bylockgercegi.combylockgercegi.com/docs/jason-frankovitz-uzman-mutaalasi-turkce-noter-ve-tercumanlik...programlama...
Transcript of bylockgercegi.combylockgercegi.com/docs/jason-frankovitz-uzman-mutaalasi-turkce-noter-ve-tercumanlik...programlama...
Orllnge County Translation & Notary www.ocmobiletranslationandnotary.com
� American Translators Association ' . ' L
CERTIFICATION OF TRANSLATION
I, Murat Akbas declare under penalty of perjury that I am fluent in both Turkish and English languages and
competent to translate between them. I certify the attached English translation from Turkjsh is true and
accurate to the best of my ability and belief.
Description of Translation
• Expert Report of Jason Frankovitz [Translated from English to Turkjsh]
Date: August 11, 2017
�....;:::. - =-1---Murat Akbas
American Translators Association "ATA" member ID# 264709
CERTIFICATE OF ACKNOWLEDGMENT
A notary public or other officer completing this certificate verifies only the identity of the individual who signed the document to which this certificate is attached, and not the truthfulness, accuracy, or validity of that document.
State of California County of Orange
On August 11 2017 before me, Heideh Vakhsh, Notary Public, personally appeared Murat Akbas who proved to me on the basis of satisfactory evidence to be the person whose name is subscribed to the within instrument and acknowledged to me that he executed the same in his authorized capacity, and his
signature on the instrument the person or the entity upon behalf of which the person acted, executed the instrument.
I certify under PENAL TY OF PERJURY under the laws of the State of California that the foregoing
paragraph is true and correct
�LIJ;-Heideh Vakhsh Notary Public
4570 Campus Drive, Suite 21 • Newport Beach, Californ a 92660 Email:[email protected] •Telephone: 949-748-0615 •Fax/Telephone (949)252-2190
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
I. GİRİŞ
1. İsmim Jason Frankovitz’dir, ABD, Kaliforniya eyaleti, Los Angeles şehrindenim. Avukat
Murat AKKOÇ tarafından, Ali CİHAN ile ilgili hukuki bir meseleyle ilişkin görüşlerimi
sunmak üzere yazılım mühendisi bilirkişisi olarak tutuldum. Bana Bylock iletişim
uygulamasıyla ilgili uzmanlık görüşlerim soruldu.
2. Gerektiğinde, halihazırda bilinmeyen ve duruşmadan önce ya da sonra sunulabilecek
bilgi ve belgeleri de değerlendirmeye hazırım. Benim burada ifade ettiğim görüşlere
ilişkin olarak sonradan yeni keşif ya da deliller ortaya konabileceğini anlıyorum.
Gerektiğinde ve Mahkemenin kabul edeceği şekilde bu raporu değiştirme ve rapora
ekleme yapma hakkımı saklı tutuyorum. İfademin istenmesi durumunda, görüşlerimi
açıklamaya yardımcı olmak üzere uygun bilgi ve belge düzenleme hakkımı da saklı
tutuyorum.
3. Bu davada yaptığım çalışma için doğrudan yaptığım harcamaların karşılanması yanında
bana saat başı $395 dolar ödenmektedir. Bu dava şahsımı ilgilendirmemektedir ve bana
yapılan ödeme ifade ettiğim görüşlerin içeriğine ya da davanın sonucuna bağlı değildir.
II. YETERLİLİKLER
4. Bu bölüm benim aldığım eğitimi, mesleki başarılarımı ve bilgisayar mühendisliği
alanında yayınladığım hakemli yayınları özetlemektedir. Yeterliliklerimi daha detaylı
olarak listeleyen özgeçmişimin bir kopyası bu rapora eklenmiştir.
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
5. Ben bir mucit, mühendis ve programcı olarak 25 yıllık tecrübeye sahip yazılım ve
bilgisayar teknolojisi uzmanıyım. Şu anda, ABD, Kaliforniya, Los Angeles’te bulunan
Quandary Peak Research adlı kurumda yazılım mühendisi uzmanı olarak çalışmaktayım.
Quandary Peak Research kurumundaki işimin bir parçası olarak, patent ihlali ve ticari sır
sorunları konusunda yazılım analizi, dijital verilerin incelenmesi de dahil olmak üzere
bilgisayar sistemlerinin adli soruşturmaları ve davalara destek amaçlı kaynak kodu analizi
gibi hizmetleri sunmaktayım.
6. Web-tabanlı yazılım, mobil uygulamaları ve sunucu sistemleri üreten büyük ve küçük
ölçekli teknoloji şirketlerinde yazılım mühendisi olarak çalıştım. Bir sosyal medya
reklam sistemi için bekleyen bir patentin mucidi olarak kayda geçtim. ABD, Kaliforniya,
San Francisco Devlet Üniversitesinde teknoloji ve İnternet konularında hocalık yaptım.
7. Yazılım ve İnternet sektöründeki uzun yıllara dayanan tecrübelerime binaen, İletim
Denetimi Protokolü / Internet Protokolü (TCP / IP), Köprü Metni Aktarım Protokolü
(HTTP), Etki Alanı Adı Sistemi (DNS), Güvenli Yuva Katmanı (SSL), Ortak Ağ Geçidi
Arabirimi (CGI) proxy, istemci / sunucu mimarileri, bulut programlama , içerik yönetim
sistemleri, ilişkisel veritabanları, alan kaydı ve web muayene gibi alanlarda teknik
uzmanlığımı geliştirdim. Ayrıca, yaygın olarak kullanılan Ruby, Rails, PHP, Perl, Java,
JavaScript, Bağlantılı Metin Dili (HTML), XML, Basamaklı Stil Sayfaları (CSS),
eşzamansız Javascript ve XML (AJAX) ve kabuk programlama dilleri gibi web
programlama dillerinde de uzmanım.
8. Yazılım patent ihlali, yazılım telif hakkı, sözleşme ihlali ve yazılım ticari sırları
konusunda birçok araştırma ve analiz yaptım. Quandary Peak Research kurumundaki
işimden önce, TechKnow Consulting adlı şirkette fikri mülkiyet ve teknoloji
danışmanlığı yaptım ve patent lisansı ve aracılık gibi yazılıma ilişkin hususları da içeren
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
birçok hizmet verdim. Ayrıca, ABD, Vaşington Eyaleti, Bellevue şehrinde bulunan
Intellectual Ventures adlı şirkete yazılım fikri mülkiyet danışmanlığı yaptım.
9. 40’ın üzerindeki hukuki meselede yazılım, İnternet ve Web teknolojileri konusunda
uzman olarak görev aldım. Kaliforniya’da bulunan Los Angeles Bölge Yüksek
Mahkemesi, San Diego Yüksek Mahkemesi ve Santa Clara Yüksek Mahkemesinde jüri
ve jürisiz duruşmalarda sözlü ve yazılı uzman bilirkişi olarak ifadeler verdim.
III. DEĞERLENDİRİLEN BİLGİ VE BELGELER
10. Bu konuda görüşümü oluşturmada şu bilgilere dayandım: (1) İnternette yaptığım orijinal
araştırma, (2) Sayın AKKOÇ’un hukuk bürosu çalışanlarının bana sağladığı bilgi ve
belgeler, (3) kaynak koda dönüştürülmüş Bylock uygulaması1, (4) bu raporda bahsedilen
diğer bilgi ve belgeler, ve (5) benim yazılım uygulamalarını yazma, işleme geçirme ve
destekleme alanında uzun yıllara dayanan tecrübelerim.
11. Aksi belirtilmediği müddetçe, benim araştırmam Bylock uygulamasının Java
programlama diliyle yazılmış Android sürümüne ilişkindir. Bylock uygulamasının
IOS/Apple sürümü ile Android sürümü arasındaki önemli farklılıkları içeren bilgi ve
belgeleri değerlendirmedim.
IV. SORULAN SORULAR
1 Kaynak koda dönüştürme süreci (dekompilasyon) derlenmiş (yürütülebilir) bir uygulamanın kaynak kodunu elde
etmeyi sağlar. Bu süreç, uygulamanın normalde uygulama içinde okunamaz bir formatta saklanmış programın bir
kısmını ortaya çıkarabilir.
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
12. Benden aşağıdaki soruları cevaplamak üzere bağımsız bir araştırma inceleme yapmam
istendi:
a. Bylock herkesin indirebileceği bir uygulama mıdır?
b. Bylock uygulaması herkes tarafından kullanılabilir mi, yoksa sadece tek bir grup
tarafından mı kullanılabilir?
c. Bylock uygulaması kullanılarak gönderilen ve alınan mesajların içeriğini elde
etmek mümkün müdür?
d. Bylock uygulamasının ne zaman indirildiğini öğrenmek mümkün müdür?
e. Bylock uygulamasının ne zaman aktif olarak kullanıldığını bilmek mümkün
müdür?
f. Bylock uygulamasını bir ağ bağlantısı olmadan kullanmak mümkün müdür, yoksa
bir tür ağ bağlantısı (mobil ya da Wi-Fi bağlantısı gibi) ile mi kullanılmak
zorundadır?
g. Bylock uygulamasını kullanan ve kullanmayan kişilerin aynı Wi-Fi ağını
paylaşması mümkün müdür?
h. Bylock kullanıcılarının kimliklerini tespit etmek mümkün müdür?
i. Bylock iki taraf arasında güvenli kriptolu iletişim sağlıyor mu?
j. Bylock taraflar arasındaki iletişim güvenliği için askeri seviyede kriptolama
metotları kullanıyor mu?
k. Kullanıcıların kimlikleri tespit edildiğinde, kullanıcıların bağlantı türlerini
(ADSL, 4G gibi) tespit etmek mümkün müdür?
l. Bylock uygulamasını yürüten bir GSM telefonun IMEI numarasını tespit etmek
mümkün müdür?
m. Bir kullanıcının Bylock uygulamasını uygulama mağazalarından mı yoksa üçüncü
sitelerden mi indirdiğini tespit etmek mümkün müdür?
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
n. Bylock uygulamasının belli bir hesap tarafından belli bir zaman diliminde kaç kez
kullanıldığını tespit etmek mümkün müdür?
o. Bylock aracılığıyla sesli arama yapılıp yapılmadığını, bu mümkünse, bu aramanın
kime yapıldığını tespit etmek mümkün müdür? Bir kullanıcının uygulama
içerisindeki email mesajlaşma ya da SMS mesajlaşma sistemini kullanıp
kullanmadığını tespit etmek mümkün müdür?
p. Bylock uygulaması Google Play ve Apple App Store online mağazalardan tam
olarak hangi tarihlerde indirilebiliyordu?
q. Bylock, ‘üst-düzey güvenlik’ mesajlaşma seçeneği sunuyor mu? Farklı kriptolama
metotlarıyla iletişim seçenekleri sunuyor mu?
r. Hangi işletim sistemleri Bylock ile uyumludur? Sadece Android ile mi
uyumludur?
s. Bylock uygulamasının üçüncü sitelere kıyasla uygulama mağazalarından kaç kez
indirildiğini tespit etmek mümkün müdür?
t. Bylock uygulaması diğer çok bilinen chat ve mesajlaşma uygulamalarıyla
karşılaştırıldığında kriptolama yöntemleri, güçlü ve zayıf tarafları nelerdir?
WhatsApp, Viber, Tango ile kıyaslandığında Bylock’ın kriptolama yöntemi
nasıldır?
u. Bylock mesajlarının kendi kendini yok etme özelliği bulunmaktaydı. Diğer
güvenli chat uygulamaları da benzer özelliğe (mesajların kendini yok
etmesi/otomatik silinme) sahip midir?
v. Bylock’un telefon rehberi entegrasyon özelliği bulunmamaktadır. Bu özelliğe
sahip olmayan başka uygulamalar var mıdır?
w. Bylock kayıt esnasında email adresi ya da telefon numarası istememektedir.
Email adresi ve telefon numarası istemeyen başka uygulamalar var mıdır?
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
V. İNCELEMENİN SONUÇLARI
V.A. Bylock herkesin indirebileceği bir uygulama mıdır? Evet.
13. Bylock gibi uygumalar genellikle kullanıcılara Internet-tabanlı bir ‘uygulama mağazası’
aracılığıyla dağıtılır. Mesela, iPhone kullanıcıları uygulamaları (“appler” olarakta
adlandırılır) ‘App Store’ denilen online uygulama mağazasından indirip yükleyebilirler.
Android kullanıcıları ise uygulamaları ‘Google Play’ adındaki online uygulama
mağazasından indirip yüklemektedirler. Bylock uygulaması Google Play mağazasında
mevcut iken, Android bir cihaza ve Google hesabına sahip herkes tarafından
indirilebilirdi.
14. Bir uygulama, uygulama mağazasından çıkartılmış olsa bile, bu uygulamanın bir
kopyasına sahip başka web sitelerinden de indirilip yüklenilebilir. Mesela, Bylock
uygulaması halihazırda Google Play mağazasında mevcut değildir ama Bylock ‘APK’
(Android Paket Kiti) dosyası, kullanıcıların mobil uygulamaları paylaştığı ve tartıştığı
birçok başka APK sitelerinde bulunabilir. Herkes bu sitelere ulaşabildiğinden, herkes
Bylock uygulamasını İnternet üzerinde bulunan birçok bellek konumundan indirebilir.
V.B. Bylock uygulaması herkes tarafından kullanılabilir mi, yoksa sadece tek bir grup
tarafından mı kullanılabilir? Herkes tarafından kullanılabilirdi (fakat halihazırda
yürürlükte değildir).
15. Bylock uygulaması herkes tarafından indirilebileceği gibi, indirildikten sonra,
uygulamayı indiren kişi kendi Bylock hesabını oluşturarak diğer kullanıcılara mesaj
gönderebilir (sistemin çalışmasının 2016’da durmasına kadar). Bylock sistemi,
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
uygulamanın çalışması için Bylock tarafından idare edilen merkezi bir sunucunun
kullanılmasını gerekli kılmaktaydı. Sözkonusu merkezi Bylock sunucusun çalışması
durunca, muhtemeldir ki Bylock uygulamasını indirenler de bu uygulamayı
kullanamayacaktı.
