bylockgercegi.combylockgercegi.com/docs/jason-frankovitz-uzman-mutaalasi-turkce-noter-ve-tercumanlik...programlama...

Orllnge County Translation & Notary www.ocmobiletranslationandnotary.com

� American Translators Association ' . ' L

CERTIFICATION OF TRANSLATION

I, Murat Akbas declare under penalty of perjury that I am fluent in both Turkish and English languages and

competent to translate between them. I certify the attached English translation from Turkjsh is true and

accurate to the best of my ability and belief.

Description of Translation

• Expert Report of Jason Frankovitz [Translated from English to Turkjsh]

Date: August 11, 2017

�....;:::. - =-1---Murat Akbas

American Translators Association "ATA" member ID# 264709

CERTIFICATE OF ACKNOWLEDGMENT

A notary public or other officer completing this certificate verifies only the identity of the individual who signed the document to which this certificate is attached, and not the truthfulness, accuracy, or validity of that document.

State of California County of Orange

On August 11 2017 before me, Heideh Vakhsh, Notary Public, personally appeared Murat Akbas who proved to me on the basis of satisfactory evidence to be the person whose name is subscribed to the within instrument and acknowledged to me that he executed the same in his authorized capacity, and his

signature on the instrument the person or the entity upon behalf of which the person acted, executed the instrument.

I certify under PENAL TY OF PERJURY under the laws of the State of California that the foregoing

paragraph is true and correct

�LIJ;-Heideh Vakhsh Notary Public

4570 Campus Drive, Suite 21 • Newport Beach, Californ a 92660 Email:[email protected] •Telephone: 949-748-0615 •Fax/Telephone (949)252-2190

Orange County Translation & Notary www.ocmobiletranslationandnotary.com

JASON FRANKOVITZ BİLİRKİŞİ RAPORU

4570 Campus Drive, Suite 21 • Newport Beach, California 92660

Email:[email protected] • Telephone: 949-748-0615 • Fax/Telephone (949)252-2190


I. GİRİŞ

1. İsmim Jason Frankovitz’dir, ABD, Kaliforniya eyaleti, Los Angeles şehrindenim. Avukat

Murat AKKOÇ tarafından, Ali CİHAN ile ilgili hukuki bir meseleyle ilişkin görüşlerimi

sunmak üzere yazılım mühendisi bilirkişisi olarak tutuldum. Bana Bylock iletişim

uygulamasıyla ilgili uzmanlık görüşlerim soruldu.

2. Gerektiğinde, halihazırda bilinmeyen ve duruşmadan önce ya da sonra sunulabilecek

bilgi ve belgeleri de değerlendirmeye hazırım. Benim burada ifade ettiğim görüşlere

ilişkin olarak sonradan yeni keşif ya da deliller ortaya konabileceğini anlıyorum.

Gerektiğinde ve Mahkemenin kabul edeceği şekilde bu raporu değiştirme ve rapora

ekleme yapma hakkımı saklı tutuyorum. İfademin istenmesi durumunda, görüşlerimi

açıklamaya yardımcı olmak üzere uygun bilgi ve belge düzenleme hakkımı da saklı

tutuyorum.

3. Bu davada yaptığım çalışma için doğrudan yaptığım harcamaların karşılanması yanında

bana saat başı $395 dolar ödenmektedir. Bu dava şahsımı ilgilendirmemektedir ve bana

yapılan ödeme ifade ettiğim görüşlerin içeriğine ya da davanın sonucuna bağlı değildir.

II. YETERLİLİKLER

4. Bu bölüm benim aldığım eğitimi, mesleki başarılarımı ve bilgisayar mühendisliği

alanında yayınladığım hakemli yayınları özetlemektedir. Yeterliliklerimi daha detaylı

olarak listeleyen özgeçmişimin bir kopyası bu rapora eklenmiştir.

http://www.ocmobiletranslationandnotary.com/





5. Ben bir mucit, mühendis ve programcı olarak 25 yıllık tecrübeye sahip yazılım ve

bilgisayar teknolojisi uzmanıyım. Şu anda, ABD, Kaliforniya, Los Angeles’te bulunan

Quandary Peak Research adlı kurumda yazılım mühendisi uzmanı olarak çalışmaktayım.

Quandary Peak Research kurumundaki işimin bir parçası olarak, patent ihlali ve ticari sır

sorunları konusunda yazılım analizi, dijital verilerin incelenmesi de dahil olmak üzere

bilgisayar sistemlerinin adli soruşturmaları ve davalara destek amaçlı kaynak kodu analizi

gibi hizmetleri sunmaktayım.

6. Web-tabanlı yazılım, mobil uygulamaları ve sunucu sistemleri üreten büyük ve küçük

ölçekli teknoloji şirketlerinde yazılım mühendisi olarak çalıştım. Bir sosyal medya

reklam sistemi için bekleyen bir patentin mucidi olarak kayda geçtim. ABD, Kaliforniya,

San Francisco Devlet Üniversitesinde teknoloji ve İnternet konularında hocalık yaptım.

7. Yazılım ve İnternet sektöründeki uzun yıllara dayanan tecrübelerime binaen, İletim

Denetimi Protokolü / Internet Protokolü (TCP / IP), Köprü Metni Aktarım Protokolü

(HTTP), Etki Alanı Adı Sistemi (DNS), Güvenli Yuva Katmanı (SSL), Ortak Ağ Geçidi

Arabirimi (CGI) proxy, istemci / sunucu mimarileri, bulut programlama , içerik yönetim

sistemleri, ilişkisel veritabanları, alan kaydı ve web muayene gibi alanlarda teknik

uzmanlığımı geliştirdim. Ayrıca, yaygın olarak kullanılan Ruby, Rails, PHP, Perl, Java,

JavaScript, Bağlantılı Metin Dili (HTML), XML, Basamaklı Stil Sayfaları (CSS),

eşzamansız Javascript ve XML (AJAX) ve kabuk programlama dilleri gibi web

programlama dillerinde de uzmanım.

8. Yazılım patent ihlali, yazılım telif hakkı, sözleşme ihlali ve yazılım ticari sırları

konusunda birçok araştırma ve analiz yaptım. Quandary Peak Research kurumundaki

işimden önce, TechKnow Consulting adlı şirkette fikri mülkiyet ve teknoloji

danışmanlığı yaptım ve patent lisansı ve aracılık gibi yazılıma ilişkin hususları da içeren






birçok hizmet verdim. Ayrıca, ABD, Vaşington Eyaleti, Bellevue şehrinde bulunan

Intellectual Ventures adlı şirkete yazılım fikri mülkiyet danışmanlığı yaptım.

9. 40’ın üzerindeki hukuki meselede yazılım, İnternet ve Web teknolojileri konusunda

uzman olarak görev aldım. Kaliforniya’da bulunan Los Angeles Bölge Yüksek

Mahkemesi, San Diego Yüksek Mahkemesi ve Santa Clara Yüksek Mahkemesinde jüri

ve jürisiz duruşmalarda sözlü ve yazılı uzman bilirkişi olarak ifadeler verdim.

III. DEĞERLENDİRİLEN BİLGİ VE BELGELER

10. Bu konuda görüşümü oluşturmada şu bilgilere dayandım: (1) İnternette yaptığım orijinal

araştırma, (2) Sayın AKKOÇ’un hukuk bürosu çalışanlarının bana sağladığı bilgi ve

belgeler, (3) kaynak koda dönüştürülmüş Bylock uygulaması1, (4) bu raporda bahsedilen

diğer bilgi ve belgeler, ve (5) benim yazılım uygulamalarını yazma, işleme geçirme ve

destekleme alanında uzun yıllara dayanan tecrübelerim.

11. Aksi belirtilmediği müddetçe, benim araştırmam Bylock uygulamasının Java

programlama diliyle yazılmış Android sürümüne ilişkindir. Bylock uygulamasının

IOS/Apple sürümü ile Android sürümü arasındaki önemli farklılıkları içeren bilgi ve

belgeleri değerlendirmedim.

IV. SORULAN SORULAR

1 Kaynak koda dönüştürme süreci (dekompilasyon) derlenmiş (yürütülebilir) bir uygulamanın kaynak kodunu elde

etmeyi sağlar. Bu süreç, uygulamanın normalde uygulama içinde okunamaz bir formatta saklanmış programın bir

kısmını ortaya çıkarabilir.






12. Benden aşağıdaki soruları cevaplamak üzere bağımsız bir araştırma inceleme yapmam

istendi:

a. Bylock herkesin indirebileceği bir uygulama mıdır?

b. Bylock uygulaması herkes tarafından kullanılabilir mi, yoksa sadece tek bir grup

tarafından mı kullanılabilir?

c. Bylock uygulaması kullanılarak gönderilen ve alınan mesajların içeriğini elde

etmek mümkün müdür?

d. Bylock uygulamasının ne zaman indirildiğini öğrenmek mümkün müdür?

e. Bylock uygulamasının ne zaman aktif olarak kullanıldığını bilmek mümkün

müdür?

f. Bylock uygulamasını bir ağ bağlantısı olmadan kullanmak mümkün müdür, yoksa

bir tür ağ bağlantısı (mobil ya da Wi-Fi bağlantısı gibi) ile mi kullanılmak

zorundadır?

g. Bylock uygulamasını kullanan ve kullanmayan kişilerin aynı Wi-Fi ağını

paylaşması mümkün müdür?

h. Bylock kullanıcılarının kimliklerini tespit etmek mümkün müdür?

i. Bylock iki taraf arasında güvenli kriptolu iletişim sağlıyor mu?

j. Bylock taraflar arasındaki iletişim güvenliği için askeri seviyede kriptolama

metotları kullanıyor mu?

k. Kullanıcıların kimlikleri tespit edildiğinde, kullanıcıların bağlantı türlerini

(ADSL, 4G gibi) tespit etmek mümkün müdür?

l. Bylock uygulamasını yürüten bir GSM telefonun IMEI numarasını tespit etmek

mümkün müdür?

m. Bir kullanıcının Bylock uygulamasını uygulama mağazalarından mı yoksa üçüncü

sitelerden mi indirdiğini tespit etmek mümkün müdür?






n. Bylock uygulamasının belli bir hesap tarafından belli bir zaman diliminde kaç kez

kullanıldığını tespit etmek mümkün müdür?

o. Bylock aracılığıyla sesli arama yapılıp yapılmadığını, bu mümkünse, bu aramanın

kime yapıldığını tespit etmek mümkün müdür? Bir kullanıcının uygulama

içerisindeki email mesajlaşma ya da SMS mesajlaşma sistemini kullanıp

kullanmadığını tespit etmek mümkün müdür?

p. Bylock uygulaması Google Play ve Apple App Store online mağazalardan tam

olarak hangi tarihlerde indirilebiliyordu?

q. Bylock, ‘üst-düzey güvenlik’ mesajlaşma seçeneği sunuyor mu? Farklı kriptolama

metotlarıyla iletişim seçenekleri sunuyor mu?

r. Hangi işletim sistemleri Bylock ile uyumludur? Sadece Android ile mi

uyumludur?

s. Bylock uygulamasının üçüncü sitelere kıyasla uygulama mağazalarından kaç kez

indirildiğini tespit etmek mümkün müdür?

t. Bylock uygulaması diğer çok bilinen chat ve mesajlaşma uygulamalarıyla

karşılaştırıldığında kriptolama yöntemleri, güçlü ve zayıf tarafları nelerdir?

WhatsApp, Viber, Tango ile kıyaslandığında Bylock’ın kriptolama yöntemi

nasıldır?

u. Bylock mesajlarının kendi kendini yok etme özelliği bulunmaktaydı. Diğer

güvenli chat uygulamaları da benzer özelliğe (mesajların kendini yok

etmesi/otomatik silinme) sahip midir?

v. Bylock’un telefon rehberi entegrasyon özelliği bulunmamaktadır. Bu özelliğe

sahip olmayan başka uygulamalar var mıdır?

w. Bylock kayıt esnasında email adresi ya da telefon numarası istememektedir.

Email adresi ve telefon numarası istemeyen başka uygulamalar var mıdır?






V. İNCELEMENİN SONUÇLARI

V.A. Bylock herkesin indirebileceği bir uygulama mıdır? Evet.

13. Bylock gibi uygumalar genellikle kullanıcılara Internet-tabanlı bir ‘uygulama mağazası’

aracılığıyla dağıtılır. Mesela, iPhone kullanıcıları uygulamaları (“appler” olarakta

adlandırılır) ‘App Store’ denilen online uygulama mağazasından indirip yükleyebilirler.

Android kullanıcıları ise uygulamaları ‘Google Play’ adındaki online uygulama

mağazasından indirip yüklemektedirler. Bylock uygulaması Google Play mağazasında

mevcut iken, Android bir cihaza ve Google hesabına sahip herkes tarafından

indirilebilirdi.

14. Bir uygulama, uygulama mağazasından çıkartılmış olsa bile, bu uygulamanın bir

kopyasına sahip başka web sitelerinden de indirilip yüklenilebilir. Mesela, Bylock

uygulaması halihazırda Google Play mağazasında mevcut değildir ama Bylock ‘APK’

(Android Paket Kiti) dosyası, kullanıcıların mobil uygulamaları paylaştığı ve tartıştığı

birçok başka APK sitelerinde bulunabilir. Herkes bu sitelere ulaşabildiğinden, herkes

Bylock uygulamasını İnternet üzerinde bulunan birçok bellek konumundan indirebilir.

V.B. Bylock uygulaması herkes tarafından kullanılabilir mi, yoksa sadece tek bir grup

tarafından mı kullanılabilir? Herkes tarafından kullanılabilirdi (fakat halihazırda

yürürlükte değildir).

