PROGRAM KİMLER TARAFINDAN … · Web viewBylock uygulaması her ne kadar artık Apple ve...

BYLOCK UYGULAMASI HAKKINDA İDDİALAR ÇERÇEVESİNDE BİR RAPOR ÇALIŞMASI

Bylock, medyaya yansıyan haberler bağlamında kriptolu bir haberleşme programı olduğu anlaşılmaktadır. Hakkında birçok iddia gündeme gelmekle birlikte programın kullanımdan uzun bir süre önce kalkmış olması sebebiyle bu iddialara dair net bir tespitte bulunmak mümkün değildir. Halen Bylock konusunda hazırlanan tek raporun MİT tarafından hazırlanan rapor olduğu anlaşılmakla, rapor hakkındaki bilgiler medyaya yansıyan kısımlarından ibarettir.

Programın kullanımdan kalkmış olması sebebiyle bazı iddiaların gerçekliği konusunda net cevaplar verilemese de büyük bir bölümü rahatlıkla netliğe kavuşturulabilecekken ilgili kişi veya kurumlar tarafından herhangi bir açıklama yapılmamakta, bu sebeple de iddialar sürekli şekil ve boyut değiştirerek farklı medya organları tarafından farklı şekillerde servis edilmekte ve kamuoyunda müthiş bir bilgi kirliliği oluşmaktadır.

Bu şartlarda maddi gerçeğe ancak tüm bu iddia, haber ve yorumların bir arada değerlendirilip hukuk, mantık ve bilim süzgecinden geçirilerek ulaşılabileceği ortadadır.

Bu noktadan hareketle, aşağıda, Bylock ile ilgili iddialara tüm yönleriyle yer verilmiş, iddialar hukuk, mantık ve teknik yönleriyle ele alınmış ve her mantığın mutabık kalabileceği ortak bir sonuca ulaşılmaya çalışılmıştır. Varsa itiraz sahiplerinin itirazlarını delilleriyle ve gerekçeleriyle ortaya koyması gerekmektedir.

PROGRAM KİMLER TARAFINDAN KULLANILMIŞTIR? NEREDEN, NASIL İNDİRİLMİŞTİR?

Programın kurulum dosyasına nasıl ulaşıldığı ve kullanıcı cihazlarına nasıl yüklendiği hususunda medyada çok farklı iddialara yer verilmektedir. Bazı haber ve yorumlarda programın internet ortamından veya uygulama mağazalarından (Apple ve GooglePlay mağazaları) indirilemeyeceği, ancak örgüt mensuplarının programın kurulum dosyasına ulaşabildikleri ve kendi aralarında usb, bluetooth vb. yollarla paylaştıkları iddia edilmektedir. Bazı yayın organlarında ise programın internet ortamında, uygulama mağazalarında yer alan evrensel bir uygulama olduğu, dolayısıyla internet imkanı olan dünya üzerindeki her birey tarafından bu mağazalardan indirilerek kurulum yapılıp kullanılabileceği iddia edilmektedir.

İnternetten farklı kaynaklardan elde edilen ve medyaya yansıyan veriler bir araya getirildiğinde Bylock uygulamasının zaman içerisinde GooglePlay ve Apple mağazalarında bulunduğu, halen internette birçok web sayfasından indirilebilen; herkese açık bir uygulama olduğu anlaşılmaktadır.

1/45

GooglePlay ve Apple Mağaza Geçmişleri

Bylock uygulaması her ne kadar artık Apple ve GooglePlay mağazalarında mevcut olmasa da geçmişte bu mağazalarda yer alıp almadığına dair bilgilere internet kaynaklarından ulaşılabilmektedir. Uygulama ve dijital endüstriye dair pazar analizleri paylaşan AppAnnie1

ve AppBrain2 firması verilerine göre Bylock uygulaması hem Apple hem GooglePlay mağazalarında bulunmuştur. AppAnnie ve AppBrain verilerine göre Bylock;

Apple mağazada Nisan 2014 ile Eylül 2014 tarihleri arasında3; GooglePlay mağazada ise 11 Nisan 2014 ile 3 Nisan 2016 tarihleri arasında4

yayında kalmıştır.

Uygulamanın yayınlanma, güncellenme ve yayından kaldırılma tarihleriyle ilgili olarak GooglePlay mağazasındaki tüm hareketler Şekil-1’de verilmiştir5.

Şekil-1: Bylock Uygulaması GooglePlay Mağazası Hareketleri

1 AppAnnie, ABD menşeli dijital ürünler ve uygulamalar hakkında piyasa verileri sunan bir firmadır. 2 AppBrain, Avrupa menşeli Android uygulamaları hakkında bilgiler sunan bir firmadır.3 https://www.appannie.com/apps/ios/app/bylock/app-ranking/#type=best-ranks4 http://www.appbrain.com/app/bylock%3A-secure-chat-talk/net.client.by.lock5 https://www.appbrain.com/app/bylock/net.client.by.lock

2/45

Bylock Apple Mağaza Sıralamaları6:

AppAnnie verilerinden Bylock uygulamasının Apple mağazada Mayıs-Eylül 2014 tarihleri arasında Sosyal Ağ alanında 12 ülkede ilk 100, 47 ülkede ilk 500 uygulama arasına girdiği anlaşılmaktadır.

AppAnnie firması verilerinden ülkeler bazında uygulamaların ne kadar popüler olduğu görülebilmektedir. Aşağıdaki tablo (Şekil-2) Bylock uygulamasının Apple mağazada ülkeler bazında “Sosyal Ağ” uygulamaları arasında ve bütün uygulamalar arasındaki sıralamasını göstermektedir. Örneğin, Bylock uygulamasının Gambia’da 17 Ağustos 2014 tarihinde Apple mağazadaki bütün uygulamalar arasında 90. sırada ve Sosyal Ağ uygulamaları arasında 13. sırada olduğu görülmektedir. Aynı şekilde, Sosyal Ağ uygulamaları arasında belirtilen tarihlerde 12 ülkede ilk 100, 47 ülkede de ilk 500 uygulama arasına girmiştir. Listeye detaylı bakıldığında Tanzanya ve Madagaskar gibi Afrika ülkeleri; Romanya ve Belçika gibi Avrupa ülkeleri; Türkmenistan ve Özbekistan gibi Asya ülkeleri; Venezula ve Panama gibi Amerika ülkeleri olduğu; kısacası dünyanın her tarafından ülkelerin olduğu görülmektedir. Bu sıralamalar uygulamanın o ülkede, Apple mağazadan indirilme sayıları baz alınarak oluşturulmaktadır. Dolayısıyla, Bylock uygulaması birçok ülkede belirtilen tarihlerde Apple mağazadan indirilebilen ve indirme sayılarına göre oldukça popüler olduğu anlaşılan bir uygulamadır.

6 https://www.appannie.com/apps/ios/app/bylock/app-ranking/#type=best-ranks

3/45

Şekil-2: Bylock Uygulaması Apple Mağaza Popülarite Sıralaması7

7 https://www.appannie.com/apps/ios/app/bylock/app-ranking/#type=best-ranks

4/45

Bylock GooglePlay Mağaza Sıralamaları8:

AppAnnie verilerinden Bylock uygulamasının GooglePlay mağazada Haziran 2014 ile Aralık 2015 tarihleri arasında birçok ülkede farklı kategorilerde toplam 5 ülkede ilk 100, 41 ülkede ilk 500 uygulama arasına girdiği anlaşılmaktadır.

Aşağıdaki tabloda Bylock uygulamasının, GooglePlay mağazada, belirtilen ülkelerde, İletişim, Haber-Dergi, Widget Uygulamaları ve Bütün uygulamalar arasındaki sıralaması görülmektedir. Bylock uygulamasının iletişim uygulamaları arasında belirtilen tarihlerde 1 ülkede ilk 100, 28 ülkede ilk 500, 35 ülkede ilk 1000 uygulama arasına girdiği görülmektedir. Ülke dağılımına bakıldığında burada da dünyanın dört bir tarafından ülkelerin olduğu anlaşılmaktadır. Bu sıralamalar uygulamanın o ülkede, GooglePlay mağazadan indirilme sayıları baz alınarak oluşturulmaktadır. Dolayısıyla, Bylock uygulaması birçok ülkede belirtilen tarihlerde GooglePlay mağazadan indirilebilen ve indirme sayılarına göre oldukça popüler olduğu anlaşılan bir uygulamadır.

8 https://www.appannie.com/apps/google-play/app/net.client.by.lock/app-ranking/#type=best-ranks

5/45

Şekil-3: Bylock Uygulaması GooglePlay Mağaza Popülarite Sıralaması9

David Keynes Röportajı:

Bylock uygulamasının GooglePlay ve Apple mağazalarda yayınlanan bir uygulama olduğunu gösteren diğer bir husus da Hürriyet Gazetesinden İsmail Saymaz’ın Bylock uygulamasının ilgili mağazalardaki yayımcısı olarak görünen David Keynes isimli kişiyle yapmış olduğu röportajdır.

Bu röportaj İsmail Saymaz tarafından David Keynes ile 16 Ekim 2016 tarihinde Amerika New York’ta yapılmış ve Hürriyet gazetesinde yayımlanmıştır10.

Röportajda Keynes, sahibi olduğu bu uygulamanın Mart 2014’ten sonra Apple ve GooglePlay mağazalarında kullanıma açıldığını ifade etmektedir.

Röportajda, Bylock uygulamasının GooglePlay mağazadan yaklaşık 500 bin, Apple mağazadan 100 bin kişi tarafından indirildiği vurgulanmaktadır. Ancak programın güncelleme

9 https://www.appannie.com/apps/google-play/app/net.client.by.lock/app-ranking/#type=best-ranks10 http://www.hurriyet.com.tr/iste-by-lock-david-keynes-40257030

6/45

yapılmaması sebebiyle 2014 sonlarında mağazalardan kaldırıldığını, Apple ve GooglePlay mağazalarından kaldırıldıktan sonra da farklı internet sitelerinden indirilmeye devam ettiğini ifade etmektedir.

AppBrain verilerine göre Bylock uygulamasının GooglePlay mağazasında 11 Nisan 2014 tarihinde yayınlanmış olması, David Keynes’in bu ifadelerini desteklemektedir (Şekil-1).

Ayrıca farklı internet sitelerinde uygulamaların GooglePlay geçmişleri ve indirme sayıları hakkında bilgiler bulunabilmektedir. Downloadatoz sitesinde Bylock uygulamasının indirme sayısının 500 bin olduğu David Keynes’in ifadelerini teyit etmektedir (Şekil-4)11.

Şekil-4: Downloadatoz.com sitesine göre Bylock uygulaması indirilme sayısı

Keynes, Ekim 2015 itibariyle GoDaddy adlı sunucu firmasına ücret ödemeyi kestiğini ve bu nedenle Bylock sunucusunun Ocak 2016 itibariyle kullanımdan çıktığını anlatıyor. O tarihten beri ve darbe teşebbüsünde Bylock’un kullanılmadığını iddia ediyor.

Bylock sunucusunun ne zaman kullanımdan kaldırıldığına dair net bir bilgi bulunmasa da hizmetin 2016 yılı Şubat-Mart ayında sonlandırıldığı kullanıcı yorumlarından anlaşılmaktadır12. AppAnnie verileri arasında uygulamayla ilgili yapılan son kullanıcı yorumları elde edilmektedir. 12 Mart 2016 tarihinde You Tube kullanıcısı tarafından “Close by peer gibi bir yazı çıkıyor ve giremiyorum” yorumu yapıldığı, 29 Şubat 2016 tarihinde Sabahola Atli kullanıcısı tarafından “Any idea on how to register. I couldn't register for how many days. Samsung s5” (Nasıl kayıt olunacağı hakkında bilgisi olan var mı? Kaç gündür kayıt olamıyorum) yorumlarından 2016 yılı başında Bylock uygulamasının hizmetine son verdiği anlaşılmaktadır (Şekil-5).

11 https://m.downloadatoz.com/bylock-secure-chat-talk/net.client.by.lock/12https://www.appannie.com/apps/google-play/app/net.client.by.lock/reviews/?start_date=2016-02-11&end_date=2016-03-12

7/45

Şekil-5: Bylock uygulaması hakkında yapılan son yorumlar

Bylock uygulamasının 2016 yılı başında kullanımdan kaldırıldığını gösteren diğer bir veri Google istatistikleridir. Google’ın uygulamalara gösterilen ilgiye dair verileri Bylock uygulaması için 2014 yılı başı ile 2015 yılı sonu arasını kapsamaktadır (Şekil-6)13. 2016 yılı öncesinde sürekli istatistik verisi olan bir uygulamanın, 2016 yılı başından sonra bir istatistik verisi olmaması, programın kullanımdan kalktığını gösterir.

Şekil-6: Bylock Google Trend Veri İstatistiği

Röportajda ayrıca Keynes ile Apple arasındaki programın kabul edilmesi ve çıkarılmasıyla ilgili resmi yazışmalara da yer verilmiştir. Belgeden, Bylock uygulamasının Apple ID numarasının 842 680 855 olduğu anlaşılmaktadır (Şekil-7)14.