16. Yaptığım incelemede Bylock uygulamasının kullanılma şartı olarak tek bir gruba ait
üyeliği zorunlu kıldığına dair hiçbir şey bulamadım.
V.C. Bylock uygulaması kullanılarak gönderilen ve alınan mesajların içeriğini elde etmek
mümkün müdür? Evet.
17. Bylock kullanılarak gönderilen ve alınan mesajların içeriği birkaç metotla elde edilebilir:
a. Bylock uygulamasını yürüten cihaz, her bir mesajlaşmadaki mesajların kaydını
tutmaktadır. Bu mesajların içeriği, cihazda bulunan ve mesajların gönderilip
alındığı ve uygulama içerisinde her bir konuşmanın incelendiği Bylock
uygulaması aracılığıyla elde edilebilir. Bir mesajı gönderen ve alan kişilerin
Bylock kullandıkları her iki cihazda bu mesajlaşmanın kopyalarının aynısı
bulunur.
b. Bylock tarafından kullanılan merkezi sunucu, Bylock kullanıcıları için kullanıcı
isimleri ve şifrelerini barındırırdı. Bu kullanıcı isimleri ve şifreler elde
edilebilirse, orijinal/asıl Bylock kullanıcısı gibi davranıp hesaplara erişim
sağlanabilir. Başka bir kullanıcı olarak erişim yapıldığında, asıl kullanıcının
geçmiş görüşmelerinin kayıtlarını (tarihçesini) görmek mümkün olabilir.
c. Bylock tarafından kullanılan merkezi sunucu mesajları bir kullanıcıdan diğerine
yönlendirmiş olabilir. Eğer Bylock bu şekilde işlemişse (ki uygulama türüne
bakıldığında böyle olması muhtemel), her bir mesajın içeriğinin merkezi
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
sunucuda bulunması mümkündür. Bu sunucu kırılarak bu mesajlar elde
edilebilinir.
i. Ayrıca, Bylock tarafından kullanılan merkezi sunucu mesajları bir
kullanıcıdan diğerine yönlendirmişse, teorik olarak, mesajların içeriği,
Bylock kullanan cihaz ile merkezi sunucu arasındaki bağlantıyı sağlayan
ağ bağlantısı izlenerek elde edilebilir. Bununla birlikte, Bylock gibi bir
mesajlaşma uygulamasının kolayca izlenebilecek bir ağ bağlantısı
kullanması olağandışıdır.
d. Eğer Bylock uygulamasının yüklendiği cihazın yedeği alınmışsa ya da
kopyalanmışsa, bu yedekleme dosyalarının Bylock mesajlarının içeriğini
barındırması mümkündür. Bununla birlikte, yedekleme sistemi ve cihaza bağlı
olarak, bu yedekleme dosyaları içeriğinin okunmasını önleyecek şekilde kriptolu
olabilir.
V.D. Bylock uygulamasının ne zaman indirildiğini öğrenmek mümkün müdür? Evet.
18. Bir uygulamanın ne zaman indirildiğini anlamanın farklı yolları vardır:
a. Eğer Bylock, Google Play ve Apple App Store gibi online uygulama
mağazalarından indirilmişse, kullanıcının faaliyetlerinin kayıtları bu online
uygulama mağazalarında kaydedilmiştir. Kullanıcın kayıtları sunucuya ulaşıp,
oradaki işlemler incelenerek elde edilebilir.
b. Her online uygulama mağazası (kullanıcının bilgisine açık olmak üzere) neyin ne
zaman indirildiğinin bir kaydını (tarihçesini) tutar. Mesela,
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
https//payments.google.com sitesi kullanıcıların sisteme girip hangi Google
ürünlerini ve hizmetlerini aldıklarını ve alış tarihlerini görmelerini sağlar.2
c. Her online uygulama mağazası, bir uygulama indirildikten ya da satın alındıktan
sonra kullanıcıya email gönderme seçeneğini sunar. Eğer bu seçenek aktif edilmiş
ise, Bylock uygulamasının ne zaman indirildiği online uygulama mağazasından
kullanıcıya gelen emailler incelenerek öğrenilebilir.
d. Bylock uygulamasını indiren cihazın dosya hafıza alanı, bu yüklemeyle ilgili,
Bylock uygulamasının ne zaman indirildiğini ve dosyaların ne zaman
yüklendiğini gösteren tarih ve zaman bilgilerini bulundurur. Bununla birlikte, bu
verileri görmek için teknik bir işlem gerekmektedir, çünkü işletim sistemin
çalışması teknik olmayan kullanıcılardan saklanacak şekilde dizayn edilmiştir.
Mesela, Android cihazlarda, yerel kablosuz ağ kullanılarak cihazın hata ayıklama
fonksiyonuna ulaşmak için belli adımlar takip edilmelidir; bunlar
tamamlandığında, Android işletim sisteminin iç yapısı başka komutlar
kullanılarak kontrol edilebilir. Bunu yapmanın bir yolu
https://futurestud.io/tutorials/how-to-debug-your-android-app-over-wifiwithout-
root sayfasında gösterilmiştir.
V.E. Bylock uygulamasının ne zaman aktif olarak kullanıldığını bilmek mümkün
müdür? Evet.
19. Bylock uygulamasının ne zaman aktif olarak kullanıldığını öğrenmenin birkaç yolu
vardır:
2 Bakınız payments1.png (Kaynak: https://payments.google.com)
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
a. Sunucu kayıtları: Bylock kullanıldığında merkezi sunucu ile iletişim kurar. Bu
sunucu sistem üzerinde kullanılan kaynakların bir kaydını tutar. Dolayısıyla,
merkezi sunucu Bylock kullanılırken bilgileri kaydeder ve bu kayıtlar daha sonra
gözden geçirilebilir.
b. Sunucu Veritabanı kayıtları: Bylock merkezi sunucuyu kullandığında, bilgiyi
okuma ve yazma işini o sunucuda bulunan veritabanı üzerinden yapar. Harun
Esur’a göre,3 Bylock veritabanında tarih ve zamanı kaydeden ‘lastonlinetime’
başlıklı bir sütun bulunmaktadır.4 Bir veritabanında sıraların farklı etkinlikler için
tarih ve zaman kayıtlarını tutması olağandır.
c. Cihaz kayıtları: Bylock bir mobil cihazda işletildiğinde, cihaz, tıpkı sunucu gibi,
kullandığı kaynakların kaydına sahiptir. Merkezi sunucuda saklanan kayıtlar gibi,
bu kayıtlar da Bylock’un kullanılışına ilişkin detaylara sahip olabilir.
d. Cihaz Veritabanı kayıtları: Bylock gibi uygulamalar çoğu zaman cihaz üzerinde
bir veritabanını kullanırlar; merkezi sunucuda bulunan veritabanındaki bazı aynı
bilgileri saklayabilir veya başka bilgiyi saklayabilir. Cihazdaki veritabanı,
Bylock’un ne zaman kullanıldığına dair tarih ve zaman bilgisi konusunda
potansiyel bir kaynak olabilir.
e. Ağ yoklamak: Ağ paket analizcisi ya da ‘yoklayıcı’ kullanarak bir bilgisayar
ağındaki trafiği gözlemek mümkündür. Yoklayıcı, bir ağda bulunan cihazın,
Bylock merkezi sunucusuyla iletişimde bulunup bulunmadığını görecektir. Cihaz
ile sunucu arasındaki kriptolu iletişimden dolayı, yoklayıcı, normal olarak
mesajların içeriğini göremez ama mevcut iletişimi görebilir. Bununla birlikte, bu
3 Bkz. https://tr.linkedin.com/in/harunesur/it 4 Bkz. database1.png (Source: https://i0.wp.com/securityaffairs.co/wordpress/wp-
content/uploads/2016/09/ByLockapp-hacking-Turkish-MIT-2.jpg?w=603)
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
tespit tekniği sadece cihaz ve sunucu aktif/gerçekzamanlı iletişim halindeyken
mümkündür. 5
V.F. Bylock uygulamasını bir ağ bağlantısı olmadan kullanmak mümkün müdür yoksa
bir tür ağ bağlantısı (mobil ya da WI-FI bağlantısı) ile mi kullanılmalıdır? Bylock için bir
ağ bağlantısı gerekmekteydi.
20. Yaptığım araştırmaya göre, Bylock bir ağ bağlantısını gerektirmiştir. Bu mantıklıdır, zira
ağ erişimi olmadan cihazın mesajları bir kullanıcıdan diğerine göndermesi veya alması
mümkün değildir. Teknik olarak Bylock uygulamasını bir ağ bağlantısı olmadan
yürütmek mümkün olsa da muhtemelen işe yarar bir işlem yapmayacaktır.
V.G. Bylock uygulaması kullanan kişilerle kullanmayan kişilerin aynı Wi-Fi ağını
paylaşmaları mümkün müdür? Evet.
21. Bylock kullanan kişilerle kullanmayan kişilerin aynı Wi-Fi ağını paylaşmaları
mümkündür, zira Wi-Fi bu şekilde çalışacak şekilde dizayn edilmiştir. Wi-Fi (kablosuz)
ağ, paylaşılan bir kaynaktır; amacı çok sayıda kullanıcının bağımsız bağlantıları aynı
anda kullanmasına olanak sağlamaktır. Bu normaldir. Çünkü her bir cihaz özgün bir IP
numarasına sahiptir, ağ, ağ trafiğini farklı işleri yapan farklı uygulamaları kullanan birçok
kişiye ve kişiden yöneltebilir. Bu böyle olmasaydı her bir uygulama için ayrı Wi-Fi ağları
olması gerekirdi: mesela Google Chrome (web taramak için) bir kablosuz ağ, Microsoft
Outlook (maillere bakmak için) ikinci bir kablosuz ağ, sadece Skype (sesli arama yapmak
için) için üçüncü bir kablosuz ağ, sadece Call of Duty (oyun oynamak için) için dördüncü
5 Anladığım kadarıyla Bylock merkezi sunucusu 2016’dan beri çevrimdışıdır ve o zamandan bu yana Bylock servisi
kullanılmamıştır.
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
bir kablosuz ağ gerekirdi, vb. vb. Bu açıkçası hiç bir şekilde pratik olmazdı ve zayıf bir
ağ standardı dizaynına işaret ederdi; normalde Wi-Fi böyle çalışmaz. Aksine, Wi-Fi
birçok kişinin aynı ağ üzerinde aynı anda farklı uygulamaları kullanmalarına olanak
sağlar.
V.H. Bylock kullanıcılarının kimliklerini tespit etmek mümkün müdür? Evet.
22. Uygun şartlar altında, Bylock kullanıcılarının kimlikleri, aynen diğer online
uygulamaları kullanan kişilerin kimlikleri gibi tespit edilebilir. Bylock merkezi sunucusu,
kullanıcıları şahsi olarak tanıtan isim ve şifre gibi bilgilere sahiptir. Sunucu üzerindeki
diğer veriler, kullanıcıların bulundukları ülke, son bağlantılarının IP adresleri, doğum
tarihler ve hatta posta kodları gibi detayları içerebilir.
23. Eğer Bylock ve merkezi sunucu standart olmayan bir ağ bağlantı noktasını kullanarak
iletişime geçecek şekilde ayarlanmışsa, o zaman IHS (İnternet Hizmet Sağlayıcısı),
müşterisinin olağandışı bir bağlantı noktası üzerindeki trafiğini kendi ağ geçidi üzerinden
izleyebilir.6 Ayrıca, IHS müşterisinin IP numarası (cihaza ve bağlantıya ilişkin diğer
özgün tanıtıcı bilgilerle birlikte) kaydedilebilir ve diğer kullanıcılarla ilişkilendirilebilir.
24. Eğer potansiyel Bylock kullanıcılarına kullanıcı ismi ve şifrelerini yazmaları istenen bir
phishing (kimlik hırsızlığı) maili gönderilmişse, bu durumda Bylock kullanıcıları kendi
kimliklerini bilmeden açığa vurmuş olacaklardır.
25. Eğer Bylock tarafından kullanılan cihaz ağ üzerinden yedeklenmişse, yedekleme içeriği
muhtemel kimlik ipuçları için taranabilir.
6 Eğer Bylock, günlük web ve mail servisleri tarafından kullanılan normal bir ağ bağlantısı noktası üzerinden
iletişimde bulunuyorsa, IHS’nin Bylock hareketlerini farketmesi, imkansız olmasa da, daha zor olacaktır. İnternet
servisleri için kullanılan standart bağlantı noktalarının kapsamlı bir listesi şu linkte bulunabilir:
https://www.iana.org/assignments/service-names-portnumbers/service-names-port-numbers.xhtml
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
26. Eğer bir uygulama mağazası (Google Play veya Apple App Store gibi) kullanıcıya
Bylock’u başarıyla indirdiğini bildiren bir email göndermişse, bu durumda IHS’nin mail
sunucusu Bylock ile ilgili bir mail iletisini izleyip, mailin hangi adrese gittiğini kaydedip,
iletinin gönderilmesini tamamlayabilir.
27. Bu anlatılanlar, bir kişinin kimliğini kullandığı online site ve uygulamalardan tespit
etmenin sadece birkaç yoludur. Bir kişinin kişisel bilgilerini ifşa etmesini sağlayacak
şekilde aldatılmasının sadece İnternette değil, gerçek hayatta da birçok yolu vardır, bu
alana ‘sosyal mühendislik’7 denilmektedir ve bu raporun kapsamı dışındadır.
V.I. Bylock iki taraf arasında güvenli kriptolu iletişim sağlar mı? Evet.
