Sedat Peker, Cihan Ekşioğlu isimli kişinin İsrail'den 3 milyon dolara alıp, MİT'e 50 milyon dolara sattığı yazılımın WhatsApp ve Twitter takibi yaptığını söyleyince, herkes panikledi. Bu konuyu biraz açalım. Paniklenecek başka şeyler de var ve biz bunu aylar değil, yıllardır yazıyoruz ama insanlar çok umarsız. Biz yine de yazalım.
WhatsApp bu yılın başında verilerinin Facebook ile paylaşılması için, kullanıcıları zorladığında en büyük tepki gösterenlerden birisiydim. O dönem "Aman canım her platform verileri alıyor" ve "Ne olacak ki reklamcılara veriyorlar" diyenleri, başka şekildeki kullanımlara karşı uyarmıştım.
Yazılarımı takip edenler bilir, sürekli olarak "kişisel verilerin" önemini ve bu verileri paylaştığımız yerlere dikkat etmemiz gerektiğini yazarım. Örneğin 1 ay kadar önce yazdığım bir yazı : "21. yüzyılda hükümetler kullanıcıların iletişimine sınırsız erişim istiyor" başlığını taşıyordu. O yazıda da belirttiğim husus, 11 Eylül ile başlayan "Güvenlik mi, mahremiyet mi?" ikileminin hükümetlerce "Önce güvenlik" şekline dönüştürülmüş olmasıydı.
Bu "Önce güvenlik" eğilimi maalesef gün geçtikçe "özgürlük" açısından daha büyük bir sorun haline geldi. Özellikle de "Beni yönetmesi için kimi seçmeliyim?" yani "oy veren" özgürlüğüne yönelik olduğu görülüyor. Bir çok kişinin kahraman olarak tanımladığı (ki bence de öyle) Edward Snowden 2013'te kendi hükümetine (ve CIA'e) bu nedenle karşı çıkmıştı. Yani olay artık tüm ülkelerde "vatandaşın güvenliği" değil "iktidarı elinde tutma güvenliği" haline dönüştü.
Ülkemizde önce kitlesel telefon kaydetme, sonra Deep Packet Inspection, sosyal medya analizi ve abone deseni
Ülkemizde 2005'lerde BTK'nın altında kurulan TİB ile "Telefonlarımız dinleniyor" endişesi başlamıştı. O dönemde artık dinlemenin değil kitlesel telefon kaydedilmenin olduğunu anlatmaya uğraşıyorduk. Daha sonra ortaya çıkan ya da çıkmayan tapelerle bu zaten görüldü [1].
2010'lardan itibaren "Deep Packet Inspection (DPI)" denilen ve kullanıcıların internet erişimleri sırasında neler yaptığı, hangi sitelere girdiği vs ile derinlemesine ilgilenen yazılımlar çıkmaya başladı. Phorm, gibi yazılımlar "reklamcılık" denilirken -ki reklamcılar da aynısını kullanıyor- aslında kullanıcının neler yaptığı bilgisini sağlayarak, siyasal görüşünü ya da belki mahremiyet gerektiren konuları (girdiği siteler) anlayabilir hale geliyorlar [2].
Son yıllarda CitizenLab gibi kuruluşların Türkiye hakkındaki raporlarına bakılırsa, pek çok DPI yazılımın kullanıldığı görülüyor [3][4] (Not: Bunları söylerken bir notumuzu da hatırlatalım, bu yazılımlar yabancı yazılımlar ve bazıları yabancı istihbarat kurumlarının yatırımı olan şirketlerce üretiliyor. Yani bu yazılımları kullanan devlet ise, aslında vatandaşını başka bir tehlikeye daha atıyor durumunda.)
Bu arada bu gelişmeler sonrası Türkiye'de insanların büyük oranda VPN kullanmaya başladıklarını da hatırlatalım (VPN yazılımlar da istihbarat kurumlarının yatırım yaptığı yazılımlar arasında). Tabii arkasından VPN yazılımların engellenme çabası da geldi (vatandaşı düşünmek anlamında değil, VPN kullanıldığında ne yapıldığı görülmediği için) [5].
Sosyal medya analizi olarak neler yapılabildiğini, aşağıda Sedat Peker Tweeti uzantısında anlatacağız.
Ama bir de geçtiğimiz günlerde Danıştayda görülen bir dava ile gündeme düşen "abone deseni" adı ile bilinen bir abone verilerinin teslimi olayı var. BTK'nın küçük operatörlerden -ki büyük operatörlerden zaten almış olduğu anlaşılıyor- abonelerle ilgili olarak gerektiğinden daha fazla bilgi istediği ortaya çıkıyor. Bu verilerin neden istendiği izaha muhtaç.