13 https://trends.google.com/trends/explore?date=2014-01-01%202016-01-01&q=bylock14 http://www.hurriyet.com.tr/istebylockdavidkeynes40257030

8/45

Şekil-7: Bylock’un Apple uygulama mağazası hak sahibinin David Keynes olduğuna dair belge

Paylaşılan belgenin doğrulaması App Apple ID üzerinden yapılabilmektedir. ID numarasıyla (842680855) internette arama yapıldığında farklı internet sitelerinde Bylock uygulamasına dair bilgiler elde edilmektedir. Bu sitelerden birkaçı örnek olarak verilmiştir:

http://www.iphoneappstorm.com/iphone-apps/social-networking/net.Bylock.Bylock/Bylock.php?id=842680855

http://www.appster.es/app/Bylock-842680855 http://www.appdropp.com/ios/Bylock/842680855 http://www.appster.de/app/Bylock-842680855

Röportaj’da geçen diğer bir konu da programın kurulum dosyasına hala birçok internet sitesinden erişmenin mümkün olduğudur. Keynes’in bu ifadeleri de internetten kolayca teyit edilebilir bir bilgidir. Halen Bylock uygulamasının indirilebileceği bazı internet siteleri şunlardır:

https://m.downloadatoz.com/Bylock-secure-chat-talk/net.client.by.lock/ http://www.apkmonk.com/app/net.client.by.lock/ https://apkpure.com/Bylock-secure-chat-talk/net.client.by.lock/ http://choilieng.com/apkonpc/net.client.by.lock.apk http://apk-dl.com//Bylock-secure-chat-talk/

9/45

İnternet Forum Sayfalarında Bylock Kullanıcıları:

Bylock uygulamasının genel bir uygulama olduğunu gösteren bir diğer veri, Apple kullanıcı forumlarında yer alan, uygulamayı iphone 6 cihazına kurmakta sıkıntı yaşayan kullanıcıların birbirleriyle iletişimleri, yardım talepleri vb. yazışmalardır15.

http://www.iphoneyardim.net forum sayfasında adema66 kullanıcısı tarafından 1 mayıs 2015 tarihli paylaşımdan16 (Şekil-8) uygulamanın 2015 Mayıs ayından önce bir dönem Apple mağazasında yayında olduğu, aynı zamanda bu tarihten sonra da yükleme dosyasının (ipa) farklı internet sitelerinde olduğu anlaşılmaktadır.

Şekil-8: İnternet forum sayfalarında Bylock paylaşımı

GooglePlay Yorumlarında Bylock Kullanıcıları:

Her ne kadar Bylock uygulaması GooglepPlay mağazadan kaldırılmış olsa da, web sitelerinin farklı tarihlerdeki görüntülerine (arşivleri) ulaşmak mümkündür. web.archive.org sitesinde Bylock uygulamasının GooglePlay mağazasındaki 18 Ağustos 2014 ve 22 Mart 2015 tarihlerindeki iki farklı arşiv görüntüsü bulunmaktadır.

Bu görüntüler, 2014 Ağustos ile Mart 2015 tarihleri arasında Bylock uygulamasının yayında olan global bir uygulama olduğunu göstermektedir. 18 Ağustos 2014 tarihli görüntüsünde GooglePlay üzerinden uygulama hakkında Moe Moe Masaung, Patrice Clark, Vand Haid, Fada Mark gibi farklı milliyetlerden kullanıcılar tarafından yapılan yorumlar da bulunmaktadır (Şekil-9).

15 https://www.technopat.net/sosyal/konu/ios-icin-bylock-kurulumu.279723/http://www.iphoneyardim.net/topic/123054-bylock/16http://www.iphoneyardim.net/topic/123054-bylock/

10/45

Şekil-9: GooglePlay sayfasında Bylock kullanıcıları ve yorumları

BM Uluslararası Ceza Mahkemeleri Hakimi Aydın Sefa Akay:

Medyada çıkan haberlerden programın farklı kesimler tarafından kullanıldığı da anlaşılmaktadır. Birleşmiş Milletler Uluslararası Ceza Mahkemeleri Hakimi Aydın Sefa Akay’ın Bylock kullandığı iddiasıyla tutuklanması sadece Türkiye’de değil, Birleşmiş Milletler nezdinde gündem olan bir konu olmuştur. İlgili haberlerde17 Aydın Sefa Akay’ın ifadesinde;

“Hür ve Kabul Edilmiş Masonlar Büyük Locası” üyesi olduğunu, Bylock uygulamasını GooglePlay mağazasından indirdiğini, Bylock uygulamasını eski Burkino Faso Dışişleri Bakanı Djibrill Bassole’nun

tavsiyesiyle yüklediğini, Uygulamayı yüklerken herhangi bir şifre girmediğini belirttiği ifade edilmektedir.

Haberden öncelikle Bylock uygulamasının herhangi bir şifre gerekmeden indirilebildiği ve kullanıldığı anlaşılıyor. Aynı zamanda FETÖ ile tamamen farklı dünya görüşüne sahip olan, kendini Mason olarak tanımlayan birisinin uygulamayı kullandığı görülüyor. Haberlerde dikkat çeken diğer bir ayrıntı ise Burkino Faso Dışişleri Bakanının Bylock uygulamasından

17 http://www.hurriyet.com.tr/fetocu-degil-masonum-40274540https://www.sadecehaber.com/odisisleribakaniyuklememitavsiyeetti

11/45

haberdar olmasıdır. Son olarak, Sefa Akay tarafından uygulama üzerinden 2 kişi ile “Masonik konular” hakkında mesajlaştığı ifade edilmektedir. Tüm bu bilgiler, Bylock uygulamasının çok da iddia edildiği gibi bilinmeyen ve kimsenin haberdar olmadığı bir program olmadığını göstermektedir. Ayrıca, uygulamanın kullanılması için herhangi bir örgütsel referans gerekmediği, iletişime geçmek iki kişinin birbirlerinin kullanıcı adlarını bilmesinin yeterli olduğu da anlaşılmaktadır.

Parlamentodaki Farklı Siyasi Partilerden Milletvekilleri

Bylock uygulamasının kimler tarafından kullanıldığı konusunda medyada sıkça gündeme gelen diğer bir kesim de milletvekilleri ve bakanlar olmuştur. Her partide uygulamayı kullanan milletvekilleri olduğu iddiaları ortaya atılmıştır. Medyaya yansıyan haberlerden parlamentodaki tüm siyasi partilerden uygulamayı kullanan vekillerin olduğu iddialar gündem gelmiştir18. Hatta bazı internet sitelerinde kullandığı iddia edilen milletvekillerinin isimleri bile paylaşılmıştır19.

Tüm bu iddialar dünya ve siyasi görüşü birbirlerinden farklı kişiler tarafından uygulamanın kullandığını işaret etmektedir.

Kısaca,

AppAnnie ve AppBrain verileri, Uygulamanın sahibi David Keynes’le yapılan röportajdaki bilgiler, Google veri ve istatistikleri, Uygulamanın halen birçok internet sitesinde yükleme dosyasının olması, İnternet forum sitelerinde ve GooglePlay üzerinden uygulama hakkında yapılan

yorumlar/paylaşımlar,

Uygulamanın GooglePlay ve Apple Mağazalarında Nisan 2014 ile Ocak 2016 tarihleri arasında yayında olan global bir uygulama olduğu,

Uygulamanın yayıncısının David Keynes olduğu, Dünyanın farklı ülkelerinden kullanıcıları olan global bir uygulama olduğu, Farklı dünya görüşüne sahip kullanıcılar tarafından kullanıldığı, Kullanıcıların birbirini eklemesi için örgütsel bir referansın gerekmediği

sonuçlarına ulaştırmaktadır.

18 http://www.yenicaggazetesi.com.tr/milletvekilleri-de-bylock-kullaniyormus-146765h.htmhttp://www.hurriyet.com.tr/bylockta-geriye-tarama-40233476http://www.viratrabzon.com/haber/mecliste-125-vekil-bylock-sisteminde-30237.html19 http://www.dilekhaber.com/haber/iste-bylock-kullanan-akp-milletvekilleri-340/

12/45

Global Mağazalar Harici Uygulamanın Yüklenmesi Mümkün müdür?

GooglePlay ve Apple resmi mağazalarında yer alan uygulamalar irili ufaklı yüzlerce farklı mağazada (internet sitesinde) kendine yer bulabilmekte, uygulamalar resmi mağazalardan kaldırılmış olsa da diğer mağazalardan bulunup indirilebilmektedir. Bylock uygulaması da halen internette birçok siteden indirilebilmektedir. Bu sitelerden bazıları daha önce paylaşılmıştır. Burada verilmiş olan siteler örnek mahiyetinde olup “google” arama motorunda “Bylock download” anahtar kelimeleriyle arama yapıldığından 200 binin üzerinde, arama “Bylock app download” anahtar kelimeleriyle daraltıldığında bile 20 binin üzerinde sonuç bulunması da halen yaygın olarak farklı siteler üzerinden Bylock uygulamasının indirilebildiğini göstermektedir.

Bununla beraber, bir uygulamanın kullanılabilmesi uygulamanın iletişimde olduğu sunucu ile ilgili bir durumdur. Sunucusu faal olduğu sürece bir uygulama büyük mağazalardan kaldırılmış olsa da ve hatta küçük mağazalarda bulunamasa bile mağazadayken indirip telefonlarına kurmuş olanlar uygulamayı kullanmaya devam edebilirler. Bylock uygulaması için de aynı durum söz konusudur.

David Keynes röportajı ve AppAnnie, AppBrain başta olmak üzere internetten elde edilen verilere göre Bylock sunucusu 2016 Mart ayından önce kullanımdan kaldırılmıştır. Dolayısıyla Bylock uygulamasının 2016 Mart ayından sonra kullanılması hiçbir şekilde mümkün değildir. Halen internette bulunan yükleme dosyası indirilip, cep telefonlarına kurulsa bile, ortada hizmet veren bir sunucu kalmadığı için herhangi bir kullanıcı oluşturma veya mesajlaşma/arama vb. hiçbir fonksiyon kullanılamayacaktır.

PROGRAMIN TEKNİK ÖZELLİKLERİ

Programın Kriptolu Haberleşme Sağlaması

Kamuoyunda üzerinde en fazla durulan konulardan biri programın kriptolu yani şifreli haberleşme imkanı sağlamasıdır. Medyada programın bu yönüne özellikle vurgu yapılmaktadır.

Öncelikle ifade edilmelidir ki, günümüzde bireylerin kişisel bilgilerinin ve iletişimlerinin gizliliği ve mahremiyeti en önemli konu haline geldiği için kullanıcılar kriptolu (şifreli) haberleşme programları kullanmayı tercih etmektedirler. Bu tercihten dolayı

13/45

kriptolu haberleşme/iletişim gerek bilgisayarlarda gerek akıllı telefonlarda kullanılan haberleşme programlarının en önemli ortak özelliği olmuştur.

Bugün tüm dünyada kullanılan; Whatsapp, Viber, Tango, Twitter, Facebook, Instagram, Facebook Messenger, Blackberry Messenger, Gmail, Hotmail, Skype, iMessage, Hangout, Yahoo, Threema, Hike, Line, Wechat, Telegram, Confide, Chatsecure, Snapchat, Coverme, Facetime, Signal, Textsecure, KakaoTalk, Kik, Nimbuzz, Wickr, Ebuddy XMS, Silent Phone ve Silent Text, Gliph, Gdata, Surespot, Ceerus, Pryvate, Hushmail, Ipgmail, Jitsi, Mailvelope, Adium, Pidgin, Retroshare, Startmail, Virtru, Cryptocat, Cyberdust, Cyphr, Privatore, AMD Chat, AMES Messenger, Babble Messsenger, Biocoded, Chat Bots, Chiffy Messenger, Cryptox, Hoccer, İmperium Messenger, Schmoose, SecEms, Secure MMX, Sicher, Squre Messenger, V Pal Messenger, Vigilant Secure, Burn Note, Ansa, Tictoc, One Krypto, Redact, Cashew, Cellcrypt, Nod CoCo, Onechat Messenger, N-gage Messenger, İCrypt, Rokacom, SIMSme, Snap Messenger, SumRando Messenger, SecretChat, TeT-a-TeT Messenger, Vanishh, Salusafe, Wire, Dontalk, Voyse, Wakachat vb. haberleşme/iletişim programlarının tümü haberleşmeyi kriptolu olarak gerçekleştirmektedir. Bunlardan Whatsapp 1.2 milyar, Gmail 1 milyar, Facebook 1.86 milyar, Facebook Messenger 1 milyar, Wechat 850 milyon, Instagram 400 milyon, Hotmail 400 milyon, Skype 320 milyon, Twitter 319 milyon aktif kullanıcı, Kik 300 milyon, Snapchat 300 milyon, Line 220 milyon aylık aktif kullanıcı, Yahoo 225 milyon, Viber 800 milyon kayıtlı kullanıcı, Instagram 600 milyon aylık aktif kullanıcıya sahiptir.

