Bylock ve Operasyon Güvenliği Fiyaskosu

15 November 2016

Bu yazımda Bylock konusunda kafamda oluşan bazı soru işaretlerine değinmeye çalışacağım. Operasyonlar başladığından beri bu yazıyı yazmak istiyordum fakat yanlış anlaşılma korkusuyla cesaret edememiştim. Fetö'nün, Bylock yazılımını kullanarak nasıl büyük bir hata yaptığını dile getirmek; suçluya yol göstermek, şerefsizlik, fetö sempatizanlığı ya da vatan hainliği olarak algılanabilirdi. Fakat Bylock'un, bütün örgütün deşifre olmasına yol açan bir uygulama olduğu ortaya çıkınca kafamda iki soru belirdi: Ya Fetö sanıldığı gibi üst düzey gruplardan akıl alan bir örgüt değil, ya da akıl aldıkları gruplar Fetö'nün tamamen deşifre olmasını istemiş.

Profesyonel olarak bilgi güvenliğiyle ilgilenen biri olarak gizlilik (privacy) ve operasyon güvenliği (OPSEC) alanları hakkında da araştırmalar yapmaktayım. Dünyada OPSEC, bir alt bilim dalı gibi ele alındığından hakkında makaleler yazılması olağan karşılanır. Umarım bu yazı ülkemizde suçluya yol göstermekten ziyade teknik bir bakış açısı olarak görülür.

OPSEC (Operasyon Güvenliği) Nedir

OPSEC, Amerikan ordusu tarafından 2. Dünya savaşından beri kullanılan bir terimdir. Genel anlamda kritik bilgilerin düşman istihbaratı tarafından ele geçirilmemesini amaç edinir. Daha dar anlamda ise kabaca, küçük ayrıntıların korunarak büyük resmin görülmesini engellemek diyebiliriz.

OPSEC'in Önemli İki İlkesi

Konu OPSEC olduğu zaman dikkat edilecek pek çok ilke mevcut. Fakat burada sadece konuyla ilintili olan iki ilkeden bahsetmek istiyorum.

1) Kalabalıkta Gizlenme İlkesi:

Bu ilkeye göre kişi eylemini gerçekleştirirken toplumun geri kalan fertlerinden kolayca ayırt edilememelidir. Yani nasıl ki IŞİD teröristleri eylem yaparken sakallarını kesip yerel halktan biriymiş gibi giyiniyorsa, bilgisayar dünyasında da bunun paraleli yöntemler izlenmelidir. Büyük veriler incelenirken seni diğer insanlardan ayırt edecek bir detaya sahip olmaman gerekir.

2) Deniability (inkar edilebilirlik) İlkesi:

Bu ilkeye göre eğer bir şüphe sonucu yakalanırsan, eylemi yaptığını inkar edebilecek ve aksi ispat edilemeyecek şekilde kanıt bırakmaman gerekir. Örneğin hırsızlık yaparken kameralardan uzak durup parmak izi bırakmazsan biri seni görse bile inkar ettiğin takdirde suçlu bulunmayabilirsin. Bilgisayar dünyasında da bunun paraleli yöntemler izlenmelidir. Cihazlarınızda ve internet aktivitelerinizde sizi suçlu çıkaracak loglar bırakmamalısınız.

Fetö'nün Yaptığı Kritik Yanlışlar:

1)Kendi mesajlaşma uygulamasını yazmak -Kalabalıkta gizlenme ilkesi ihlali

2)Bu uygulamanın örgüt üyeleri dışında kimse tarafından kullanılamaması - Deniability (inkar edilebilirlik) ihlali

Ev Yapımı Mesajlaşma Uygulamasının Yol Açacağı Problemler

İlk olarak, end-to-end encryption (uçtan uca şifreleme) kullanan bir program yazmak kolay bir iş değildir. Eğer bu alanda uzman değilseniz bir yerlerde hata yapmanız çok olası. Uzman olsanız bile, kodunuzun güvenilirliğinden emin olmanız için başka uzmanlar tarafından da incelenmesi gerekebilir.

Tamam, diyelim ki Bylock alanında uzman kişiler tarafından programlandı. Ölümcül operasyon güvenliği problemi burada bitmiyor.

Yağmurlu bir havada polisten kaçtığınızı düşünün. Sizce akıllıca olan herkes gibi bir şemsiye edinip kalabalığa karışıp normal davranmak mı, yoksa şort-tişört-kar maskesi giyerek dolaşmak mı? Bir suç örgütü için ev yapımı mesajlaşma programı kullanmak ikincisi gibidir diyebiliriz.