28. Bylock, kullanıcılar arasında kriptolu iletişim sağlamak için standart, herkese açık Java
(java.security ve javax.crypto8 gibi yerlerde bulunan) kütüphanelerini kullanmaktadır.
Java, Oracle şirketinin sahip olduğu ve yaygın kullanılan bir programlama dili
olduğundan, Java kriptolama sisteminin nasıl çalıştığı üzerine birçok doküman9 ve
programcıların öğrenebileceği ve değiştirebileceği birçok kod örneği10 bulunmaktadır.
V.J. Bylock taraflar arasındaki iletişimin güvenliği için askeri seviyede kriptolama
yöntemleri kullanır mı? Evet ve hayır.
29. ‘Askeri seviyede kriptolama’ terimi, bir kriptolama sistemini anlatmak için çok faydalı
bir yol değildir. Zira, birçok askeri kurum, genel tüketici ve sivil yazılımlarda yaygın
7 https://en.wikipedia.org/wiki/Social_engineering_(security) 8 Bkz. https://docs.oracle.com/javase/7/docs/api/javax/crypto/package-summary.html 9 Bkz. https://docs.oracle.com/javase/7/docs/technotes/guides/security/crypto/CryptoSpec.html 10 Bkz. http://www.java2s.com/Code/Java/Security/Basicsymmetricencryptionexample.htm
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
olarak bulunan kriptolama yöntemlerini kullanır ve aksinde de durum aynıdır. ABD
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), AES adında bir kriptolama sistemi
benimsemiştir ve bu sistem ABD Ulusal Güvenlik Kurumu (NSA) tarafından ‘çok gizli’
bilgiler için uygun bulunmuştur. ‘Askeri düzey kriptolama’ teriminin muhtemel
kökeninin bu olduğu inanılır.
30. Bylock uygulamasında kullanılan kriptolama, herhangi bir Android programcısının
erişimine açık kriptolama ile aynıdır. Kriptolama yapan yazılımlar, Oracle şirketi
tarafından herkese açık olarak belgelenmektedir. 11
V.K. Kullanıcıların kimlikleri tespit edildikten sonra, kullandıkları bağlantı türlerini
(mesela ADSL, 4G) tespit etmek mümkün müdür? Duruma göre değişir ama muhtemelen
belirsiz.
31. Modern ağ teknolojilerini kullanan (Android gibi) işletim sistemleri, ağ bağlantısını
kullanan uygulamanın ağ bağlantısı türünü ayrı tutacak şekilde geliştirilmişlerdir.
Soyutlama adı verilen bu teknik, değişik ağ bağlantıları üzerinde çalışan programları
kolayca yazmayı mümkün hale getirmiştir. Ağ bağlantı türü, işletim sistemi tarafından
soyutlanmamış olsaydı, bir programcı her bir Wi-Fi ağı, ticari ağ, konut ağı, mobil ağı vb.
için ayrı bir kod yazmak zorunda kalacaktı. Soyutlama, Bylock gibi bir mesaj
uygulamasının ağ bağlantısı türü konusunda çok faydalı bilgiler içermeyeceği anlamına
gelmektedir.
11 Bkz. http://docs.oracle.com/javase/8/docs/technotes/guides/security/crypto/CryptoSpec.html
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
V.L. Bylock kullanan bir GSM telefonun IMEI numarasını tespit etmek mümkün
müdür? Değildir.
32. Bylock gibi bir Android uygulamasının telefonun IMEI numarasını bilmesi için,
uygulamanın belli bir program koduna sahip olması gerekir. Öncelikle, uygulamaya,
telefonun IMEI bilgisini okuma izni verecek şöyle bir kod satırı yüklenmelidir:
33. Kaynak koda dönüştürdüğüm Bylock APK içerisinde böyle bir kod satırı buldum.
34. Bu satıra ilave olarak, uygulama getDeviceId() adı verilen bir metodu kullanan bir kodu
da içermesi gerekir. Bu metot bir GSM telefonun IMEI numarasını açığa çıkaracaktır. Bu
metodun nasıl programlanacağı şu örnekte gösterilmiştir:
35. Kaynak koduna dönüştürdüğüm Bylock APK içerisinde getDeviceId() metodunu
kullanan ya da çağıran bir kod bulamadım. getDeviceId() metodunu kaynak kodunda
bulunmamasına bakarak, Bylock uygulamasının IMEI bilgisine ulaşamayacağı
kanısındayım.
36. Geçerli ve kullanılan bir SIM kart olması durumunda mobil telefon operatörünün
telefonun IMEI numarasını tespit etmesi mümkün olabilir.
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
V.M. Bir kullanıcının Bylock uygulamasını uygulama mağazalarından mı yoksa
üçüncü sitelerden mi indirdiğini tespit etmek mümkün müdür? Bazı durumlarda evet.
37. Bir cihazda kurulmuş Bylock uygulamasının kaynağını öğrenmek mümkün olabilir.
Google (Android işletim sisteminin yaratıcısı) özel bir online mağaza olan ve kişilerin
kolaylıkla Android cihazlarına mobil uygulamalarını yükleyebilmelerini sağlayan
‘Google Play’i işletmektedir. Fabrika ayarı olarak, Android telefonlar, uygulamaları
Google Play’den indirip ve yükleyecek şekilde ayarlanmışlardır. Google Play’dan bir
uygulama indirmek için, kullanıcının indirilecek uygulamayı kaydedecek bir Google ID
kimliğine sahip olması gerekir. Her bir kullanıcının Google Play indirme kayıtlarının
nasıl görüleceğine ilişkin bilgiler Türkçe olarak şu adreste
https://support.google.com/googleplay/answer/2850369?hl=tr İngilizce olarak da şu
adreste https://support.google.com/googleplay/answer/2850369?hl=en bulunabilir.
38. Bununla birlikte, kullanıcı telefoununda değişiklikler yaparak, telefonunu üçüncü
sitelerden uygulama indirecek şekilde ayarlaması mümkündür. Android işletim
sisteminin, uygulamanın nasıl yükleneceğini kontrol eden ayarları kullanıcının
değiştirmesine izin veren çeşitli sürümleri vardır. Kullanıcı bu ayarlamaları aktif hale
getirirse, Android, kullanıcının Google Play mağazasından gelmeyen uygulamaları da
indirmesine izin verecektir. Bu ayarların12 örneği aşağıda verilmiştir:
12 Görüntü kaynağı: http://softstribe.com/android/how-to-enable-third-party-applications-installation-in-android/
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
39. Cihazdaki bu ayarın incelenmesi, üçüncü kaynaklardan uygulama indirilip
indirilmediğini öğrenmenin bir yoludur.13
40. Telefonun üçüncü kaynaklardan uygulama indirecek şekilde ayarlandığını farzedersek,
indirme işlemini gerçekleştirmek için ilave teknik adımlar atılmalıdır:
a. İstenen uygulama online ortamda APK formatında bulunmalıdır.14
b. APK dosyası cihaza indirilmelidir (veya önce bir bilgisayara indirilmeli, oradan
da cihaza kopyalanmalıdır.
c. APK dosyası cihaza indirildikten sonra, cihazdaki yeri tespit edilmeli ve indirme
işlemini tamamlamak üzere yürütülmelidir.
13 Elbette, bu ayar aktifleştirildiği gibi kolaylıkla iptal edilebilir. Bir ayarın ne zaman değiştirildiğini tespit etmenin
kolay bir yolu bulunmamaktadır. 14 APK, ‘Android Paket Kiti’ anlamına gelmektedir. Bu dosya formatı Android uygulamalarını paketleme ve sürüme
sokma amacıyla kullanılır.
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
41. Yukarıdaki birinci adımda, cihazdaki veya kullanıcının bilgisayarındaki internet
tarayıcısının kayıtlarından APK dosyalarını içeren bir web sitesinin ziyaret edilip
edilmediği anlaşılabilir.
42. İkinci adımda, Android’de kullanıcının geliştirici modunu aktifleştirebildiği gizli bir ayar
vardır; bu ayarla kullanıcı USB kablosu aracılığıyla cihaza veya cihazdan dosyaları
kopyalayabilir.15
43. Üçüncü adımda, APK dosyasına telefonun asıl dosya yönetici veya üçüncü bir yönetici
uygulaması üzerinden ulaşılabilir.
44. Bu adımlar ve sorun çıkması durumunda atılacak ilave adımlar, benim tecrübe ettiğim
kadarıyla, birçok kullanıcının hoşuna gitmeyecek bir çaba gerektirmektedir.
V.N. Bylock uygulamasının belli bir hesap tarafından belli bir zaman diliminde kaç kez
kullanıldığını tespit etmek mümkün müdür? Potansiyel olarak evet.
45. Teorik olarak, Bylock uygulamasının belirli bir hesap tarafından belirli bir zaman
diliminde kaç kez kullanıldığını öğrenmenin birkaç yolu bulunmaktadır. Bylock APK
dosyalarını kaynak kodlarına dönüştürdüğümde, Java’nın Log sınıfını kullanan bir kod
buldum.16 Log sınıfı, uygulamanın yürütüldüğü esnadaki uygulamanın hareketlerinin
kayıtlarını tutmak için kullanılır.17 Uygulamalar kendi kayıtlarını tutabilir veya kayıtları
tutmak için cihazın işletim sistemini kullanabilir. Bylock uygulamasının yürütüldüğü bir
cihaz, uygulamanın kullanımına ait zaman bilgisi, hesap numarası vb. kayıtlar içerebilir.
15 Bkz. http://www.androidauthority.com/enable-developer-options-569223/ 16 Yazılım programcılığında, ‘sınıf’ diğer programlara konulmak üzere yeniden kullanılabilecek bir yazılım parçası
anlamına gelmektedir. 17 Bkz. https://developer.android.com/reference/android/util/Log.html
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
46. Merkezi Bylock sunucusu, kullanıcılar arasındaki bağlantıların kayıtlarını, potansiyel
olarak hesap numaraları, zaman bilgileri vb. tutmuş olabilir.
47. Bir Bylock kullanıcısı diğer bir kullanıcıyla iletişim kurduğunda, genel olarak her iki
cihazda da tüm mesajlaşmanın kaydı bulunur ve bu kayıtlar zaman bilgilerini de içerir.
V.O. Bylock aracılığıyla sesli arama yapılıp yapılmadığını, bu mümkünse, bu aramanın
kime yapıldığını tespit etmek mümkün müdür? Bir kullanıcının uygulama içerisindeki
email mesajlaşma ya da SMS mesajlaşma sistemini kullanıp kullanmadığını tespit etmek
mümkün müdür? Genel olarak evet.
48. Bylock uygulamasını kullanarak sesli konuşma yapılıp yapılmadığını öğrenmek mümkün
olabilir. Normal şartlarda, Bylock gibi iletişim uygulamaları geçmiş sesli aramalar,
emailler, chat mesajları vb. kaydına sahiptir. Bununla birlikte, benim araştırmam
esnasında merkezi Bylock sunucusu çalışmıyordu ve dolayısıyla sunucu olmadan sisteme
giriş yapamadım. Ancak, önceki Bylock kullanıcılarından birisinin telefonunda hala
Bylock uygulaması varsa ve iletişim kaydına ulaşabiliyorsa, bu kayıtların o cihazda
görünür olması mümkündür. Geçmiş aramaların veya mesajların cihazdan silinmiş olması
da mümkündür, zira bu Bylock gibi mesajlaşma uygulamalarında yaygın bir özelliktir.
Uygulamayı gerektiği gibi çalıştıramadığımdan, silme özelliğinin olup olmadığını
öğrenemedim.
49. Genel olarak, uygulama tarafından gönderilen ve alınan mesajlar iki yerde tutulmuş
olmalıdır: kullanıcının kendi uygulamasında ve bu mesajların paylaşıldığı kişinin
uygulamasında.
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
V.P. Bylock uygulaması Google Play ve Apple App Store online mağazalardan tam
olarak hangi tarihlerde indirilebiliyordu? Nisan 2014 – Nisan 2016 arası.
50. Değişik online kaynaklara göre, Bylock, Google Play ve Apple App Store üzerinde Nisan
2014’te sürüme girdi. App Store’dan Eylül 2014’te, Google Play’den ise Nisan 2016’da
kaldırıldı.
V.Q. Bylock, ‘üst-düzey güvenlik’ seçeneği sunuyor mu? Farklı kriptolama metotlarıyla
iletişim seçenekleri sunuyor mu? Belirsiz.
51. Yaptığım araştırmada, Bylock’un farklı güvenlik seviyeleri sağlayıp sağlamadığı ortaya
çıkmadı. Uygulamanın tanıtımında öne çıkarılan özellik kriptolu chat mesajlaşmasıydı ve
bu kullanıcıların en çok tercih ettiği özellikti. Yaptığım online araştırmada, email ve sesli
görüşmelerin de kriptolu olduğuna işaret eden ifadeler buldum, ama bunlar için farklı
güvenlik türleri olduğuna dair bir bilgiye rastlamadım. Uygulamayı kullanamadığım için,
muhtemel kriptolama özelliklerini de test edemedim. Böyle bir test yapmadan, farklı
iletişim seçenekleri için sms/chat mesajlaşmaya göre farklı güvenlik seviyeleri
sunulduğunu öğrenmek zordur.
V.R. Hangi işletim sistemleri Bylock ile uyumludur? Sadece Android ile mi uyumludur?
Android ve IOS (Apple) ile uyumludur.
52. Bylock hem Android hem de iOS (Apple) cihazları için mevcuttu. Araştırmamda,
uygulamanın Windows ve Blackberry cihazlarına da yüklenebileceğini iddia eden web
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
siteleri buldum. Fakat, Windows ve Blackberry cihazları için yükleyici program
bulamadım.
V.R. Bylock uygulamasının üçüncü sitelere kıyasla uygulama mağazalarından kaç kez
indirildiğini tespit etmek mümkün müdür? Hayır.