Yani akıllı telefonun ve internetin olduğu yerde yaşanıyor ve bir haberleşme programı kullanılıyorsa, kriptolu haberleşme programı kullanılıyor, kriptolu haberleşiliyor demektir.

Haberleşme yazılımları üreten şirketler/kişiler kullanıcıların gizlilik, güvenlik, mahremiyet vb. gereksinimlerini karşılamak durumunda oldukları için ürettikleri haberleşme programlarında farklı katmanlarda farklı seviyelerde farklı kripto algoritmaları kullanmaktadır. Bunlardan bazıları gelişmiş ülkelerin istihbarat kurumlarınca dahi çözülememektedir. Nitekim, 2013 yılında Amerikan Uyuşturucu ile Mücadele Dairesi’nin (DEA) basına sızan iç yazışmasında ‘iki Apple cihazı arasındaki iMessage’ın içine girmenin imkansız olduğu’ belirtilmiştir20.

Kripto konusu ABD'de FBI (Federal Soruşturma Bürosu) ve Apple arasındaki tartışmayla da gündeme gelmişti. FBI, 'terör zanlısı' olarak soruşturduğu Syed Farook'a ait Apple telefonun içindeki verilere ulaşmak istemiş ve bunun için Apple'dan telefon üzerindeki şifrelerin kaldırmasını istemiştir.

Apple ise bu işlemin bir kez yapılması durumunda, tüm iphone telefonlar için bir güvenlik zafiyetinin ortaya çıkabileceği gerekçesiyle FBI'a yardım etmeyeceğini açıklamıştır21.

20 http://www.huffingtonpost.com/2013/04/04/dea-imessage-memo_n_3015464.htmlhttps://www.cnet.com/news/Apples-imessage-encryption-trips-up-feds-surveillance/21 http://fortune.com/2016/04/20/fbi-san-bernardino-iphone/ http://www.usatoday.com/story/news/nation/2016/03/28/Apple -justice-department-farook/82354040/

14/45

Yani günümüz şartlarında kriptografi, kullanıcıların beklentisi olmasının yanı sıra firmaların da firma ve kullanıcı güvenliğini sağlayabilmesi ve bu vesileyle kendi varlıklarını sürdürebilmeleri, daha fazla kullanıcıya/müşteriye ulaşabilmeleri için bir zorunluluk haline gelmiştir. Çünkü kullanıcıları için güvenlik standartlarını sağlayamayan, kullanıcı verilerinin veya kullanıcıların kendi aralarındaki haberleşmenin gizlilik ve güvenliğini sağlayamayan firmalar medyada skandallarla gündeme gelmekte, birçok kullanıcısını kaybetmekte, prestij kaybına uğramakta ve büyük maddi kayıplar yaşamaktadırlar. Bu sebeple günümüzde haberleşme yazılımları üreten firmalar, kullanıcı beklentilerini karşılayabilmenin yanı sıra kendi varlık ve gelişimleri için de sistem ve yazılımlarını kriptolu haberleşme gerçekleştirebilecek şekilde tasarlamaktadırlar.

Hatta günümüzde haberleşme programı üreten firmalar bu konuda müthiş bir yarış içindedir. Sürekli programlarına yeni güvenlik mekanizmaları ekleyerek bunu kullanıcılarıyla paylaşmakta, onlara haberleşme içeriklerinin, trafiklerinin kimse tarafından çözümlenemeyeceğini iddia etmekte, bu şekilde kullanıcı sayılarını artırmayı amaçlamaktadırlar. Hatta firmalar kişisel bilgilerin, iletişimlerin kendilerine bile şeffaf olmasını, kendileri tarafından dahi görülememesini sağlayacak mekanizmalar, kripto algoritmaları geliştirmekte ve kullanmaktadır.

Bu kapsamda bugün çoğu firma/uygulama uçtan uca şifreleme (end-to-end) teknolojisi kullanmaya başlamıştır. Whatsapp, Viber, Facetime, iMessage, KakaoTalk, Blackberry Messenger, Line, Ipgmail, Jitsi, Privatoria, Mailvelope, Adium, Pidgin, Retroshare, Signal, Wickr, Threema, Ceerus, Pryvate, Cyphr, Cyber Dust, Telegram, Nxtty, Silent Phone, Silent Text, Textsecure, Confide, Bleep, Surespot, Sicher, Clipchat, Chatsecure, Tigertext, AMD Secure Chat, AMES Messenger, Babble Messenger, Biocoded, Chat Bots, Chiffy Messenger, Confide, Cryptox, Hoccer, Imperium Messenger, Schmoose, SecEms, Secure MMX, Sicher, Squre Messenger, İCrypt, V Pal Messenger, Vigilant Secure, Cashew Messenger, Cellcrypt, Chatsecure, Nod CoCo, GData, Onechat Messenger, Rokacom, SIMSme, Snap Messenger, Wakachat, Sumrando, Wire vd. uçtan uca şifreleme (kripto) teknolojisi kullanan uygulamalardır.

Uçtan uca şifreleme teknolojisi, haberleşme içeriğinin sadece alıcı ve gönderici tarafından okunabileceğini temin etmektedir. Bu şifreleme ile internet servis sağlayıcıları, uygulamayı üreten firma, istihbarat kurumları ve başka hiç bir unsur haberleşme içeriğine ulaşamamaktadır22.

Ayrıca, kripto sistemlerde bahis mevzu olan anahtarların çalınması durumunda bile kullanıcıların geçmiş haberleşme içeriklerine ulaşılamaması için, firmalar mükemmel iletme gizliliği (Perfect Forward Secrecy) şartlarını sağlamaya yönelik kriptografik altyapılar kullanmaktadır. Mükemmel iletme gizliliği, tüm haberleşmelerin (anahtarları yaratan rastgele değerlerle birlikte) rutin olarak silinen kısa süreli anahtarlarla şifrelenmesini zorunlu kılar. Bu

http://www.vox.com/2016/3/29/11325134/Apple -iphone-fbi-san-bernardino-case-ends http://www.latimes.com/local/lanow/la-me-ln-fbi-drops-fight-to-force-Apple -to-unlock-san-bernardino-terrorist-iphone-20160328-story.html22 https://en.wikipedia.org/wiki/End-to-end_encryption

15/45

sayede uçtan uca şifrelemede güvenliği sağlayan anahtarlar çalınsa, ele geçirilse bile geçmiş haberleşme içeriklerine ulaşılamamaktadır. Mükemmel iletme gizliliğinin uygulanabilmesi çin uçtan uca şifreleme bir zorunluluktur. Whatsapp, Facetime, iMmessage, Telegram, Chatsecure, Jitsi, Adium, Pidgin, Retroshare, Signal, Silent Phone, Silent Text, Salusafe, Textsecure, Threema, Wickr gibi programlar mükemmel iletme gizliliği kullanan programlara örneklerdir23.

Piyasadaki uygulamalar incelendiğinde uygulama geliştiricilerin kullanıcı kimliği, güvenliği ve haberleşme gizliliği ve güvenliği için şifreleme ile yetinmedikleri, kullanıcılarına gizlilik ve güvenlik için ekstra özellikler sundukları görülmektedir. Bu özellikler:

1. Kendi kendini okunduğu anda imha eden ve/veya ömrünü kullanıcının belirleyip hem alıcı hem de gönderen tarafındaki haberleşme içeriğinin eş zamanlı imha edilmesi özelliği uygulama geliştiriciler tarafından kişisel verilerin güvenliği kapsamında kullanıcılara sunulan bir özelliktir. Viber, Facebook Messenger, Telegram, Snapchat, Clipchat, Nxtty, Confide, Privatetext, Tigertext, Wickr, Silent Text, Bleep, Coverme, Speakon, Dontalk, Stealthchat, Surespot, Ansa, Burnnote, One Krypto, Redact, RingID, Sicher, Soma, Cyber Dust, GData, Gliph, Chat Bots, Cashew Messenger, Criptext, Dontalk, Frim, ProtonMail, Kag Messenger, N-gage Messenger, Squre Messenger, Wire, SecretChat, İCrypt, Secure MMX, TeT-a-TeT Messenger, Nod CoCo, Criptext, Wakachat gibi programlar bu özelliğe sahip uygulamalardan bazılarıdır.

2. Kaydedil(e)meyen, kopyalanamayan, yönlendirilemeyen, screenshot (ekran alıntısı) dahi alınamayan ve mesajı tamamen göstermeyip mesajın ancak parmağın ekran üzerinde oynatılarak/kaydırılarak kelime kelime veya satır satır görülmesine izin veren, aksi yönde bir çaba içerisine girildiğinde karşı tarafı uyaran mekanizmalar da haberleşme uygulamaları tarafından kullanıcılara sunulmaktadır. Confide, Boops bu özelliğe sahip programlardan bazılarıdır.

3. Sadece ekran alıntısı engelleme (screenshot protection) özelliği kullanan uygulamalardan bazıları; Vanishh, Telegram, Criptext, Cyber Dust, Imperium, Babble Messenger, Nod CoCo

4. Merkezi bir sunucu yerine, dünyanın farklı lokasyonlarındaki sunucuların rastgele kullanımı (Dağınık sunucu yöntemi) ile haberleşme verilerine ulaşmayı zorlaştıran ve hatta imkansız kılan özellik sunan uygulamalardan bazıları: Chat.Onion, Privatoria, Anonymous Messenger

5. Kullanıcıya uygulama için kendi sunucunu veya güvenilir bulduğu 3. bir kişiye/kuruma ait olan sunucuyu kullanma imkanı tanıyan uygulamalardan bazıları: QRTalk

6. Kullanıcıya tek kullanımlık (disposable) kimlik kullanma imkanı veren uygulamalardan bazıları: Coverme, Dispostable, Guerilla Mail, ThrowAwayMail, AirMail, YOPMail

23 https://www.eff.org/secure-messaging-scorecard https://www.eff.org/tr/secure-messaging-scorecard https://www.eff.org/node/82654

16/45

7. Gönderilen mesajı geri alınabilme özelliği: Bu özellik sayesinde kullanıcı tarafından gönderilen mesajların iletilmemiş/okunmamışsa veya iletilmiş olsa dahi hiç gönderilmemiş gibi geri alınabilmesi sağlanmaktadır. Bu özelliği kullanan uygulamalardan bazıları: Coverme, Telegram, Confide, N-gage Messenger, RingID, SpeakON, Dontalk, Criptext

8. Aynı uygulamada aynı anda farklı kimlikler kullanmayı mümkün kılan uygulamalardan bazıları: Surespot, Eleet, Rokacom, SafeMessenger

9. Kullandığı yüksek kriptografi algoritmasıyla birlikte uygulama içindeki rehber ve haberleşme içeriğini ayrıca şifreleyen uygulamalardan bazıları: Squre Messenger

Yani haberleşme uygulamalarında artık kripto değil, kriptonun seviyesi ve özgünlüğü, çözümlenemez olması, kullanıcılara kimliğini gizleme veya anonimite sağlama imkanı sunmak, haberleşmenin güvenlik, gizlilik ve mahremiyeti sağlamaya yönelik ekstra özellikler sunulmaktadır.

Kısaca, günümüzde bilgisayarında veya telefonunda herhangi bir haberleşme programı kullanılıyorsa, kullanıcının istek ve beklentilerinden bağımsız olarak kriptolu haberleşme programı kullanılması, kriptolu haberleşilmesi anlamlarına gelmektedir. Bu uygulamaların kimisi kuvvetli bir şifrelemeye sahiptir, kimisi değildir. Sonuçta günümüzde kullanıcı beklentileri, teknolojik imkanlar ve piyasa şartları dolayısıyla tüm haberleşme programları şifreli hale gelmektedir. Bu koşullar altında Bylock için kullanılan ve sürekli vurgulanan “kriptolu haberleşme programı” ifadesi de “direksiyonlu otomobil” ifadesinden başka bir anlama gelmemektedir.

Program Kullanımında Referans Ne Demektir?

Medyada yer alan haberlere ve iddialara göre, program kullanıcılarının birbiriyle iletişime geçebilmesi için sistem içindeki bir başka kişinin veya kişilerin referans vermesi gerektiği iddia edilmektedir. Bu durumun da programı ancak örgüt üyelerinin kullanabileceği şeklindeki iddiayı desteklediği ifade edilmektedir.

Bu noktada “sistem içindeki birilerinin referans vermesi gerektiği” şeklindeki iddiadan tam olarak neyin kastedildiği önem arz etmektedir. İddialarda geçen “sistem içindeki birileri” ifadesiyle neyin kastedildiği açık değildir. İletişime geçmek, haberleşmek istenilen kullanıcılar mı, haberleşmek istenilen kişiden bağımsız, örgüt içinden birileri mi? İddialar aydınlatılmadığı, detayı paylaşılmadığı için tam olarak neyin kastedildiği bilinmemektedir. Bundan dolayı her ihtimal değerlendirmeye tabii tutulacaktır.