15. Bylock uygulaması herkes tarafından indirilebileceği gibi, indirildikten sonra,

uygulamayı indiren kişi kendi Bylock hesabını oluşturarak diğer kullanıcılara mesaj

gönderebilir (sistemin çalışmasının 2016’da durmasına kadar). Bylock sistemi,






uygulamanın çalışması için Bylock tarafından idare edilen merkezi bir sunucunun

kullanılmasını gerekli kılmaktaydı. Sözkonusu merkezi Bylock sunucusun çalışması

durunca, muhtemeldir ki Bylock uygulamasını indirenler de bu uygulamayı

kullanamayacaktı.

16. Yaptığım incelemede Bylock uygulamasının kullanılma şartı olarak tek bir gruba ait

üyeliği zorunlu kıldığına dair hiçbir şey bulamadım.

V.C. Bylock uygulaması kullanılarak gönderilen ve alınan mesajların içeriğini elde etmek

mümkün müdür? Evet.

17. Bylock kullanılarak gönderilen ve alınan mesajların içeriği birkaç metotla elde edilebilir:

a. Bylock uygulamasını yürüten cihaz, her bir mesajlaşmadaki mesajların kaydını

tutmaktadır. Bu mesajların içeriği, cihazda bulunan ve mesajların gönderilip

alındığı ve uygulama içerisinde her bir konuşmanın incelendiği Bylock

uygulaması aracılığıyla elde edilebilir. Bir mesajı gönderen ve alan kişilerin

Bylock kullandıkları her iki cihazda bu mesajlaşmanın kopyalarının aynısı

bulunur.

b. Bylock tarafından kullanılan merkezi sunucu, Bylock kullanıcıları için kullanıcı

isimleri ve şifrelerini barındırırdı. Bu kullanıcı isimleri ve şifreler elde

edilebilirse, orijinal/asıl Bylock kullanıcısı gibi davranıp hesaplara erişim

sağlanabilir. Başka bir kullanıcı olarak erişim yapıldığında, asıl kullanıcının

geçmiş görüşmelerinin kayıtlarını (tarihçesini) görmek mümkün olabilir.

c. Bylock tarafından kullanılan merkezi sunucu mesajları bir kullanıcıdan diğerine

yönlendirmiş olabilir. Eğer Bylock bu şekilde işlemişse (ki uygulama türüne

bakıldığında böyle olması muhtemel), her bir mesajın içeriğinin merkezi






sunucuda bulunması mümkündür. Bu sunucu kırılarak bu mesajlar elde

edilebilinir.

i. Ayrıca, Bylock tarafından kullanılan merkezi sunucu mesajları bir

kullanıcıdan diğerine yönlendirmişse, teorik olarak, mesajların içeriği,

Bylock kullanan cihaz ile merkezi sunucu arasındaki bağlantıyı sağlayan

ağ bağlantısı izlenerek elde edilebilir. Bununla birlikte, Bylock gibi bir

mesajlaşma uygulamasının kolayca izlenebilecek bir ağ bağlantısı

kullanması olağandışıdır.

d. Eğer Bylock uygulamasının yüklendiği cihazın yedeği alınmışsa ya da

kopyalanmışsa, bu yedekleme dosyalarının Bylock mesajlarının içeriğini

barındırması mümkündür. Bununla birlikte, yedekleme sistemi ve cihaza bağlı

olarak, bu yedekleme dosyaları içeriğinin okunmasını önleyecek şekilde kriptolu

olabilir.

V.D. Bylock uygulamasının ne zaman indirildiğini öğrenmek mümkün müdür? Evet.

18. Bir uygulamanın ne zaman indirildiğini anlamanın farklı yolları vardır:

a. Eğer Bylock, Google Play ve Apple App Store gibi online uygulama

mağazalarından indirilmişse, kullanıcının faaliyetlerinin kayıtları bu online

uygulama mağazalarında kaydedilmiştir. Kullanıcın kayıtları sunucuya ulaşıp,

oradaki işlemler incelenerek elde edilebilir.

b. Her online uygulama mağazası (kullanıcının bilgisine açık olmak üzere) neyin ne

zaman indirildiğinin bir kaydını (tarihçesini) tutar. Mesela,






https//payments.google.com sitesi kullanıcıların sisteme girip hangi Google

ürünlerini ve hizmetlerini aldıklarını ve alış tarihlerini görmelerini sağlar.2

c. Her online uygulama mağazası, bir uygulama indirildikten ya da satın alındıktan

sonra kullanıcıya email gönderme seçeneğini sunar. Eğer bu seçenek aktif edilmiş

ise, Bylock uygulamasının ne zaman indirildiği online uygulama mağazasından

kullanıcıya gelen emailler incelenerek öğrenilebilir.

d. Bylock uygulamasını indiren cihazın dosya hafıza alanı, bu yüklemeyle ilgili,

Bylock uygulamasının ne zaman indirildiğini ve dosyaların ne zaman

yüklendiğini gösteren tarih ve zaman bilgilerini bulundurur. Bununla birlikte, bu

verileri görmek için teknik bir işlem gerekmektedir, çünkü işletim sistemin

çalışması teknik olmayan kullanıcılardan saklanacak şekilde dizayn edilmiştir.

Mesela, Android cihazlarda, yerel kablosuz ağ kullanılarak cihazın hata ayıklama

fonksiyonuna ulaşmak için belli adımlar takip edilmelidir; bunlar

tamamlandığında, Android işletim sisteminin iç yapısı başka komutlar

kullanılarak kontrol edilebilir. Bunu yapmanın bir yolu

https://futurestud.io/tutorials/how-to-debug-your-android-app-over-wifiwithout-

root sayfasında gösterilmiştir.

V.E. Bylock uygulamasının ne zaman aktif olarak kullanıldığını bilmek mümkün

müdür? Evet.

19. Bylock uygulamasının ne zaman aktif olarak kullanıldığını öğrenmenin birkaç yolu

vardır:

2 Bakınız payments1.png (Kaynak: https://payments.google.com)


https://futurestud.io/tutorials/how-to-debug-your-android-app-over-wifiwithout-root

https://futurestud.io/tutorials/how-to-debug-your-android-app-over-wifiwithout-root





a. Sunucu kayıtları: Bylock kullanıldığında merkezi sunucu ile iletişim kurar. Bu

sunucu sistem üzerinde kullanılan kaynakların bir kaydını tutar. Dolayısıyla,

merkezi sunucu Bylock kullanılırken bilgileri kaydeder ve bu kayıtlar daha sonra

gözden geçirilebilir.

b. Sunucu Veritabanı kayıtları: Bylock merkezi sunucuyu kullandığında, bilgiyi

okuma ve yazma işini o sunucuda bulunan veritabanı üzerinden yapar. Harun

Esur’a göre,3 Bylock veritabanında tarih ve zamanı kaydeden ‘lastonlinetime’

başlıklı bir sütun bulunmaktadır.4 Bir veritabanında sıraların farklı etkinlikler için

tarih ve zaman kayıtlarını tutması olağandır.

c. Cihaz kayıtları: Bylock bir mobil cihazda işletildiğinde, cihaz, tıpkı sunucu gibi,

kullandığı kaynakların kaydına sahiptir. Merkezi sunucuda saklanan kayıtlar gibi,

bu kayıtlar da Bylock’un kullanılışına ilişkin detaylara sahip olabilir.

d. Cihaz Veritabanı kayıtları: Bylock gibi uygulamalar çoğu zaman cihaz üzerinde

bir veritabanını kullanırlar; merkezi sunucuda bulunan veritabanındaki bazı aynı

bilgileri saklayabilir veya başka bilgiyi saklayabilir. Cihazdaki veritabanı,

Bylock’un ne zaman kullanıldığına dair tarih ve zaman bilgisi konusunda

potansiyel bir kaynak olabilir.

e. Ağ yoklamak: Ağ paket analizcisi ya da ‘yoklayıcı’ kullanarak bir bilgisayar

ağındaki trafiği gözlemek mümkündür. Yoklayıcı, bir ağda bulunan cihazın,

Bylock merkezi sunucusuyla iletişimde bulunup bulunmadığını görecektir. Cihaz

ile sunucu arasındaki kriptolu iletişimden dolayı, yoklayıcı, normal olarak

mesajların içeriğini göremez ama mevcut iletişimi görebilir. Bununla birlikte, bu

3 Bkz. https://tr.linkedin.com/in/harunesur/it 4 Bkz. database1.png (Source: https://i0.wp.com/securityaffairs.co/wordpress/wp-

content/uploads/2016/09/ByLockapp-hacking-Turkish-MIT-2.jpg?w=603)






tespit tekniği sadece cihaz ve sunucu aktif/gerçekzamanlı iletişim halindeyken

mümkündür. 5

V.F. Bylock uygulamasını bir ağ bağlantısı olmadan kullanmak mümkün müdür yoksa

bir tür ağ bağlantısı (mobil ya da WI-FI bağlantısı) ile mi kullanılmalıdır? Bylock için bir

ağ bağlantısı gerekmekteydi.

20. Yaptığım araştırmaya göre, Bylock bir ağ bağlantısını gerektirmiştir. Bu mantıklıdır, zira

ağ erişimi olmadan cihazın mesajları bir kullanıcıdan diğerine göndermesi veya alması

mümkün değildir. Teknik olarak Bylock uygulamasını bir ağ bağlantısı olmadan

yürütmek mümkün olsa da muhtemelen işe yarar bir işlem yapmayacaktır.

V.G. Bylock uygulaması kullanan kişilerle kullanmayan kişilerin aynı Wi-Fi ağını

paylaşmaları mümkün müdür? Evet.

21. Bylock kullanan kişilerle kullanmayan kişilerin aynı Wi-Fi ağını paylaşmaları

mümkündür, zira Wi-Fi bu şekilde çalışacak şekilde dizayn edilmiştir. Wi-Fi (kablosuz)

ağ, paylaşılan bir kaynaktır; amacı çok sayıda kullanıcının bağımsız bağlantıları aynı

anda kullanmasına olanak sağlamaktır. Bu normaldir. Çünkü her bir cihaz özgün bir IP

numarasına sahiptir, ağ, ağ trafiğini farklı işleri yapan farklı uygulamaları kullanan birçok

kişiye ve kişiden yöneltebilir. Bu böyle olmasaydı her bir uygulama için ayrı Wi-Fi ağları

olması gerekirdi: mesela Google Chrome (web taramak için) bir kablosuz ağ, Microsoft

Outlook (maillere bakmak için) ikinci bir kablosuz ağ, sadece Skype (sesli arama yapmak

için) için üçüncü bir kablosuz ağ, sadece Call of Duty (oyun oynamak için) için dördüncü

5 Anladığım kadarıyla Bylock merkezi sunucusu 2016’dan beri çevrimdışıdır ve o zamandan bu yana Bylock servisi

kullanılmamıştır.






bir kablosuz ağ gerekirdi, vb. vb. Bu açıkçası hiç bir şekilde pratik olmazdı ve zayıf bir

ağ standardı dizaynına işaret ederdi; normalde Wi-Fi böyle çalışmaz. Aksine, Wi-Fi

birçok kişinin aynı ağ üzerinde aynı anda farklı uygulamaları kullanmalarına olanak

sağlar.

V.H. Bylock kullanıcılarının kimliklerini tespit etmek mümkün müdür? Evet.

22. Uygun şartlar altında, Bylock kullanıcılarının kimlikleri, aynen diğer online

uygulamaları kullanan kişilerin kimlikleri gibi tespit edilebilir. Bylock merkezi sunucusu,

kullanıcıları şahsi olarak tanıtan isim ve şifre gibi bilgilere sahiptir. Sunucu üzerindeki

diğer veriler, kullanıcıların bulundukları ülke, son bağlantılarının IP adresleri, doğum

tarihler ve hatta posta kodları gibi detayları içerebilir.

23. Eğer Bylock ve merkezi sunucu standart olmayan bir ağ bağlantı noktasını kullanarak

iletişime geçecek şekilde ayarlanmışsa, o zaman IHS (İnternet Hizmet Sağlayıcısı),

müşterisinin olağandışı bir bağlantı noktası üzerindeki trafiğini kendi ağ geçidi üzerinden

izleyebilir.6 Ayrıca, IHS müşterisinin IP numarası (cihaza ve bağlantıya ilişkin diğer

özgün tanıtıcı bilgilerle birlikte) kaydedilebilir ve diğer kullanıcılarla ilişkilendirilebilir.

24. Eğer potansiyel Bylock kullanıcılarına kullanıcı ismi ve şifrelerini yazmaları istenen bir

phishing (kimlik hırsızlığı) maili gönderilmişse, bu durumda Bylock kullanıcıları kendi

kimliklerini bilmeden açığa vurmuş olacaklardır.

25. Eğer Bylock tarafından kullanılan cihaz ağ üzerinden yedeklenmişse, yedekleme içeriği

muhtemel kimlik ipuçları için taranabilir.

6 Eğer Bylock, günlük web ve mail servisleri tarafından kullanılan normal bir ağ bağlantısı noktası üzerinden

iletişimde bulunuyorsa, IHS’nin Bylock hareketlerini farketmesi, imkansız olmasa da, daha zor olacaktır. İnternet

servisleri için kullanılan standart bağlantı noktalarının kapsamlı bir listesi şu linkte bulunabilir:

https://www.iana.org/assignments/service-names-portnumbers/service-names-port-numbers.xhtml






26. Eğer bir uygulama mağazası (Google Play veya Apple App Store gibi) kullanıcıya

Bylock’u başarıyla indirdiğini bildiren bir email göndermişse, bu durumda IHS’nin mail

sunucusu Bylock ile ilgili bir mail iletisini izleyip, mailin hangi adrese gittiğini kaydedip,

iletinin gönderilmesini tamamlayabilir.

27. Bu anlatılanlar, bir kişinin kimliğini kullandığı online site ve uygulamalardan tespit

etmenin sadece birkaç yoludur. Bir kişinin kişisel bilgilerini ifşa etmesini sağlayacak

şekilde aldatılmasının sadece İnternette değil, gerçek hayatta da birçok yolu vardır, bu

alana ‘sosyal mühendislik’7 denilmektedir ve bu raporun kapsamı dışındadır.

