Çürük Dal BYLOCK, tutunanları bir süre sonra taşıyamayacak…
Bugüne kadar hakkında çok şey söylendi ve yazıldı, birçok teknik analizler yapıldı. Kullanıcı sayısı ile alakalı onlarca farklı rakam yazıldı ve söylendi. Şu an cadı avı için elde kalan tek malzeme görüntüsü veren bu haberleşme/mesajlaşma programı ile alakalı belki de kumpas boyutu hiç ele alınmadı.
Türkiye’de konunun uzmanları bilir, istihbarat 4-5 farklı kurum tarafından idare edilen oldukça karmaşık bir halde idi. 2012’de GES (Genelkurmay Elektronik Sistemler) Komutanlığı ekibi ve teçhizatları ile MİT e devir edildi. 17-25 Aralık sürecinden sonra da Jandarma İstihbarat ve Emniyet İstihbarat bilinçli bir şekilde zayıflatıldı. TİB ve BTK gibi kurumlar çaktırmadan MİT’e bağlandı. Belli bir noktadan sonra MİT sahada tek yetkili ve istediği gibi at oynatan bir konuma geldi.
Şuan gelinen nokta itibari ile MİT in istediği kumpası istediği kişiye/gruba uygulayabileceği gerçeği (hele ki elde ettiği kanuni koruma ve haklardan sonra) tüm çıplaklığı ile önümüzde durmaktadır. 15 Temmuz sürecinden sonra kaçırılan insanların kaçırılma görüntüleri hala ailelerinin sosyal medya hesaplarında durmakta isteyen bakabilir.
Alenen gün ortasında insan kaçıran MİT, bilgisayar ortamında neler yapmaz ki!!!
Konuyu dağıtmadan tekrar BYLOCK konusunda MİT in cemaate kurduğu kumpasa dönmek istiyorum. Kumpas diyorum çünkü başta MHP ve CHP Grup Başkanvekilleri meclis kürsüsünden haykırdı : “çocukluğundan beri tanıdığımız arkadaşlarımız BYLOCK kullandıkları gerekçesi ile ihraç edildiler.”
Yani bu listelere yanlışlıkla girdiğini söylediler, aslında MİT in kumpasına kurban gittiler.
Diğer bir hususta cemaat mensupları bugün devam eden davalarda birçok mevzuda evet bunu yaptım, sohbete katıldım, kurban topladım vb derken BYLOCK kurmadığını ve kullanmadığını söylemekte. Diğer faaliyetleri söylerken BYLOCK için kurmadık diyorlarsa, gerçekten kurmamışlardır.
O zaman geriye tek seçenek kalıyor. MİT BYLOCK konusunda cemaat mensuplarına kumpas kurdu. 15 Temmuz un hemen ardından 50 bin insanı cemaatçi diye ortaya koyan MİT, medyaya da defalarca yansıdığı gibi kaç yıl öncesinden bu yana yememiş içmemiş, bu insanları listelemiş. Sonrasında kumpaslarla BYLOCK listelerine bu fişlenme listeleri özel tekniklerle dahil edilmiştir. Evet MİT BYLOCK konusunda cemaate kumpas kurmuştur.
AKP kontrolündeki HAVUZ medyasında yapılan haberlere göre MİT BYLOCK un serverlarına sızmıştır, trafiğini takip etmiştir, server firmasından bazı bilgileri satın almıştır.
Ama bu haberler BYLOCK konusunda 100 binlerce masum insana kurdukları kumpasında itirafı niteliğindedir.
Olayın teknik yönüne gelecek olursak birkaç başlık altında ele almak istiyorum.
1-İNTERNETİN SİSTEMİ (ip açısından) ve VERİ/DATA TRAFİĞİ
2-TÜRKİYE DE IP DAĞITMA SİSTEMİ
3-Hashing
1-İNTERNETİN SİSTEMİ (ip açısından) ve VERİ/DATA TRAFİĞİ
İnternet üzerindeki veriler kesintisiz bir şekilde iletilemez. Bu nedenle iletimin sağlanabilmesi için veriler küçük parçalara bölünürek paket halini alır. Paket süzme ile, TCP/IP ağındaki giden ve gelen bu paketlerin takip edilmesi yapılabilir. Paketlerin içinde sadece gönderilen veriler değil gelen, giden port ve IP numaraları gibi bilgilerde yer alır.
IP (Internet Protocol) Adresi
Teknik olarak IP adresi, bir ağa bağlı cihazların birbirleriyle haberleşebilmesi için gerekli adrestir. Internet de ağları birbirine bağlayan en büyük ağ olduğu için internete bağlı her bilgisayar bir IP adresine sahip olmalıdır. Her ne kadar internet ortamında isimler kullanılsa da (alan adları) bilgisayarlar haberleşme için isimleri IP adreslerine çevirmektedir. Internete siber dünya olarak bakarsak IP, siber dünyada bizi adresleyen bir numaradır diyebiliriz. Gerçek hayatta nasıl adresler tanımlanırken mahalle, sokak, ilçe, il şeklinde tanımlanıyorsa sanal dünyada da IP adresleri benzer şekilde tanımlanmaktadır.