İddialar çerçevesinde iki senaryo söz konusudur:

1. İletişim kurulmak istenilen kişinin kullanıcıya referans olması.

17/45

2. Programın kullanılabilmesi ve diğer kullanıcılarla iletişime geçilebilmesi için örgüt içinden belli kişi veya kişilerin kullanıcılara referans vermesi, aksi durumda programın kullanılamaz olması.

1. Senaryo: İletişime geçmek istenilen kişinin kullanıcıya referans olması. (Karşılıklı Katılım)

Program kurulduktan sonra başka bir Bylock kullanıcısıyla iletişim kurulabilmesi için iletişim kurulmak istenilen kişinin referans olmasının örgüt iddiasıyla herhangi bir ilişkisi bulunmamaktadır. Burada kastedilen sadece iletişim kurmak isteyen iki kullanıcının birbirleri arasındaki onay sürecidir/durumudur. Bu şekildeki bir referans mekanizması birçok programda mevcuttur.

“Karşılıklı Katılım” (two-way opt-in) olarak adlandırılan bu mekanizmada A kullanıcısı B kullanıcısıyla mesajlaşmak/haberleşmek istediğinde öncelikle B kullanıcısına A kullanıcısının arkadaşlık isteğini kabul edip etmediği sorulur. B kullanıcısı A kullanıcısına referans olduğunda, daha anlaşılır bir ifadeyle, A kullanıcısının arkadaşlık teklifini kabul ettiğinde veya görüşme talebine onay verdiğinde haberleşmeye izin verilir. Bu mekanizma insan faktöründen bağımsız yazılımsal bir mekanizmadır.

Bu mekanizma piyasada birçok uygulamada da kullanılan bir yöntemdir. Whatsapp, Blackberry Messenger, Hangouts, Hike, Kik, Line, Nimbuzz, Skype, Surespot, Telegram, Threema aynı özelliğe sahip bilindik uygulamalardır.

Örneğin, Whatsapp’da kullanıcıların iletişime geçmek istediği kullanıcılara öncelikle Whatsapp tarafından bir arkadaşlık teklifi (davetiye) iletilmekte ve 3 seçenek sunulmaktadır; 1-kabul et, 2- reddet, 3-spam olarak bildir(şikayet et). Karşı taraf onaylarlarsa, yani kullanıcıya referans olursa kullanıcılar arasında mesajlaşma/iletişim sağlanır.

Karşılıklı Katılım mekanizması farklı şekillerde uygulanmaktadır. Bazı programlarda referans/onay mekanizması ön tanımlıdır, yani herhangi bir kişi herhangi bir kullanıcıya dilediği zaman ulaşabilmektedir. Cep telefonu numarasını kullanıcı adı olarak kullanan ve rehber eşleştirme özelliği bulunan uygulamalarda birbirinin rehberinde kayıtlı olan kullanıcılar onaylanmış kabul edilmektedir. Fakat bu tarz programlar da yine de reddet/engelle seçeneklerini barındırmakta ve kullanıcılara ön tanımlı olan referansını/onayını dilediği zaman kaldırabilme olanağı sunmaktadır.

Bu referans/onay mekanizması, kullanıcıların taciz/rahatsız edilmesini engellemek, her isteyenin kullanıcılara ulaşabilmesinin, mesaj/resim/video vb. gönderebilmesinin önüne geçilmesi amacıyla geliştirilmiştir.

18/45

2. Senaryo: Programın kullanılabilmesi ve diğer kullanıcılarla iletişime geçilebilmesi için örgüt içinden belli kişi veya kişilerin kullanıcılara referans vermesi, aksi durumda programın kullanılamaz olması. (Örgütsel Referans)

İddialar kapsamında referanstan kastın örgüt içerisinden merkezi bir onay sürecinin olduğu da anlaşılmaktadır. Çünkü diğer senaryonun örgüt iddiasıyla herhangi bir ilişkisi bulunmamaktadır.

Bu iddiaya da sunucunun kullanımdan kalkmış olması sebebiyle direkt cevap verilememektedir. Fakat mevcut verilerden yola çıkarak bir sonuca ulaşmak mümkündür. Şöyle ki; bir programın kullanılabilmesi için bünyesinde böyle bir referans mekanizması barındırması, o programın bir örgüte ait, gizli bir program olduğu iddiasını delillendirebilecek bir durumdur. Dolayısıyla böylesine gizli, örgütsel bir programın, uygulama mağazalarına konarak tüm dünyaya ifşa edilmesi hayatın olağan akışına, akla ve mantığa aykırıdır.

Ayrıca hücre tipi yapılanmaya sahip olduğu iddia edilen bir örgüt için aynı zamanda böyle bir referans mekanizmasının iddia edilmesi birbirini çürütecek mahiyettedir. Çünkü her bir kullanıcının bu şekilde birden fazla kişinin referansına ihtiyaç duyması, örgüt elemanlarının kendi içlerinde deşifre olması demektir ki örgütün böyle bir yönteme başvuracağını düşünmek de akılcı değildir.

Programın ülkemizdeki kullanıcı sayısının 200 binin üzerinde olması da iddianın asılsız olduğunu destekleyen bir diğer veridir. Bu şekilde referans sistemi barındıran gizli bir programa bu kadar insanın ulaşabilmesi ihtimali çok ama çok zayıftır.

Ayrıca bu iddiaya dair bugüne kadar, referans olduğu iddia edilen bu kişiler kimlerdir, nerededir, kaç kişinin referans olması gerekmektedir (iddialarda bu sayılar ikiden sekize kadar değişmektedir), bu mekanizma nasıl yönetilmektedir, kullanıcıları nasıl görmektedir, hangi bilgiye göre kullanıcıları onaylamaktadır? Bylock listelerinde ismi geçenler bunlardan hangilerinden referans almışlardır, bu nasıl tespit edilmiştir vb. hususlarda hiçbir anlatım veya tespit de bulunmamaktadır.

Kısaca; Bylock uygulamasında mevcut olduğu iddia edilen referans mekanizmasının mahiyeti hakkında net bir bilgiye ulaşmak mümkün değildir. Bununla beraber,

Uygulamayı kullandığı iddia edilen 200 bin üzerindeki kullanıcı sayısı, Uygulamanın zaman içerisinde global mağazalarda yayında olması, Örgütün hücre tipi yapılanmaya sahip olduğu iddiaları Örgütsel referans mekanizmasına dair halen ekstra herhangi bir bilgi, belgenin

olmaması

iddialarda geçen referans yönteminin pazardaki birçok uygulama tarafından da kullanılan “Karşılıklı Katılım” mekanizması olduğunu ortaya koymaktadır.

19/45

Özel Kod ile Arkadaş Ekleme Ne Demektir?

Bu kapsamdaki iddiaların haberleşme programlarının çalışma prensipleri hakkında bilgi eksikliğinden kaynaklandığı anlaşılmaktadır. İddialardan “kod” olarak tarif edilmeye çalışılan bilginin hesap bilgisinden (Kullanıcı-ID) başka bir bilgi olmadığı anlaşılmaktadır.

Her haberleşme programı kullanıcılarını tanımlayacağı “Kullanıcı-ID” olarak adlandırılan tekil bir bilgiye ihtiyaç duyar ve her programda istisnasız her kullanıcı birbirini “Kullanıcı-ID” ile ekler, çıkartır, “Kullanıcı-ID” üzerinden iletişim kurar.

Uygulamaların Kullanıcı-ID olarak kullandıkları tekilliği sağlayan bu bilginin farklılıklarından dolayı bu tartışmalar yaşanmaktadır.

Piyasadaki uygulamalar incelendiğinde telefon numarasının, e-posta adresinin veya uygulamalar tarafından atanan bir sayısal verinin “Kullanıcı-ID” olarak kullanıldığı görülmektedir. Birçok uygulamada “Kullanıcı-ID” ile beraber kullanıcının daha rahat bulunabileceği “kullanıcı adı” olarak adlandırılabilecek bir bilgi de kullanılır. Bu bilgi kullanıcıların hesaplarını oluşturmaları esnasında kendilerinden istendiği gibi, farklı mekanizmalarla otomatik olarak da oluşturulur. Örneğin, e-posta adresinin Kullanıcı-ID olarak kullanıldığı sistemlerde e-posta kullanıcı ad-soyad bilgisi uygulama için de kullanılabilir.

En çok bilinen bir program üzerinden izah etmek daha anlaşılır olacaktır. Whatsapp tarafından kişilerin cep telefonu numaraları Kullanıcı-ID’si olarak kullanılmakta, “cihaz sahip bilgisi” (Şekil-10) ise “kullanıcı adı” olarak kullanılmaktadır ve cihazdan otomatik olarak alınmaktadır. Whatsapp kullanıcıları SADECE Kullanıcı-ID’si olan cep telefonu numarası ile birbirlerini ekleyebilir ve birbirleriyle iletişime geçebilirler. Arkadaşlık davetiyeleri SADECE Kullanıcı-ID (cep telefonu) ile birbirlerine iletilir. Davetiyelerde aynı zamanda istekte bulunan kullanıcıya ait kullanıcı adı (cihaz sahip bilgisi) bilgisi de davetiye gönderilen kullanıcıyla paylaşılır. Whastapp’da kullanıcı adı aynı zamanda grup mesajlaşmalarında grup üyelerini bilgilendirmek amacıyla da kullanılmaktadır. Kişinin rehberinde kayıtlı olmayan kullanıcıların telefon numarası yanında gösterilen isim “kullanıcı adı”dır (Şekil-11).

20/45

Şekil-10: Android ve ios cihazlarda cihaz sahip bilgisi ekranı

Şekil-11: Whatsapp’da kullanıcı adı bilgisi

Emre Erciş tarafından 23 Ocak 2017 tarihinde MİT tarafından hazırlanan Bylock raporundan bir görüntü paylaşılmıştır24 (Şekil-12). Paylaşılan görüntüde rapordan alındığı iddia edilen bir mesajlaşmaya ait veritabanı bilgisi yer almaktadır. Paylaşılan görüntünün ilk sütunun kullanıcı-ID bilgileri olduğu ve sayısal verilerden oluştuğu görülmektedir.

24 https://twitter.com/EmreErcis1/status/823475006273372160

21/45

Şekil-12: Emre Erciş tarafından paylaşılan ekran görüntüsü

Aynı zamanda, internette Bylock uygulamasına ait kullanıcı kayıt/giriş ekranında “username” ve “password” şeklinde iki satır görülmektedir. Bu bilgiler bir araya geldiğinde Bylock uygulamasında kullanıcı-ID olarak uygulama tarafından atanan bir sayısal verinin kullanıldığı anlaşılmaktadır. Uygulamanın e-posta, cep telefonu vb. bir bilgi istemediği bilgileri de bu hususu teyit etmektedir.

Yukarıda izah edilen bilgiler ışığında Bylock kullanıcıları da birbirlerini diğer tüm uygulamalarda olduğu gibi SADECE “Kullanıcı-ID” ile ekleyebilir, arkadaşlık isteklerini de SADECE Kullanıcı-ID ile iletebilir.

Kullanıcı-ID ile beraber whatsapp vb. diğer uygulamalarda olduğu gibi kullanıcı adı bilgisi olan ve kullanıcıdan istenilen “username” bilgisinin de davetiye gönderilen kullanıcı ile paylaşıldığı tahmin edilmekte olup, uygulama sunucunun kullanımda olmaması nedeniyle bu konuda net bir bilgiye ulaşmak mümkün değildir.

Sonuç olarak, Bylock uygulamasında arkadaş eklemek için kod kullanıldığı iddialarının uygulamaların hesap yönetim mekanizmaları hakkında bilgi sahibi olunmamasından kaynaklandığı görülmektedir. Detayları verildiği üzere, iddialarda yer alan “kod” tabirinin Kullanıcı-ID olduğu anlaşılmaktadır. Kullanıcı-ID uygulamasının da piyasadaki diğer örneklerinden farklı olmadığı örnekleriyle ortaya koyulmuştur.

Programda Ad-Soyad ve Cep Telefonuyla Kullanıcı Arama ve Ekleme

Bu kapsamdaki iddiaların da uygulamaların hesap yönetim metotları hakkında bilgi eksikliğinden kaynaklandığı ortadadır. İfade edildiği gibi her uygulamada SADECE uygulamaya özel Kullanıcı-ID ile arkadaş ekleme yapılabilir. Yani, cep telefonu numarasını Kullanıcı-ID olarak kullanan bir uygulamada, Whatsapp gibi, ancak SADECE telefon numarasıyla arkadaş eklenebilir. E-posta adresini Kullanıcı-ID olarak kullanan bir uygulamada, hangouts gibi, SADECE e-posta adresiyle arkadaş eklenebilir.