Ama anlaşılan şu; hükümet kendi vatandaşlarının ne yaptığını en ince ayrıntısına kadar bilmek istiyor. Bunları da yasal izinler ya da kişilerin kendi izinleri dışında almaya uğraşıyor.
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunumuz var ama bizi bu tür taleplerden korumuyor. WhatsApp'ın bize uyguladığı kuralları, Avrupalı kullanıcılara uygulayamamasının nedeni olan GDPR'a uyarlanmasını ise 5 yıldır bekliyoruz. Tık yok.
Cihan Ekşioğlu MİT'e ne sattı?
Gelelim Sedat Peker'in söylediklerine. İki gün önceki tweetlerindeki bir detay sosyal medyanın takibi ile ilgiliydi.
Peker'in bahsettiği Cihan Ekşioğlu, 4 yıl önce bir dergiye verdiği röportajda MİT'e yazılım verdiklerini söylerken, istenilen kişilerin Twitter ve WhatsApp görüşmelerine ulaşabildiklerini açıklamış:
"Bunun dışında sosyal medya çözümleme ve takip işleri var bizde. Biz takip etmiyoruz bunları çözümleyen sistemleri istihbarat servislerine satıyoruz. Bu da örneğin Twitter’daki hareketliliği takip edebiliyorsunuz, hangi noktadan çıktığını, çağrıların nereden geldiğini kimin kiminle neler yaptığını çözümleyebiliyoruz.
Bunun içinde sosyal medya ve WhatsApp yazışmaları da var. Bunlar çözümlenebiliyor. Biz bu işleri yapmıyoruz bunları devletin istihbarat teşkilatı yapıyor. Biz bu takibin yapılabilmesi için bir takım yazılım ve sistem geliştiriyoruz. Dubai’de bizimle çalışan 100’e yakın Hintli ve Pakistanlı mühendis var. Bu konuda onlar çok iyidir. Uydu takip sistemleri, sosyal medya takip sistemleri üzerine çeşitli yazılımlar var.
Biz bunları istihbarat servislerine satıyoruz. Onlar bunların üstüne kendi teknik alt yapılarını birleştirip halkın can ve mal güvenliği için terörist grupları takip ediyoruz.
Tabi ki devletimize her zaman elimizdeki ürünleri veririz, geliştiririz, elimizdeki çabayı gösteririz, gösterdik de. Bizim ürünlerimizin hepsi son kullanıcı belgesine tâbi ürünlerdir. Yani bir devletten silah alıp başka bir devlete silah satamazsınız. Birleşmiş Milletlerin iznine tâbi olmanız lazım, birtakım lisanslar çıkartmanız lazım, hava koridoru izinleri almanız lazım, son kullanıcı belgesi lazım.
Bizim bu tarz yazılımları bir sivil şirkete satmamız mümkün değil. Zaten satsak da çalıştırması mümkün değil. Sistemin devlet telekomünikasyon verilerine ihtiyacı var veya gsm operatörlerine ihtiyacı var. Bunu anca yasalarla kanunlar çerçevesinde devletin kuvvetleri yapabilir. Sivil şirketler ve şahıslar da yapamaz. Biz de yapamayız bunu. Biz yazılımı geliştiririz, devlet kendi alt yapısı ile bunu birleştirerek çözüm noktasına gider. Biraz önce onu söyledim bir dinlenme ya da travma geçirdik. Böyle bir örgüt devletin kılcal damarlarına kadar işlemiş. Vatandaşın da böyle bir psikoloji içinde olması aslında normal. çünkü en güvendiğin ve en kritik noktadaki adamlardı bunlar."
Ekşioğlu MİT'e sattığı yazılımı sanki Dubai'de Hintli, Pakistanlı mühendislerle filan geliştiriyormuş gibi anlatıyor ama duyumlarımıza göre bahsettiği yazılım İsrail malı Allot NetXplorer adında bir yazılım.
Twitter analizi nasıl oluyor? WhatsApp mesajları görülebiliyor mu?
İnternet öncesinde, olanakların kısıtlı olduğu dönemde, devlet ancak "makul şüphe" çerçevesinde mahkemeye başvurur ve izin aldığı kişiyi/kişileri, dinleyen ve kayıt alan insanlar üzerinden takip ederdi. Ama internet çıkınca, aynı anda milyonlarca kişinin verilerini kaydedilmiş (Facebook/Google/Twitter gibi) ya da kendi kaydettikleri ortamlarla takip edebilir ve hatta analiz edebilir hale geldiler. İşte bahsedilen yazılım böyle bir şey.