53. Üçüncü sitelerle uygulama mağazalarından (Google Play ve Apple App Store) yapılmış
indirmelerin oranını karşılaştırmak çok zordur. Çünkü, uygulamaların indirilebileceği
sayısız üçüncü site vardır ve bunlardan yapılan indirmelerin sayısını tutan bir kaynak da
yoktur.
54. Mesleki tecrübelerime göre, çoğu kişi, bir web sitesinden bir uygulamayı indirdikten
sonra, bunu cihaza transfer edip, manuel olarak yüklemek gibi karmaşık adımları icra
edecek teknik bilgiye (ve sabıra) sahip değildir. Google ve Apple, insanların
uygulamaları bulup kolayca yükleyebilmeleri için online mağazalar oluşturmuşlardır. Bir
uygulama Google Play ve Apple App Store üzerinde olmayınca, bırakınız transferi ve
yüklemeyi, bu uygulamayı bulabilecek kişi sayısı bile olağanüstü azalmaktadır.
V.T. Bylock uygulaması diğer bilinen chat ve mesajlaşma uygulamalarıyla
karşılaştırıldığında kriptolama yöntemleri, güçlü ve zayıf tarafları nelerdir? Bylock’un
kriptolama yöntemi WhatsApp, Viber, Tango ile nasıl karşılaştırılabilir? Bylock’un
kriptolaması diğer birçok uygulamaya göre daha az güvenliydi.
55. Bir kriptolama teknolojisini uygulamayı kullanmadan ve kaynak kodunu incelemeden
karşılaştırmak son derece zordur. Bununla birlikte, yaptığım online araştırma ve
uygulamanın kaynak koduna dönüştürmesine göre, Bylock’un kriptolaması herhangi bir
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
geliştiricinin elde edebileceği standard Java kütüphanesi kullanılarak yapılmıştır. Ayrıca,
Bylock’un iletişimin bütün adımlarını koruma kapasitesine sahip uçtan uca kriptolama
(E2EE olarak bilinir) özelliğine sahip olmadığını buldum. Bylock’un kriptolaması sadece
merkezi Bylock sunucusu ile kullanıcının cihazı arasında işlemiştir.
56. Buna karşılık, diğer birçok mesajlaşma uygulamaları daha gelişmiş kriptolama teknikleri
içerir. Electronic Frontier Foundation adlı kurum hangi uygulamanın hangi kriptolama
özelliklerine sahip olduğunu listelemeye çalışmıştır ve bu liste uzundur. 18 Listeden bir
alıntı şu şekildedir:
18 Bkz. https://www.eff.org/node/82654
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
Transit
sırasında kriptolu mu?
Sağlayıcının
okuyamayacağı şekilde kriptolu
mu?
Kişilerin
kimliklerini doğrulayabilir
misin?
Anahtarların
çalınırsa, geçmiş
iletişimler
güvende mi?
Kod, tarafsız bir
değerlendirmeye açık mı?
Güvenlik
dizaynı doğru biçimde
belgelenmiş
mi?
Yakın
zamanda kod teftişi olmuş
mu?
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
Genel olarak, bir uygulama ne kadar yeşil işarete sahipse, güvenliği o kadar iyidir. Bana göre, bu
tabloda, Bylock’un veri güvenliği en fazla iki yeşil işaret alabilirdi.
57. Facebook Messenger, Apple iMessage ve diğer birçok mesajlaşma uygulaması E2EE
sunmaktadır ki bu Bylock’un kriptolama türünden çok daha iyidir. WhatsApp ve Viber,
E2EE özelliğinin nasıl çalıştığını kamuoyuna açıkladı ve dolayısıyla uzamanlar
tarafından değerlendirilebilir. 19
V.U. Bylock mesajlarının kendi kendini yok etme özelliği bulunmaktaydı. Diğer güvenli
chat uygulamaları da benzer özelliğe (mesajların kendini yok etmesi/otomatik silinme)
sahip midir? Evet, birçoğu.
58. Kendini kendini yok eden mesaj özelliğini taşıyan ve en çok bilinen mesajlaşma
uygulaması, 2011’de sürüme giren Snapchat uygulamasıdır. 20 Telegram,21 Wickr22 ve
Sobrr23 gibi diğer mesajlaşma uygulamaları da kullanıcı tarafından oluşturulan içerik ve
mesajların otomatik olarak belli bir süre sonra silinmesini sağlayan özelliklere sahiptir.
Apple App Store’da, Viber Wink adlı Viber yardımcı uygulaması bulunmaktadır; bu
uygulama kendi kendini yok eden mesajları gönderip alabilmektedir.
19 Bkz. https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf ve
https://www.viber.com/en/security-overview 20 Bkz. https://www.snapchat.com/ 21 Bkz. https://www.telegram.org/ 22 Bkz. https://www.wickr.com/ 23 Bkz. http://www.imsobrr.com/
Orange County Translation & Notary www.ocmobiletranslationandnotary.com
JASON FRANKOVITZ BİLİRKİŞİ RAPORU
4570 Campus Drive, Suite 21 • Newport Beach, California 92660
Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190
V.V. Bylock’un telefon rehberi entegrasyon özelliği bulunmamaktadır. Bu özelliğe sahip
olmayan başka uygulamalar var mıdır? Ben bulamadım.
59. Mevcut çok sayıda mesajlaşma uygulaması vardır ve bunların çoğunda telefon defteri
entegrasyonu eksikliği de dahil olmak üzere birbirleriyle ortak bir çok özellikleri vardır.
Örneğin, Surespot24 adlı uygulama, kullanıcı için bir telefon numarası veya e-posta
adresi kullanmaz, bu da telefon defteri entegrasyon özelliğinin kullanışlı olmayacağı
anlamına gelir.
V.W. Bylock kayıt esnasında email adresi ya da telefon numarası istememektedir. Email
adresi ve telefon numarası istemeyen başka uygulamalar var mıdır? Birçok uygulama
bunlardan birisini istemektedir.
60. Facebook Messenger ve Skype gibi bazı mesajlaşma uygulamaları, email adresinizi
girmenizi şart koşmaktadır. Viber ve Tango gibi uygulamalar ise email adresini
istememekle beraber, teyit edici mesaj göndermek için telefon numarası istemektedir.
Genel olarak, birçok mesajlaşma uygulaması ya email adresini ya telefon numarasını ya
da her ikisini istemektedir.
61. Yeni bilgilerin bulunması halinde, buradaki görüş ve sonuçlara ekleme yapmak ve
değiştirmek hakkını saklı tutuyorum.
Yukarıda yazılanların gerçek ve doğru olduğunu, yalan ifade cezasını göze alarak, beyan
ederim.
9 Ağustos 2017 tarihinde Los Angeles, Kaliforniya’da icra edilmiştir.
_[IMZA]_________
Jason Frankovitz
Expert Report of Jason Frankovitz - 1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
EXPERT REPORT OF JASON FRANKOVITZ
I. INTRODUCTION
1. My name is Jason Frankovitz of Los Angeles, California, USA. I have been retained
by attorney Murat AKKOÇ as an expert in software engineering to provide my opinions in
connection with a legal matter against Ali CIHAN. I have been asked to provide expert opinions
related to the Bylock communications app.
2. If necessary, I am prepared to review currently-unknown material presented before
and/or after trial. I also understand that additional discovery or new evidence may be made
available that is specifically relevant to the opinions I express here. I reserve the right to amend
or supplement this report, as necessary and as acceptable to the Court. I also reserve the right to
develop materials and exhibits as appropriate for use in helping to demonstrate and explain my
opinions in the event that I am asked to testify.
3. I am being compensated for my work on this case at the rate of $395 per hour plus
reimbursement of direct expenses. I have no personal interest in this litigation, and my
compensation does not depend in any way on the opinions I express or outcome of this case.
II. QUALIFICATIONS
4. This section summarizes my education, professional achievements, and peer-
reviewed scientific publications in the field of computer science. A more detailed list of my
qualifications is set forth in my curriculum vitae, a copy of which accompanies this report.
5. I am an expert in software and computing technology with over 25 years of experience
as an inventor, engineer and programmer. I currently serve as a software engineering expert with
Quandary Peak Research located in Los Angeles, California, USA. As part of my duties with
Quandary Peak Research, I provide software analysis services for patent infringement and trade
Expert Report of Jason Frankovitz - 2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
secret disputes, perform forensic investigations of computer systems, including examination of
digital data, and conduct source code analysis for litigation support.
6. I have been a software engineer for a variety of large and small technology
companies making Web-based software, mobile apps and backend systems. I am listed as the
inventor on a pending patent for a social media advertising system. I have been an instructor of
technology- and Internet-related topics at San Francisco State University, California, USA.
7. Over my many years of experience in the software and Internet industry, I
have developed technical expertise in a variety of Internet and Web technologies such as
Transmission Control Protocol/Internet Protocol (TCP/IP), Hypertext Transfer Protocol (HTTP),
Domain Name System (DNS), Secure Sockets Layer (SSL), Common Gateway Interface (CGI),
proxies, client/server architectures, cloud computing, content management systems, relational
databases, domain registration, and Web forensics. I am also an expert in commonly used web
programming languages, such as Ruby, Rails, PHP, Perl, Java, JavaScript, Hypertext Markup
Language (HTML), XML, Cascading Style Sheets (CSS), asynchronous Javascript and XML
(AJAX), and shell programming languages.
8. I have performed a variety of investigations and analyses for software
patent infringement, software copyright, breach of contract, and software trade secret cases. Prior
to working with Quandary Peak Research, I served as an intellectual property and
technology advisor with TechKnow Consulting, providing a range of services in software-related
matters including patent licensing and brokerage. I also served as a software intellectual
property consultant with Intellectual Ventures, a company located in Bellevue, Washington State,
USA.
9. I have served as an expert in software, the Internet, and Web technology in more than
forty legal matters. I have given expert testimony in depositions, one bench trial and multiple jury
Expert Report of Jason Frankovitz - 3
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
trials in Los Angeles County Superior Court, San Diego Superior Court and Santa Clara Superior
Court in California, USA.
III. MATERIALS CONSIDERED
10. I have relied on the following items to help form my opinions in this matter: (1)
original research I performed on the Internet, (2) materials provided to me by the legal staff of
Mr. AKKOÇ, (3) a decompiled Bylock application1, (4) the other materials cited in this report,
and (5) my years of experience writing, deploying, and supporting software applications.
11. Unless noted otherwise, my investigation was performed using the Android version
of the Bylock application, written in the Java programming language. I did not review any
materials indicating significant differences between the features of the iOS/Apple version of the
Bylock app and the Android version.
IV. QUESTIONS POSED
12. I was asked to perform an independent inquiry to answer the following questions:
a. Is the Bylock application available for download by anyone?
b. Can the Bylock application be used by anyone, or can it only be used by a
single group?
c. Is it possible to obtain the contents of messages sent and received using the
Bylock application?
d. Is it possible to know when the Bylock application was downloaded?
e. Is it possible to know when the Bylock application was actively used?
f. Can the Bylock application be used without a network connection, or must it
be used with a network connection of some kind (such as a cellular connection
or Wi-Fi connection)?
1 Decompilation is the process of obtaining the source code from a compiled (runnable) application. Decompiling can reveal some of app’s programming, which is normally stored inside the app in an unreadable format.
Expert Report of Jason Frankovitz - 4
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
g. Is it possible for people using the Bylock application and people not using it
to share the same Wi-Fi network?
h. Is it possible to determine the identification of Bylock users?
i. Does Bylock enable secure encrypted communication between two parties?
j. Does Bylock use military-grade encryption methods to secure the
communication between parties?
k. Once the identities of the users are determined, is it possible to determine the
connection type (such as ADSL, 4G) of the users?
l. Is it possible to determine the IMEI number of a GSM phone that runs Bylock?
m. Is it possible to determine whether a user acquired the Bylock app from app
stores or from third-party websites?
n. Is it possible to determine how many times the Bylock app has been used by a
specific account in a specific time period?
o. Is it possible to determine whether voice calls have been made via Bylock and
if yes, to whom the voice call has been made? Is it possible to determine
whether the in-app e-mail messaging system or the in-app text messaging
system has been used by a user?
p. What were the exact dates during which the Bylock app could be downloaded
from Google Play and Apple App Store?
q. Does Bylock offer a “high-level security” messaging option? Does it have
communication options with different encryption methods?
r. Which operating systems is Bylock compatible with? Is it only compatible
with Android?
s. Is it possible to determine how many times Bylock was downloaded from app
marketplaces compared to third-party websites?
Expert Report of Jason Frankovitz - 5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
t. What are the encryption properties, strengths and weaknesses of Bylock
compared to other well-known chat and messaging apps? How does Bylock’s
encryption compare to WhatsApp, Viber, and Tango?
u. Bylock messages had a self-destruct feature. Do any other secure chat
applications have a similar feature (messages that self-destruct/automatic
message deletion)?
v. Bylock does not have phonebook integration. Are there other applications
which do not have a phonebook integration feature?
w. Bylock does not request an e-mail address and phone number during
registration. Do other applications not request an e-mail address and phone
number?
V. RESULTS OF INQUIRY
V.A. Is the Bylock application available for download by anyone? Yes.
13. Applications like Bylock are typically distributed to users via an Internet-based “app
marketplace.” For example, iPhone users can download and install applications (also called
“apps”) using an online app marketplace called “App Store”. For Android users, apps are
downloaded and installed using an online app marketplace called “Google Play”. During the time
the Bylock application was available on Google Play, it could have been downloaded by anyone
with an Android device and a Google account.
14. After an app is removed from its app marketplace, it is still possible to download and
install the app from other websites that have a copy. For example, the Bylock app is no longer
available in Google Play, but the Bylock “APK” (Android Package Kit) file can be found on
many other APK sites where users share and discuss mobile apps. Because anyone can access
these sites, anyone can download the Bylock application from many of its Internet storage
locations.