22/45

Bununla beraber, kullanıcıların birbirini daha rahat bulabilmeleri için ekstra geliştirilmiş yöntemler de uygulamalar tarafından kullanıcılara sunulabilmektedir. Ad-Soyad, e-posta, kullanıcı adı, rumuz vb. kullanıcı-ID olarak kullanılmayan ekstra bir bilgiyle kullanıcı arama seçeneği bu özelliklerden biridir.

Örneğin, hangouts uygulamasında kullanıcılara e-posta haricinde ad-soyad ve telefon numarasıyla arama olanağı sağlanmaktadır (Şekil-13). Bu sayede kullanıcıların diğer kullanıcılara Google+ hesaplarındaki ad-soyad ve cep telefonu numarasıyla ulaşabilmeleri sağlanmaktadır. Örneğin “John Smith” isminde birisi arandığında Google+ adı “John Smith” olan tüm kullanıcılar listelenmektedir (Şekil-14).

Şekil-13: Hangouts Kullanıcı Arama Seçenekleri

Şekil-14: Hangouts uygulamasında Ad-Soyad ile arama

Whatsapp uygulamasında da kullanıcılara ad-soyad ile arama olanağı sunulmuştur fakat bu seçenek sadece kullanıcıların kendi telefon rehberleriyle sınırlandırılmıştır. Bir

23/45

whatsapp kullanıcısını ad-soyad bilgisiyle aramak isteyen kullanıcının sadece kendi rehberindeki kişiler ve whatsapp kullanıcısı olup olmadıkları bilgisi listelenmektedir.

Kullanıcı-ID olarak sayısal bir veriyi kullanan programlarda iki durum söz konusudur. Bazı uygulamalar tarafından hesap oluşturma esnasında kullanıcılardan ekstra bilgi olarak cep telefonu numarası da (opsiyonel olarak) sorulabilmektedir. Böylelikle cep telefonu bilgisini paylaşan kullanıcılar birbirlerini cep telefonu numarası üzerinden de bulma imkanına sahip olmaktadırlar.

Tüm bu alternatifler uygulamalar tarafından kullanıcılara sunulan ekstra özellikle olup, bu özelliklere sahip olmayan programların varlığı da söz konusudur. Anlatılan özellikleri sağlamayan bir programda da daha önce de izah edildiği üzere uygulama tarafından Kullanıcı-ID olarak kullanılan bilgi ne ise SADECE onunla diğer kullanıcılar aranabilir (wickr, Redact, RingID, Blink, Buzz, Pintel, Chat.onion, CryptoX, Onechat gibi)

Kullanıcıların Ad-Soyad vb. bilgiyle eklenmesi konusu ise teknik anlamda aslında hiçbir uygulama için mümkün değildir. İzah edilen ad-soyad ile arama sonucu bulunan bir kullanıcı eklenmek istendiğinde aslında uygulama tarafından o kullanıcının Kullanıcı-ID’si ile kişi eklenmektedir. Fakat bu, arka planda kullanıcıdan habersiz olarak yapılan bir süreç olduğu için genel mobil kullanıcılar tarafından Ad-Soyad bilgisiyle arkadaş eklendiği izlenimi oluşmaktadır.

Kısaca, Bylock uygulamasında ad-soyad ile arama yapılamadığı, kullanıcı eklenemediği konusundaki tartışmaların uygulamaların çalışma mantıkları hakkındaki bilgi eksikliğinden kaynaklandığı gözlemlenmektedir.

Bylock uygulamasında bahsedilen özelliklerin olup olmadığı konusunda uygulama sunucusunun kullanımda olmaması nedeniyle net bir bilgiye ulaşmak mümkün gözükmemektedir. Bununla beraber, burada bahsedilen veya benzeri özelliklere sahip olmayan, örnekleri verilen, yani kullanıcılarına sadece kullanıcı-ID ile arama yapma ve kullanıcı ekleme seçeneklerini sunan birçok uygulamanın da mevcudiyeti Bylock uygulamasının çok özel ve gizli bir uygulama olduğu iddialarıyla tezat oluşturmaktadır.

Kullanıcılardan Cep Telefonu, Kimlik Numarası, E-Posta İstenmesi Gerekli midir?

İzah edildiği üzere her uygulamanın kendine has bir kullanıcı hesap yönetim sistemi vardır ve her kullanıcı Kullanıcı-ID denilen tekil bir bilgiye sahip olmalıdır.

Whatsapp, Hangouts gibi uygulamalarda Kullanıcı-ID cep telefonu veya e-posta adres bilgisi olduğu için kullanıcı hesabının oluşturulabilmesi için bu bilgilerin kullanıcılardan istenilmesi mecburidir.

24/45

Fakat Bylock uygulamasında uygulama tarafından kullanıcılara atanan sayısal bir bilginin Kullanıcı-ID olarak kullanıldığı anlaşılmaktadır. Dolayısıyla kullanıcılardan Whatsapp’ta olduğu cep telefonu numarası, Hangouts ve Facebook Messenger’da olduğu gibi e-posta adresi istenmesi gerekmemektedir.

Bununla beraber, bazı uygulamalarda kötüye kullanımın önüne geçmek için kullanıcıların gerçek kişiler olup olmadığını teyit etmek amacıyla ekstra cep telefonu çağrısı veya doğrulama kısa mesajı (SMS); e-posta adresine doğrulama kodu göndermek gibi doğrulama yöntemleri de izlenmektedir. Fakat bu yöntemin de tüm uygulamalar tarafından tercih edilmediği de ortadadır.

Mağazalarda kullanıcılar telefon numarası veya e-posta vb. Kullanıcı-ID harici herhangi bir bilgi paylaşmaksızın kullanabilen birçok program mevcuttur. Threema, Wickr, Surespot, Nimbuzz, Cryptocat, Kik, KakaoTalk, Coverme, Eleet, Hoccer, Frim, Privatoria, QRTalk, Titanium Messenger, Zendo Messenger, Psst, Biocoded, CryptoX, Babble Messenger, İmperium Messenger, SumRando, Epicorb, Connected2.me, Redact, RingID, Buzz, Pintel, Chat.onion, Onechat Messenger, bu uygulamalardan bazılarıdır. Bu uygulamaların bazılarının GooglePlay marketteki kullanıcı sayı aralıkları aşağıda verilmiştir:

Kik: 100-500 milyon KakaoTalk: 100-500 milyon Nimbuzz: 10-50 milyon Plus Messenger: 5-10 milyon Connected2.me: 1-5 milyon Threema: 1-5 milyon Hoccer: 1-5 milyon Frim: 1-5 milyon

Kullanıcı-ID ile olarak T.C. Kimlik No kullanan veya kullanıcılarından ekstra bilgi olarak T.C. Kimlik No isteyen herhangi bir programla karşılaşılmamıştır. T.C. Kimlik No bilgisinin sadece Türkiye’de geçerli, çok özel bir bilgi olması nedeniyle bu bilgiyle işlem yapacak bir sosyal medya uygulaması olmasının da mantıklı ve sürdürülebilir bir uygulama olmayacağı da açıktır. Dolayısıyla Bylock uygulamasında T.C. Kimlik No bilgisinin istenmiyor olduğuna dair iddialar hiçbir geçerliliği olmayan iddialar olduğu için değerlendirmeye tabi tutulmamıştır.

Kısaca kullanıcılarından cep telefonu numarası, e-posta adresi gibi ekstra bilgiler isteme özellikleri her uygulama için geçerli olmayan özelliklerdir. Bylock sunucunun kullanımda olmaması sebebiyle uygulamada ne tür bilgiler istendiği konusunda net bir bilgiye sahip olmak mümkün değildir. Fakat iddiaların doğruluğu kabul edilmiş bile olsa, Bylock’un türünü tek örneği olan gizli ve çok özel bir program olmadığı; kullanıcılarından ekstra bilgi istemeyen ve bazıları oldukça yaygın kullanıma sahip piyasadaki diğer benzerleri gibi bir program olduğu anlaşılmaktadır.

25/45

Program Rehber Eşleştirmesi Yapmakta mıdır?

Bu durum da daha önce ifade edilen kullanıcı hesabı yönetim metoduyla ve/veya programın kullanıcıya sunduğu imkanlarla ilgilidir. Programda Kullanıcı-ID olarak telefon numarası kullanılmıyorsa ve/veya programda “rehber birleştirme/eşleştirme” özelliği bulunmuyorsa telefon rehberi o program için bir anlam ifade etmemektedir ve program rehberdeki kişileri görmeyecek, rehberdeki kişileri ekleyemeyecektir.

Bylock’da Kullanıcı-ID olarak uygulama tarafından atanan bir sayı kullanılmış olması, ekstra cep telefonu bilgisi istemediği iddiasıyla birlikte değerlendirildiğinde rehber eşleştirme özelliği olmadığı zaten anlaşılmaktadır. Bu şartlar altında kullanıcıların rehberlerindeki kişilerin otomatik olarak eklenmesi teknik olarak mümkün görülmemektedir.

Bununla beraber, uygulamanın bu çalışma prensiplerinin uygulamanın gizli ve örgüte özel olarak adlandırılması için yeterli olmadığı aşikardır. Kik ve nimbuzz gibi rehber birleştirme/eşleştirme özelliği olmayan ve on milyonlarca kullanıcısı olan programlar da mevcuttur.

PROGRAMIN ŞİFRELEME ÖZELLİKLERİ

Programda Kullanılan Şifreleme Algoritmaları Özel midir?

Medyada dolaşan iddialardan biri de Bylock uygulamasının piyasadaki diğer uygulamalardan çok daha yüksek seviye veya askeri seviye şifrelemeye sahip olduğu iddiasıdır. Konuyla ilgili resmi bir bilgi olmasa da medyada paylaşılan bilgilerden Bylock tarafından kullanıldığı iddia edilen şifreleme teknolojileri ve parametreleri şunlardır:

gizli ve açık 2 farklı anahtar kullanımı 2048 bit RSA asimetrik şifreleme MD5 özet algoritması 256 bit AES şifreleme SHA-256 özet algoritması

26/45

Gizli ve Açık Anahtar Kullanımı

Son dönemde birçok firmanın kullanıcı bilgilerinin kendi firmalarına bile şeffaf (transparent) olması için yoğun gayret gösterdikleri bilinmektedir. Bu amaçla uçtan uca (end-to-end) (E2EE) şifreleme mimarisi kullanımı her geçen gün artmaktadır. Bu teknoloji sayesinde kullanıcı bilgileri, kullanıcı verileri (mesajlar, görüşme geçmişi, gönderilen/alınan resimler, dosyalar, mailler, vb.) hizmeti veren firma sunucularında bile şifreli olarak devamlı veya geçici süreyle tutulmakta ve/veya hiç tutulmamaktadır (Şekil-15).

Şekil-15: Uçtan uca şifreleme25

E2EE teknolojisinde genel olarak şifrelemelerde iki anahtar kullanılmaktadır. Bir tanesi genel/açık anahtar (public key), diğeri ise kişisel/gizli (private key) anahtardır. İletilmek istenilen veri (mesaj, belge, resim vb.) karşı tarafın genel anahtarıyla şifrelenir (encryption) ve şifreli veri iletilen kişinin kendi gizli anahtarıyla açılabilir (decryption) (Şekil-16). Bununla beraber farklı metodolojilerde de açık ve gizli anahtar uygulaması yaygın olarak kullanılmaktadır ve bu yöntemin asıl adı asimetrik şifrelemedir (asymmetric cryptography). Bu yöntemin özelliği zaten şifrelenen mesajın veya bilginin özel anahtar olmadan açılamamasıdır. Dolayısıyla Bylock’ta “gizli anahtar olmadan çözümleme yapılamadığı” iddiası son derece normal bir olay izahatından başka bir durum değildir.

25 https://martin.kleppmann.com/2015/11/10/investigatory-powers-bill.html

27/45

Şekil-16: Asimetrik şifrelemede genel ve özel anahtar kullanımı26

Asimetrik şifreleme yeni ve Bylock’a özel geliştirilmiş bir yöntem değildir. 1970’lerden beri bilinen bir yöntemdir ve günümüzde teknolojinin ve fiber internet altyapılarının yaygınlaşmasıyla çok yaygın bir uygulama alanı bulmaktadır. Whatsapp, Telegram, Signal, Facebook Messenger, Blackberry Messenger, Facetime, Cryptocat, Google Allo, iMessage, Line, Surespot, Threema, Viber, Wire vb. milyonlarca hatta milyarlarca kullanıcısı olan birçok mesajlaşma programında da E2EE şifreleme yani asimetrik şifreleme kullanılmaktadır.

MD5 ve SHA 256

MD527 ve SHA 25628 asıl itibariyle birer şifreleme algoritması olmayıp, sadece veri bütünlüğüne dair özet algoritmalarıdır. Mesajlaşma programlarında daha çok medya/mesaj bütünlüğünün doğrulanması amacıyla kullanılmaktadır. SHA256 çıktıları aynı zamanda şifreleme anahtarları üretme aşamalarında da kullanılmaktadır. Fakat bu teknolojiler direkt şifreleme algoritmaları olmadığı ve sadece mesajlaşma değil, dünyadaki tüm uygulamalarda, web sitelerinde kısaca dijital dünyada her yerde kullanılan teknolojiler olduğu için değerlendirmeye tabi tutulmamıştır.