V.I. Bylock iki taraf arasında güvenli kriptolu iletişim sağlar mı? Evet.

28. Bylock, kullanıcılar arasında kriptolu iletişim sağlamak için standart, herkese açık Java

(java.security ve javax.crypto8 gibi yerlerde bulunan) kütüphanelerini kullanmaktadır.

Java, Oracle şirketinin sahip olduğu ve yaygın kullanılan bir programlama dili

olduğundan, Java kriptolama sisteminin nasıl çalıştığı üzerine birçok doküman9 ve

programcıların öğrenebileceği ve değiştirebileceği birçok kod örneği10 bulunmaktadır.

V.J. Bylock taraflar arasındaki iletişimin güvenliği için askeri seviyede kriptolama

yöntemleri kullanır mı? Evet ve hayır.

29. ‘Askeri seviyede kriptolama’ terimi, bir kriptolama sistemini anlatmak için çok faydalı

bir yol değildir. Zira, birçok askeri kurum, genel tüketici ve sivil yazılımlarda yaygın

7 https://en.wikipedia.org/wiki/Social_engineering_(security) 8 Bkz. https://docs.oracle.com/javase/7/docs/api/javax/crypto/package-summary.html 9 Bkz. https://docs.oracle.com/javase/7/docs/technotes/guides/security/crypto/CryptoSpec.html 10 Bkz. http://www.java2s.com/Code/Java/Security/Basicsymmetricencryptionexample.htm






olarak bulunan kriptolama yöntemlerini kullanır ve aksinde de durum aynıdır. ABD

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), AES adında bir kriptolama sistemi

benimsemiştir ve bu sistem ABD Ulusal Güvenlik Kurumu (NSA) tarafından ‘çok gizli’

bilgiler için uygun bulunmuştur. ‘Askeri düzey kriptolama’ teriminin muhtemel

kökeninin bu olduğu inanılır.

30. Bylock uygulamasında kullanılan kriptolama, herhangi bir Android programcısının

erişimine açık kriptolama ile aynıdır. Kriptolama yapan yazılımlar, Oracle şirketi

tarafından herkese açık olarak belgelenmektedir. 11

V.K. Kullanıcıların kimlikleri tespit edildikten sonra, kullandıkları bağlantı türlerini

(mesela ADSL, 4G) tespit etmek mümkün müdür? Duruma göre değişir ama muhtemelen

belirsiz.

31. Modern ağ teknolojilerini kullanan (Android gibi) işletim sistemleri, ağ bağlantısını

kullanan uygulamanın ağ bağlantısı türünü ayrı tutacak şekilde geliştirilmişlerdir.

Soyutlama adı verilen bu teknik, değişik ağ bağlantıları üzerinde çalışan programları

kolayca yazmayı mümkün hale getirmiştir. Ağ bağlantı türü, işletim sistemi tarafından

soyutlanmamış olsaydı, bir programcı her bir Wi-Fi ağı, ticari ağ, konut ağı, mobil ağı vb.

için ayrı bir kod yazmak zorunda kalacaktı. Soyutlama, Bylock gibi bir mesaj

uygulamasının ağ bağlantısı türü konusunda çok faydalı bilgiler içermeyeceği anlamına

gelmektedir.

11 Bkz. http://docs.oracle.com/javase/8/docs/technotes/guides/security/crypto/CryptoSpec.html






V.L. Bylock kullanan bir GSM telefonun IMEI numarasını tespit etmek mümkün

müdür? Değildir.

32. Bylock gibi bir Android uygulamasının telefonun IMEI numarasını bilmesi için,

uygulamanın belli bir program koduna sahip olması gerekir. Öncelikle, uygulamaya,

telefonun IMEI bilgisini okuma izni verecek şöyle bir kod satırı yüklenmelidir:

33. Kaynak koda dönüştürdüğüm Bylock APK içerisinde böyle bir kod satırı buldum.

34. Bu satıra ilave olarak, uygulama getDeviceId() adı verilen bir metodu kullanan bir kodu

da içermesi gerekir. Bu metot bir GSM telefonun IMEI numarasını açığa çıkaracaktır. Bu

metodun nasıl programlanacağı şu örnekte gösterilmiştir:

35. Kaynak koduna dönüştürdüğüm Bylock APK içerisinde getDeviceId() metodunu

kullanan ya da çağıran bir kod bulamadım. getDeviceId() metodunu kaynak kodunda

bulunmamasına bakarak, Bylock uygulamasının IMEI bilgisine ulaşamayacağı

kanısındayım.

36. Geçerli ve kullanılan bir SIM kart olması durumunda mobil telefon operatörünün

telefonun IMEI numarasını tespit etmesi mümkün olabilir.






V.M. Bir kullanıcının Bylock uygulamasını uygulama mağazalarından mı yoksa

üçüncü sitelerden mi indirdiğini tespit etmek mümkün müdür? Bazı durumlarda evet.

37. Bir cihazda kurulmuş Bylock uygulamasının kaynağını öğrenmek mümkün olabilir.

Google (Android işletim sisteminin yaratıcısı) özel bir online mağaza olan ve kişilerin

kolaylıkla Android cihazlarına mobil uygulamalarını yükleyebilmelerini sağlayan

‘Google Play’i işletmektedir. Fabrika ayarı olarak, Android telefonlar, uygulamaları

Google Play’den indirip ve yükleyecek şekilde ayarlanmışlardır. Google Play’dan bir

uygulama indirmek için, kullanıcının indirilecek uygulamayı kaydedecek bir Google ID

kimliğine sahip olması gerekir. Her bir kullanıcının Google Play indirme kayıtlarının

nasıl görüleceğine ilişkin bilgiler Türkçe olarak şu adreste

https://support.google.com/googleplay/answer/2850369?hl=tr İngilizce olarak da şu

adreste https://support.google.com/googleplay/answer/2850369?hl=en bulunabilir.

38. Bununla birlikte, kullanıcı telefoununda değişiklikler yaparak, telefonunu üçüncü

sitelerden uygulama indirecek şekilde ayarlaması mümkündür. Android işletim

sisteminin, uygulamanın nasıl yükleneceğini kontrol eden ayarları kullanıcının

değiştirmesine izin veren çeşitli sürümleri vardır. Kullanıcı bu ayarlamaları aktif hale

getirirse, Android, kullanıcının Google Play mağazasından gelmeyen uygulamaları da

indirmesine izin verecektir. Bu ayarların12 örneği aşağıda verilmiştir:

12 Görüntü kaynağı: http://softstribe.com/android/how-to-enable-third-party-applications-installation-in-android/


https://support.google.com/googleplay/answer/2850369?hl=tr

https://support.google.com/googleplay/answer/2850369?hl=en





39. Cihazdaki bu ayarın incelenmesi, üçüncü kaynaklardan uygulama indirilip

indirilmediğini öğrenmenin bir yoludur.13

40. Telefonun üçüncü kaynaklardan uygulama indirecek şekilde ayarlandığını farzedersek,

indirme işlemini gerçekleştirmek için ilave teknik adımlar atılmalıdır:

a. İstenen uygulama online ortamda APK formatında bulunmalıdır.14

b. APK dosyası cihaza indirilmelidir (veya önce bir bilgisayara indirilmeli, oradan

da cihaza kopyalanmalıdır.

c. APK dosyası cihaza indirildikten sonra, cihazdaki yeri tespit edilmeli ve indirme

işlemini tamamlamak üzere yürütülmelidir.

13 Elbette, bu ayar aktifleştirildiği gibi kolaylıkla iptal edilebilir. Bir ayarın ne zaman değiştirildiğini tespit etmenin

kolay bir yolu bulunmamaktadır. 14 APK, ‘Android Paket Kiti’ anlamına gelmektedir. Bu dosya formatı Android uygulamalarını paketleme ve sürüme

sokma amacıyla kullanılır.






41. Yukarıdaki birinci adımda, cihazdaki veya kullanıcının bilgisayarındaki internet

tarayıcısının kayıtlarından APK dosyalarını içeren bir web sitesinin ziyaret edilip

edilmediği anlaşılabilir.

42. İkinci adımda, Android’de kullanıcının geliştirici modunu aktifleştirebildiği gizli bir ayar

vardır; bu ayarla kullanıcı USB kablosu aracılığıyla cihaza veya cihazdan dosyaları

kopyalayabilir.15

43. Üçüncü adımda, APK dosyasına telefonun asıl dosya yönetici veya üçüncü bir yönetici

uygulaması üzerinden ulaşılabilir.

44. Bu adımlar ve sorun çıkması durumunda atılacak ilave adımlar, benim tecrübe ettiğim

kadarıyla, birçok kullanıcının hoşuna gitmeyecek bir çaba gerektirmektedir.

V.N. Bylock uygulamasının belli bir hesap tarafından belli bir zaman diliminde kaç kez

kullanıldığını tespit etmek mümkün müdür? Potansiyel olarak evet.

45. Teorik olarak, Bylock uygulamasının belirli bir hesap tarafından belirli bir zaman

diliminde kaç kez kullanıldığını öğrenmenin birkaç yolu bulunmaktadır. Bylock APK

dosyalarını kaynak kodlarına dönüştürdüğümde, Java’nın Log sınıfını kullanan bir kod

buldum.16 Log sınıfı, uygulamanın yürütüldüğü esnadaki uygulamanın hareketlerinin

kayıtlarını tutmak için kullanılır.17 Uygulamalar kendi kayıtlarını tutabilir veya kayıtları

tutmak için cihazın işletim sistemini kullanabilir. Bylock uygulamasının yürütüldüğü bir

cihaz, uygulamanın kullanımına ait zaman bilgisi, hesap numarası vb. kayıtlar içerebilir.

15 Bkz. http://www.androidauthority.com/enable-developer-options-569223/ 16 Yazılım programcılığında, ‘sınıf’ diğer programlara konulmak üzere yeniden kullanılabilecek bir yazılım parçası

anlamına gelmektedir. 17 Bkz. https://developer.android.com/reference/android/util/Log.html






46. Merkezi Bylock sunucusu, kullanıcılar arasındaki bağlantıların kayıtlarını, potansiyel

olarak hesap numaraları, zaman bilgileri vb. tutmuş olabilir.

47. Bir Bylock kullanıcısı diğer bir kullanıcıyla iletişim kurduğunda, genel olarak her iki

cihazda da tüm mesajlaşmanın kaydı bulunur ve bu kayıtlar zaman bilgilerini de içerir.

V.O. Bylock aracılığıyla sesli arama yapılıp yapılmadığını, bu mümkünse, bu aramanın

kime yapıldığını tespit etmek mümkün müdür? Bir kullanıcının uygulama içerisindeki

email mesajlaşma ya da SMS mesajlaşma sistemini kullanıp kullanmadığını tespit etmek

mümkün müdür? Genel olarak evet.

48. Bylock uygulamasını kullanarak sesli konuşma yapılıp yapılmadığını öğrenmek mümkün

olabilir. Normal şartlarda, Bylock gibi iletişim uygulamaları geçmiş sesli aramalar,

emailler, chat mesajları vb. kaydına sahiptir. Bununla birlikte, benim araştırmam

esnasında merkezi Bylock sunucusu çalışmıyordu ve dolayısıyla sunucu olmadan sisteme

giriş yapamadım. Ancak, önceki Bylock kullanıcılarından birisinin telefonunda hala

Bylock uygulaması varsa ve iletişim kaydına ulaşabiliyorsa, bu kayıtların o cihazda

görünür olması mümkündür. Geçmiş aramaların veya mesajların cihazdan silinmiş olması

da mümkündür, zira bu Bylock gibi mesajlaşma uygulamalarında yaygın bir özelliktir.

Uygulamayı gerektiği gibi çalıştıramadığımdan, silme özelliğinin olup olmadığını

öğrenemedim.

49. Genel olarak, uygulama tarafından gönderilen ve alınan mesajlar iki yerde tutulmuş

olmalıdır: kullanıcının kendi uygulamasında ve bu mesajların paylaşıldığı kişinin

uygulamasında.






V.P. Bylock uygulaması Google Play ve Apple App Store online mağazalardan tam

olarak hangi tarihlerde indirilebiliyordu? Nisan 2014 – Nisan 2016 arası.

50. Değişik online kaynaklara göre, Bylock, Google Play ve Apple App Store üzerinde Nisan

2014’te sürüme girdi. App Store’dan Eylül 2014’te, Google Play’den ise Nisan 2016’da

kaldırıldı.

V.Q. Bylock, ‘üst-düzey güvenlik’ seçeneği sunuyor mu? Farklı kriptolama metotlarıyla

iletişim seçenekleri sunuyor mu? Belirsiz.

51. Yaptığım araştırmada, Bylock’un farklı güvenlik seviyeleri sağlayıp sağlamadığı ortaya

çıkmadı. Uygulamanın tanıtımında öne çıkarılan özellik kriptolu chat mesajlaşmasıydı ve

bu kullanıcıların en çok tercih ettiği özellikti. Yaptığım online araştırmada, email ve sesli

görüşmelerin de kriptolu olduğuna işaret eden ifadeler buldum, ama bunlar için farklı

güvenlik türleri olduğuna dair bir bilgiye rastlamadım. Uygulamayı kullanamadığım için,

muhtemel kriptolama özelliklerini de test edemedim. Böyle bir test yapmadan, farklı

iletişim seçenekleri için sms/chat mesajlaşmaya göre farklı güvenlik seviyeleri

sunulduğunu öğrenmek zordur.

V.R. Hangi işletim sistemleri Bylock ile uyumludur? Sadece Android ile mi uyumludur?

Android ve IOS (Apple) ile uyumludur.