Expert Report of Jason Frankovitz - 6
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
V.B. Can the Bylock application be used by anyone, or can it only be used by a single
group? It could be used by anyone (but is no longer in operation).
15. Not only can the Bylock app be downloaded by anyone, but once it has been
downloaded, the person who downloaded it could create their own Bylock account and start
sending messages to other users (before the system stopped operating in 2016). The Bylock
system required the use of a central server maintained by Bylock for the app to work. When the
central Bylock server stopped operating, it is likely that anyone who downloaded Bylock would
not be able to use it.
16. I found nothing in my examination of the Bylock app indicating that the app was able
to enforce a specific group membership as a condition of use.
V.C. Is it possible to obtain the contents of messages sent and received using the Bylock
application? Yes.
17. The contents of messages sent and received using Bylock can be obtained, using a few
methods:
a. The device running the Bylock app maintains a record of messages in each
conversation. The contents of messages can be obtained by using the Bylock
app on the device that sent and received the messages and examining each
conversation in the app. The sender and the receiver of a message should have
identical copies of the conversation on both devices that were using Bylock.
b. The central server used by Bylock contained usernames and passwords for
Bylock users. If those usernames and passwords are obtained, then they could
be used to impersonate the original/actual Bylock users for login purposes. By
logging in as another user, it may be possible to see the history of the user’s
past conversations.
Expert Report of Jason Frankovitz - 7
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
c. The central server used by Bylock may have routed messages from user to
user. If Bylock operated in this way (which is likely based on the type of
application), then the contents of each message would be available on the
central server. By compromising the server, the messages could be obtained.
i. Further, if the central server used by Bylock did route messages from
user to user, then the contents of messages could be obtained, in theory,
by monitoring the network connection between the device using
Bylock and the central server. However, it would be unusual for a
messaging app like Bylock to use the type of network connection
vulnerable to simple monitoring.
d. If a device with Bylock installed was backed up or copied, then it is possible
the backup files could contain the contents of the Bylock messages. However,
depending on the backup system and the device, backup files can be encrypted
to prevent their contents from being read.
V.D. Is it possible to know when the Bylock application was downloaded? Yes.
18. There are different ways to know when an application is downloaded:
a. If Bylock was downloaded from an online app marketplace like Google Play
or Apple’s App Store, then the history of the user’s activity has been recorded
by the online app marketplace. The user’s history can then be obtained by
accessing the server and examining the logs there.
b. Each online app marketplace maintains a history (available to the user) of what
was downloaded and when. For example, the site https://payments.google.com
allows the user to log in and see their past purchases of Google products and
services and the date of each purchase.2
2 See payments1.png (Source: https://payments.google.com)
Expert Report of Jason Frankovitz - 8
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
c. Each online app marketplace usually offers the option of sending an email to
the user after an app is downloaded or purchased. If this option were activated,
it would then be possible to know approximately the time Bylock was
downloaded by reviewing any emails sent from the app marketplace to the
user.
d. The device that downloaded Bylock would have dates and times associated
with the download in the device’s file storage area, indicating when Bylock
was downloaded and when its files were installed. However, viewing this data
usually requires a technical procedure, because the inner workings of the
operating system are designed to be hidden from nontechnical users. For
example, on Android devices, a series of steps are needed to access the
debugging function of the device via the local wireless network; once
completed, the internals of the Android operating system can be inspected
using other commands. One way to do this is demonstrated at
https://futurestud.io/tutorials/how-to-debug-your-android-app-over-wifi-
without-root.
V.E. Is it possible to know when the Bylock application was actively used? Yes.
19. There are a few ways to know when Bylock was being actively used:
a. Server logs: when Bylock is being used, it communicates with a central server.
This server keeps a log of the resources being used on the system. Therefore
the central server would log information during Bylock use, and those logs
could be reviewed at a later time.
b. Server Database records: when Bylock is using the central server, it reads and
writes information in a database stored there. According to Harun Esur,3 the
3 See https://tr.linkedin.com/in/harunesur/it
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Bylock database has a column named “lastonlinetime” which records a date
and time.4 It is common for individual rows in a database to record dates and
times for different activities.
c. Device logs: when Bylock is running on the mobile device, the device has its
own log of resources being used just like the server does. Like the logs stored
on the central server, they may contain details about Bylock that were recorded
while it was being used.
d. Device Database records: applications like Bylock often use a database on the
device; it can store some identical information with the database on the central
server, or it can store different information. The database on the device would
be a potential source of date and time information that could reveal when
Bylock was being used.
e. Network sniffing: it is possible to observe traffic on a computer network using
a program called a network packet analyzer, also known as a “sniffer”. A
sniffer will see if a device on the network is communicating with the Bylock
central server. Because of the encrypted communication between the device
and the server, the sniffer is normally not able to see the contents of the
messages, but it can see that communication is happening. Note that this
detection technique is only possible while the device and server are in
active/realtime communication.5
4 See database1.png (Source: https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/09/ByLock-app-hacking-Turkish-MIT-2.jpg?w=603) 5 It is my understanding that Bylock central server has been offline since early 2016 and since that time there has been no more use of the Bylock service.
Expert Report of Jason Frankovitz - 9
Expert Report of Jason Frankovitz - 10
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
V.F. Can the Bylock application be used without a network connection, or must it be
used with a network connection of some kind (such as a cellular connection or Wi-
Fi connection)? Bylock needed a network connection.
20. Based on my research, Bylock required a network connection. This is logical, because
without network access messages to and from other users could not be sent or received by the
device. While it would be technically possible to run the Bylock app without a network
connection, it is unlikely it could perform any useful action.
V.G. Is it possible for people using the Bylock application and people not using it to
share the same Wi-Fi network? Yes.
21. It is not only possible for people using Bylock and people not using Bylock to share
the same Wi-Fi network; it is the intended way Wi-Fi was designed to work. A Wi-Fi (wireless)
network is a shared resource; it is meant to let multiple people use independent network
connections at once. This is normal. Because each device has a unique IP number, the network
can route network traffic to and from many people, all using different applications to do different
things, at the same time. If this were not the case, then we would see dedicated Wi-Fi networks
for each individual application, i.e. a wireless network just for Google Chrome (browsing the
web), a second wireless network just for Microsoft Outlook (checking email), a third wireless
network just for Skype (making voice calls), a fourth wireless network just for Call of Duty
(playing games), and on, and on. This would obviously be completely impractical, and it would
indicate poor design of a networking standard; this not how Wi-Fi normally works. Instead, Wi-
Fi allows many people to use many different applications on the same network simultaneously.
V.H. Is it possible to determine the identity of Bylock users? Yes.
22. Under the right conditions, the identity of Bylock users could be discovered, just as
the identities of users of other online applications could be discovered. The Bylock central server
has information that identifies users personally, like names and passwords. Other information on
Expert Report of Jason Frankovitz - 11
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
the server could possibly reveal additional details, like users’ countries of residence, IP numbers
of recent connections, dates of birth, even postal codes.
23. If Bylock and the central server were configured to communicate using a nonstandard
network port, then the ISP (Internet Service Provider) could monitor their gateway for customer
traffic flowing through the unusual port.6 Then the IP number of the ISP’s customer (along with
any other identifying information unique to the device or connection) could be logged and
correlated with likely users.
24. If a phishing email were sent to potential Bylock users, asking them to type in their
Bylock username and password, then the Bylock user themselves would disclose their own
identity, albeit unwittingly.
25. If the device using Bylock is backed up over the network, the backup contents could
be scanned for possible identity clues.
26. If an app marketplace (like Google Play or Apple’s App Store) sent an email
confirming the user successfully downloaded Bylock, then the email server at an ISP could watch
for a Bylock-related email message, record whatever email address is on the To: line of that
message, then finish delivering the message.
27. These are just a few ways a person’s identity can be determined from using online
sites and apps. There are also many ways a person can be manipulated into revealing personal
information, not only on the Internet but also in the real world; this is a field called “social
engineering”7 and is beyond the scope of this report.
6 If Bylock were communicating on a normal network port, one used by everyday services like web and email, it would be more challenging (though not impossible) for the ISP to notice the Bylock activity. A comprehensive list of standard ports for Internet services can be found at https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml 7 See https://en.wikipedia.org/wiki/Social_engineering_(security)
Expert Report of Jason Frankovitz - 12
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
V.I. Does Bylock enable secure encrypted communication between two parties? Yes.
28. Bylock used standard, publicly-available Java libraries (such as those included in
java.security and javax.crypto8) to provide encrypted communication between users of the
application. Because Java is a widely-used programming language owned by Oracle Corporation,
there is abundant documentation explaining how the Java encryption system works9 and many
examples of code that programmers can learn from and modify.10
V.J. Does Bylock use military-grade encryption methods to secure the communication
between parties? Yes and no.
29. The phrase “military grade encryption” is not a very useful way to describe an
encryption system. This is because many military agencies use encryption that is common in
consumer and civilian software and vice-versa. The National Institute of Standards and
Technology (NIST) in the United States established an encryption system called AES, and this
system was chosen by the United States National Security Agency (NSA) as suitable for
information marked “top secret”. It is believed this is a possible origin of the phrase “military
grade encryption”.
30. The encryption used in the Bylock application is the same encryption available to any
Android programmer. The software performing the encryption is documented publicly by Oracle
Corporation.11
V.K. Once the identities of the users are determined, is it possible to determine the
connection type (such as ADSL, 4G) of the users? It depends, but probably
doubtful.
31. Operating systems which use modern networking technologies (like Android) are
created to insulate the type of network connection from the application using the network 8 See https://docs.oracle.com/javase/7/docs/api/javax/crypto/package-summary.html 9 See https://docs.oracle.com/javase/7/docs/technotes/guides/security/crypto/CryptoSpec.html 10 See http://www.java2s.com/Code/Java/Security/Basicsymmetricencryptionexample.htm 11 See http://docs.oracle.com/javase/8/docs/technotes/guides/security/crypto/CryptoSpec.html
Expert Report of Jason Frankovitz - 13
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
connection. This technique, called abstraction, makes it easier to write programs that can work
with a variety of network connections. If the network connection type were not abstracted by the
operating system, the programmer would have to write different code for a Wi-Fi network, a
business network, a home network, a cellular network, and so on. Abstraction means it’s unlikely
that a messaging application like Bylock would have useful information about the type of network
connection.
V.L. Is it possible to determine the IMEI number of a GSM phone that runs Bylock?
Unlikely.
32. For an Android application like Bylock to know the IMEI number of the phone, the
application must have specific programming code. To start, the app must be configured with a
line of code that gives the application permission to read IMEI information from the phone:
33. I found the above line of code in the Bylock APK I decompiled.
34. In addition to the line above, the application must also have code that invokes a
method called getDeviceId(). This method will reveal the IMEI number on a GSM phone. One
example of how the method can be programmed is:
35. I did not find any code using or invoking the getDeviceId() method in the Bylock APK
I decompiled. Based on the face the getDeviceId() method was not present in the decompiled
code I examined, my opinion is that the Bylock application was not able to access the IMEI.
36. It should be possible for the cellular network carrier to identify the IMEI of a device
if it has a valid and working SIM card.
Expert Report of Jason Frankovitz - 14
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
V.M. Is it possible to determine whether a user acquired the Bylock app from app stores
or from third-party websites? Yes, in some circumstances.
37. It may be possible to know the source of the Bylock app installed on a device. Google
(the creator of the Android operating system) operates “Google Play”, a special online store that
lets people easily install mobile applications onto an Android device. By default, Android phones
are configured to download and install applications from Google Play. To download an app from
Google Play, the user must have a Google ID, which is used to log what apps are downloaded.
Instructions how to view each user’s Google Play download history are at
https://support.google.com/googleplay/answer/2850369?hl=tr in Turkish and
https://support.google.com/googleplay/answer/2850369?hl=en in English.
38. However, it is possible for a user to alter a phone so that applications can be
downloaded from third-party websites. There are several versions of the Android operating
system that allow the user to change a setting controlling how apps can be installed. If the user
activates the setting, Android will allow the user to install applications that did not come from
the Google Play store. An example of this setting12 is shown here:
12 Image from http://softstribe.com/android/how-to-enable-third-party-applications-installation-in-android/
Expert Report of Jason Frankovitz - 15
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
39. Examining this setting on the device is one way to know if apps have been installed
from a third-party source.13
40. Assuming the phone has been configured to allow app installation from a third-party
source, additional technical steps must be taken to actually perform the installation itself:
a. The desired application must be located online in APK format14
b. The APK file must be downloaded to the device (or downloaded to a computer
and then copied to the device)
c. Once the APK file is on the device, it must be located and run so the
installation can complete.
41. For the first step above, using the browsing history on the device or on the user’s
computer, it may be possible to see if a website featuring APK files was visited.
42. For the second step, there is a hidden setting in Android that allows the user to activate
developer mode, which allows the user to copy files to and from the device using a USB cable.15
43. For the third step, the APK file may be accessible through the phone’s original file
manager, or using a third-party file manager application.
44. These steps, and the additional steps needed if problems are encountered, represent a
level of effort that most users dislike, in my experience.
V.N. Is it possible to determine how many times the Bylock app has been used by a
specific account in a specific time period? Potentially yes.
45. In theory there are a few ways to know how many times Bylock has been used by a
specific account during a specific time. When I decompiled the Bylock APK, I found code that
uses Java’s Log class.16 The Log class is used to perform logging of the application’s behavior
13 Of course, the setting can be deactivated as easily as it can be activated. There is no simple way to know if or when the setting has been changed in the past. 14 APK stands for “Android Package Kit”, a file format used to package and distribute Android applications. 15 See http://www.androidauthority.com/enable-developer-options-569223/ 16 In software programming, a “class” is a reusable piece of software intended to be included in other programs.