2048-bit RSA ve AES-256 şifrelemeleri

Bylock’ta 2048 bit RSA ve AES-256 şifreleme teknolojilerinin kullanılması konusunda yapılan araştırmalar kapsamında piyasadaki birçok programda 256-bit ile 8192-bit arasında farklı algoritmalar kullanıldığı tespit edilmiştir.

26 https://en.wikipedia.org/wiki/Public-key_cryptography27 https://tr.wikipedia.org/wiki/MD528 https://tr.wikipedia.org/wiki/Kriptografik_%C3%B6zet_fonksiyonu

28/45

Medyaya yansıyan iddiaların Bylock tarafından mesaj şifrelemelerinde 2048-bit RSA kullanılması üzerine yoğunlaştığı görülmektedir.

RSA bir asitmerik şifreleme algoritmasıdır ve günümüz haberleşme uygulamalarında yaygın olarak kullanılmaktadır. Telegram, Threema, Cyber dust mesajlaşma programları da Bylock’la aynı şekilde 2048-bit RSA şifrelemesi kullanmaktadırlar.

Bununla beraber; Whatsapp, Telegram, Facebook Messenger, Google Allo, Signal, Silent Phone, Threema, Tox, Viber, Wire gibi birçok uygulama tarafından da Curve25519 şifreleme algoritması kullanılmaktadır ve minimum 128-bit şifreleme sağlamaktadır. Curve25519 şifreleme algoritması RSA’dan farklı bir matematiksel hesaplama yöntemi kullanmaktadır.

İlk bakışta 128-bit ile 2048-bit karşılaştırıldığında Bylock’ta da kullanılan 2048-bit kullanılarak yapılan şifrelemenin çok daha kuvvetli olduğu düşünülebilir fakat durum tam olarak öyle değildir.

Bir şifrelemenin güvenliği sadece 2048 ve 128 gibi rakamlarla değerlendirilemez, bu sayılar şifreleme algoritmasıyla beraber bir anlam ifade etmektedir. Ulusal Standartlar ve Teknoloji Enstitüsü (National Institute of Standards and Technology, NIST29) tarafından yayınlanan “Recommendation for Key Management” başlıklı standart tavsiye kitapçığında farklı şifreleme teknolojilerinin kuvvetleri arasında bir kıyaslama tablosuna yer verilmiştir. Bu tabloya göre Curve25519 yöntemiyle aynı matematiksel temele dayanan 160-bit bir elliptic curve (ECC) genel anahtar, 1024-bit RSA (IFC) anahtarla eş değer güvenlik sağlamaktadır. Dolayısıyla Bylock’ta kullanılan 2048-bit RSA güvenliği 224-bit elliptic curve genle anahtarla sağlamak mümkündür (Şekil-17). Kısaca, Bylock’ta kullanılan 2048-bit RSA şifrelemesi piyasada bulunan en yaygın haberleşme programlarından bir seviye üst güvenlik sağlamaktadır. İddia edildiği gibi Bylock’ta kullanılan şifreleme çok üst düzey bir şifreleme algoritması değildir ve çok üst düzey bir güvenlik sağlamamaktadır.

29 NIST; Tüm ABD devlet kurumları işlemleri ve varlıkları için yeterli bilgi güvenliği sağlamak için asgari gereklilikler de dahil olmak üzere standartlar ve yönergeler geliştirmekle sorumlu olan bağımsız bir kuruluştur. Yayınlamış olduğu standartlar ve yönergeler tüm dünya çapında kabul görmektedir.

29/45

30

Şekil-17: Şifreleme algoritmaları ve güvenlik seviyeleri kıyaslaması

Bu kıyaslamaları yaparken aşağıdaki hususlar göz önünde bulundurulmalıdır:

1. Haberleşme programlarında kullanılan şifreleme algoritmaları ve şifreleme için kullanılan anahtar uzunluklarının programı kullanan kullanıcı sayısıyla yakından ilgilidir. Daha yüksek güvenlik, program üreticisi firmalar için kullanıcı başına ekstra maliyet (daha yüksek performanslı cihazlar vb.) anlamına gelmektedir. Dolayısıyla firmalar tarafından güvenlik ve maliyet arasındaki optimum seviye tercih edilmektedir.

2. Teorik olarak yukarıda bahsedilen şifrelemelerin hepsinin güvenli olduğu kabul edilmektedir. NIST’e göre minimum 128-bit güvenlik sağlayan tüm teknolojiler en az 2030 yılına kadar kırılması imkansız, güvenilir teknolojilerdir31.

Sonuç olarak; teorik anlamda Bylock tarafından tercih edilen 2048-bit şifreleme ile Whatsapp tarafından tercih edilen 128-bit şifreleme farklı değildir.

AES-256 teknolojisiyle ilgili olarak da farklı bir durumla karşılaşılmamıştır. Piyasa AES-256 teknolojisinin sadece mesajlaşma programlarında değil, farklı alanlarda da yaygın kullanımı olduğu görülmektedir.

30 NIST Special Publication 800-57 Part 1 Revision 4; Recommendation for Key Management Part 1: General; sayfa 66.31 NIST Special Publication 800-57 Part 1 Revision 4; Recommendation for Key Management Part 1: General; sayfa 55.

30/45

Piyasada Bylock tarafından kullanılan 2048-bit RSA ve 256-bit AES şifrelemesini bir arada kullanan benzer uygulamalardan bazıları şunlardır:

Telegram Chatout Smapp Chitthi What’schat D Messenger XCessMsg EnCrypto MailForSure Kag Messenger Kryng.me Kryptos Schmoose

Bylock’dan daha güçlü RSA algoritmaları kullanan programlar;

Kryptochat AES-256, 8192 RSA Kryptotel AES-256, 8192 RSA Mail1Click AES-256, 4096 RSA Squre Messenger AES-256, 4096 RSA Pryvate Now AES-256, 4096 RSA Salusafe AES-256, 4096 RSA Besafemail AES-256, 4096 RSA Vigilant Secure AES-256, 4096 RSA İCrypt AES-256, 4096 RSA

Kısaca;

Bylock uygulamasında kullanılan açık ve gizli anahtarların günümüzde yaygın olarak kullanılan asimetrik şifreleme olarak bilinen standart şifreleme teknolojisi olduğu,

Piyasada ve daha güçlü şifreleme kullanan uygulamaların bulunması, Dünyanın en çok kullanılan mesajlaşma programlarında (whatsapp, Facebook

Messenger, Google Allo vb.) farklı şifreleme teknolojileriyle yakın seviyede güçlü şifreleme sağlanıyor olması,

Aynı teknolojileri (RSA ve AES) kullanarak aynı seviyede şifreleme sağlayan yaygın olarak kullanılan programların (Telegram, Threema, cyber dust vb.) bulunması

Aynı teknolojileri (RSA ve AES) kullanarak Bylock’tan daha yüksek seviyede şifreleme sağlayan programların bulunması

31/45

NIST’e göre minimum 128-bit güvenlik sağlayan tüm şifreleme teknolojilerinin güvenli olması (bahsedilen tüm teknolojiler 128-bit ve üzeri seviyede güvenlik sağlamaktadır)

Bylock uygulamasının çok özel ve gizli bir uygulama olmadığını; piyasada benzerleri olan standart seviyede bir uygulama olduğunu göstermektedir.

EFF Kriterleriyle Bylock

Günümüzde haberleşme programlarının güvenlik seviyeleri, siber vatandaş haklarının korunması için çalışmalar yapan ABD merkezli Elektronik Öncü Vakfı32 (Electronic Frontier Foundation-EFF) tarafından incelenmekte ve sonuçları tüm dünya ile paylaşılmaktadır. EFF, programları; güvenlik, kripto seviyesi, gizlilik vb. alanlarda inceleyerek gereksinimleri karşılaması noktasında puanlamaktadır33. EFF tarafından uygulamaların kritiğe tabii tutulduğu özellikler şunlardır:

Taşıma (iletim) sırasında şifrelenmiş mi? Sağlayıcının okuyamayacağı şekilde şifrelenmiş mi? Kişilerin kimliği doğrulanabiliyor mu? Anahtarlar çalınmışsa geçmiş konuşmalar güvende mi? Kod bağımsız incelemeye açık mı? Güvenlik tasarımı düzgünce belgelenmiş mi? Kod yakın bir zamanda denetlenmiş mi?

Burada “Kişilerin kimliği doğrulanabiliyor mu?” başlığı hakkında bir açıklama yapmak gerekmektedir. İlk bakışta başlıktan kullanıcıların gerçek kimliklerinin belirlenmesi anlaşılsa da; bu kriterde kullanıcıların birbirlerinin kimliklerini ve görüştükleri kanalın bütünlüğünü doğrulayabilecekleri bir yöntemin34 uygulama tarafından kullanıcılara sunulup sunulmadığı kritiğe tabi tutulmaktadır; Whatsapp “Güvenlik Kodu Doğrulama” yöntemi gibi (Şekil-18).

32 https://www.eff.org/33 https://www.eff.org/tr/secure-messaging-scorecard34 Kabul edilebilir iki yöntemden bahsedilmektedir:

● Kullanıcıların şahsen ya da bant dışı doğrulayabilecekleri, kendilerinin ve görüştükleri kişilerin parmak izini (hash) görebileceği bir arayüz.

● Sosyalist Milyoner protokolü gibi bir kısa kimlik doğrulama dizisine (short authentication string) sahip bir anahtar değiş tokuş protokolü.

32/45

35

Şekil-18: Whatsapp Güvenlik Kodu Onaylama Yöntemi

Bu kritik, servis sağlayıcının (uygulama sunucusunun) hacklenmesi durumunda kullanıcıların, görüştükleri kişilerin ve iletişimlerinin güvenliği konusunu içermektedir.

Bu kapsamda yukarıda da ifade edildiği üzere 2013 yılında Amerikan Uyuşturucu ile Mücadele Dairesi’nin (DEA) basına sızan iç yazışmasında araya girilmesi imkansız diye nitelendirilen ve iphone telefonlarda bulunan iMessage programına 7 üzerinden 5 puan veren EFF, yaygın uygulamalardan facetime’a 7 üzerinden 5, wickr programına 5, whatsapp’a ise 7 üzerinden 6 puan vermiştir. Bu programlar yukarıda da ifade edildiği üzere E2EE ve Mükemmel İletme Gizliliği (Future Perfect Secrecy) kullanan programlardır ve bu programlarda kullanıcıların özel anahtarları ele geçirilse dahi geçmiş haberleşme içeriklerine ulaşılamamaktadır36.

Bylock’ın ise haberleşme içeriklerine ulaşıldığı iddia edildiği şartlar altında whatsapp, facetime, iMessage, wickr kadar güvenli olmadığı açıktır.

Şifreleme başlığı altında verilen tüm bilgiler ışığında Bylock uygulamasının piyasadaki benzerlerinden çok üst düzey bir güvenlik sağlamadığı hatta mevcut durumda piyasadaki birçok haberleşme programından DAHA DÜŞÜK SEVİYEDE güvenlik sağladığı rahatlıkla söylenebilir.

35 http://www.webtekno.com/mobil/whatsapp-uctan-uca-sifreleme-h15989.html36 https://en.wikipedia.org/wiki/Forward_secrecy

33/45

Kendi Kendine İmzalanan (Self-Signed Sertifika) Kullanımı

SSL bilindiği gibi, kullanıcı ile sunucu arasındaki iletişimin güvenli olmasını sağlayan bir şifreleme algoritmasıdır. SSL sertifikası ise güvenli bağlantıyı sağlayan web sitesi ile kullanıcı tarayıcısı arasındaki SSL hizmetini başlatan ve güvenliğini garanti eden dijital bir bilgidir. SSL sertifikalarında SSL bağlantısı yapılan web sayfasının/uygulamanın dijital bilgileri bulunmaktadır. SSL sertifikası, iletişim kurulan internet sitesi veya uygulamanın açık anahtarı olarak da tanımlanabilir37.

Öncelikle bilinmelidir ki, SSL ve SSL sertifikaları sadece iletişim seviyesinde (kullanıcı ile uygulama sunucusu veya web sayfası arası) güvenlik sağlayan veya güvenliği garanti eden mekanizmalardır. Mesajlaşma uygulamaları açısından değerlendirilecek olursa, mesaj içeriğinin, kullanıcı bilgilerinin vb. internet üzerinde iletimi haricinde güvenliği konusunda herhangi bir etkisi yoktur. Örneğin, Skype SSL ile güvenli iletişim sağlayan bir uygulama olmasına rağmen, uçtan uca şifreleme teknolojisi kullanmadığı için kullanıcı mesajları servis sağlayıcı tarafından görülebilmektedir38. Kısacası, SSL mekanizmasının uygulamanın şifreleme teknolojisiyle bir ilgisi bulunmamaktadır.