52. Bylock hem Android hem de iOS (Apple) cihazları için mevcuttu. Araştırmamda,

uygulamanın Windows ve Blackberry cihazlarına da yüklenebileceğini iddia eden web






siteleri buldum. Fakat, Windows ve Blackberry cihazları için yükleyici program

bulamadım.

V.R. Bylock uygulamasının üçüncü sitelere kıyasla uygulama mağazalarından kaç kez

indirildiğini tespit etmek mümkün müdür? Hayır.

53. Üçüncü sitelerle uygulama mağazalarından (Google Play ve Apple App Store) yapılmış

indirmelerin oranını karşılaştırmak çok zordur. Çünkü, uygulamaların indirilebileceği

sayısız üçüncü site vardır ve bunlardan yapılan indirmelerin sayısını tutan bir kaynak da

yoktur.

54. Mesleki tecrübelerime göre, çoğu kişi, bir web sitesinden bir uygulamayı indirdikten

sonra, bunu cihaza transfer edip, manuel olarak yüklemek gibi karmaşık adımları icra

edecek teknik bilgiye (ve sabıra) sahip değildir. Google ve Apple, insanların

uygulamaları bulup kolayca yükleyebilmeleri için online mağazalar oluşturmuşlardır. Bir

uygulama Google Play ve Apple App Store üzerinde olmayınca, bırakınız transferi ve

yüklemeyi, bu uygulamayı bulabilecek kişi sayısı bile olağanüstü azalmaktadır.

V.T. Bylock uygulaması diğer bilinen chat ve mesajlaşma uygulamalarıyla

karşılaştırıldığında kriptolama yöntemleri, güçlü ve zayıf tarafları nelerdir? Bylock’un

kriptolama yöntemi WhatsApp, Viber, Tango ile nasıl karşılaştırılabilir? Bylock’un

kriptolaması diğer birçok uygulamaya göre daha az güvenliydi.

55. Bir kriptolama teknolojisini uygulamayı kullanmadan ve kaynak kodunu incelemeden

karşılaştırmak son derece zordur. Bununla birlikte, yaptığım online araştırma ve

uygulamanın kaynak koduna dönüştürmesine göre, Bylock’un kriptolaması herhangi bir






geliştiricinin elde edebileceği standard Java kütüphanesi kullanılarak yapılmıştır. Ayrıca,

Bylock’un iletişimin bütün adımlarını koruma kapasitesine sahip uçtan uca kriptolama

(E2EE olarak bilinir) özelliğine sahip olmadığını buldum. Bylock’un kriptolaması sadece

merkezi Bylock sunucusu ile kullanıcının cihazı arasında işlemiştir.

56. Buna karşılık, diğer birçok mesajlaşma uygulamaları daha gelişmiş kriptolama teknikleri

içerir. Electronic Frontier Foundation adlı kurum hangi uygulamanın hangi kriptolama

özelliklerine sahip olduğunu listelemeye çalışmıştır ve bu liste uzundur. 18 Listeden bir

alıntı şu şekildedir:

18 Bkz. https://www.eff.org/node/82654






Transit

sırasında kriptolu mu?

Sağlayıcının

okuyamayacağı şekilde kriptolu

mu?

Kişilerin

kimliklerini doğrulayabilir

misin?

Anahtarların

çalınırsa, geçmiş

iletişimler

güvende mi?

Kod, tarafsız bir

değerlendirmeye açık mı?

Güvenlik

dizaynı doğru biçimde

belgelenmiş

mi?

Yakın

zamanda kod teftişi olmuş

mu?






Genel olarak, bir uygulama ne kadar yeşil işarete sahipse, güvenliği o kadar iyidir. Bana göre, bu

tabloda, Bylock’un veri güvenliği en fazla iki yeşil işaret alabilirdi.

57. Facebook Messenger, Apple iMessage ve diğer birçok mesajlaşma uygulaması E2EE

sunmaktadır ki bu Bylock’un kriptolama türünden çok daha iyidir. WhatsApp ve Viber,

E2EE özelliğinin nasıl çalıştığını kamuoyuna açıkladı ve dolayısıyla uzamanlar

tarafından değerlendirilebilir. 19

V.U. Bylock mesajlarının kendi kendini yok etme özelliği bulunmaktaydı. Diğer güvenli

chat uygulamaları da benzer özelliğe (mesajların kendini yok etmesi/otomatik silinme)

sahip midir? Evet, birçoğu.

58. Kendini kendini yok eden mesaj özelliğini taşıyan ve en çok bilinen mesajlaşma

uygulaması, 2011’de sürüme giren Snapchat uygulamasıdır. 20 Telegram,21 Wickr22 ve

Sobrr23 gibi diğer mesajlaşma uygulamaları da kullanıcı tarafından oluşturulan içerik ve

mesajların otomatik olarak belli bir süre sonra silinmesini sağlayan özelliklere sahiptir.

Apple App Store’da, Viber Wink adlı Viber yardımcı uygulaması bulunmaktadır; bu

uygulama kendi kendini yok eden mesajları gönderip alabilmektedir.

19 Bkz. https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf ve

https://www.viber.com/en/security-overview 20 Bkz. https://www.snapchat.com/ 21 Bkz. https://www.telegram.org/ 22 Bkz. https://www.wickr.com/ 23 Bkz. http://www.imsobrr.com/


https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf





V.V. Bylock’un telefon rehberi entegrasyon özelliği bulunmamaktadır. Bu özelliğe sahip

olmayan başka uygulamalar var mıdır? Ben bulamadım.

59. Mevcut çok sayıda mesajlaşma uygulaması vardır ve bunların çoğunda telefon defteri

entegrasyonu eksikliği de dahil olmak üzere birbirleriyle ortak bir çok özellikleri vardır.

Örneğin, Surespot24 adlı uygulama, kullanıcı için bir telefon numarası veya e-posta

adresi kullanmaz, bu da telefon defteri entegrasyon özelliğinin kullanışlı olmayacağı

anlamına gelir.

V.W. Bylock kayıt esnasında email adresi ya da telefon numarası istememektedir. Email

adresi ve telefon numarası istemeyen başka uygulamalar var mıdır? Birçok uygulama

bunlardan birisini istemektedir.

60. Facebook Messenger ve Skype gibi bazı mesajlaşma uygulamaları, email adresinizi

girmenizi şart koşmaktadır. Viber ve Tango gibi uygulamalar ise email adresini

istememekle beraber, teyit edici mesaj göndermek için telefon numarası istemektedir.

Genel olarak, birçok mesajlaşma uygulaması ya email adresini ya telefon numarasını ya

da her ikisini istemektedir.

61. Yeni bilgilerin bulunması halinde, buradaki görüş ve sonuçlara ekleme yapmak ve

değiştirmek hakkını saklı tutuyorum.

Yukarıda yazılanların gerçek ve doğru olduğunu, yalan ifade cezasını göze alarak, beyan

ederim.

9 Ağustos 2017 tarihinde Los Angeles, Kaliforniya’da icra edilmiştir.

_[IMZA]_________

Jason Frankovitz


Expert Report of Jason Frankovitz - 1

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

EXPERT REPORT OF JASON FRANKOVITZ

I. INTRODUCTION

1. My name is Jason Frankovitz of Los Angeles, California, USA. I have been retained

by attorney Murat AKKOÇ as an expert in software engineering to provide my opinions in

connection with a legal matter against Ali CIHAN. I have been asked to provide expert opinions

related to the Bylock communications app.

2. If necessary, I am prepared to review currently-unknown material presented before

and/or after trial. I also understand that additional discovery or new evidence may be made

available that is specifically relevant to the opinions I express here. I reserve the right to amend

or supplement this report, as necessary and as acceptable to the Court. I also reserve the right to

develop materials and exhibits as appropriate for use in helping to demonstrate and explain my

opinions in the event that I am asked to testify.

3. I am being compensated for my work on this case at the rate of $395 per hour plus

reimbursement of direct expenses. I have no personal interest in this litigation, and my

compensation does not depend in any way on the opinions I express or outcome of this case.

II. QUALIFICATIONS

4. This section summarizes my education, professional achievements, and peer-

reviewed scientific publications in the field of computer science. A more detailed list of my

qualifications is set forth in my curriculum vitae, a copy of which accompanies this report.

5. I am an expert in software and computing technology with over 25 years of experience

as an inventor, engineer and programmer. I currently serve as a software engineering expert with

Quandary Peak Research located in Los Angeles, California, USA. As part of my duties with

Quandary Peak Research, I provide software analysis services for patent infringement and trade


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

secret disputes, perform forensic investigations of computer systems, including examination of

digital data, and conduct source code analysis for litigation support.

6. I have been a software engineer for a variety of large and small technology

companies making Web-based software, mobile apps and backend systems. I am listed as the

inventor on a pending patent for a social media advertising system. I have been an instructor of

technology- and Internet-related topics at San Francisco State University, California, USA.

7. Over my many years of experience in the software and Internet industry, I

have developed technical expertise in a variety of Internet and Web technologies such as

Transmission Control Protocol/Internet Protocol (TCP/IP), Hypertext Transfer Protocol (HTTP),

Domain Name System (DNS), Secure Sockets Layer (SSL), Common Gateway Interface (CGI),

proxies, client/server architectures, cloud computing, content management systems, relational

databases, domain registration, and Web forensics. I am also an expert in commonly used web

programming languages, such as Ruby, Rails, PHP, Perl, Java, JavaScript, Hypertext Markup

Language (HTML), XML, Cascading Style Sheets (CSS), asynchronous Javascript and XML

(AJAX), and shell programming languages.

8. I have performed a variety of investigations and analyses for software

patent infringement, software copyright, breach of contract, and software trade secret cases. Prior

to working with Quandary Peak Research, I served as an intellectual property and

technology advisor with TechKnow Consulting, providing a range of services in software-related

matters including patent licensing and brokerage. I also served as a software intellectual

property consultant with Intellectual Ventures, a company located in Bellevue, Washington State,

USA.

9. I have served as an expert in software, the Internet, and Web technology in more than

forty legal matters. I have given expert testimony in depositions, one bench trial and multiple jury


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

trials in Los Angeles County Superior Court, San Diego Superior Court and Santa Clara Superior

Court in California, USA.

III. MATERIALS CONSIDERED

10. I have relied on the following items to help form my opinions in this matter: (1)

original research I performed on the Internet, (2) materials provided to me by the legal staff of

Mr. AKKOÇ, (3) a decompiled Bylock application1, (4) the other materials cited in this report,

and (5) my years of experience writing, deploying, and supporting software applications.

11. Unless noted otherwise, my investigation was performed using the Android version

of the Bylock application, written in the Java programming language. I did not review any

materials indicating significant differences between the features of the iOS/Apple version of the

Bylock app and the Android version.

IV. QUESTIONS POSED

12. I was asked to perform an independent inquiry to answer the following questions:

a. Is the Bylock application available for download by anyone?

b. Can the Bylock application be used by anyone, or can it only be used by a

single group?

c. Is it possible to obtain the contents of messages sent and received using the

Bylock application?

d. Is it possible to know when the Bylock application was downloaded?

e. Is it possible to know when the Bylock application was actively used?

f. Can the Bylock application be used without a network connection, or must it

be used with a network connection of some kind (such as a cellular connection

or Wi-Fi connection)?

1 Decompilation is the process of obtaining the source code from a compiled (runnable) application. Decompiling can reveal some of app’s programming, which is normally stored inside the app in an unreadable format.


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

g. Is it possible for people using the Bylock application and people not using it

to share the same Wi-Fi network?

h. Is it possible to determine the identification of Bylock users?

i. Does Bylock enable secure encrypted communication between two parties?

j. Does Bylock use military-grade encryption methods to secure the

communication between parties?

k. Once the identities of the users are determined, is it possible to determine the

connection type (such as ADSL, 4G) of the users?

l. Is it possible to determine the IMEI number of a GSM phone that runs Bylock?

m. Is it possible to determine whether a user acquired the Bylock app from app

stores or from third-party websites?

n. Is it possible to determine how many times the Bylock app has been used by a

specific account in a specific time period?

o. Is it possible to determine whether voice calls have been made via Bylock and

if yes, to whom the voice call has been made? Is it possible to determine

whether the in-app e-mail messaging system or the in-app text messaging

system has been used by a user?

p. What were the exact dates during which the Bylock app could be downloaded

from Google Play and Apple App Store?

q. Does Bylock offer a “high-level security” messaging option? Does it have

communication options with different encryption methods?

r. Which operating systems is Bylock compatible with? Is it only compatible

with Android?

s. Is it possible to determine how many times Bylock was downloaded from app

marketplaces compared to third-party websites?


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

t. What are the encryption properties, strengths and weaknesses of Bylock

compared to other well-known chat and messaging apps? How does Bylock’s

encryption compare to WhatsApp, Viber, and Tango?

u. Bylock messages had a self-destruct feature. Do any other secure chat

applications have a similar feature (messages that self-destruct/automatic

message deletion)?

v. Bylock does not have phonebook integration. Are there other applications

which do not have a phonebook integration feature?

w. Bylock does not request an e-mail address and phone number during

registration. Do other applications not request an e-mail address and phone

number?

V. RESULTS OF INQUIRY

V.A. Is the Bylock application available for download by anyone? Yes.

13. Applications like Bylock are typically distributed to users via an Internet-based “app

marketplace.” For example, iPhone users can download and install applications (also called

“apps”) using an online app marketplace called “App Store”. For Android users, apps are

downloaded and installed using an online app marketplace called “Google Play”. During the time

the Bylock application was available on Google Play, it could have been downloaded by anyone

with an Android device and a Google account.

14. After an app is removed from its app marketplace, it is still possible to download and

install the app from other websites that have a copy. For example, the Bylock app is no longer

available in Google Play, but the Bylock “APK” (Android Package Kit) file can be found on

many other APK sites where users share and discuss mobile apps. Because anyone can access

these sites, anyone can download the Bylock application from many of its Internet storage

locations.