Expert Report of Jason Frankovitz - 16
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
when it runs.17 Applications can record their own logs, or they can use the device’s operating
system to record their logs. A device that ran the Bylock application may have logs that reveal
details about the app’s usage, which may include timestamps, account IDs, and other information.
46. The central Bylock server was likely to have recorded connections between users,
potentially including account IDs, timestamps, and other information.
47. If a Bylock user was communicating with another user, there is usually a record of the
complete conversation on both devices, and the communications may include timestamps.
V.O. Is it possible to determine whether voice calls have been made via Bylock and if
yes, to whom the voice call has been made? Is it possible to determine whether the
in-app e-mail messaging system or the in-app text messaging system has been used
by a user? Usually yes.
48. It should be possible to know if voice calls have been made using the Bylock
application. Under normal circumstances, communication applications like Bylock usually keep
a record of past voice calls, emails, chat messages, etc. However, the central Bylock server is no
longer operating and during my examination I was not able to log in without the server. But if
an earlier Bylock user still has the app on their phone and can access their communication history,
it is possible those records are viewable on the device. It is also possible that previous calls or
messages were deleted from the device because that is a common feature of messaging
applications like Bylock. Because I could not properly run the application I don’t know if it
offers a deletion feature.
49. In general, any messages sent or received by the app should be recorded in two places:
the user’s own application and the application of the person with whom the communication was
shared.
17 See https://developer.android.com/reference/android/util/Log.html
Expert Report of Jason Frankovitz - 17
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
V.P. What were the exact dates during which the Bylock app could be downloaded from
Google Play and Apple App Store? April 2014 through April 2016.
50. According to various sources online, Bylock became available on Google Play and
Apple’s App Store in April 2014. It was removed from the App Store in September 2014 and
removed from Google Play in April 2016.
V.Q. Does Bylock offer a “high-level security” messaging option? Does it have
communication options with different encryption methods? Unknown.
51. Based on my research, it was unclear if Bylock offered different levels of security.
The main feature used to promote the application was the encrypted chat messaging, and this
seemed to be the most popular function among users. My online research found statements
indicating that the other communications features such as email and voice were also encrypted,
but there was no information about a different type of security for those features specifically.
Because I was unable to use the application I could not test possible encryption features. Without
such testing it is difficult to know if different communication options offered different levels of
security compared to the text/chat messaging feature.
V.R. Which operating systems is Bylock compatible with? Is it only compatible with
Android? Android and iOS (Apple).
52. Bylock was available for both Android and iOS (Apple) devices. During my research
I found websites which claimed the application could be installed on Windows phones and
Blackberry devices. However, I was never able to successfully find any installers for Windows
phones or Blackberry devices.
V.S. Is it possible to determine how many times Bylock was downloaded from app
marketplaces compared to third-party websites? No.
53. It is very difficult to compare the ratio of third-party website downloads to downloads
from the app marketplaces (Google Play and Apple’s App Store). This is because there are
Expert Report of Jason Frankovitz - 18
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
countless third-party websites from which apps can be downloaded, but there is no one source of
information that counts downloads from these third-party sites.
54. Based on my professional experience, most laypeople lack the technical knowledge
(or the patience) to perform a series of complicated steps to download an application from a
website, transfer it to their device, and install it manually. Google and Apple created their app
marketplaces to make it very easy and convenient for people to discover applications and install
them quickly. When an application is no longer available from Google Play or Apple’s App Store,
the audience who can easily find the application, to say nothing of transferring and installing it
manually, shrinks drastically.
V.T. What are the encryption properties, strengths and weaknesses of Bylock compared
to other well-known chat and messaging apps? How does Bylock’s encryption
compare to WhatsApp, Viber, and others? Bylock’s encryption was less secure
compared to many other apps.
55. It is very difficult to perform a firsthand comparison of an encryption technology
without using the application and studying the source code. However, according to my research
online and code I decompiled from the application, Bylock’s encryption was created using
standard Java libraries available to any developer. Further, Bylock lacked end-to-end encryption
(also known as E2EE), which is capable of protecting all segments of communication. Bylock’s
encryption only operated between the Bylock central server and the user’s device.
56. By contrast, many other messaging apps have more sophisticated encryption
techniques. The Electronic Frontier Foundation has attempted to document which apps have
which encryption features, and the list is extensive.18 An excerpt of the chart looks like this:
18 See https://www.eff.org/node/82654
Expert Report of Jason Frankovitz - 19
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
In general, the more green checkboxes an app has, the stronger the security. In my opinion
Bylock’s data security would probably warrant a maximum of two green checkboxes in this
chart.
57. Facebook Messenger, Apple’s iMessage and many other messaging apps offer E2EE
which is considered superior to the kind of encryption in Bylock. WhatsApp and Viber have
explained publicly how their E2EE works so it can be reviewed by experts.19
19 See https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf and https://www.viber.com/en/security-overview
Expert Report of Jason Frankovitz - 20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
V.U. Bylock messages had a self-destruct feature. Do any other secure chat applications
have a similar feature (messages that self-destruct/automatic message deletion)?
Yes, several.
58. The most well-known messaging application with a self-destructing message feature
is Snapchat, which was released in 2011.20 Other messaging apps like Telegram21, Wickr22, and
Sobrr23 have a similar feature where content and messages created by the user will automatically
delete themselves after a period of time. Apple’s App Store has a Viber companion app called
Viber Wink, which sends and receives self-deleting messages.
V.V. Bylock does not have phonebook integration. Are there other applications which
do not have a phonebook integration feature? None that I found.
59. There are a large number of messaging apps available and many of them have features
in common with each other, including the lack of phonebook integration. For example, the app
Surespot24 does not use a phone number or an email address for the user, meaning a phonebook
integration feature would be not be useful.
V.W. Bylock does not request an e-mail address and phone number during registration.
Do other applications not request an e-mail address and phone number? Most apps
ask for one or the other.
60. Some messaging apps like Facebook Messenger and Skype require you to enter your
email address. Other apps, like Viber and Tango, do not require an email address but ask for a
phone number to send a confirmation text message. In general, many messaging apps do ask for
either an email address or a phone number, and some ask for both, but this is not always the case.
20 See https://www.snapchat.com/ 21 See https://www.telegram.org/ 22 See https://www.wickr.com/ 23 See http://www.imsobrr.com/ 24 See https://www.surespot.me/support.html
Expert Report of Jason Frankovitz - 21
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
61. I reserve the right to supplement and amend the opinions and conclusions herein as
new information is discovered.
I declare under penalty of perjury that the foregoing is true and correct.
Executed on _______________ at Los Angeles, California.
____________________________
Jason Frankovitz
August 9, 2017
1
JASONFRANKOVITZSoftwareEngineeringExpertQuandaryPeakResearch7958BeverlyBlvd.LosAngeles,CA90048Phone:323.545.3660Email:[email protected]
• Expertinsoftwarewith25+yearsofexperienceasanengineerandprogrammer.• Softwareinventorwithpatentpending.• Testifiedordeposed12timesasanexpertinsoftwareandInternettechnologiesinfederalandstatecourt.• DesignedandbuilttheWeb’sfirstonlinebookmarksitein1996,citedaspriorartformultiplepatentmatters.• SelectedasEntrepreneur-in-ResidenceatMainStreetPartnersonMITcampus.• Currently serves as a software intellectual property consultant focusing on software trade secrets,Web andsocialmediatechnologies,softwaredevelopmentbest-practices,anddigitalcopyright/codetheft.
EMPLOYMENT
• SoftwareIPConsultant Apr2014–presentQuandaryPeakResearch,LosAngeles,CA– Providingsoftwareanalysisservicesforpatentinfringementandtradesecretdisputes.– Performingforensicinvestigationsofcomputersystems,includingexaminationofdigitaldata.– Installing,configuringandusingsourcecodeanalysistoolsforlitigationsupport.– Creatingclaimchartsforpatentinfringementandinvalidityanalysis.
• IntellectualPropertyandTechnologyAdvisor Jun2013–Apr2014TechKnowConsulting,LosAngeles,CA– Providedconsultingforarangeofsoftware-relatedmattersincludingpatentlicensing,infringement,brokerage,andgeneralsoftwareIPadvising.
– Researchedproductsandcompaniesforsimilaritiestopatentsbeingsoldtomaximizebuyerinterest.– Interviewedinventorstohelpbrokersunderstandapatent’spotentialsalevalue.
• SoftwareIPConsultant Mar2011–May2013IntellectualVentures,Bellevue,WA- Providedtechnicalanalysisforpatentlicensingnegotiationsrelatedtocloudcomputing,socialnetworking,ecommerce,mobile,videogames,operatingsystems,electronicgambling,travel,andimaging.
- Examinedandinvestigatedavarietyofsoftwaretechnologiesforpotentialpatentinfringement.- Reverse-engineerednumeroussoftwaresystemstodocumentsystemoperationsandservices.- Evaluatedpatentclaimsforlikelihoodofinfringementandlicensingpotential.- Scoredpatentportfoliosforprioritizinglicensingefforts.
• Founder&CTO Feb2006–Feb2011Seethroo.us,LosAngeles,CA- Launchedonlineadvertisingandmarketingstartupspecializinginsocialmedia.- Createdscalablecloud-basedRubyonRailsapplicationforadnetworksandpublisherstomanageadvertisingcampaigns.
- DesignedproprietaryjQuery-basedpublisherintegrationsystem.
2 - Managedsoftwareengineeringandusedagilepracticestodrivetest-drivendevelopment.- Developedinternaltool“brainiac”forcreatingandmanagingmachinelearningmodelsforanaturallanguageprocessing(NLP)systemthatanalyzeduser-generatedcontentfortargetedads.
• SoftwareEngineer Aug2008–Dec2009AT&TInteractive,Glendale,CA- AsamemberoftheR&Ddepartment,workedonvariousexperimental/exploratoryprojectsforAT&TInteractive’sSocialServicesteam.
- UsedRubyandjQuerytoco-developaninternalQAtoolmeasuringrelevancyofsearchresultsforyp.com.- Wrotealarge-scalewebadscrapingsystemusingRubyandnokogiri,anXMLparsinglibrary.- ContributedtothedevelopmentanduseofaREST-orientedframeworkwritteninRuby.- WrotebackendcodepoweringaniOS/mobileapplicationforreservingproductsfrombrick-&-mortarretailers.
• SoftwareEngineer May2007–Jun2008DialedIn.com,LosAngeles,CA- DevelopedRubyonRailsapplicationsformobileeventmanagementproduct.- Implementedgroupmessagingfeaturesforemail,Web,andSMS.- Builtmultiple-stagedevelopmentenvironmentenablinguninterruptedserviceforendusers.- Wroteunitandfunctionaltestsandinstalledcontinuousintegrationservicestofindbugsfaster.
• SegmentProducer Apr2002–Feb2006TechTV,G4,andg-NET,SanFrancisco,CAandLosAngeles,CA- Producedtechnologytelevisionsegmentsforcableandonlinedistributioncoveringconsumerelectronicsproductreviews,interviewswithnotablesoftwareleaders,andindustrycommentaryandanalysis.
- Pitchedconcepts,wrotescripts,bookedtalent,andshotandeditedpackagesbetween2minutesand9minutestotalrunningtime.
- Coordinatedwithsoftwarecompaniestoacquiredemoproductstomeetproductionschedule.- Maintained,administered,andupgradedlabhardwareandcontentlibrary.
• Founder&CTO Apr1996–Apr2002itList.com,Cambridge,MA- Createdthefirstonlinebookmarksiteintheworld.- Developedacompletesuiteofonlinetoolstoenablebookmarksubmission,sharing,storage,organization,searching,anduseraccountmanagement.
- ProgrammedacustomperlAPItoMysqldatabasesonLinux.- Installed,configured,andcustomizedApachehttpdwithmod_perl.- Developedaninfrastructuretorapidlydeploy(<1hour)partnersitesforitListservice.- Handledtechnicalsupportneedsfor30,000users.
• SystemsAdministrator Feb1997–Apr1999Liszt.com,Sebastopol,CA- ProvidedLinuxsystemsadministrationtomajoronlinesearchengine.- DebuggedApache,perl,andmod_perlissuesandmonitoredtrafficandlocalCPUload.- Implementedperformanceandsecurityenhancementsinvolvinghttpd,sendmail,pop3,telnet,ssh,andftp.- Performedautomatedbackupsnightlyandscheduleddowntimesforupgrades.
• CertifiedClearCase/SoftwareConfigurationManagementSpecialist Sept1996–Dec1998PencomSystems,Boston,MA- Providedsoftwareconfigurationmanagement(SCM)expertiseinheterogeneousdevelopmentenvironments(SunOS/Solaris,SCO,HP-UX,WindowsNT.)
- PerformedadministrationandconfigurationofClearCase,CVS,RCS,andVisualSourceSafesystems.
3 - Gatheredrequirements,designed,deployed,andadministereddistributeddevelopmentenvironments- ImplementedautomatedbuildsystemsforC,Java,andperl.- Institutedcodebranchingandversionlabelingpolicies.- Auditedsoftwareengineeringtoidentifytechnicalandproceduralproblemsindevelopmentefforts.- WroteandtaughtClearCasecoursestodevelopmentteamsintheUSAandUnitedKingdom.- Codedprogramsforsystemmonitoringandautomaticbackups.- Designedandinstallednewserverroomlayout,specifiedandpurchasedhardwareandcomponentstorage.
• NetworkAdministrator May1995–Aug1996Interart/SunrisePublications,Bloomington,IN- ManagedMacnetworkfordesigndepartmentofthethirdlargestgreetingcardcompanyinNorthAmerica.- ImplementedrevrdistfilesynchronizationsoftwareforautomaticadministrationofMacs.- ProgrammedcustomimageprocessingsystemusingAppleScript,SolarisandHeliosUniversalFileServer.