Bylock uygulaması tarafından otorite imzalı sertifika kullanılmadığı iddiası SSL sertifikalarının doğrulanma mekanizmalarıyla ilgili bir durumdur. SSL sertifikalarını doğrulanması, SSL bağlantısı yapılan web sayfasının/uygulamanın bilgilerinin teyit edilmesidir.

SSL sertifikalarının doğruluğu iki farklı kullanımı mevcuttur:

Otorite imzalı SSL sertifikası Kendi kendine imzalanan (self signed) SSL sertifikası

Otorite imzalı SSL sertifikası; SSL sertifikasının dünya çapında sertifika onaylama hizmeti veren Globalsign, Comodo, Symantec, Go Daddy, DigiCert, VeriSign gibi sertifika otoriteleri tarafından onaylanan sertifika demektir.

Kendi kendine imzalanan SSL sertifikası; SSL sertifikasının uygulama geliştirici veya web sayfasının kendisi tarafından onaylanmasıdır.

Her iki durumun birbirine sertifikanın güvenliği, yani SSL bağlantısının güvenliği bakımından bir üstünlüğü bulunmamaktadır. Otorite imzalı sertifika kullanıcıya bağlandığı web sayfasının/uygulamanın doğruluğunu garanti etmektedir, ziyarete gitmek istenilen bir komşunun muhtardan kimliğinin doğrulatılması gibi. Elbette bu hizmetler ücreti karşılığında verilen hizmetlerdir.

37 https://en.wikipedia.org/wiki/Transport_Layer_Security38 https://www.eff.org/tr/secure-messaging-scorecardhttps://support.skype.com/en/faq/fa31/does-skype-use-encryption

34/45

SSL sertifikalarıyla ilgili bilinmesi gereken bir konu da SSL sertifikalarının alan adına (www.hurriyet.com.tr, google.com vb.) bağlı çalışan bir yöntem olduğudur. Örneğin; https://www.wikipedia.org adresine bağlanıldığında tarayıcı tarafından bağlantının güvenli olduğu ve SSL sertifikasının GlobalSign tarafından doğrulandığı görülecektir (Şekil-19). Fakat aynı sayfaya IP üzerinden https://91.198.174.192 şeklinde erişildiğinde SSL sertifikası, dahası otorite imzalı SSL sertifikası olmasına rağmen tarayıcının güvensiz bağlantı uyarısı verdiği yani SSL sertifikasının işe yaramadığı görülecektir (Şekil-20).

Şekil-19: Güvenli Bağlantı Örneği

Şekil-20: Güvensiz Bağlantı Uyarısı

Uygulamalarda kendi kendine imzalanan sertifikaların kullanılmasının başlıca nedenleri:

Sadece IP bazlı iletişimin kurulması Çok fazla IP ve/veya sunucu değişimi gereksinimi Güvenlik gerekçesiyle sunucudaki kök sertifikasının sıklıkla değiştirilmesi Bütün bunlara bağlı olarak sertifika yenileme maliyetleri “Bağlantınız Gizli Değil” hatasının genelde tarayıcılarda alınması Birçok yazılım ürünün temelde Kendi İmzalı hizmet vermesi (Windows RDP, SSH,

OpenVPN, bazı VOIP servisleri) Sertifikalarda farklı kripto algoritma kullanma isteği Kolayca SSL sorgulama (www.sslsorgulama.com) ile sunucu ile ilgili hassas bilgilerin

ele geçirilmesi ve hackerların bu bilgileri saldırı için kullanması (Şekil-21)

35/45

Şekil-21: Google.com internet sitesine ait sertifika bilgileri

ChatSecure Uygulamasında Kendi Kendine İmzalana Sertifika Örneği

ChatSecure, kendi protokolüne güvenmeyen, daha çok farklı türden mevcut hizmetleri kullanan bir güvenli mesajlaşma programıdır. Desteklediği hizmetlerden biri olan Jabber(XMPP)’de kullanıcıların kendi kendine imzaladıkları SSL Sertifikaların kullanılmasına izin vermektedir (Şekil-22).

Jabber, XMMP protokolü üzerinden çalışan bir anlık haberleşme servisi olup birçok ürünün altyapısında kullanılmaktadır.

36/45

Şekil-22: Jabber uygulamasında kendi kendine imzalanan sertifika seçeneği38

Kısaca; Bylock uygulamasında neden otorite imzalı sertifika kullanılmadığı konusunda net bir bilgiye sahip olunmamakla beraber; iddialar çerçevesinde otorite imzalı sertifika kullanılmamasının olağan bir durum olduğu, benzer uygulamalarda da bu özelliğin bulunduğu göz önünde bulundurularak, Bylock için bu bağlamda örgütsel ve gizli bir uygulama olarak iddia etmenin doğru olmadığı anlaşılmaktadır.

Program Kodlarının Bulanıklaştırılması Olağan Bir Yaklaşımdır

Bylock uygulamasının kodları üzerinde yapılan incelemelerden anlaşılan;

Bulanıklaştırma yöntemi uygulanması, Sınıf, yordam ve değişken isimlerinin gizlenmesi

özelliklerinin uygulanması ile, Bylock uygulamasının ele geçirilmesi halinde tersine mühendislik yapacak kişilerin işinin zorlaştırılmasının amaçlandığı iddia edilmektedir.

Bir yazılım geliştiricinin yazmış olduğu programı gizlemeye çalışması gayet doğal bir olaydır. Ortada verilen bir emek vardır ve başkaları tarafından bu emeğin çalınmaması için her türlü önlemi almaya çalışmak hayatın olağan akışı içerisinde makul olan davranıştır. Whatsapp, Skype, Viber, iMessage, Gmail, Hotmail, Facebook Messenger, Facetime, Google Hangout, Wickr, Yahoo, Threema, Virtru, Blackberry Messenger, Snapchat, StartMail, Ebuddy XMS, Hushmail, Kik vb. piyasada bulunan uygulamaların çok büyük kısmının

37/45

kaynak kodları da gizlidir. Hatta bu konuda Bylock’tan daha başarılı oldukları, tersine mühendislikle Bylock’ta edinilen kadar bile veri elde edilemediği muhakkaktır.

Bu davranış sadece bilişimcilere özel bir davranış modeli olmadığı da aşikardır. Yıllardır Coca Cola’nın tadını verdiği iddia edilen ve Coca-Cola özütü olarak bilinen bir içerik Coca-Cola tarafından hala saklanmaktadır.

Bununla beraber, piyasada kaynak kodlarını paylaşan uygulamalar da mevcuttur. (Telegram, signal gibi). Bu tür uygulamalara açık kaynak kodlu uygulamalar denilmektedir ve genelde firmaların sağladıklarını iddia ettikleri güvenlik seviyesi konusunda kendilerine olan güvenlerinin bir göstergesi olarak bu tür bir yaklaşım sergiledikleri görülmektedir. Dolayısıyla bir uygulamanın kaynak kodlarının açık olması da gizli olması da uygulama geliştiriciler tarafından sıklıkla kullanılan yöntemlerdir. Sonuç olarak Bylock kaynak kodlarının gizlenmeye çalışıldığı yönündeki iddiaların çok geçerli olmadığı görülmektedir.

PROGRAMIN YAYGINLIĞI-BİLİNİRLİĞİ

Program 15 Temmuz Darbe Girişimi Öncesi Bilinmekte midir?

Programın bilinirliğinin az olması veya olmaması, programın FETÖ mensuplarına özel gizli bir program olduğunun göstergelerinden biri olarak yorumlanmaktadır. Haberlerde, yorumlarda “gizli değilse biz neden duymadık” şeklinde ifadeler kullanılmaktadır.

Öncelikle, bu ifadelerin genel mobil (cep telefonu) kullanıcıları39 tarafından ifade edildiği göz önünde bulundurmalıdır. Çünkü halen uygulama mağazalarında toplamda beş milyondan fazla program/uygulama bulunmaktadır. Bir genel mobil kullanıcı bunlardan en fazla 25 tanesini kullanmış ve maksimum 50 tanesinden haberdar olmuştur. Yani genel bir mobil kullanıcı uygulama mağazalarındaki programların en iyi ihtimalle yüz binde birinden (1/100.000) haberdardır. Bu şartlarda, Bylock uygulamasının bilinmeyen, örgüte has bir uygulama olduğunu iddia etmenin mantıklı bir yaklaşım olmadığı açıktır.

Şimdiye kadar verilen;

Apple mağazada Nisan 2014 ile Eylül 2014 tarihleri arasında40; GooglePlay mağazada ise 11 Nisan 2014 ile 3 Nisan 2016 tarihleri arasında41

yayında kalmış olması 600 bin civarında sadece mağazalardan indirilme sayısı,

39 http://www.makeuseof.com/tag/6-secure-ios-messaging-apps-take-privacy-seriously/ 39 Genel mobil kullanıcı olarak, uzmanlık alanı mobil teknolojiler olmayan cep telefonunu genel iletişim ihtiyaçları için kullanıcılar kastedilmektedir. 40 https://www.appannie.com/apps/ios/app/bylock/app-ranking/#type=best-ranks41 http://www.appbrain.com/app/bylock%3A-secure-chat-talk/net.client.by.lock

38/45

bilinirliği konusundaki tartışmaları noktalamaktadır. Zira uygulamanın uluslararası mağazalarda yayınlanmış olması herkese açık bir uygulama olduğunu ve örgütsel “gizli” bir uygulama olduğu yönündeki tüm iddiaları çürütmektedir.

Bununla beraber, uygulamanın bilinirliği konusunda birkaç bilgiyi de paylaşarak iddiaların asılsız olduğu ortaya koyulacaktır.

Halen GooglePlay mağazasında 2 milyonun üstünde uygulama bulunmaktadır. Bu uygulamaların indirilme dağılımına bakıldığında, Bylock ile aynı aralıkta indirilme sayısına sahip 90 bin civarında ücretsiz uygulama olduğu görülmektedir (Şekil-23).

Şekil-23: GooglePlay mağazadaki uygulamaların indirilme dağılımı

Bu uygulamaların kaç tanesinin genel mobil kullanıcılar tarafından bilindiği varsayılırsa, Bylock uygulaması da ancak o kadar genel mobil kullanıcı tarafından bilinebileceği öngörülebilir

Ayrıca, mesajlaşma uygulamalarının sadece GooglePlay mağazadaki indirilme sayılarına bakıldığında Bylock uygulamasından çok daha fazla kullanıcısı olan birçok uygulamanın da genel mobil kullanıcılar tarafından bilinmediği görülecektir.

İsimleri daha önce arz edilen uygulamalardan kullanıcı sayısı 1 milyonun üstünde olan bazı uygulamalar şunlardır:

Wickr me: 1-5 milyon arası Nimbuzz: 10-50 milyon arası Kick: 5-10 milyon arası Ebuddy XMS: 5-10 milyon arası Threema: 1-5 milyon arası Wire: 1-5 milyon arası

39/45

imo: 10-50 milyon arası Soma: 10-50 milyon arası Hike: 50-100 milyon Kik: 300 milyon

Bu programların kullanıcı sayılarının bazılarının onlarca milyon, bazılarının da yüzlerce milyon olmasına, dünya genelinde bu kadar fazla kullanıcısı olmasına rağmen genel mobil kullanıcılar tarafından bilinmediği, duyulmadığı ortadadır.

Aynı zamanda, Bylock uygulaması hakkında yapılan diğer bir eleştiri olan, uygulamanın reklamının yapılmaması eleştirisi burada zikredilen uygulamalar için de geçerlidir.

Bununla beraber, Bylock uygulamasının 2015 yılından itibaren Türkiye’de yazılı ve görsel medyada hakkında haberler yapılan bir uygulama olması da 15 Temmuz Darbe girişiminden önce kimsenin bilmediği iddialarıyla tezat oluşturan diğer bir husustur.

Google arama motorunda tarih aralığını 15 Temmuz 2016’dan önceyle sınırlandırarak yapılan aramada ilk sayfada;

13 Şubat 2015 tarihli yeni akit gazetesi internet sitesinde42, 19.01.2015 tarihli yeni asır gazetesi internet sitesinde43

iki farklı haber tespit edilmiştir. Detaylı bir aramada daha fazla habere ulaşılacağı değerlendirilmektedir.

Tüm bu bilgilerin yanında önceki bölümlerde ifade edilen internet forum sayfalarındaki karşılıklı paylaşımlar44 da Bylock uygulamasının bilinen ve kullanılan bir uygulama olduğunu göstermektedir.

Kısaca; daha önce ortaya konulan veriler ve bilgiler ile bu bölümde ortaya koyulan veriler Bylock uygulamasının 15 Temmuz öncesinde de bilinen bir uygulama olduğunu ortaya koymaktadır.

