüm uygulamalara baktım. bunlar içinde bylock programı yok. kullanmadığım ve bilmediğim bir program yüzünden mahkemede nasıl bir savunma yapılırsa faydası olur? ayrıca teslim edilen cep telefonu üzerinden uzman bir bilişim uzmanına inceleme yaptırmamın bir faydası olur mu? raporun resmini nasıl ulaştırabilirim size? teşekkür ederim. kolay gelsin.

Unknown dedi ki...

Merhaba kardesim telefonunu arkadaşına vermis oda sevgilimle konusacagim diye bylock yüklemiş. Bu kisi fetocu. Ve 10 yıl ceza almis. Bylocku bunun kullandigini ispat edebilir miyiz? Kardesim tutuksuz yargılanıyor iddaname hazirlandiginda nasil bir savunma yapmaliyiz bu arkadaslik iliskisi ceza almasina sebep olur mu yoksa tespit edilince berat alir mi?

Sultan-ı Yegah dedi ki...

@Unknown 10 Mayıs 2019 02:56

Bylock içerikleri gelince kimin kullandığı belli olur.
Zaten telefonu devamlı kullandırmadıysa, CGNAT kayıtları da kalabalık olmaz.

Benzer vakalar oldu, başkasının adına hat alanlar vs.. Mahkemede söylersiniz, bilirkişiye incelettirirler, haklı bulurlarsa beraat edersiniz.

Adsız dedi ki...

merhaba. cep telefonumda bylock kalıntısı çıktığına dair mahkemeden adli bilirkişi raporu geldi. 2.5 yıldır devam eden mahkememde şimdiye kadar bylock ile ilgili hiçbir bilgi ve belge gelmedi. cep telefonumun .ldb dosyasında 3 adet kalıntı çıktığına dair ekran görüntüsünü rapor diye göndermişler. kaynağı araştırılmamış. ayrıca taraf bilirkişi olarak uzman bir adli bilişim uzmanına inceleme yaptırmak için cep telefon imajını mahkemeden yazılı ve savunmada sözlü beyanlarıma rağmen teslim etmediler. sadece cep telefonumu teslim ettiler. ayrıca gmail hesabından kaynaklı olduğunu öğrendim bu kalıntının. gmail hesabıma bağlı google play store mağazasına şifrem ile girerek şimdiye kadar kullandığım tüm uygulamalara baktım. bunlar içinde bylock programı yok. kullanmadığım ve bilmediğim bir program yüzünden mahkemede nasıl bir savunma yapılırsa faydası olur? ayrıca teslim edilen cep telefonu üzerinden uzman bir bilişim uzmanına inceleme yaptırmamın bir faydası olur mu?

dünyalı44 dedi ki...

kolay gelsin
teknik raporda "net.client.by.lock" bulundu deniyor. bu bylock indirmiştir kullanmıştır anlamına mı geliyor. yönlendirme olması için "bylock.net" adresi mı olması gerekir. yoksa "net.client.by.lock" yönlendirme olabilir mi. aşağıda raporun ilgili bölümü var.
BULGULAR:
4 numaralı sayfada detaylı bilgileri verilen adli kopyanın içerisinde yapılan teknik inceleme sonucunda; FETÖ/PDY mensuplarının haberleşme için kullandığı bilinen "By'Lock" uygulamasına dair silinmiş dosya kalıntıları tespit edilmiştir. Bu kalıntılar detaylı olarak incelendiğinde, dunyali44@gmail.com mail hesabıyla kullanılan bir mobil cihaz backup'ı (yedeklemesi) veya dunyali44@gmail.com play.google.com uygulama marketi sitesinde açılan oturum sonrası oluşan veriler olduğu değerlendirilebilir ancak bu veriler silinmiş olduğu için verinin tam olarak aidiyetlik bilgileri konusunda kesin birşey söylenememiştir.
Bu durumda aşağıda ekran alıntısı paylaşılan silinmiş alandan elde edilen verinin içeriğini değerlendiricek olursak, görünen içeriğinin android işletim sistemi kullanan ve dunyali 44@gmail.com hesabı kullanan bir mobil cihaza ait olabilecegi kuvvetle muhtemel olarak değerlendirilebilir.
kolay gelsin

Sultan-ı Yegah dedi ki...

@dünyalı44 3 Haziran 2019 16:50

net.client.by.lock, uygulama kalıntısı, yönlendirme değil.
Yönlendirme CGNAT ile ilgili bir durum.
Sizin yazdığınız rapor ise, telefon incelemesinde çıkan kalıntılarla ilgili.

Raporda yazan da kısaca şu manaya geliyor:
Telefonda bylock olmasa da, telefonda kurulu dunyali44 hesabı üzerinden daha önce Bylock kurulmuş. Bu da onun kalıntısıdır..

Burada şöyle bir detay olabilir.. net.client.by.lock, programın Android üzerindeki adı.. Yani sadece programın adı.. Eğer telefonda sadece bu iz varsa, belki de önerilen programlardan kalmış olabilir.. O yüzden bu ibarenin hangi dosya içerisinde geçtiği önemli..

Rapora itiraz edersiniz (etmişsinizdir zaten)..
CGNAT kayıtlarınızı da istersiniz.. Sonra da karşılaştırırsınız.. Kısmet.