• SupportEngineer Nov1992–May1995UniversityComputingServices,Bloomington,IN- Providedtechnicalsupportviaemailandtelephoneforstudents,faculty,andstaff.- WrotetechnicalarticlesfortheUCSKnowledgeBase,oneofthefirstWeb-basedhelpdesksystems.- Performeddatarecoveriesandbackupsforcorruptedthesisfiles.- Conductedtechnicaltrainingsforvariouscampussystems.- Diagnosed,repairedandupgradedon-sitehardware.
EDUCATION
• B.A.inTelecommunicationswithMinorinBiology,IndianaUniversity Dec1993
Courseworkincluded:W350AdvancedExpositoryWriting X395Minds,Brains,andComputersS404HonorsSemesterinTelecom R322TelephonyHistory&Technology
TECHNICALDILIGENCE
• GreenheartInternational January2017–February2017- Codequalityauditofoutsourcedsoftwareproject
• (Confidential)/USDepartmentofHealth&HumanServices November2016–April2017- Safety-relatedauditofsourcecodeforEMRsystem
• (ConfidentialPublicCompany,MktCap$200M) January2015- Sourcecodereviewofstartupforpossibleacquisition
LITIGATIONCONSULTING
• LiangvAWGRemarketing,Inc.,Group3Auctions,LLC,Levy,Holstein,Whann June2017–presentCounsel: WHGC,P.L.C.NatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&CodeReview
• Aquilinav.Wriggelsworthetal April2017–presentCounsel: Bostic&Associates
4 NatureofSuit: CivilRightsJurisdiction: FederalServicesProvided: Consulting
• LexxiomInc.vConverzeInteractiveInc.,LidoLabsLlc,etal May2017–presentCounsel: FoundationLawGroupNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&CodeReview
• TurkeyvAliÇihan May2017–presentCounsel: AkkoçLawGroupNatureofSuit: CriminalJurisdiction: RepublicofTurkeyServicesProvided: CodeReview,Consulting&ExpertReport
• BeardvGerdauS.A. May2017–presentCounsel: ReaudMorganandQuinnLLPNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: Consulting
• SoftechUSAd/b/aGemfindvChasin February2017–presentCounsel: Robinson&RobinsonNatureofSuit: IntellectualProperty–TradeSecretJurisdiction: FederalServicesProvided: CodeReview&Consulting
• RogueWaveSoftwareInc.vBTISystemsInc.&JuniperNetworksInc. February2017–presentCounsel: Snell&WilmerLLPNatureofSuit: IntellectualProperty-CopyrightJurisdiction: FederalServicesProvided: CodeReview&Consulting
• Krubim26IntlInc/WoofersEtcvGoldenCommunications,Inc.&Vortx,Inc. January2017–presentCounsel: LawOfficesofP.PaulAghaballaNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting&Testimony(deposition)
• Classv.Facebook,Inc. November2016–presentCounsel: RobbinsGellerRudman&Dowd/Labaton/EdelsonNatureofSuit: BiometricPrivacyJurisdiction: StateServicesProvided: CodeReview&Consulting
• FoxTelevisionStations,Inc.v.FilmOnX,LLC November2016–presentCounsel: BakerMarquartLLPNatureofSuit: IntellectualProperty-CopyrightJurisdiction: FederalServicesProvided: Consulting
5
• SecurusTechnologies,Inc.v.PublicCommunicationServicesInc. October2016–presentCounsel: GrubelElrodJohansenHailShankNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: Consulting
• ZaghidbaAngelDentalCarev.Salama May2016–presentCounsel: JalilvandLawAPCNatureofSuit: OnlineDefamationJurisdiction: StateServicesProvided: Consulting&Testimony(deposition)
• LevelOneTechnologies,Inc.v.PenskeTruckLeasingCo. April2016–presentCounsel: RiezmanBerger,P.C.NatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: Consulting
• (Confidential)v(Confidential) February2017–June2017Counsel: (Confidential)NatureofSuit: IntellectualProperty-CopyrightJurisdiction: FederalServicesProvided: Consulting
• ExpoEdInc.v.AnacaTechnologiesLtd. October2016–June2017Counsel: NortonRoseFulbrightCanadaLLPNatureofSuit: BreachofContractJurisdiction: OntarioSuperiorCourtOfJustice,CanadaServicesProvided: Consulting&ExpertReport
• ChromeSystems,Inc.v.AutodataSolutions,Inc. June2016–December2016Counsel: Wachtell,Lipton,Rosen&KatzNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: CodeReview&Consulting
• DealSegments,Inc.v.DreamWarriorGroup,Inc. January2016–July2016Counsel: LawOfficeofParagL.AminNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting
• AlertusTechnologies,LLCv.BlakeRobertson January2016–October2016Counsel: Joseph,Greenwald&Laake,P.A.NatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: StateServicesProvided: CodeReview&Consulting
• AlertusTechnologies,LLCv.Callinize,Inc. January2016–October2016Counsel: Bowie&Jensen,LLC
6 NatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: CodeReview,Consulting&ExpertReport
• ABS,Inc.v.FCI,Inc. November2015–February2016Counsel: LawOfficeofDavidRichmanNatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: Consulting
• Trichelv.UnionPacificRailroad November2015–May2016Counsel: VBAttorneysNatureofSuit: DigitalForensicInvestigationJurisdiction: State ServicesProvided: Consulting
• BeUbiq,Inc.vCurtisConsultingGroup,Inc. December2015–May2016Counsel: Farbstein&BlackmanNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting&Testimony(twodepositions&jurytrial)
• VincentWellrichvDreamWarriorGroup,Inc. December2015–February2016Counsel: Wolke&LevineLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting
• Nicole,Inc.v.BLKInternationalandSanjayKhullar26 September2015–March2016Counsel: Greenberg&BassLLPNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&Declaration
• Chipp’dLtd.v.Crush&LovelyLLC July2015–September2015Counsel: WhiteandWilliamsLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting
• Johnsonv.Storix,Inc. June2015–January2016Counsel: Eastman&McCartneyLLPNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: CodeReview&Consulting
• LearningTechnologyPartnersLLCv.UniversityoftheIncarnateWord April2015–March2016Counsel: Glynn&Finley,LLPNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: Consulting,ExpertReport&Testimony(deposition&jurytrial)
7
• Nomadix,Inc.v.HospitalityCoreServicesLLC April2015–July2015Counsel: MehrmanLawOffice,PCNatureofSuit: InterPartesReview-PatentJurisdiction: FederalServicesProvided: Consulting
• Hulletalv.MarriottInternational,Inc. March2015–presentCounsel: ConnMaciel&CareyPLLCNatureofSuit: SoftwareAccessibility/ADAJurisdiction: FederalServicesProvided: Consulting
• Copart,Inc.v.LightmakerUSA,Inc. March2015–presentCounsel: PorterScottLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting
• ArrazateV.H&BGroup,INC.,dbaNissanofBakersfield April2015–June2015Counsel: RodriguezLawFirmNatureofSuit: SocialMediaInvestigationJurisdiction: StateServicesProvided: Consulting&Declaration
• SecureAuthCorporationv.miniOrangeInc. March2015–April2015Counsel: Abelman,Frayne&SchwabNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: CodeReview,Consulting&Declaration
• JonathanDemichaelv.PeakFranchising,Inc. March2015–April2015Counsel: Lee,Hong,Degerman,Kang&WaimeyNatureofSuit: ProductLiabilityTortJurisdiction: StateServicesProvided: Consulting&Declaration
• MadRiverCommunityHospitalv.CPSI,Inc. January2015–March2015Counsel: JanssenMalloyLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting
• SmartyHadaPartyLLCv.BarrettBrothers,Inc. January2015–presentCounsel: Capes,Sokol,Goodman&Sarachan,P.C.NatureofSuit: TradeNameInfringementJurisdiction: FederalServicesProvided: Consulting
• CoreWirelessLicensingS.A.R.L.v.LGElectronics,Inc. January2015–presentCounsel: BunsowdeMorySmith&AllisonLLP
8 NatureofSuit: IntellectualProperty-PatentJurisdiction: FederalServicesProvided: CodeReview&Consulting
• MassAppealMedia,Inc.v.DavinaDouthard,Inc. October2014–presentCounsel: KrakowskyMichelNatureofSuit: IntellectualProperty-TrademarkJurisdiction: FederalServicesProvided: Consulting&Declaration
• Hablian,etal.v.ZurichU.S.,etal. January2015–presentCounsel: Marlin&SaltzmanLLPNatureofSuit: SourceCodeVerificationJurisdiction: StateServicesProvided: CodeReview,Consulting,ExpertReport&Testimony(deposition)
• (Confidential)v.VantagePointTechnology,Inc. January2015Counsel: Winston&StrawnLLPNatureofSuit: InterPartesReview-PatentJurisdiction: FederalServicesProvided: Consulting
• ToolCircleInc.v.NulinxInternational,Inc. December2014Counsel: Humphrey+LawNatureofSuit: BreachofFiduciaryDutyJurisdiction: StateServicesProvided: Consulting
• VersoPaperLLCv.Go2Paper,Inc. November2014Counsel: BassBerry&SimsPLCNatureofSuit: IntellectualProperty-PatentJurisdiction: StateServicesProvided: Consulting
• NextGearIPLLCv.CapstoneBPOandRajeshWadhwa September2014–September2015Counsel: WayneWisong,Esq.NatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting
• Nutri-Vet,LLCv.DykasShaver&Nipper,LLP August2014–December2014Counsel: HawleyTroxellEnnis&Hawley,LLPNatureofSuit: MalpracticeJurisdiction: FederalServicesProvided: Consulting&ExpertReport
• BreezeVenturesManagement,LLCvTheEvansSchool,Inc. August2014–October2014Counsel: Peretz&AssociatesNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting&Testimony(deposition&jurytrial)
9
• GoldenBestPlumbing,Inc.v.Baghdasarian July2014–presentCounsel: DackMarasiganLLPNatureofSuit: TradeNameInfringementJurisdiction: StateServicesProvided: CodeReview,Consulting,Declaration&Testimony(benchtrial)
• Hill-RomCompany,Inc.v.GeneralElectricCompany July2014–August2014Counsel: SchiffHardinLLPNatureofSuit: IntellectualProperty-PatentJurisdiction: FederalServicesProvided: CodeReview&Consulting
• DealercentricSolutions,Inc.v.MarketScanInformationSystems,Inc. June2014–July2016Counsel: BurkhalterKesslerClement&GeorgeLLPNatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: StateServicesProvided: CodeReview,Consulting&Testimony(deposition)
• YPP,Inc.v.SupermediaLLC June2014Counsel: Kirkland&EllisLLPNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&ExpertReport
• AgJunctionLLCv.AgrianInc.,etal. May2014–February2015Counsel: HuschBlackwellLLPNatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: CodeReview,Consulting&ExpertReport
• PatentInfringementAction Mar2005–Apr2005Counsel: BinghamMcCutchenLLPNatureofSuit: IntellectualProperty–PatentJurisdiction: FederalServicesProvided: Consulting
PATENTLICENSECONSULTING
• U.S.Cl.235PatentsTechnology:RegistersNo.ofPatents:4
• U.S.Cl.345PatentsTechnology:ComputergraphicsprocessingandselectivevisualdisplaysystemsNo.ofPatents:1
• U.S.Cl.370PatentsTechnology:MultiplexcommunicationsNo.ofPatents:4
10
• U.S.Cl.273&463PatentsTechnology:Amusementdevices:gamesNo.ofPatents:2
• U.S.Cl.455PatentsTechnology:TelecommunicationsNo.ofPatents:4
• U.S.Cl.705PatentsTechnology:Dataprocessing:financial,businesspractice,management,orcost/pricedeterminationNo.ofPatents:3
• U.S.Cl.706PatentsTechnology:Dataprocessing:artificialintelligenceNo.ofPatents:1
• U.S.Cl.707PatentsTechnology:Dataprocessing:databaseandfilemanagementordatastructuresNo.ofPatents:12
• U.S.Cl.709PatentsTechnology:Electricalcomputersanddigitalprocessingsystems:multicomputerdatatransferringNo.ofPatents:5
PATENTBROKERAGECONSULTING
• GlobalIntellectualStrategies Mar2014Technology: VirtualizedcomputingNo.ofPatents: 1- Createdclaimchartshowinginfringementbymajorvirtualizedcomputingplatform.
• QuinnPacific Oct2013Technology: 2D/3DimageprocessingNo.ofPatents: 13- ResearchedportfolioanddocumentedpotentialinfringementbyaFortune1000softwarecompany.
• RedChalkGroup May2013Technology: WirelessdataprocessingNo.ofPatents: 85- Evaluatedpatentportfolioforlicensingopportunities.
• ProdigyIP May2013Technology: OnlinevideostreamingNo.ofPatents: 8- Evaluatedpatentportfolioforlicensingopportunities.
• ProdigyIP Feb2013Technology: DigitalvideorecordingNo.ofPatents: 2- Preparedpre-saleresearchforsmalldigitalmediaportfolio.
11 - Conductedinventorinterviews.- Createdmaterialsexplainingtheinventionanditspotentialvalueinthemarket.
• OpenInventionNetwork May2008Technology: OperatingsystemsNo.ofPatents: 1- Researchedapatentforsimilaritytomypriorartfrom1996.- Advisedonacquisition/licensingofpatent.
NON-IPCONSULTING
• SoftwareDevelopmentManager Jan2007–Apr2007RealTalkLA,LosAngeles,CA- Launchedcommunity-newswebsiteinDebian/Ubuntuenvironment.- AuditedRubyonRailsenvironmentandperformedtriageonbrokendevelopmentcomponents.- IntegratedTracdefecttrackingsoftwarewithSubversionsourcecodecontrol.- InstalledCapistranoforautomatedapplicationdeployments.- Wroteunit,functionalandintegrationtests,andprovidedgroupinstructionfortestwriting.