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

V.B. Can the Bylock application be used by anyone, or can it only be used by a single

group? It could be used by anyone (but is no longer in operation).

15. Not only can the Bylock app be downloaded by anyone, but once it has been

downloaded, the person who downloaded it could create their own Bylock account and start

sending messages to other users (before the system stopped operating in 2016). The Bylock

system required the use of a central server maintained by Bylock for the app to work. When the

central Bylock server stopped operating, it is likely that anyone who downloaded Bylock would

not be able to use it.

16. I found nothing in my examination of the Bylock app indicating that the app was able

to enforce a specific group membership as a condition of use.

V.C. Is it possible to obtain the contents of messages sent and received using the Bylock

application? Yes.

17. The contents of messages sent and received using Bylock can be obtained, using a few

methods:

a. The device running the Bylock app maintains a record of messages in each

conversation. The contents of messages can be obtained by using the Bylock

app on the device that sent and received the messages and examining each

conversation in the app. The sender and the receiver of a message should have

identical copies of the conversation on both devices that were using Bylock.

b. The central server used by Bylock contained usernames and passwords for

Bylock users. If those usernames and passwords are obtained, then they could

be used to impersonate the original/actual Bylock users for login purposes. By

logging in as another user, it may be possible to see the history of the user’s

past conversations.


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

c. The central server used by Bylock may have routed messages from user to

user. If Bylock operated in this way (which is likely based on the type of

application), then the contents of each message would be available on the

central server. By compromising the server, the messages could be obtained.

i. Further, if the central server used by Bylock did route messages from

user to user, then the contents of messages could be obtained, in theory,

by monitoring the network connection between the device using

Bylock and the central server. However, it would be unusual for a

messaging app like Bylock to use the type of network connection

vulnerable to simple monitoring.

d. If a device with Bylock installed was backed up or copied, then it is possible

the backup files could contain the contents of the Bylock messages. However,

depending on the backup system and the device, backup files can be encrypted

to prevent their contents from being read.

V.D. Is it possible to know when the Bylock application was downloaded? Yes.

18. There are different ways to know when an application is downloaded:

a. If Bylock was downloaded from an online app marketplace like Google Play

or Apple’s App Store, then the history of the user’s activity has been recorded

by the online app marketplace. The user’s history can then be obtained by

accessing the server and examining the logs there.

b. Each online app marketplace maintains a history (available to the user) of what

was downloaded and when. For example, the site https://payments.google.com

allows the user to log in and see their past purchases of Google products and

services and the date of each purchase.2

2 See payments1.png (Source: https://payments.google.com)


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

c. Each online app marketplace usually offers the option of sending an email to

the user after an app is downloaded or purchased. If this option were activated,

it would then be possible to know approximately the time Bylock was

downloaded by reviewing any emails sent from the app marketplace to the

user.

d. The device that downloaded Bylock would have dates and times associated

with the download in the device’s file storage area, indicating when Bylock

was downloaded and when its files were installed. However, viewing this data

usually requires a technical procedure, because the inner workings of the

operating system are designed to be hidden from nontechnical users. For

example, on Android devices, a series of steps are needed to access the

debugging function of the device via the local wireless network; once

completed, the internals of the Android operating system can be inspected

using other commands. One way to do this is demonstrated at

https://futurestud.io/tutorials/how-to-debug-your-android-app-over-wifi-

without-root.

V.E. Is it possible to know when the Bylock application was actively used? Yes.

19. There are a few ways to know when Bylock was being actively used:

a. Server logs: when Bylock is being used, it communicates with a central server.

This server keeps a log of the resources being used on the system. Therefore

the central server would log information during Bylock use, and those logs

could be reviewed at a later time.

b. Server Database records: when Bylock is using the central server, it reads and

writes information in a database stored there. According to Harun Esur,3 the

3 See https://tr.linkedin.com/in/harunesur/it

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

Bylock database has a column named “lastonlinetime” which records a date

and time.4 It is common for individual rows in a database to record dates and

times for different activities.

c. Device logs: when Bylock is running on the mobile device, the device has its

own log of resources being used just like the server does. Like the logs stored

on the central server, they may contain details about Bylock that were recorded

while it was being used.

d. Device Database records: applications like Bylock often use a database on the

device; it can store some identical information with the database on the central

server, or it can store different information. The database on the device would

be a potential source of date and time information that could reveal when

Bylock was being used.

e. Network sniffing: it is possible to observe traffic on a computer network using

a program called a network packet analyzer, also known as a “sniffer”. A

sniffer will see if a device on the network is communicating with the Bylock

central server. Because of the encrypted communication between the device

and the server, the sniffer is normally not able to see the contents of the

messages, but it can see that communication is happening. Note that this

detection technique is only possible while the device and server are in

active/realtime communication.5

4 See database1.png (Source: https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/09/ByLock-app-hacking-Turkish-MIT-2.jpg?w=603) 5 It is my understanding that Bylock central server has been offline since early 2016 and since that time there has been no more use of the Bylock service.



1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

V.F. Can the Bylock application be used without a network connection, or must it be

used with a network connection of some kind (such as a cellular connection or Wi-

Fi connection)? Bylock needed a network connection.

20. Based on my research, Bylock required a network connection. This is logical, because

without network access messages to and from other users could not be sent or received by the

device. While it would be technically possible to run the Bylock app without a network

connection, it is unlikely it could perform any useful action.

V.G. Is it possible for people using the Bylock application and people not using it to

share the same Wi-Fi network? Yes.

21. It is not only possible for people using Bylock and people not using Bylock to share

the same Wi-Fi network; it is the intended way Wi-Fi was designed to work. A Wi-Fi (wireless)

network is a shared resource; it is meant to let multiple people use independent network

connections at once. This is normal. Because each device has a unique IP number, the network

can route network traffic to and from many people, all using different applications to do different

things, at the same time. If this were not the case, then we would see dedicated Wi-Fi networks

for each individual application, i.e. a wireless network just for Google Chrome (browsing the

web), a second wireless network just for Microsoft Outlook (checking email), a third wireless

network just for Skype (making voice calls), a fourth wireless network just for Call of Duty

(playing games), and on, and on. This would obviously be completely impractical, and it would

indicate poor design of a networking standard; this not how Wi-Fi normally works. Instead, Wi-

Fi allows many people to use many different applications on the same network simultaneously.

V.H. Is it possible to determine the identity of Bylock users? Yes.

22. Under the right conditions, the identity of Bylock users could be discovered, just as

the identities of users of other online applications could be discovered. The Bylock central server

has information that identifies users personally, like names and passwords. Other information on


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

the server could possibly reveal additional details, like users’ countries of residence, IP numbers

of recent connections, dates of birth, even postal codes.

23. If Bylock and the central server were configured to communicate using a nonstandard

network port, then the ISP (Internet Service Provider) could monitor their gateway for customer

traffic flowing through the unusual port.6 Then the IP number of the ISP’s customer (along with

any other identifying information unique to the device or connection) could be logged and

correlated with likely users.

24. If a phishing email were sent to potential Bylock users, asking them to type in their

Bylock username and password, then the Bylock user themselves would disclose their own

identity, albeit unwittingly.

25. If the device using Bylock is backed up over the network, the backup contents could

be scanned for possible identity clues.

26. If an app marketplace (like Google Play or Apple’s App Store) sent an email

confirming the user successfully downloaded Bylock, then the email server at an ISP could watch

for a Bylock-related email message, record whatever email address is on the To: line of that

message, then finish delivering the message.

27. These are just a few ways a person’s identity can be determined from using online

sites and apps. There are also many ways a person can be manipulated into revealing personal

information, not only on the Internet but also in the real world; this is a field called “social

engineering”7 and is beyond the scope of this report.

6 If Bylock were communicating on a normal network port, one used by everyday services like web and email, it would be more challenging (though not impossible) for the ISP to notice the Bylock activity. A comprehensive list of standard ports for Internet services can be found at https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml 7 See https://en.wikipedia.org/wiki/Social_engineering_(security)


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

V.I. Does Bylock enable secure encrypted communication between two parties? Yes.

28. Bylock used standard, publicly-available Java libraries (such as those included in

java.security and javax.crypto8) to provide encrypted communication between users of the

application. Because Java is a widely-used programming language owned by Oracle Corporation,

there is abundant documentation explaining how the Java encryption system works9 and many

examples of code that programmers can learn from and modify.10

V.J. Does Bylock use military-grade encryption methods to secure the communication

between parties? Yes and no.

29. The phrase “military grade encryption” is not a very useful way to describe an

encryption system. This is because many military agencies use encryption that is common in

consumer and civilian software and vice-versa. The National Institute of Standards and

Technology (NIST) in the United States established an encryption system called AES, and this

system was chosen by the United States National Security Agency (NSA) as suitable for

information marked “top secret”. It is believed this is a possible origin of the phrase “military

grade encryption”.

30. The encryption used in the Bylock application is the same encryption available to any

Android programmer. The software performing the encryption is documented publicly by Oracle

Corporation.11

V.K. Once the identities of the users are determined, is it possible to determine the

connection type (such as ADSL, 4G) of the users? It depends, but probably

doubtful.

31. Operating systems which use modern networking technologies (like Android) are

created to insulate the type of network connection from the application using the network 8 See https://docs.oracle.com/javase/7/docs/api/javax/crypto/package-summary.html 9 See https://docs.oracle.com/javase/7/docs/technotes/guides/security/crypto/CryptoSpec.html 10 See http://www.java2s.com/Code/Java/Security/Basicsymmetricencryptionexample.htm 11 See http://docs.oracle.com/javase/8/docs/technotes/guides/security/crypto/CryptoSpec.html


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

connection. This technique, called abstraction, makes it easier to write programs that can work

with a variety of network connections. If the network connection type were not abstracted by the

operating system, the programmer would have to write different code for a Wi-Fi network, a

business network, a home network, a cellular network, and so on. Abstraction means it’s unlikely

that a messaging application like Bylock would have useful information about the type of network

connection.

V.L. Is it possible to determine the IMEI number of a GSM phone that runs Bylock?

Unlikely.

32. For an Android application like Bylock to know the IMEI number of the phone, the

application must have specific programming code. To start, the app must be configured with a

line of code that gives the application permission to read IMEI information from the phone:

33. I found the above line of code in the Bylock APK I decompiled.

34. In addition to the line above, the application must also have code that invokes a

method called getDeviceId(). This method will reveal the IMEI number on a GSM phone. One

example of how the method can be programmed is:

35. I did not find any code using or invoking the getDeviceId() method in the Bylock APK

I decompiled. Based on the face the getDeviceId() method was not present in the decompiled

code I examined, my opinion is that the Bylock application was not able to access the IMEI.

36. It should be possible for the cellular network carrier to identify the IMEI of a device

if it has a valid and working SIM card.


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

V.M. Is it possible to determine whether a user acquired the Bylock app from app stores

or from third-party websites? Yes, in some circumstances.

37. It may be possible to know the source of the Bylock app installed on a device. Google

(the creator of the Android operating system) operates “Google Play”, a special online store that

lets people easily install mobile applications onto an Android device. By default, Android phones

are configured to download and install applications from Google Play. To download an app from

Google Play, the user must have a Google ID, which is used to log what apps are downloaded.

Instructions how to view each user’s Google Play download history are at

https://support.google.com/googleplay/answer/2850369?hl=tr in Turkish and

https://support.google.com/googleplay/answer/2850369?hl=en in English.

38. However, it is possible for a user to alter a phone so that applications can be

downloaded from third-party websites. There are several versions of the Android operating

system that allow the user to change a setting controlling how apps can be installed. If the user

activates the setting, Android will allow the user to install applications that did not come from

the Google Play store. An example of this setting12 is shown here:

12 Image from http://softstribe.com/android/how-to-enable-third-party-applications-installation-in-android/


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

39. Examining this setting on the device is one way to know if apps have been installed

from a third-party source.13

40. Assuming the phone has been configured to allow app installation from a third-party

source, additional technical steps must be taken to actually perform the installation itself:

a. The desired application must be located online in APK format14

b. The APK file must be downloaded to the device (or downloaded to a computer

and then copied to the device)

c. Once the APK file is on the device, it must be located and run so the

installation can complete.

41. For the first step above, using the browsing history on the device or on the user’s

computer, it may be possible to see if a website featuring APK files was visited.

42. For the second step, there is a hidden setting in Android that allows the user to activate

developer mode, which allows the user to copy files to and from the device using a USB cable.15

43. For the third step, the APK file may be accessible through the phone’s original file

manager, or using a third-party file manager application.

44. These steps, and the additional steps needed if problems are encountered, represent a

level of effort that most users dislike, in my experience.

V.N. Is it possible to determine how many times the Bylock app has been used by a

specific account in a specific time period? Potentially yes.

45. In theory there are a few ways to know how many times Bylock has been used by a

specific account during a specific time. When I decompiled the Bylock APK, I found code that

uses Java’s Log class.16 The Log class is used to perform logging of the application’s behavior

13 Of course, the setting can be deactivated as easily as it can be activated. There is no simple way to know if or when the setting has been changed in the past. 14 APK stands for “Android Package Kit”, a file format used to package and distribute Android applications. 15 See http://www.androidauthority.com/enable-developer-options-569223/ 16 In software programming, a “class” is a reusable piece of software intended to be included in other programs.


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

when it runs.17 Applications can record their own logs, or they can use the device’s operating

system to record their logs. A device that ran the Bylock application may have logs that reveal

details about the app’s usage, which may include timestamps, account IDs, and other information.

46. The central Bylock server was likely to have recorded connections between users,

potentially including account IDs, timestamps, and other information.

47. If a Bylock user was communicating with another user, there is usually a record of the

complete conversation on both devices, and the communications may include timestamps.