Peker'in bahsettiği, 3 milyon dolara alınıp devlete 50 milyon dolara satıldığı kaydedilen yazılımın adı Allot NetXplorer. Yani adını tercüme edersek "İnternet Kaşifçisi".
Peki bir takım yazılımlarla ne yapılıyor;
Sosyal medya - Twitter takibi
Burada belirttiği şey şu: Twitter üzerinde başlatılan hareketlerin yayılma noktası bu analiz programları ile bulunabiliyor. Örneğin dünkü Elmalı Davası gibi çoğunluğu hashtagli olan toplu mesajlardan bahsediliyor. Bunlar trol hareketleri de olabilir.
Başlatan kişi/kişiler bulunduğunda ise bu kişilerin takibi (kimin mesajlarını retweetliyor/beğeni atıyor ya da onun mesajlarını kim retweetliyor/beğeni atıyor) mümkün oluyor.
Tüm sosyal medya hareketlerinin -Facebook, Instagram, TikTok, Linkedin vs- tek bir ekranda görülebildiği ve analiz edilebildiği ekranlar da mevcut. Sonuçta buralarda dikkatli bir analiz, isimsiz hesapları olan kişilerin kimliğini bile ortaya çıkarabilir.
Bunu reklam sektörünün "influencer" tespiti gibi görebilirsiniz. İkisi aynı şey. Bu yolla hükümet muhalif mesajları kimlerin tetiklediğini bulabiliyor.
O kişi/ kişilerin mesajları ise ayrıca analiz edilebiliyor. Hangi saatlerde mesaj atıyor, hangi durumda atıyor, kimlerle arkadaş gibi. Bu da IP'si bilinmese bile tespitini mümkün kılabilir. FuatAvni olayında benzer analizlerin yapıldığını düşünülüyordu.
WhatsApp takibi
- Çok merak dilen WhatsApp konusu ise muhtemelen iki yolla olabilir:
- Birinci yol, bilgisayarınıza ya da cep telefonunuza bir truva atı gönderilmesi ile WhatsApp mesajlarınız okunabilir hale gelir. WhatsApp ile geliştirilen şekli ile uçtan-uca şifreleme içeren bir yazılımdı. Dolayısıyla iki uçtan birinde (yani siz ya da sizin mesaj yolladığınız kişi) iseniz, mesajları okursunuz. Eğer "seni kim engellemedi, gör" gibi size tıklamayı istetecek bir mesajla ulaşmışlarsa, truva atını almış olabilirsiniz. Ama bu istihbarat örgütü için keyfe keder (yani herkes o linkleri tıklamayabilir) bir durum olur.
- İkinci yol, herkesin WhatsApp mesajlarını okuyabilecek bir hackleme olayıdır. 2019'da İsrailli NSO Group'un WhatsApp yazılımını hacklediği (ülkemize Pegasus truva atını yayan şirket) ortaya çıktı [6].
Ancak garip olan iki olay şu:
- WhatsApp'ın çok sağlam olarak tanımladığımız uçtan-uca şifrelemesi kodlayan iki WhatsApp kurucusu, Mark Zuckeerberg'in mahremiyet konusundaki yaklaşımlarından rahatsız olup, şirketten arka arkaya ayrıldılar. Tam neye kızdıklarının açıklamasını yapmadılar ama daha çok para kazanmayı bırakıp, prensip olarak ayrıldılar.
- Hackleme olayı karanlık. Çünkü hacklemeyi yapan NSO Group, bu hacklemeyi Facebook'un talebi üzerine yaptıklarını sö Facebook bunu reddetti ve şirketi mahkemeye verdi. Bu dava henüz sonuçlanmış değil.
Şimdi biz bu olaya bakarken, bir çok donanım firmasının arka kapıyı açık bırakıp, sonra bağımsız güvenlikçiler bu açıkları bulunca "Aaa haberimiz yok, hemen soruşturuyoruz" dediklerini gördük ama bu soruşturmaların bittiğini hiç görmedik.
Firmalar bu tür açıkları bilhassa veriyorlar. Bununla bir taraftan hükümetlere istenen bilgileri sağlarken, diğer taraftan ortaya çıkması durumunda kullanıcılarına "Aaa hiç haberimiz yoktu, hacklenmişiz" diyorlar. Nitekim bağımsız gazeteci Noami Klein Hindistan'da Facebook ve Google'un bir iklim aktivistinin gizli bilgilerini Hindistan hükümetine verdiklerini mahkeme dosyalarından bilgi olarak verdi [7].