• SoftwareIntegrationEngineer Sep2006–Dec2006Koders.com,SantaMonica,CA- IntegratedRubyonRailswebservicesonVMWareLinuxintoexistingWindows/MSSQLarchitecture.- InstalledandcustomizedBeastdiscussionforumsandRadiantcontent-managementsystem.- Ranhttperfbenchmarksandconfiguredapplicationserversusingmongrel_clusterloadbalancing- ProvidedgeneralRubyonRailsexpertise.
• SoftwareDeveloper Mar2006–Sep2006YouMee.com,LosAngeles,CA- RubyonRailsprogrammingforsocialchatsiteYouMee.com- Developedfeaturesfromspecs,performedunittests,andpromotedcodeintomaindevelopmentline.- Fixedbugsandupdatedbugtickets.
• Entrepreneur-in-Residence Aug1999–May2000MainStreetPartners,Cambridge,MA- ProvidedtechnologyadvisingtoinvestmentandpatentconsultingfirmontheMITcampus.- Receivedentrepreneurpitches,developedbusinessplans,andperformedtechnologyvetting.
• TechnicalAdvisor Jun2001HummerWinbladVenturePartners,SanFrancisco,CA- ProvidedtechnologyadvisingtoleadingVCfirmforpotentialinvestmentinsoftwaretestingstartup.- Deliveredpresentationstopartnersandassociates.
• BuildManager Apr2001–May2001Informix,Oakland,CA- Implementedcross-platformbuildautomationsystemsforCandJavacodebasesonUnix,NT,andMacintosh.- IntegratedCodeWarrior(Mac)andMicrosoftVisualStudio(NT)compilesintoUnixmake.- WroteintegrationcodeusingApplescript,shell,andperl.- Reducedpackageconstructionfrom8-plushourstolessthan1hour.
• ReleaseManager Jan2001–Feb2001Vodafone,WalnutCreek,CA
12 - ReleasemanagerforVodafoneInternetPlatform(VIP)project,awebservicesportal.- Coordinateddevelopment,outsourcers,operations,andQAtodesignflowofcodethoughthereleaseprocess.
- Establishedbaselinesfordevelopmentefforts.- DroveCMrequirements,internalstandardsandconventions.- Performedtrainingfordevelopersonsystemusageandarchitecture.
• SoftwareConfigurationManager/SystemAdministrator Apr2000–Dec2000WindRiverSystems,Alameda,CA- Performedinfrastructureplanning,purchasingrecommendations,andtechnicalsupportforworldwiderolloutofClearcase/Multisiteto17internationallocations.
- WroteWeb-basedtoolsinperlformonitoringsyncstateofnetwork.- Performedon-siteinstallationandconfiguration.- ConductedstafftrainingandQ&Afollow-up.
• BuildEngineer Sep1999–Oct1999CMGi,Andover,MA- OrganizeddevelopmenttreeusingCVSforCMGIbusinessunit.- Providedtechnicalassistanceandmentoringaboutsoundsoftwareconfigurationmanagementpractices.- Initiatedtransitionfromlegacyshellscript-basedbuildsystemtorecursivemake.- WorkedwithQAtoprovidetestablebuildsofdailydevelopmentefforts.- Documentednewproceduresforprojectmanagers.
• SoftwareConfigurationManager/SystemAdministrator May1998–Dec1998GTEInternetworking,Cambridge,MA- AdministeredUnix/NTClearCaseenvironmentforWeb-basedperldevelopmentproject.- InstalledClearCaseclients,recommendedoptimalsystemconfigurations,performedclientupgrades,andcoordinatedwithleadadministratorstoensureaproductiveenvironment.
- Establishedautomatedbuildenvironmentandbuildrecordsarchive.- Performedtechnicalsupportandtrainingfordevelopersinuseofthesystem.
• SystemsAdministrator Jan1998–May1998PencomSystems,Boston,MA- ProvidedUnixandWindowsdesktopsupportfortechnicalrecruitmentfirm.- DiagnosedandrepairedSolaris,SunOS,SCOprinting/web/mail/fileaccessproblems.- Designedandinstallednewserverroomlayout,specifiedandpurchasedhardwareandcomponentstorage.
• Systems&ProcessAuditor Nov1997–Dec1997Simon&SchusterInteractive,Boston,MA- AuditedsoftwaredevelopmentsystemandidentifiedproblemsinJavadevelopmentefforts.- Interviewedstaffandvendortechnicalsupport,andinvestigatedsystemarchitecture.- Gatheredtechnicalmetricsonservers,clientworkstations,andnetworkperformance.- Preparedafinalreportdetailingproblems,investigativemethodologies,andimprovementstostaffandmanagement.
• SoftwareConfigurationManager/SystemAdministrator Aug1997–Nov1997EatonCorporation,Cleveland,OH&Glasgow,UnitedKingdom- ImplementedClearCaseandAttacherolloutonHP-UXforOracledevelopersatinternationaldiversifiedpartsmanufacturer.
- Studiedsiterequirements,recommendedClearCaseconfigurationandimplementation.- CoordinatedwithUnixstafftomakeneededchangestodevelopment,QA,andproductionsystems.
13 - DesignedandtaughtaclassabouttheuseofClearCaseandAttachefordevelopers,andpresenteditinseveralday-longsessionsinClevelandandGlasgow.
• SoftwareConfigurationManager/SystemAdministrator Apr1997–Aug1997ShivaNetworking,Burlington,MA- ProvidedClearCaseandUnixsupportforembeddedsystemsdevelopersatnetworkhardwarecompany.- Implementedperlscriptsforsystemmonitoring.- CoordinatedMultiSiterolloutwithEdinburgh,Scotland,andCupertino,California.- MigratedsourcecoderepositoriesfromoldhardwaretonewUltraEnterpriseservers.- ProvidedtrainingandmentoringforinternalShivastaff.
• SoftwareConfigurationManager Jan1997–Apr1997Ascom-Nexion,Acton,MA- ProvidedClearCaseandSunOS/Solarissupportforlargetelecomhardwaremanufacturer.- WroteshellandperlscriptstomonitorClearCaseandnightlybackupsystem.- ImplementedNTPacross300Unixnodes.- ConfiguredWebserverloggingsoftwareandanalyzedtraffic.- ProvidedClearCasementoringandtrainingforinternalstaff.
• SupportEngineer Sep1996–Dec1996AtriaSoftware,Lexington,MA- CompletedcertificationinClearCase,adistributedsoftwareconfigurationmanagement(SCM)andbuildsystem.
- ProvidedtelephoneandemailsupportforClearCasecustomers,ofteninvolvingelaborateremotedebugging.- Participatedinweekly“hotticket”supportsessionstosolvedifficultcustomerissues.
• NetworkAdministrator Aug1996SecurityDynamics/RSA,Bedford,MA- Co-managedheterogeneousnetworkforlargeengineeringdepartment.
TEACHING
• ProgrammingInstructor Mar2003–Apr2003BayAreaVideoCoalition,SanFrancisco,CA- DesignedandtaughtApplescriptprogrammingcourseforeducationaltechnologynonprofit.
• TechnologyInstructorinContinuingEducation Aug2000–May2003SanFranciscoStateUniversity,SanFrancisco,CA- DesignedandtaughttechnologycoursesforInformationTechnologyandMultimediaStudiescertificateprograms:§ PrinciplesofProgramming§ MacOSX§ ProgramminginAppleScript§ PCHardware§ InternetArchitecture§ DatabaseDesign
- Received“OutstandingInstructorAward”forFall2001.
• TechnologyInstructor Aug1997–Nov1997EatonCorporation,Cleveland,OH&Glasgow,UnitedKingdom
14 - DesignedandtaughtaclassabouttheuseofClearCaseandAttachefordevelopers,presentedinseveralday-longsessions.
PATENTS
• MethodandApparatusforRemotelyMonitoringaSocialWebsite,U.S.PatentApplication11/833,018,priorityAugust2,2006- Theinventionconsistsofamethodformonitoringthecreationofuser-generatedcontentononewebsite,andduplicatingthatcontentatasecond,remotewebsite.Theduplicatedcontentcanbeusedforavarietyofpurposessuchastrendanalysisorindividualizedadvertising.(pending)
• Behaviorally-TargetedAdServing,filedAugust3,2006- Provisionalfilingfor11/833,018.
• Bayesian-GuidedMetadataClassification,filedJune5,2006- Theinventionwasamethodforusingmetadataassociatedwithcuratedcontenttoclassifynewcontent.(abandonedprovisional)
• BookmarkSearchEngine,filedMarch10,2000- TheinventionwasanapparatusandmethodforcompilingWebbookmarksacrossanaudienceofusersandprovidingameanstosearchthebookmarksandtheircontent.(abandonedprovisional)
PROFESSIONALASSOCIATIONS
• Member,IEEEComputerSociety• Member,ApplicationDevelopersAlliance
HONORSANDAWARDS
• OutstandingInstructorAward,Fall2001AwardedeachsemesterforexceptionalteachingbyacontinuingeducationinstructoratSanFranciscoStateUniversity.
• PhiEtaSigmaNationalHonorSociety,Fall1993Nationalacademicfraternity.
• USCDean’sList,Spring1990AwardedforGPAof3.8orhigher.
• NationalMeritScholarshipSemifinalist,Spring1988Awardedforacademicachievementto16,000highschoolstudentseachyearoutof1.5millionentrants.
TECHNICALEXPERTISE
• WebTechnologiesHTTP,AJAX,REST,SSL(securesockets),proxies,AmazonWebServices,cloudcomputing,PaaS,SaaS,webforensics,contentmanagement,client/server
• ProgrammingLanguagesRuby,Rails,PHP,perl,python,Java,JavaScript,HTML,XML,Shell
15
• OperatingSystemsLinux,Unix,MacOSX,iOS,Windows,filesystems
• DatabasesMySQL,mSQL,Sqlite,Memcached
• DevelopmentandVersionControlGit/Github,Bitbucket,JIRA,ClearCase,Subversion,CVS,RCS,Make
• OtherAgiledevelopmentstandardsandpractices,naturallanguageprocessing(NLP),machinelearning,authentication/authorization,encryption,mobiledevelopment,performancetuning,scalability
16 # Case Side Consulting CodeReview Report Testimony46 LexxiomInc.vConverze/LidoLabsLlc Plaintiff 45 TurkeyvAliÇihan Defendant 44 BeardvGerdauS.A. Plaintiff 43 SoftechUSAd/b/a/Gemfindv.Chasin Plaintiff 42 Krubim26IntlIncvGoldenCommunications,Inc.&Vortx,Inc. Plaintiff deposition41 RogueWaveSoftwareIncv.BTISystemsInc Plaintiff 40 (Confidential)v.(Confidential) Plaintiff deposition39 Classv.Facebook,Inc. Plaintiff 38 FoxTelevisionStations,Inc.v.FilmOnX,LLC Defendant 37 SecurusTechnologies,Inc.v.PublicCommunicationServicesInc.Plaintiff 36 ZaghidbaAngelDentalCarev.Salama Defendant deposition35 LevelOneTechnologies,Inc.v.PenskeTruckLeasingCo.Plaintiff 34 ChromeSystems,Inc.v.AutodataSolutions,Inc. Plaintiff 33 DealSegments,Inc.v.DreamWarriorGroup,Inc.Plaintiff 32 AlertusTechnologies,LLCv.BlakeRobertson Defendant 31 AlertusTechnologies,LLCv.Callinize,Inc. Defendant 30 ABS,Inc.v.FCI,Inc. Plaintiff 29 Trichelv.UnionPacificRailroad Plaintiff 28 BeUbiq,Inc.vCurtisConsultingGroup,Inc. Defendant deposition(2x)&jurytrial
27 VincentWellrichvDreamWarriorGroup,Inc. Plaintiff 26 Nicole,Inc.v.BLKInternational Plaintiff 25 Chipp’dLtd.v.Crush&LovelyLLC Plaintiff 24 Johnsonv.Storix,Inc. Plaintiff 23 LearningTechnologyPartnersLLCv.U.oftheIncarnateWord Plaintiff deposition&jurytrial
22 Nomadix,Inc.v.HospitalityCoreServicesLLC Plaintiff 21 Hulletalv.MarriottInternational,Inc. Defendant 20 Copart,Inc.v.LightmakerUSA,Inc. Plaintiff 19 ArrazateV.H&BGroup,INC.,dbaNissanofBakersfieldDefendant 18 SecureAuthCorporationv.miniOrangeInc. Neutral 17 JonathanDemichaelv.PeakFranchising,Inc. Defendant 16 MadRiverCommunityHospitalv.CPSI,Inc. Plaintiff 15 SmartyHadaPartyLLCv.BarrettBrothers,Inc. Plaintiff 14 CoreWirelessLicensingS.A.R.L.v.LGElectronics,Inc.Plaintiff 13 Hablian,etal.v.ZurichU.S.,etal. Plaintiff deposition12 (Confidential)v.VantagePointTechnology,Inc. Plaintiff 11 ToolCircleInc.v.NulinxInternational,Inc. Plaintiff 10 VersoPaperLLCv.Go2Paper,Inc. Plaintiff 9 NextGearIPLLCv.CapstoneBPOandRajeshWadhwaDefendant 8 Nutri-Vet,LLCv.DykasShaver&Nipper,LLP Defendant 7 BreezeVenturesManagement,LLCvTheEvansSchool,Inc.Defendant jurytrial6 GoldenBestPlumbing,Inc.v.Baghdasarian Plaintiff benchtrial5 Hill-RomCompany,Inc.v.GeneralElectricCompanyPlaintiff 4 DealercentricSolutions,Inc.v.MarketScanInformationSystems,Inc.Plaintiff deposition3 YPP,Inc.v.SupermediaLLC Defendant 2 AgJunctionLLCv.AgrianInc.,etal. Defendant 1 (PatentInfringementAction) Plaintiff