Biraz daha teknik detaylarla açıklayayım. Türkiye'de hangi mesajlaşma uygulaması kaç kişi tarafından kullanılıyor? Aşağıda tamamen tahmini sayılar vereceğim:

Whatsapp: 20.000.000

Facebook Messenger: 10.000.000

Telegram: 900.000

Signal: 500.000

Bylock: 100.000

Bylock sadece örgüt üyeleri tarafından kullanılabildiği için polisin 100.000 kullanıcıyı tespit etmesi için sadece bir kişinin telefonunu el geçirmesi yeterli olacaktır. Şöyle ki:

1)Bylock yüklü bir telefon ele geçir

2)Bylock'un bağlantı kurduğu sunucuların IP adreslerini tespit et

Bonus) Eğer sunucuların bulunduğu ülkenin kanunları ve siyasi otoritesi izin veriyorsa sunuculara baskın yap, tersine mühendislik yapıp bütün mesajlaşmaları ele geçirmeye çalış

3)Türkiye'deki bütün servis sağlayıcılarla iletişime geç

4)Bylock'un sunucu IP'lerine hangi cihazlar tarafından veri yollandığını tespit et

5)Bütün cihaz sahiplerini tutukla, paylaşımlı bir ağ ise kameraları kontrol et. Kamera da yoksa en şüphe çeken ismi tutukla

Durum bu şekildeyken kişi, telefonundan Bylock uygulamasını silse bile Bylock sunucularıyla veri transferinde bulunduğu tespit edildiği için inkar hakkı kalmıyor.

Üyeler Bylock'u VPN üzerinden kullansaydı bu sonuçlar yaşanmayabilirdi. Ancak Bylock kullanıcılarının genelde 40 yaş üstü teknolojiyle pek arası olmayan insanlar olduğunu düşünürsek, hata yapma risklerinin çok fazla olduğunu görürüz. Bylock'a 1 sene içinde sadece bir kere bile VPN'siz bağlanmaları açığa çıkmaları için yeterli olacaktır.

Peki örgüt üyeleri güvenilirliği farklı otoritelerce teyit edilmiş bir mesajlaşma uygulaması (örneğin Signal) kullansaydı ne olurdu?

1)Polis ilk etapta pek çok örgüt üyesinin telefonunda Signal uygulamasının yüklü olduğu -bir şekilde- tespit ederdi

2)Signal'in bağlantı kurduğu sunucuların IP adresleri tespit edilirdi

Bonus) Sunuculara baskın yap.. hayır.. kanuni olarak gücün buna yetmeyebilir. Yetse bile elde edebileceğin bir şey yok çünkü bütün konuşmalar şifreli. Elde edilebilecek tek şey kim tarafından kime hangi tarihte mesaj yollandığı (metadata).

3)Türkiye'deki bütün servis sağlayıcılarla iletişime geç

4)Signal'in sunucu IP'lerine hangi cihazlar tarafından data yollandığını tespit et (500.000 kişi)

Şimdi burada bir yol ayrımına gidilmesi lazım:

4.1) 500.000 kişiyi de tutukla?!?!?!

Bu, pratikte çok mümkün olmayacaktır. Çünkü Signal, halka açık bir yazılım olduğu için bunu kullanan konuyla alakasız yüzbinlerce kişi var. Bunun avantajını kullanarak örgüt üyeleri de inkar haklarını kullanabilir. Google Play ya da App Store'dan indirilen bir uygulamanın ciddi bir kanuni yaptırımı olacağını düşünmüyorum. Kısa ya da uzun bir süre sonra delil yetersizliğinden serbest kalabilirler.

4.2)Signal kullanımını yasakla

Bu çözüm de çok ilkelce fakat bir önceki çözüme göre daha makul. Yasak geldikten sonra örgüt üyeleri peki diyerek telefonlarından Signal'i silerler, başka bir uygulamaya geçerler.

Sonuç

İkinci seneryoda gördüğümüz gibi güvenlik güçlerinin, tek atışta bütün örgütü tutuklayacak bir imkanı olmayacaktır. Whatsapp kullanmak bile Bylock kullanmaktan daha güvenli olacakken neden böyle özel bir program yazıldı merak ediyorum. Fetö üyeleri çok mu aptaldı yoksa birileri Fetö'nün tek seferde deşifre edilmesini mi istedi?