V.O. Is it possible to determine whether voice calls have been made via Bylock and if

yes, to whom the voice call has been made? Is it possible to determine whether the

in-app e-mail messaging system or the in-app text messaging system has been used

by a user? Usually yes.

48. It should be possible to know if voice calls have been made using the Bylock

application. Under normal circumstances, communication applications like Bylock usually keep

a record of past voice calls, emails, chat messages, etc. However, the central Bylock server is no

longer operating and during my examination I was not able to log in without the server. But if

an earlier Bylock user still has the app on their phone and can access their communication history,

it is possible those records are viewable on the device. It is also possible that previous calls or

messages were deleted from the device because that is a common feature of messaging

applications like Bylock. Because I could not properly run the application I don’t know if it

offers a deletion feature.

49. In general, any messages sent or received by the app should be recorded in two places:

the user’s own application and the application of the person with whom the communication was

shared.

17 See https://developer.android.com/reference/android/util/Log.html


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

V.P. What were the exact dates during which the Bylock app could be downloaded from

Google Play and Apple App Store? April 2014 through April 2016.

50. According to various sources online, Bylock became available on Google Play and

Apple’s App Store in April 2014. It was removed from the App Store in September 2014 and

removed from Google Play in April 2016.

V.Q. Does Bylock offer a “high-level security” messaging option? Does it have

communication options with different encryption methods? Unknown.

51. Based on my research, it was unclear if Bylock offered different levels of security.

The main feature used to promote the application was the encrypted chat messaging, and this

seemed to be the most popular function among users. My online research found statements

indicating that the other communications features such as email and voice were also encrypted,

but there was no information about a different type of security for those features specifically.

Because I was unable to use the application I could not test possible encryption features. Without

such testing it is difficult to know if different communication options offered different levels of

security compared to the text/chat messaging feature.

V.R. Which operating systems is Bylock compatible with? Is it only compatible with

Android? Android and iOS (Apple).

52. Bylock was available for both Android and iOS (Apple) devices. During my research

I found websites which claimed the application could be installed on Windows phones and

Blackberry devices. However, I was never able to successfully find any installers for Windows

phones or Blackberry devices.

V.S. Is it possible to determine how many times Bylock was downloaded from app

marketplaces compared to third-party websites? No.

53. It is very difficult to compare the ratio of third-party website downloads to downloads

from the app marketplaces (Google Play and Apple’s App Store). This is because there are


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

countless third-party websites from which apps can be downloaded, but there is no one source of

information that counts downloads from these third-party sites.

54. Based on my professional experience, most laypeople lack the technical knowledge

(or the patience) to perform a series of complicated steps to download an application from a

website, transfer it to their device, and install it manually. Google and Apple created their app

marketplaces to make it very easy and convenient for people to discover applications and install

them quickly. When an application is no longer available from Google Play or Apple’s App Store,

the audience who can easily find the application, to say nothing of transferring and installing it

manually, shrinks drastically.

V.T. What are the encryption properties, strengths and weaknesses of Bylock compared

to other well-known chat and messaging apps? How does Bylock’s encryption

compare to WhatsApp, Viber, and others? Bylock’s encryption was less secure

compared to many other apps.

55. It is very difficult to perform a firsthand comparison of an encryption technology

without using the application and studying the source code. However, according to my research

online and code I decompiled from the application, Bylock’s encryption was created using

standard Java libraries available to any developer. Further, Bylock lacked end-to-end encryption

(also known as E2EE), which is capable of protecting all segments of communication. Bylock’s

encryption only operated between the Bylock central server and the user’s device.

56. By contrast, many other messaging apps have more sophisticated encryption

techniques. The Electronic Frontier Foundation has attempted to document which apps have

which encryption features, and the list is extensive.18 An excerpt of the chart looks like this:

18 See https://www.eff.org/node/82654


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

In general, the more green checkboxes an app has, the stronger the security. In my opinion

Bylock’s data security would probably warrant a maximum of two green checkboxes in this

chart.

57. Facebook Messenger, Apple’s iMessage and many other messaging apps offer E2EE

which is considered superior to the kind of encryption in Bylock. WhatsApp and Viber have

explained publicly how their E2EE works so it can be reviewed by experts.19

19 See https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf and https://www.viber.com/en/security-overview


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

V.U. Bylock messages had a self-destruct feature. Do any other secure chat applications

have a similar feature (messages that self-destruct/automatic message deletion)?

Yes, several.

58. The most well-known messaging application with a self-destructing message feature

is Snapchat, which was released in 2011.20 Other messaging apps like Telegram21, Wickr22, and

Sobrr23 have a similar feature where content and messages created by the user will automatically

delete themselves after a period of time. Apple’s App Store has a Viber companion app called

Viber Wink, which sends and receives self-deleting messages.

V.V. Bylock does not have phonebook integration. Are there other applications which

do not have a phonebook integration feature? None that I found.

59. There are a large number of messaging apps available and many of them have features

in common with each other, including the lack of phonebook integration. For example, the app

Surespot24 does not use a phone number or an email address for the user, meaning a phonebook

integration feature would be not be useful.

V.W. Bylock does not request an e-mail address and phone number during registration.

Do other applications not request an e-mail address and phone number? Most apps

ask for one or the other.

60. Some messaging apps like Facebook Messenger and Skype require you to enter your

email address. Other apps, like Viber and Tango, do not require an email address but ask for a

phone number to send a confirmation text message. In general, many messaging apps do ask for

either an email address or a phone number, and some ask for both, but this is not always the case.

20 See https://www.snapchat.com/ 21 See https://www.telegram.org/ 22 See https://www.wickr.com/ 23 See http://www.imsobrr.com/ 24 See https://www.surespot.me/support.html


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

61. I reserve the right to supplement and amend the opinions and conclusions herein as

new information is discovered.

I declare under penalty of perjury that the foregoing is true and correct.

Executed on _______________ at Los Angeles, California.

____________________________

Jason Frankovitz

August 9, 2017

Curriculum Vitae of Jason Frankovitz

1

JASONFRANKOVITZSoftwareEngineeringExpertQuandaryPeakResearch7958BeverlyBlvd.LosAngeles,CA90048Phone:323.545.3660Email:[email protected]

• Expertinsoftwarewith25+yearsofexperienceasanengineerandprogrammer.• Softwareinventorwithpatentpending.• Testifiedordeposed12timesasanexpertinsoftwareandInternettechnologiesinfederalandstatecourt.• DesignedandbuilttheWeb’sfirstonlinebookmarksitein1996,citedaspriorartformultiplepatentmatters.• SelectedasEntrepreneur-in-ResidenceatMainStreetPartnersonMITcampus.• Currently serves as a software intellectual property consultant focusing on software trade secrets,Web andsocialmediatechnologies,softwaredevelopmentbest-practices,anddigitalcopyright/codetheft.

EMPLOYMENT

• SoftwareIPConsultant Apr2014–presentQuandaryPeakResearch,LosAngeles,CA– Providingsoftwareanalysisservicesforpatentinfringementandtradesecretdisputes.– Performingforensicinvestigationsofcomputersystems,includingexaminationofdigitaldata.– Installing,configuringandusingsourcecodeanalysistoolsforlitigationsupport.– Creatingclaimchartsforpatentinfringementandinvalidityanalysis.

• IntellectualPropertyandTechnologyAdvisor Jun2013–Apr2014TechKnowConsulting,LosAngeles,CA– Providedconsultingforarangeofsoftware-relatedmattersincludingpatentlicensing,infringement,brokerage,andgeneralsoftwareIPadvising.

– Researchedproductsandcompaniesforsimilaritiestopatentsbeingsoldtomaximizebuyerinterest.– Interviewedinventorstohelpbrokersunderstandapatent’spotentialsalevalue.

• SoftwareIPConsultant Mar2011–May2013IntellectualVentures,Bellevue,WA- Providedtechnicalanalysisforpatentlicensingnegotiationsrelatedtocloudcomputing,socialnetworking,ecommerce,mobile,videogames,operatingsystems,electronicgambling,travel,andimaging.

- Examinedandinvestigatedavarietyofsoftwaretechnologiesforpotentialpatentinfringement.- Reverse-engineerednumeroussoftwaresystemstodocumentsystemoperationsandservices.- Evaluatedpatentclaimsforlikelihoodofinfringementandlicensingpotential.- Scoredpatentportfoliosforprioritizinglicensingefforts.

• Founder&CTO Feb2006–Feb2011Seethroo.us,LosAngeles,CA- Launchedonlineadvertisingandmarketingstartupspecializinginsocialmedia.- Createdscalablecloud-basedRubyonRailsapplicationforadnetworksandpublisherstomanageadvertisingcampaigns.

- DesignedproprietaryjQuery-basedpublisherintegrationsystem.

2 - Managedsoftwareengineeringandusedagilepracticestodrivetest-drivendevelopment.- Developedinternaltool“brainiac”forcreatingandmanagingmachinelearningmodelsforanaturallanguageprocessing(NLP)systemthatanalyzeduser-generatedcontentfortargetedads.

• SoftwareEngineer Aug2008–Dec2009AT&TInteractive,Glendale,CA- AsamemberoftheR&Ddepartment,workedonvariousexperimental/exploratoryprojectsforAT&TInteractive’sSocialServicesteam.

- UsedRubyandjQuerytoco-developaninternalQAtoolmeasuringrelevancyofsearchresultsforyp.com.- Wrotealarge-scalewebadscrapingsystemusingRubyandnokogiri,anXMLparsinglibrary.- ContributedtothedevelopmentanduseofaREST-orientedframeworkwritteninRuby.- WrotebackendcodepoweringaniOS/mobileapplicationforreservingproductsfrombrick-&-mortarretailers.

• SoftwareEngineer May2007–Jun2008DialedIn.com,LosAngeles,CA- DevelopedRubyonRailsapplicationsformobileeventmanagementproduct.- Implementedgroupmessagingfeaturesforemail,Web,andSMS.- Builtmultiple-stagedevelopmentenvironmentenablinguninterruptedserviceforendusers.- Wroteunitandfunctionaltestsandinstalledcontinuousintegrationservicestofindbugsfaster.

• SegmentProducer Apr2002–Feb2006TechTV,G4,andg-NET,SanFrancisco,CAandLosAngeles,CA- Producedtechnologytelevisionsegmentsforcableandonlinedistributioncoveringconsumerelectronicsproductreviews,interviewswithnotablesoftwareleaders,andindustrycommentaryandanalysis.

- Pitchedconcepts,wrotescripts,bookedtalent,andshotandeditedpackagesbetween2minutesand9minutestotalrunningtime.

- Coordinatedwithsoftwarecompaniestoacquiredemoproductstomeetproductionschedule.- Maintained,administered,andupgradedlabhardwareandcontentlibrary.

• Founder&CTO Apr1996–Apr2002itList.com,Cambridge,MA- Createdthefirstonlinebookmarksiteintheworld.- Developedacompletesuiteofonlinetoolstoenablebookmarksubmission,sharing,storage,organization,searching,anduseraccountmanagement.

- ProgrammedacustomperlAPItoMysqldatabasesonLinux.- Installed,configured,andcustomizedApachehttpdwithmod_perl.- Developedaninfrastructuretorapidlydeploy(<1hour)partnersitesforitListservice.- Handledtechnicalsupportneedsfor30,000users.

• SystemsAdministrator Feb1997–Apr1999Liszt.com,Sebastopol,CA- ProvidedLinuxsystemsadministrationtomajoronlinesearchengine.- DebuggedApache,perl,andmod_perlissuesandmonitoredtrafficandlocalCPUload.- Implementedperformanceandsecurityenhancementsinvolvinghttpd,sendmail,pop3,telnet,ssh,andftp.- Performedautomatedbackupsnightlyandscheduleddowntimesforupgrades.

• CertifiedClearCase/SoftwareConfigurationManagementSpecialist Sept1996–Dec1998PencomSystems,Boston,MA- Providedsoftwareconfigurationmanagement(SCM)expertiseinheterogeneousdevelopmentenvironments(SunOS/Solaris,SCO,HP-UX,WindowsNT.)

- PerformedadministrationandconfigurationofClearCase,CVS,RCS,andVisualSourceSafesystems.

3 - Gatheredrequirements,designed,deployed,andadministereddistributeddevelopmentenvironments- ImplementedautomatedbuildsystemsforC,Java,andperl.- Institutedcodebranchingandversionlabelingpolicies.- Auditedsoftwareengineeringtoidentifytechnicalandproceduralproblemsindevelopmentefforts.- WroteandtaughtClearCasecoursestodevelopmentteamsintheUSAandUnitedKingdom.- Codedprogramsforsystemmonitoringandautomaticbackups.- Designedandinstallednewserverroomlayout,specifiedandpurchasedhardwareandcomponentstorage.

• NetworkAdministrator May1995–Aug1996Interart/SunrisePublications,Bloomington,IN- ManagedMacnetworkfordesigndepartmentofthethirdlargestgreetingcardcompanyinNorthAmerica.- ImplementedrevrdistfilesynchronizationsoftwareforautomaticadministrationofMacs.- ProgrammedcustomimageprocessingsystemusingAppleScript,SolarisandHeliosUniversalFileServer.

• SupportEngineer Nov1992–May1995UniversityComputingServices,Bloomington,IN- Providedtechnicalsupportviaemailandtelephoneforstudents,faculty,andstaff.- WrotetechnicalarticlesfortheUCSKnowledgeBase,oneofthefirstWeb-basedhelpdesksystems.- Performeddatarecoveriesandbackupsforcorruptedthesisfiles.- Conductedtechnicaltrainingsforvariouscampussystems.- Diagnosed,repairedandupgradedon-sitehardware.