PROGRAM KULLANICILARININ PAROLA DAVRANIŞLARI

Yukarıda bahsedilen şifreleme algoritmaları, firmaların kullanıcı bilgi ve haberleşme içeriklerini korumaya yönelik eylemleri ve yaklaşımları, uygulamalarda buna yönelik yer verilen ekstra özellikler; haberleşme güvenliğinin bir tarafını oluşturmaktadır. Tüm bu sürecin

42 http://www.yeniakit.com.tr/haber/orgutirtibatikriptoluprogramlarlasagliyor52106.html 43 http://www.yeniasir.com.tr/gundem/2015/01/20/iste-marmara-imamlari44 https://www.technopat.net/sosyal/konu/ios-icin-bylock-kurulumu.279723/http://www.iphoneyardim.net/topic/123054-bylock/

40/45

diğer tarafını ise kullanıcılar oluşturmaktadır ki uygulamalar tarafından kullanılan algoritmalar ve yöntemler nazara alındığında sistemin zayıf halkasının kullanıcılar olduğu görülmektir. Çünkü kullanıcıların bilinçsiz yaklaşım ve kullanımları yukarıda yer verilen tüm önlemleri anlamsız kılmakta, haberleşmenin gizliliğini ve güvenliğini tehlikeye düşürmektedir.

Bu noktada kullanıcıların yapması gereken en önemli şey kullanıcı hesabı oluştururken kendilerine güçlü bir parola belirlemektir. Çünkü kullanılan haberleşme programının/sisteminin özellikleri ne olursa olsun sistem son tahlilde kullanılan parola kadar güvenli olacaktır. Bu nedenle bugün sistemler kullanıcı hesabı oluşturulurken kullanıcıyı güçlü bir parola belirleme konusunda yönlendirmekte, şifre politikalarını dikte etmektedirler. Eğitim, finans, sağlık, haberleşme sistemlerinde birçok uygulama en az 8 haneli bir şifre oluşturulmasını ve bu 8 haneli şifreyi belirlerken şifre içinde büyük/küçük harf, rakam ve simge kullanımını zorunlu kılmaktadır.

Günümüz teknolojilerini göz önünde bulundurarak, konunun uzmanları tarafından da güvenli bir parolanın en az 8 haneli olması, harf, rakam ve simge içermesi asgari özellikler olarak belirtilmektedir. İdeal bir şifrenin de en az 14 karakterden oluşması gerektiği ifade edilmektedir45.

Günümüzde güvenli parola oluşturabilmek için PWGen, Random Password Generator, Quicky Password Generator, Infinite Password Generator, LastPass Password Manager, KeePass Password Manager vb. şifre üreteçleri kullanılmakta olup bu programlar çok haneli ve karmaşıklığı yüksek parolalar oluşturmaktadır. Online şifre üreten siteler incelendiğinde de genelde minimum uzunluk olarak 8 karakter belirlendiği bazı sitelerde varsayılan olarak 12 karakter46 uzunluğunda şifre üretildiği tespit edilmiştir.

Güçlü bir parolanın tüm şartları bunlarla sınırlı değildir. Bu şartları sağlamasına rağmen zayıf olarak nitelendirilecek parolalar da kullanılabilir. Örneğin; belli bir şablona uyan, kolay tahmin edilebilecek parolalardan bazı örnekler şunlardır: “1234567890”, “1qaz2wsx”, “12345qwert”, “Password”, “111111111”, “12341234”, “asdf1234.”, “aaaaaaa”, “asdfgh”, “1a2b3c4d” vb.

Medyada yer alan MİT raporuyla ilgili haberlerde kullanıcıların yarısından fazlasının 9 ve daha fazla karakterde parolalar belirlediği, 38 haneye kadar değişen uzunluklarda parolaların yer aldığı ifade edilmektedir. Yukarıda izah edilen bilgiler çerçevesinde Bylock kullanıcılarının neredeyse yarısının güvensiz kabul edilen 8 ve daha altı karakterde parola

45 http://www.cs.umd.edu/faq/Passwords.shtmlhttps://www.google.com/accounts/PasswordHelphttp://www.schneier.com/blog/archives/2007/01/choosing_secure.htmlhttp://www.microsoft.com/protect/yourself/password/create.mspxhttps://pages.nist.gov/800-63-3/sp800-63b.html46 https://identitysafe.norton.com/password-generator/ https://lastpass.com/generatepassword.phphttps://www.dashlane.com/password-generator

41/45

kullandığı, büyük bir çoğunluğunun da ideal parola (en az 14 karakter) kriterlerinden uzak şifreler kullandığını göstermektedir.

Ayrıca yaklaşık 230 bin kullanıcının bulunduğu bir sistemde bir veya birkaç kişinin 38 haneli şifre kullanması kullanıcıların geneli için bir anlam ifade etmemekte olup bu kadar kullanıcı arasında 3 basamaklı parolalar bulunması dahi doğaldır. Kullanıcıların çoğunluğunun güvenli veya ideal şifre kriterlerinden uzak şifreler kullanmış olmasına rağmen kullanılan şifrelerin kendilerini gizleme amacı taşıdığı şeklindeki bir çıkarım da haberleşme gizliliği ve güvenliği açısından makul ve mantıklı bir çıkarım değildir. Hiçbir şahıs haberleşme içeriğinin, resim, video, dosya vb. materyallerinin, özel hayatının istenmeyen kişi veya kurumlar tarafından ele geçirilmesini istemez ve bu hususun evrensel bir hak olduğu da tartışılmaz bir gerçektir.

NIST vb. kuruluşlar güvenli parola konusunda zorunluluk seviyesinde standartlar yayımlaması, Microsoft, Google, Facebook vb. dijital dünyanın önde gelen firmalarının parola belirlerken kullanıcılarına belli minimum koşulları sağlama zorunluluğu getirmeleri dünya çapında kişisel verilerin ve haberleşmenin gizliliği ve güvenliği konusuna verilen önemin bir parçasıdır.

Kısacası, Bylock kullanıcılarının parola uzunluklarının kendilerini gizlemeye ve haberleşmelerini saklamaya yönelik olduğu iddialarının mesnetsiz olduğu ortadadır. Zira yukarıda bahsedilen gerekçelerle; kişisel verilerini, haberleşme içeriklerini koruma amacında olan her kullanıcı hayatın olağan akışı içerisinde, kendi güvenlik önlemini alması ve kendince güvenli gördüğü, kullandığı programın izin verdiği çerçevede de istediği parolayı oluşturması kullanıcının en doğal hakkı olduğu gibi, parola uzunluğu veya türünden art niyet aramak da anlamsız ve zorlama bir tavırdır.

BYLOCK’UN 15 TEMMUZ DARBE GİRİŞİMİNDE KULLANILMASI MÜMKÜN DEĞİLDİR

David Keynes Röportajı, Bylock kullanıcılarının GooglePlay mağaza yorumları, internet forum sayfalarındaki paylaşımlar, AppBrain ve AppAnnie verileri vb. bu rapor kapsamında paylaşılan tüm veriler; Bylock sunucusunun 1 Mart 2016 tarihinden önce kullanımdan kaldırılmış olduğunu göstermektedir.

Sonuç olarak; Bylock gibi merkezi bir sunucudan hizmet veren bir uygulamanın sunucusu olmadan çalışması mümkün olmadığı için 15 Temmuz darbe girişiminde de kullanılmış olması mümkün değildir.

42/45

SONUÇ VE DEĞERLENDİRME

Bu raporda Bylock uygulamasıyla ilgili medyada çıkan iddialar değerlendirilmeye çalışılmıştır. Bu kapsamda açık kaynak verilerden faydalanılmaya gayret edilmiş, verilen bilgiler teyit edilebilmesi amacıyla referanslarıyla birlikte sunulmuştur.

Rapor kapsamında iddiaların doğruluğu ve tutarlılığı konusuna değinilmemiştir. Örneğin, askeri seviyede güvenlik sağladığı iddia edilen bir uygulamanın verileri nasıl elde edilebilmiş ve nasıl çözümlenebilmiştir? Kullanıcıların 38 karakter uzunluğundaki parolaları teknik olarak nasıl çözümlenebilmiştir? Her mesaj ayrı bir şifreleme anahtarıyla şifrelenmesi iddia edilirken, 1 milyonun üzerinde mesaj içeriğinin çözümünün yapılabilmesi teknik olarak nasıl mümkün olabilir? gibi kafa karıştıran konular rapor içeriğine dahil edilmemiştir.

Somut veriler ışığında Bylock uygulaması hakkında iddialar çerçevesinde medyaya yansıyan bilgiler değerlendirmeye tabii tutulmuştur.

Raporda özetle;

Programın GooglePlay ve Apple Mağaza Geçmişlerine dair veriler ışığında;

GooglePlay mağazasında 11 Nisan 2014 ile 3 Nisan 2016 tarihleri arası yayında kaldığı

Apple mağazasında 2014 Nisan ile Eylül ayları arasında yayında kaldığı Apple Mağazasında 12 ülkede ilk 100, 47 ülkede ilk 500 uygulama arasına

girdiği GooglePlay mağazada 5 ülkede ilk 100, 41 ülkede ilk 500 uygulama arasına

girdiği David Keynes ile yapılan röportajda geçen bilgilerin internetteki diğer açık

kaynak verilerle teyit edilebilir ve doğru olduğu Uygulama sunucusunun 1 Mart 2016 tarihinden önce kullanımdan kaldırıldığı Halen bile farklı internet sitelerinden uygulamanın yükleme dosyasının

indirilebilir olduğu

43/45

Uygulama kullanıcılarının milliyetleri ve profilleri bakımından;

Uygulamanın hizmet verdiği dönemde dünyanın farklı bölgelerinden kullanıcıları olduğu

Farklı dünya görüşüne sahip kişiler tarafından kullanılmış olduğu, bunlar arasında en dikkat çeken ismin BM Uluslararası Ceza Mahkemeleri Hakimi Aydın Sefa Akay ve farklı siyasi partilerden milletvekilleri olduğu

Uygulamanın teknik kabiliyetleri ve kullanıcılarına sunduğu özellikler bakımından, uygulamada bulunduğu iddia edilen;

Kendi kendini imha eden medya/mesaj özelliği Kullanıcılarının birbirlerini sadece ID üzerinden arayıp, ekleyebilmesi Uygulamanın kullanıcılarından cep telefonu, kimlik numarası, e-posta adresi

istenmemesi Rehber eşleştirme özelliğinin olmaması

özellikleriyle piyasada benzer uygulamalarda da karşılaşıldığı;

Uygulamanın şifreleme algoritmaları bakımından;

Kullanmış olduğu şifreleme algoritmasının standart asimetrik şifreleme algoritması olduğu ve birçok uygulama tarafından da kullanılan bir algoritma olduğu,

Gizli ve açık 2 farklı anahtar kullanımı, 2048 bit RSA asimetrik şifreleme ve 256 bit AES şifreleme teknolojilerinin benzer uygulamalarda da kullanıldığı,

Güvenlik seviyesi bakımından 128 bit ve üzeri güvenlik sağlayan tüm şifrelemelerin otoritelerce güvenli kabul edildiği; bu bakımdan tüm uygulamaların güvenli sayıldığı,

Uygulamanın sağlamış olduğu güvenlik seviyesinden daha düşük ve daha yüksek seviyede güvenlik sağlayan uygulamaların olduğu,

EFF kriterleri bakımından uygulamadan daha güvenli programların bulunduğu ve dünya çapında bilinen ve milyarlarca kullanıcısı olan bazı programların daha güvenli olduğu,

Kendi kendine imzalanan SSL sertifikası kullanımının makul sebepleri olduğu ve benzer uygulamalarının mevcut olduğu,

44/45

Program kodlarının bulanıklaştırılması hususunun emeğin korunması bakımından makul olduğu,

Programın 15 Temmuz darbe girişimi öncesinde de dijital dünyada çok olmasa da bilindiği, Türkiye medyasında da 15 Temmuz öncesi programla ilgili haberler yapıldığı,

Program kullanıcılarının parola uzunluklarının günümüz güvenli parola kriterleriyle örtüşenlerini olduğu gibi, bu kriterleri sağlamayan uzunluklara sahip de kayda değer kullanıcı sayısının olduğu,

Uygulamanın 15 Temmuz Darbe Girişiminde Kullanılma durumuyla ilgili;

Uygulama sunucusunun kullanımdan kalkması nedeniyle 2016 Mart ayından sonra programın 15 Temmuz Darbe girişiminde kullanılmasının teknik olarak mümkün olmadığı

hususları tespit edilmiştir.

Tüm bu veriler çerçevesinde Bylock uygulamasının global bir uygulama olduğu, eldeki verilerin Bylock uygulamasının örgütsel ve gizli bir program olduğu konusunda, teknik olarak bir anlam ifade etmediği ve bu konuda iddia edilen hususların tatmin edici olmadığı, bilimsel olarak hipotezden öte geçemeyeceği, görülmüştür.

45/45

PROGRAM KİMLER TARAFINDAN … · Web viewBylock uygulaması her ne kadar artık Apple ve...

Documents

Transcript of PROGRAM KİMLER TARAFINDAN … · Web viewBylock uygulaması her ne kadar artık Apple ve...