IP adreslerini kim dağıtır?
IP adresleri IANA başkanlığında RIR (Regional Internet Registry) olarak adlandırılan organizasyonlar tarafından dağıtılır. Tüm dünyaya IP dağıtan beş farklı RIR vardır. Bunlar bölgelere göre IP dağıtım işlemlerini üstlenmişlerdir. Sıradan Internet kullanıcılarına (son kullanıcılara) IP dağıtım işlemi hizmet aldıkları ISS (Internet servis sağlayıcısı) tarafından yapılır. Bazı ISS’ler sabit IP adresi verebilirken bazı ISS’ler değişken IP adresi ataması yapar.
IP Adresi Neden Önemlidir?
Siber dünyada bizleri tanımlayan ayırt edici en önemli özellik IP adreslerimizdir. Gerçek dünyadaki adreslerimizden farklı olarak siber dünyada IP adreslerimiz kimliğimizdir. Bunun sebebi siber dünyada yapılan her işlemde IP adreslerinin kullanılması ve ötesinde IP adres kullanılarak yapılan her tür işlemden IP adresinin sahibinin sorumlu olmasıdır.
IP Spoofing Kavramı
İnternetin çalışmasını sağlayan TCP/IP protokol ailesi geliştirilirken güvenlik temel amaç olmadığı için olabildiğince esnek davranılmıştır. Bu esneklik IP adreslerinin aldatılabilir (spoofed) olmasını sağlamıştır. Ip spoofing yaparak başkasının IP adresinden istenilen internet aktivitesi yapılabilir.
Hping yazılımı ile spoof edilmiş paketler oluşturma (IP Spoofing)
Hping kullanarak istenilen ip adresinden geliyormuş gibi paketler üretilebilir. Hping ile IP paketlerine ait istenilen alanlar düzenlenebilir. Paketlerdeki en önemli alanların kaynak ip adresi, hedef ip adresi, paket parçalama opsiyonu ve ip id numarasıdır. Konumuz IP olduğundan ICMP Paketleri ve UDP Paketleriyle oynamanın da mümkün olduğunu burada not edip geçelim.
Başkasının IP Adresinden Nasıl Suç İşlenir?
Kısaca yukarda bahsettiğimiz IP spoofing ve paket oluşturma işlemi kullanılarak istenen herhangi birinin IP adresinden suç işlenebilir.
SONUÇ OLARAK MİT IP Spoofing ve Hping METODLARINI KULLANARAK DAHA ÖNCEDEN OLUŞTURDUĞU FİŞLEME LİSTELERİNDEKİ İNSANLARIN GİRİŞTE ANLATTIĞIMIZ GENİŞ VE KONTROLSÜZ YETKİLER SAYESİNDE KULLANDIKLARI IP ADRESLERİNİ ELDE EDEREK spoof ETMİŞ, BYLOCK İNDİRMİŞ VE KULLANMIŞ GİBİ GÖRÜNMELERİNE
SEBEP OLMUŞTUR.
2-TÜRKİYE DE IP DAĞITMA SİSTEMİ
Bu konuda da oldukça fazla yazıldı, çizildi. MİT in baltayı taşa vurduğu noktalardan biri de aslında IP çakışmaları oldu. Cemaatçi diye fişlediği insanları yukarıda anlattığımız yöntemlerle BYLOCK server ına bağlanmış gibi gösteren MİT in atladığı bir husus vardı. Tüm dünyada olduğu gibi Türkiye de internet kullanıcı sayısı, tahsis edilen IP sayısından fazla idi. Bu sebeple bir IP birden çok kişiye verilebiliyordu. Bu sebeple ciddi IP çakışmaları yaşandı.
Konuyu daha teknik olarak ele alacak olursak ;
Türkiyede mevcut olan IP blok sayısı 15 Milyon 534 BİN. Bu blok IPlerin dağılımıysa şu şekilde:
TÜRK TELEKOM : 6 MİLYON 930 BİN
TURKCELL : 2 MİLYON 228 BİN
VODAFONE : 1 MİLYON 655 BİN
AVEA : 811 BİN
TELLCOM : 664 BİN
SUPERONLINE : 545 BİN
TURKSAT : 459 BİN
DIGITURK : 410 BİN
Oysa İnternet Servis Sağlayıcısı firmalara tahsis edilen IP sayısı yukarıdaki rakamlar iken, sadece GSM operatörlerinin kullandığı IP sayıları bu rakamların çok çok üstündedir.
TURKCELL : 35 MİLYON
VODAFONE : 20 MİLYON
AVEA : 15 MİLYON
Yukarıda verdiğimiz GSM operatörlerinin kullandığı ip sayılarında da görüldüğü üzere yaklaşık olarak, TURKCELLde 15, AVEAda 18,5 ve VODAFONEda 12 kişiye 1 adet IP düşüyor!