Devlet neden vatandaşlarının konuşmalarına dahil olmayı bu kadar istiyor?
Ekşioğlu röportajının devamında özel yazışmaların incelenmesini "Devlete karşı faaliyetin varsa, kamu düzenine karşı bir faaliyetin varsa o zaman incelenirsiniz" diyerek adeta devlet adına konuşuyor. Biz de yukarıda bundan bahsettik. Devleti yönetenler, kendilerine karşı çıkacak olan insan ve konuları takip etmek istiyorlar. Bunun en kolay yolu da günümüzde sosyal medya. Hele konuşmalar Twitter gibi açık ortamlar yerine, uçtan uca şifreli olduğu düşünülen yazılımlar (WhatsApp gibi) üzerinden ya da farkında bile olmadığınız internet gezintilerinizin para verip hizmet aldığınız operatör tarafından BTK gibi kurumlara verilmesiyse, bunlar sorgulanması gereken konulardır.
Ekşioğlu ne diyor?
"Normal vatandaşlarımızda bile dinleniyor muyum, takip ediliyor muyum gibi bir algı var. Suç işleyen insanın tedirgin olması lazım. Devlet vatandaşın özel yazışmasıyla uğraşmaz. Eğer bir terörist isen devlete karşı faaliyetin varsa, kamu düzenine karşı bir faaliyetin varsa o zaman incelenirsiniz."
Aşağıda iki çelişkili cümleyi kullanmış. Birinde "Devlet gizli haberleşme yöntemini benimseyeni takip eder" diyor, arkasından "Durup dururken neden WhatsApp'ında ne yazıyor diye takip etsin?" diyor. Yani devlet WhatsApp'ta "Gizli haberleşiyorlar" diyerek herkesi mi takip ediyor, şüphelendiğini mi?
“Zaten o zaman gizli haberleşme yöntemlerini benimsediğin için devlet de o yüzden takip eder. Devlet durup dururken vatandaşın WhatsApp’ında ne yazıyor diye onu takip etmez ki. Ailevi ya da özel yatak odası ilişkilerini takip etmez.”
O zaman soralım, devlet WhatsApp kullanan insanların hepsini takip etmeyi neden düşünüyor? O kişi belki sadece şaka mesajları yolluyor. Çünkü WhatsApp sadece gizli konuşmak için değil, anlık mesajlaşmak için kullanılıyor.
Ekşioğlu devam ediyor:
“Ama vatandaşta böyle bir psikoloji var. Devlet düzenine, kamu düzenine karşı bir faaliyetiniz yoksa dinlenseniz de bir sıkıntı yok sonuç olarak. Türk milletinin içindeki durumlardan dolayı da böyle bir travma söz konusu. Devletin içinde devlet kadar bir yapılanma olmuş. Bu örgütün adı ‘Paralel Devlet Yapılanması’ yani devletin içinde devlete paralel bir yapılanma oluşmuş.
Dolayısıyla devlet mekanizmasının bu terör grubunun kendi içerisinden çıkartılması, yaralarını iyileştirmesi çok uzun zaman alacak zor bir iş. Biz de bu konuda katkımız ne olursa elimizden geleni bir Türk vatandaşı olarak, bir Türk şirketi olarak imkan ve kabiliyetlerimiz çerçevesinde vermeye hazırız."
Konuyu bilişim ve olanakları ile sınırlı tuttuğumuzdan, bu yazıda "bahsettiğiniz paralel devlet yapılanmasını kim besleyip, büyüttü, siz neden büyütenleri değil de herkesi takip ediyorsunuz" diye sormayacağız.
[1] Vedat Gürer : Olayı Telefon Dinleme Kapsamından Çıkartmak Lazım, Çünkü Daha Çok Data Mining’e Yaklaşıyor – 2
[2] Phorm haberleri
[3] 2020’de Türkiye Dahil 29 Ülke İnterneti Amaçlı Yavaşlattı
[4] Kaşıkçı’yı Takip Eden Pegasus Yazılımının En Yaygın Olduğu Ülkelerden Birisi Türkiye
[5] Sn. Feti Yıldız Geç Kaldınız, VPN Zaten 4 Sene Önce Engellendi
[6] Facebook, WhatsApp’ı Hackleyen NSO Group’a Dava Açtı
[7] Google ve Facebook gibi Teknoloji Devleri, Hintli İklim Aktivistlerin Bilgilerini Modi Hükümetinin Eline Veriyor