EDUCATION

• B.A.inTelecommunicationswithMinorinBiology,IndianaUniversity Dec1993

Courseworkincluded:W350AdvancedExpositoryWriting X395Minds,Brains,andComputersS404HonorsSemesterinTelecom R322TelephonyHistory&Technology

TECHNICALDILIGENCE

• GreenheartInternational January2017–February2017- Codequalityauditofoutsourcedsoftwareproject

• (Confidential)/USDepartmentofHealth&HumanServices November2016–April2017- Safety-relatedauditofsourcecodeforEMRsystem

• (ConfidentialPublicCompany,MktCap$200M) January2015- Sourcecodereviewofstartupforpossibleacquisition

LITIGATIONCONSULTING

• LiangvAWGRemarketing,Inc.,Group3Auctions,LLC,Levy,Holstein,Whann June2017–presentCounsel: WHGC,P.L.C.NatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&CodeReview

• Aquilinav.Wriggelsworthetal April2017–presentCounsel: Bostic&Associates

4 NatureofSuit: CivilRightsJurisdiction: FederalServicesProvided: Consulting

• LexxiomInc.vConverzeInteractiveInc.,LidoLabsLlc,etal May2017–presentCounsel: FoundationLawGroupNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&CodeReview

• TurkeyvAliÇihan May2017–presentCounsel: AkkoçLawGroupNatureofSuit: CriminalJurisdiction: RepublicofTurkeyServicesProvided: CodeReview,Consulting&ExpertReport

• BeardvGerdauS.A. May2017–presentCounsel: ReaudMorganandQuinnLLPNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: Consulting

• SoftechUSAd/b/aGemfindvChasin February2017–presentCounsel: Robinson&RobinsonNatureofSuit: IntellectualProperty–TradeSecretJurisdiction: FederalServicesProvided: CodeReview&Consulting

• RogueWaveSoftwareInc.vBTISystemsInc.&JuniperNetworksInc. February2017–presentCounsel: Snell&WilmerLLPNatureofSuit: IntellectualProperty-CopyrightJurisdiction: FederalServicesProvided: CodeReview&Consulting

• Krubim26IntlInc/WoofersEtcvGoldenCommunications,Inc.&Vortx,Inc. January2017–presentCounsel: LawOfficesofP.PaulAghaballaNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting&Testimony(deposition)

• Classv.Facebook,Inc. November2016–presentCounsel: RobbinsGellerRudman&Dowd/Labaton/EdelsonNatureofSuit: BiometricPrivacyJurisdiction: StateServicesProvided: CodeReview&Consulting

• FoxTelevisionStations,Inc.v.FilmOnX,LLC November2016–presentCounsel: BakerMarquartLLPNatureofSuit: IntellectualProperty-CopyrightJurisdiction: FederalServicesProvided: Consulting

5

• SecurusTechnologies,Inc.v.PublicCommunicationServicesInc. October2016–presentCounsel: GrubelElrodJohansenHailShankNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: Consulting

• ZaghidbaAngelDentalCarev.Salama May2016–presentCounsel: JalilvandLawAPCNatureofSuit: OnlineDefamationJurisdiction: StateServicesProvided: Consulting&Testimony(deposition)

• LevelOneTechnologies,Inc.v.PenskeTruckLeasingCo. April2016–presentCounsel: RiezmanBerger,P.C.NatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: Consulting

• (Confidential)v(Confidential) February2017–June2017Counsel: (Confidential)NatureofSuit: IntellectualProperty-CopyrightJurisdiction: FederalServicesProvided: Consulting

• ExpoEdInc.v.AnacaTechnologiesLtd. October2016–June2017Counsel: NortonRoseFulbrightCanadaLLPNatureofSuit: BreachofContractJurisdiction: OntarioSuperiorCourtOfJustice,CanadaServicesProvided: Consulting&ExpertReport

• ChromeSystems,Inc.v.AutodataSolutions,Inc. June2016–December2016Counsel: Wachtell,Lipton,Rosen&KatzNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: CodeReview&Consulting

• DealSegments,Inc.v.DreamWarriorGroup,Inc. January2016–July2016Counsel: LawOfficeofParagL.AminNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting

• AlertusTechnologies,LLCv.BlakeRobertson January2016–October2016Counsel: Joseph,Greenwald&Laake,P.A.NatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: StateServicesProvided: CodeReview&Consulting

• AlertusTechnologies,LLCv.Callinize,Inc. January2016–October2016Counsel: Bowie&Jensen,LLC

6 NatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: CodeReview,Consulting&ExpertReport

• ABS,Inc.v.FCI,Inc. November2015–February2016Counsel: LawOfficeofDavidRichmanNatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: Consulting

• Trichelv.UnionPacificRailroad November2015–May2016Counsel: VBAttorneysNatureofSuit: DigitalForensicInvestigationJurisdiction: State ServicesProvided: Consulting

• BeUbiq,Inc.vCurtisConsultingGroup,Inc. December2015–May2016Counsel: Farbstein&BlackmanNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting&Testimony(twodepositions&jurytrial)

• VincentWellrichvDreamWarriorGroup,Inc. December2015–February2016Counsel: Wolke&LevineLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting

• Nicole,Inc.v.BLKInternationalandSanjayKhullar26 September2015–March2016Counsel: Greenberg&BassLLPNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&Declaration

• Chipp’dLtd.v.Crush&LovelyLLC July2015–September2015Counsel: WhiteandWilliamsLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting

• Johnsonv.Storix,Inc. June2015–January2016Counsel: Eastman&McCartneyLLPNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: CodeReview&Consulting

• LearningTechnologyPartnersLLCv.UniversityoftheIncarnateWord April2015–March2016Counsel: Glynn&Finley,LLPNatureofSuit: BreachofContractJurisdiction: FederalServicesProvided: Consulting,ExpertReport&Testimony(deposition&jurytrial)

7

• Nomadix,Inc.v.HospitalityCoreServicesLLC April2015–July2015Counsel: MehrmanLawOffice,PCNatureofSuit: InterPartesReview-PatentJurisdiction: FederalServicesProvided: Consulting

• Hulletalv.MarriottInternational,Inc. March2015–presentCounsel: ConnMaciel&CareyPLLCNatureofSuit: SoftwareAccessibility/ADAJurisdiction: FederalServicesProvided: Consulting

• Copart,Inc.v.LightmakerUSA,Inc. March2015–presentCounsel: PorterScottLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting

• ArrazateV.H&BGroup,INC.,dbaNissanofBakersfield April2015–June2015Counsel: RodriguezLawFirmNatureofSuit: SocialMediaInvestigationJurisdiction: StateServicesProvided: Consulting&Declaration

• SecureAuthCorporationv.miniOrangeInc. March2015–April2015Counsel: Abelman,Frayne&SchwabNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: CodeReview,Consulting&Declaration

• JonathanDemichaelv.PeakFranchising,Inc. March2015–April2015Counsel: Lee,Hong,Degerman,Kang&WaimeyNatureofSuit: ProductLiabilityTortJurisdiction: StateServicesProvided: Consulting&Declaration

• MadRiverCommunityHospitalv.CPSI,Inc. January2015–March2015Counsel: JanssenMalloyLLPNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting

• SmartyHadaPartyLLCv.BarrettBrothers,Inc. January2015–presentCounsel: Capes,Sokol,Goodman&Sarachan,P.C.NatureofSuit: TradeNameInfringementJurisdiction: FederalServicesProvided: Consulting

• CoreWirelessLicensingS.A.R.L.v.LGElectronics,Inc. January2015–presentCounsel: BunsowdeMorySmith&AllisonLLP

8 NatureofSuit: IntellectualProperty-PatentJurisdiction: FederalServicesProvided: CodeReview&Consulting

• MassAppealMedia,Inc.v.DavinaDouthard,Inc. October2014–presentCounsel: KrakowskyMichelNatureofSuit: IntellectualProperty-TrademarkJurisdiction: FederalServicesProvided: Consulting&Declaration

• Hablian,etal.v.ZurichU.S.,etal. January2015–presentCounsel: Marlin&SaltzmanLLPNatureofSuit: SourceCodeVerificationJurisdiction: StateServicesProvided: CodeReview,Consulting,ExpertReport&Testimony(deposition)

• (Confidential)v.VantagePointTechnology,Inc. January2015Counsel: Winston&StrawnLLPNatureofSuit: InterPartesReview-PatentJurisdiction: FederalServicesProvided: Consulting

• ToolCircleInc.v.NulinxInternational,Inc. December2014Counsel: Humphrey+LawNatureofSuit: BreachofFiduciaryDutyJurisdiction: StateServicesProvided: Consulting

• VersoPaperLLCv.Go2Paper,Inc. November2014Counsel: BassBerry&SimsPLCNatureofSuit: IntellectualProperty-PatentJurisdiction: StateServicesProvided: Consulting

• NextGearIPLLCv.CapstoneBPOandRajeshWadhwa September2014–September2015Counsel: WayneWisong,Esq.NatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting

• Nutri-Vet,LLCv.DykasShaver&Nipper,LLP August2014–December2014Counsel: HawleyTroxellEnnis&Hawley,LLPNatureofSuit: MalpracticeJurisdiction: FederalServicesProvided: Consulting&ExpertReport

• BreezeVenturesManagement,LLCvTheEvansSchool,Inc. August2014–October2014Counsel: Peretz&AssociatesNatureofSuit: BreachofContractJurisdiction: StateServicesProvided: Consulting&Testimony(deposition&jurytrial)

9

• GoldenBestPlumbing,Inc.v.Baghdasarian July2014–presentCounsel: DackMarasiganLLPNatureofSuit: TradeNameInfringementJurisdiction: StateServicesProvided: CodeReview,Consulting,Declaration&Testimony(benchtrial)

• Hill-RomCompany,Inc.v.GeneralElectricCompany July2014–August2014Counsel: SchiffHardinLLPNatureofSuit: IntellectualProperty-PatentJurisdiction: FederalServicesProvided: CodeReview&Consulting

• DealercentricSolutions,Inc.v.MarketScanInformationSystems,Inc. June2014–July2016Counsel: BurkhalterKesslerClement&GeorgeLLPNatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: StateServicesProvided: CodeReview,Consulting&Testimony(deposition)

• YPP,Inc.v.SupermediaLLC June2014Counsel: Kirkland&EllisLLPNatureofSuit: IntellectualProperty–CopyrightJurisdiction: FederalServicesProvided: Consulting&ExpertReport

• AgJunctionLLCv.AgrianInc.,etal. May2014–February2015Counsel: HuschBlackwellLLPNatureofSuit: IntellectualProperty–TradeSecretsJurisdiction: FederalServicesProvided: CodeReview,Consulting&ExpertReport

• PatentInfringementAction Mar2005–Apr2005Counsel: BinghamMcCutchenLLPNatureofSuit: IntellectualProperty–PatentJurisdiction: FederalServicesProvided: Consulting

PATENTLICENSECONSULTING

• U.S.Cl.235PatentsTechnology:RegistersNo.ofPatents:4

• U.S.Cl.345PatentsTechnology:ComputergraphicsprocessingandselectivevisualdisplaysystemsNo.ofPatents:1

• U.S.Cl.370PatentsTechnology:MultiplexcommunicationsNo.ofPatents:4

10

• U.S.Cl.273&463PatentsTechnology:Amusementdevices:gamesNo.ofPatents:2

• U.S.Cl.455PatentsTechnology:TelecommunicationsNo.ofPatents:4

• U.S.Cl.705PatentsTechnology:Dataprocessing:financial,businesspractice,management,orcost/pricedeterminationNo.ofPatents:3

• U.S.Cl.706PatentsTechnology:Dataprocessing:artificialintelligenceNo.ofPatents:1

• U.S.Cl.707PatentsTechnology:Dataprocessing:databaseandfilemanagementordatastructuresNo.ofPatents:12

• U.S.Cl.709PatentsTechnology:Electricalcomputersanddigitalprocessingsystems:multicomputerdatatransferringNo.ofPatents:5

PATENTBROKERAGECONSULTING

• GlobalIntellectualStrategies Mar2014Technology: VirtualizedcomputingNo.ofPatents: 1- Createdclaimchartshowinginfringementbymajorvirtualizedcomputingplatform.

• QuinnPacific Oct2013Technology: 2D/3DimageprocessingNo.ofPatents: 13- ResearchedportfolioanddocumentedpotentialinfringementbyaFortune1000softwarecompany.

• RedChalkGroup May2013Technology: WirelessdataprocessingNo.ofPatents: 85- Evaluatedpatentportfolioforlicensingopportunities.

• ProdigyIP May2013Technology: OnlinevideostreamingNo.ofPatents: 8- Evaluatedpatentportfolioforlicensingopportunities.

• ProdigyIP Feb2013Technology: DigitalvideorecordingNo.ofPatents: 2- Preparedpre-saleresearchforsmalldigitalmediaportfolio.

11 - Conductedinventorinterviews.- Createdmaterialsexplainingtheinventionanditspotentialvalueinthemarket.

• OpenInventionNetwork May2008Technology: OperatingsystemsNo.ofPatents: 1- Researchedapatentforsimilaritytomypriorartfrom1996.- Advisedonacquisition/licensingofpatent.

NON-IPCONSULTING

• SoftwareDevelopmentManager Jan2007–Apr2007RealTalkLA,LosAngeles,CA- Launchedcommunity-newswebsiteinDebian/Ubuntuenvironment.- AuditedRubyonRailsenvironmentandperformedtriageonbrokendevelopmentcomponents.- IntegratedTracdefecttrackingsoftwarewithSubversionsourcecodecontrol.- InstalledCapistranoforautomatedapplicationdeployments.- Wroteunit,functionalandintegrationtests,andprovidedgroupinstructionfortestwriting.

• SoftwareIntegrationEngineer Sep2006–Dec2006Koders.com,SantaMonica,CA- IntegratedRubyonRailswebservicesonVMWareLinuxintoexistingWindows/MSSQLarchitecture.- InstalledandcustomizedBeastdiscussionforumsandRadiantcontent-managementsystem.- Ranhttperfbenchmarksandconfiguredapplicationserversusingmongrel_clusterloadbalancing- ProvidedgeneralRubyonRailsexpertise.