Bu sorunu aşmak için Network Address Translation (NAT) tekniği ile özel bir ağdaki birden fazla cihazın, internet hizmet sağlayıcısı tarafından aynı ortak IPyi kullanarak internete erişmesine izin verilir. Ağınızın dışındaki makinelerde bir IP adresi bulunurken NAT’ın arkasında birden fazla bilgisayar bulunabilir ve hepsine özel IPler atanır.
GSM operatörleri bu adreslerden yapılan bağlantıları yönlendirici cihazlarla bir adrese çevirerek 1 den fazla abonenin erişimini sağlar. Bunun içinde Ağ Adresi Dönüştürme (Carrier Grade NAT=CGN) veya Geniş Ölçekli Ağ Adresi Dönüştürme (Large Scale NAT=LSN) kullanılmakta. İşte bu teknik sayesinde çok sayıda abone, birbirine kapalı ağlara ayrılarak, özel IP atanıp bu kapalı ağlardan açık İnternete bağlanıyor.
Şu ana kadar mahkemelere ulaşan cevabi yazılarda AVEA’nın NAT kayıtlarına ait logları tutmadığını öğrenmiş bulunuyoruz. Diğer operatörler ne yaptı bilemiyoruz. Belki NAT kayıtlarını vererek MİT in kumpasına yardımcı olmuşlardır.
3-Hashing
İnsanların parmak ve dil izleri benzersizdir. Yani kişiye özeldir. Dosyalarda da bu durum geçerli ve tüm dijital verilerin kendine özel bir hash değeri vardır. Hash değeri, dosyaların kendilerine özel parmak veya dil izleridir. Kesinlikle tek ve o dosyaya özgüdür. Bu sebeple özellikle adli bilişim konularında dijital veri analizlerinde Hashing sayesinde bir dosyanın orjinali ile kopyası kıyaslanarak üzerinde değişiklik yapılıp yapılmadığı kesin olarak tespit edilir. Gerçek verideki 1 baytlık değişim dahi, hash değerinin tamamen değişmesine neden olur.
Hashing, özellikle güvenlik yazılımlarında çok kullanılır. Bir verinin değiştirilmemiş (authentic) olduğunun ispatında, hashing kullanılır. En bilinen hashing algoritmaları: DES, MD4 (çok zayıftır), MD5 (uzun süre endüstri standardı olmuştur) ve SHA 512 (en kuvvetlisidir)
Aşağıda bilgisayardaki bir belgeden türetilmiş, o belgeye ait hash değeri verilmiştir.
2488519C5035GBAC83CBFA23A32058CCF5522758
Eğer bu belgede bir harf dahi değiştirsek, hash değeri değişecektir.
Dolayısıyla bilgisayar ortamında kritik dijital veriler bir yere gönderilecekse hash değeri alınır ki daha sonra kumpasçı ekipler tarafından eklemeler yapılmasın veya yapılmış ise bu ortaya çıksın.
1 yıldır BYLOCK u çözdük, server a girdik diye hava atan MİT elemanlarının bunu bilmemesi mümkün değildir.
Yukarıda anlattığım yöntemlerle fişlediği cemaat üyelerine kumpas kuran MİT, BYLOCK konusunda daha en başta elde ettiği dijital veriler için az sonra anlatacağım Hashing metodu ile mühürleme yapar ve bunu ilan ederdi. Bizde bu konuda elde edilen tüm dijital verilerin üzerinde oynanmadığına ve keyfi olarak değiştirilmediğine inanırdık. Bunun ispatı yine HAVUZ medyası tarafından farklı zamanlarda verilen farklı BYLOCK rakamlarıdır. Fişlemelerle elde ettikleri yeni isimlerin IP bilgilerini listelere ekleyerek bu konuda da kumpaslarına farklı bir boyut kazandırmışlardır.
MİT gerçekten Litvanya’daki eski adıyla Baltic Server yeni adıyla CHERRY SERVER’dan elde ettiği verileri ilk elde ettiği anda Hash değerlerini almış mıdır? Aldıysa aynı verilerin şuan ki hash değerleri veya en azından emniyete yolladığı verilerin Hash değerleri aynı mıdır? Arada keyfi değişikler olmuş mudur? Ya da MİT son 1 yılda keyfi eklemeler yapmış mıdır? Ya da emniyete yolladığı listelerin hash değerlerini kaydetmiş midir? Emniyette keyfi olarak bu listelere ekleme yapılmış mıdır?
Bu soruların cevabının sadece elde edilen ve oluşturulan verilerin önceki ve sonraki Hash değerleri ortaya konarak verileceğini belirtmek isterim.
Yaptılarsa yukarıdaki konularla beraber teknik olarak anlatsınlar dinleyelim. Değilse çürük dal BYLOCK, tutunanları bir süre sonra taşıyamayacak…