• SoftwareDeveloper Mar2006–Sep2006YouMee.com,LosAngeles,CA- RubyonRailsprogrammingforsocialchatsiteYouMee.com- Developedfeaturesfromspecs,performedunittests,andpromotedcodeintomaindevelopmentline.- Fixedbugsandupdatedbugtickets.

• Entrepreneur-in-Residence Aug1999–May2000MainStreetPartners,Cambridge,MA- ProvidedtechnologyadvisingtoinvestmentandpatentconsultingfirmontheMITcampus.- Receivedentrepreneurpitches,developedbusinessplans,andperformedtechnologyvetting.

• TechnicalAdvisor Jun2001HummerWinbladVenturePartners,SanFrancisco,CA- ProvidedtechnologyadvisingtoleadingVCfirmforpotentialinvestmentinsoftwaretestingstartup.- Deliveredpresentationstopartnersandassociates.

• BuildManager Apr2001–May2001Informix,Oakland,CA- Implementedcross-platformbuildautomationsystemsforCandJavacodebasesonUnix,NT,andMacintosh.- IntegratedCodeWarrior(Mac)andMicrosoftVisualStudio(NT)compilesintoUnixmake.- WroteintegrationcodeusingApplescript,shell,andperl.- Reducedpackageconstructionfrom8-plushourstolessthan1hour.

• ReleaseManager Jan2001–Feb2001Vodafone,WalnutCreek,CA

12 - ReleasemanagerforVodafoneInternetPlatform(VIP)project,awebservicesportal.- Coordinateddevelopment,outsourcers,operations,andQAtodesignflowofcodethoughthereleaseprocess.

- Establishedbaselinesfordevelopmentefforts.- DroveCMrequirements,internalstandardsandconventions.- Performedtrainingfordevelopersonsystemusageandarchitecture.

• SoftwareConfigurationManager/SystemAdministrator Apr2000–Dec2000WindRiverSystems,Alameda,CA- Performedinfrastructureplanning,purchasingrecommendations,andtechnicalsupportforworldwiderolloutofClearcase/Multisiteto17internationallocations.

- WroteWeb-basedtoolsinperlformonitoringsyncstateofnetwork.- Performedon-siteinstallationandconfiguration.- ConductedstafftrainingandQ&Afollow-up.

• BuildEngineer Sep1999–Oct1999CMGi,Andover,MA- OrganizeddevelopmenttreeusingCVSforCMGIbusinessunit.- Providedtechnicalassistanceandmentoringaboutsoundsoftwareconfigurationmanagementpractices.- Initiatedtransitionfromlegacyshellscript-basedbuildsystemtorecursivemake.- WorkedwithQAtoprovidetestablebuildsofdailydevelopmentefforts.- Documentednewproceduresforprojectmanagers.

• SoftwareConfigurationManager/SystemAdministrator May1998–Dec1998GTEInternetworking,Cambridge,MA- AdministeredUnix/NTClearCaseenvironmentforWeb-basedperldevelopmentproject.- InstalledClearCaseclients,recommendedoptimalsystemconfigurations,performedclientupgrades,andcoordinatedwithleadadministratorstoensureaproductiveenvironment.

- Establishedautomatedbuildenvironmentandbuildrecordsarchive.- Performedtechnicalsupportandtrainingfordevelopersinuseofthesystem.

• SystemsAdministrator Jan1998–May1998PencomSystems,Boston,MA- ProvidedUnixandWindowsdesktopsupportfortechnicalrecruitmentfirm.- DiagnosedandrepairedSolaris,SunOS,SCOprinting/web/mail/fileaccessproblems.- Designedandinstallednewserverroomlayout,specifiedandpurchasedhardwareandcomponentstorage.

• Systems&ProcessAuditor Nov1997–Dec1997Simon&SchusterInteractive,Boston,MA- AuditedsoftwaredevelopmentsystemandidentifiedproblemsinJavadevelopmentefforts.- Interviewedstaffandvendortechnicalsupport,andinvestigatedsystemarchitecture.- Gatheredtechnicalmetricsonservers,clientworkstations,andnetworkperformance.- Preparedafinalreportdetailingproblems,investigativemethodologies,andimprovementstostaffandmanagement.

• SoftwareConfigurationManager/SystemAdministrator Aug1997–Nov1997EatonCorporation,Cleveland,OH&Glasgow,UnitedKingdom- ImplementedClearCaseandAttacherolloutonHP-UXforOracledevelopersatinternationaldiversifiedpartsmanufacturer.

- Studiedsiterequirements,recommendedClearCaseconfigurationandimplementation.- CoordinatedwithUnixstafftomakeneededchangestodevelopment,QA,andproductionsystems.

13 - DesignedandtaughtaclassabouttheuseofClearCaseandAttachefordevelopers,andpresenteditinseveralday-longsessionsinClevelandandGlasgow.

• SoftwareConfigurationManager/SystemAdministrator Apr1997–Aug1997ShivaNetworking,Burlington,MA- ProvidedClearCaseandUnixsupportforembeddedsystemsdevelopersatnetworkhardwarecompany.- Implementedperlscriptsforsystemmonitoring.- CoordinatedMultiSiterolloutwithEdinburgh,Scotland,andCupertino,California.- MigratedsourcecoderepositoriesfromoldhardwaretonewUltraEnterpriseservers.- ProvidedtrainingandmentoringforinternalShivastaff.

• SoftwareConfigurationManager Jan1997–Apr1997Ascom-Nexion,Acton,MA- ProvidedClearCaseandSunOS/Solarissupportforlargetelecomhardwaremanufacturer.- WroteshellandperlscriptstomonitorClearCaseandnightlybackupsystem.- ImplementedNTPacross300Unixnodes.- ConfiguredWebserverloggingsoftwareandanalyzedtraffic.- ProvidedClearCasementoringandtrainingforinternalstaff.

• SupportEngineer Sep1996–Dec1996AtriaSoftware,Lexington,MA- CompletedcertificationinClearCase,adistributedsoftwareconfigurationmanagement(SCM)andbuildsystem.

- ProvidedtelephoneandemailsupportforClearCasecustomers,ofteninvolvingelaborateremotedebugging.- Participatedinweekly“hotticket”supportsessionstosolvedifficultcustomerissues.

• NetworkAdministrator Aug1996SecurityDynamics/RSA,Bedford,MA- Co-managedheterogeneousnetworkforlargeengineeringdepartment.

TEACHING

• ProgrammingInstructor Mar2003–Apr2003BayAreaVideoCoalition,SanFrancisco,CA- DesignedandtaughtApplescriptprogrammingcourseforeducationaltechnologynonprofit.

• TechnologyInstructorinContinuingEducation Aug2000–May2003SanFranciscoStateUniversity,SanFrancisco,CA- DesignedandtaughttechnologycoursesforInformationTechnologyandMultimediaStudiescertificateprograms:§ PrinciplesofProgramming§ MacOSX§ ProgramminginAppleScript§ PCHardware§ InternetArchitecture§ DatabaseDesign

- Received“OutstandingInstructorAward”forFall2001.

• TechnologyInstructor Aug1997–Nov1997EatonCorporation,Cleveland,OH&Glasgow,UnitedKingdom

14 - DesignedandtaughtaclassabouttheuseofClearCaseandAttachefordevelopers,presentedinseveralday-longsessions.

PATENTS

• MethodandApparatusforRemotelyMonitoringaSocialWebsite,U.S.PatentApplication11/833,018,priorityAugust2,2006- Theinventionconsistsofamethodformonitoringthecreationofuser-generatedcontentononewebsite,andduplicatingthatcontentatasecond,remotewebsite.Theduplicatedcontentcanbeusedforavarietyofpurposessuchastrendanalysisorindividualizedadvertising.(pending)

• Behaviorally-TargetedAdServing,filedAugust3,2006- Provisionalfilingfor11/833,018.

• Bayesian-GuidedMetadataClassification,filedJune5,2006- Theinventionwasamethodforusingmetadataassociatedwithcuratedcontenttoclassifynewcontent.(abandonedprovisional)

• BookmarkSearchEngine,filedMarch10,2000- TheinventionwasanapparatusandmethodforcompilingWebbookmarksacrossanaudienceofusersandprovidingameanstosearchthebookmarksandtheircontent.(abandonedprovisional)

PROFESSIONALASSOCIATIONS

• Member,IEEEComputerSociety• Member,ApplicationDevelopersAlliance

HONORSANDAWARDS

• OutstandingInstructorAward,Fall2001AwardedeachsemesterforexceptionalteachingbyacontinuingeducationinstructoratSanFranciscoStateUniversity.

• PhiEtaSigmaNationalHonorSociety,Fall1993Nationalacademicfraternity.

• USCDean’sList,Spring1990AwardedforGPAof3.8orhigher.

• NationalMeritScholarshipSemifinalist,Spring1988Awardedforacademicachievementto16,000highschoolstudentseachyearoutof1.5millionentrants.

TECHNICALEXPERTISE

• WebTechnologiesHTTP,AJAX,REST,SSL(securesockets),proxies,AmazonWebServices,cloudcomputing,PaaS,SaaS,webforensics,contentmanagement,client/server

• ProgrammingLanguagesRuby,Rails,PHP,perl,python,Java,JavaScript,HTML,XML,Shell

15

• OperatingSystemsLinux,Unix,MacOSX,iOS,Windows,filesystems

• DatabasesMySQL,mSQL,Sqlite,Memcached

• DevelopmentandVersionControlGit/Github,Bitbucket,JIRA,ClearCase,Subversion,CVS,RCS,Make

• OtherAgiledevelopmentstandardsandpractices,naturallanguageprocessing(NLP),machinelearning,authentication/authorization,encryption,mobiledevelopment,performancetuning,scalability

16 # Case Side Consulting CodeReview Report Testimony46 LexxiomInc.vConverze/LidoLabsLlc Plaintiff 45 TurkeyvAliÇihan Defendant 44 BeardvGerdauS.A. Plaintiff 43 SoftechUSAd/b/a/Gemfindv.Chasin Plaintiff 42 Krubim26IntlIncvGoldenCommunications,Inc.&Vortx,Inc. Plaintiff deposition41 RogueWaveSoftwareIncv.BTISystemsInc Plaintiff 40 (Confidential)v.(Confidential) Plaintiff deposition39 Classv.Facebook,Inc. Plaintiff 38 FoxTelevisionStations,Inc.v.FilmOnX,LLC Defendant 37 SecurusTechnologies,Inc.v.PublicCommunicationServicesInc.Plaintiff 36 ZaghidbaAngelDentalCarev.Salama Defendant deposition35 LevelOneTechnologies,Inc.v.PenskeTruckLeasingCo.Plaintiff 34 ChromeSystems,Inc.v.AutodataSolutions,Inc. Plaintiff 33 DealSegments,Inc.v.DreamWarriorGroup,Inc.Plaintiff 32 AlertusTechnologies,LLCv.BlakeRobertson Defendant 31 AlertusTechnologies,LLCv.Callinize,Inc. Defendant 30 ABS,Inc.v.FCI,Inc. Plaintiff 29 Trichelv.UnionPacificRailroad Plaintiff 28 BeUbiq,Inc.vCurtisConsultingGroup,Inc. Defendant deposition(2x)&jurytrial

27 VincentWellrichvDreamWarriorGroup,Inc. Plaintiff 26 Nicole,Inc.v.BLKInternational Plaintiff 25 Chipp’dLtd.v.Crush&LovelyLLC Plaintiff 24 Johnsonv.Storix,Inc. Plaintiff 23 LearningTechnologyPartnersLLCv.U.oftheIncarnateWord Plaintiff deposition&jurytrial

22 Nomadix,Inc.v.HospitalityCoreServicesLLC Plaintiff 21 Hulletalv.MarriottInternational,Inc. Defendant 20 Copart,Inc.v.LightmakerUSA,Inc. Plaintiff 19 ArrazateV.H&BGroup,INC.,dbaNissanofBakersfieldDefendant 18 SecureAuthCorporationv.miniOrangeInc. Neutral 17 JonathanDemichaelv.PeakFranchising,Inc. Defendant 16 MadRiverCommunityHospitalv.CPSI,Inc. Plaintiff 15 SmartyHadaPartyLLCv.BarrettBrothers,Inc. Plaintiff 14 CoreWirelessLicensingS.A.R.L.v.LGElectronics,Inc.Plaintiff 13 Hablian,etal.v.ZurichU.S.,etal. Plaintiff deposition12 (Confidential)v.VantagePointTechnology,Inc. Plaintiff 11 ToolCircleInc.v.NulinxInternational,Inc. Plaintiff 10 VersoPaperLLCv.Go2Paper,Inc. Plaintiff 9 NextGearIPLLCv.CapstoneBPOandRajeshWadhwaDefendant 8 Nutri-Vet,LLCv.DykasShaver&Nipper,LLP Defendant 7 BreezeVenturesManagement,LLCvTheEvansSchool,Inc.Defendant jurytrial6 GoldenBestPlumbing,Inc.v.Baghdasarian Plaintiff benchtrial5 Hill-RomCompany,Inc.v.GeneralElectricCompanyPlaintiff 4 DealercentricSolutions,Inc.v.MarketScanInformationSystems,Inc.Plaintiff deposition3 YPP,Inc.v.SupermediaLLC Defendant 2 AgJunctionLLCv.AgrianInc.,etal. Defendant 1 (PatentInfringementAction) Plaintiff

payments1.png

database1.jpg

bylockgercegi.combylockgercegi.com/docs/jason-frankovitz-uzman-mutaalasi-turkce-noter-ve-tercumanlik...programlama...

Documents

Transcript of bylockgercegi.combylockgercegi.com/docs/jason-frankovitz-uzman-mutaalasi-turkce-noter-ve-tercumanlik...programlama...