Mustafa ÖZBEK- YENİ ASYA GAZETESİ
ByLock sunucusuna erişim sağladığını iddia eden CGNAT sayısal değerleri hatalar ihtiva etmektedir. BTK’dan gönderilen CGNAT dökümüne göre ByLock Sunucusuna ilk erişim sağladığı bağlantı kayıtları sayısal değerlerde aynı zaman diliminde birden fazla adet erişim gözükmesi maddî bir hata ve verilerin üst üste bindiği anlamına gelmektedir. Çünkü, bir şahıs aynı zaman diliminde aynı anda 2 farklı PORT’a erişim sağlayamaz.
Aslında ByLock sunucusuna bağlanmış olsa dahi ki bu sayısal hatalar Bylock kullandığı iddia edilen kişilerin bağlantı yapmadığını, aksine operatörden kaynaklanan bir hatanın kurbanı olduğunu çok açık bir şekilde ifade etmektedir.
Yukarıda yer alan bütün bu bilgi ve belgeler kapsamında bir kişinin ByLock kullanıcısı olduğuna yönelik iddianın somut ve maddî bir delile dönüşebilmesi için;
1) Kabul edilebilir olmalıdır. Elde edilen delil dâvâ sırasında hâkim veya başka insanlar tarafından kabul edilebilir olmalıdır.
2) Gerçek ve aslına uygun olmalıdır. Soruşturma veya kovuşturma altındaki konu ile ilgili doğrudan bir nedensellik bağı veya destekleyici mantıksal bağlar olması gerekir. Nedensellik bağı (illiyet rabıtası) aynı zamanda suçun kanun tanımında yer alan maddî unsurlarındandır ve meydana gelen netice ile fail arasındaki neden-sonuç ilişkisini ifade etmektedir. Adlî kopya mahkemedeki dâvâ konusu olayla ve faille ilgili ve bağlantılı olmalıdır.
3) Eksiksiz ve tam olmalıdır. Elde edilebilen bütün deliller toplanmalıdır. Bu deliller yalnızca, failin suçlanmasına ilişkin değil, varsa suçsuzluğuna ilişkin olanları da kapsamalıdır. Nitekim 5271 sayılı Ceza Muhakemesi Kanunu’nun 170. maddesinin (4) ve (5) numaralı fıkralarına göre, iddianamede, yüklenen suçu oluşturan olaylar, mevcut delillerle ilişkilendirilerek açıklanmalı; iddianamenin sonuç kısmında, şüphelinin sadece aleyhine olan hususlar değil, lehine olan hususlarda ileri sürülmelidir. Sadece maddî olmamalıdır. Şüphelinin suçlu olduğunu veya suçsuz olduğunu ispatlayan bir delil olmalıdır.
4) Güvenilebilir olmalıdır. Delil güvenilir olmalıdır. Analiz için kabul edilmiş prosedürlere uygunluğundan ve doğruluğundan şüphe edilmemelidir.
5) İnanılabilir olmalıdır. Delil, ispatlama değerine sahip olmalıdır. Sanal yapıda olsa da, hâkim veya taraflar tarafından açıkça anlaşılabilir ve inanılabilir olmalıdır.
6) Yasaya uygun olmalıdır. Delil, yukarıdaki özelliklere sahip olsa da, yasaya uygun bir şekilde elde edilmemişse veya her ne kadar yukarıdaki özellikleri taşıyor olsa da yasaya uygun elde edilmediği için delil olarak değerlendirilemeyecektir. Meselâ 5271 sayılı CMK’nın 134. maddesine aykırı olarak bilgisayarlarda arama, kopyalama veya el koyma işlemi yapılmışsa, elde edilen verilerin mahkeme tarafından delil olarak kabul edilmeyeceği değerlendirilmektedir.
“Sayısal verinin bilgi niteliği taşıyabilmesi için bulunduğu ortamdaki diğer benzer veriyle tutarlı bir bütün oluşturması gerekir.” prensibi doğrultusunda kayıtta adı görülen kişiye ait diğer bazı verilerin (IP adresi, erişim için kullanılan cihaz gibi) ve/veya sadece kayıtta adı görünen kişinin bilebileceği diğer bazı verilerin var olması halinde gerçek ve geçerli sayılabilir.
Binlerce kişinin Bylockserverine erişim kaydı (CGNAT dökümleri) sadece “Sinyal bilgisi” neye yönelik olup, “Sinyal tesbiti/BylockServerine erişim” yaptığı iddia edilip, BylockServer’inde”Sesli arama-alma, mail yollama-alma, mesaj yollama-alma vb” işlemleri yaptığına yönelik herhangi bir “log kaydı” veya tesbit tutanağı bulunmamaktadır.
Yukarıda yer alan belgeler yine bir ByLock şüphelisine ait olup, kırmızı kutu içerisine alınan “id numarası, giriş sayısı, gönderilen-alınan mesaj bilgisi, gelen-giden arama, gelen-giden dosya vb.” başlıklar altında şüpheliye ait olan ve ByLock’a erişim sağlayan telefon numarası, iletişim gerçekleştirdiği diğer ByLock kullanıcı bilgileri ve abonesi olduğu GSM servisine ait bilgiler yer almaktadır. Sadece BTK tarafından mahkemeye gönderilen GSM ve IMEI sorgusuna yönelik yapılan çalışmaya ait tesbit kaydı bulunurken, yukarıda yer alan belgelerde belirtilen hususlara yönelik herhangi bir tesbit bulunmamaktadır. ByLock Serverine erişim bilgileri sadece sinyal bilgisi niteliğindedir.
3.2 ByLock Uygulaması IP/Alan Adı Analizi
Söz konusu uygulamaya ait internet trafiğinin incelenmesi neticesinde, ByLock uygulamasının sunucu sistemine çoğunlukla doğrudan IP adresi üzerinden erişildiği, bazı sürümlerde ise (Meselâ: ByLock 1.1.3 sürümü) “bylock.net” alan adı üzerinden aynı sunucuya bağlanmak suretiyle iletişim kurulduğu görülmüştür.”,
Raporun 13. sayfasında: “Uygulamanın bağlandığı IP adreslerinin tesbit edilmesi amacıyla farklı zamanlarda tekrarlanan testlerde, uygulamanın farklı sürümlerinin farklı birer IP adresine bağlandığı görülmüştür.
Uygulama sunucusunda geliştiricisinin uygulamaya özgü oluşturup imzaladığı bir sertifika (self-signed SSL certificate) ile HTTPS güvenlik protokolü kullanıldığı görülmektedir. Ayrıca tesbit edilen sertifikaya yönelik çalışmalar neticesinde Litvanya’da sunucu kiralama hizmeti veren “BalticServers” isimli firmaya tahsisli 9 adet IP adresinin ByLock uygulamasının çeşitli sürümlerince kullanıldığı tesbit edilmiştir:
46.166.160.137
46.166.164.178
46.166.164.181
46.166.164.176
46.166.164.179
46.166.164.182
46.166.164.177
46.166.164.180
46.166.164.183
“censys.io” isimli web sitesinde (söz konusu sitede bütün IPv4 adres uzayını kapsayan, geçmişe dönük çeşitli taramalar ve bunların sonuçlarına ait veriler sunulmaktadır) yayınlanan bilgiler kullanılarak çalışma teyit edilmiştir.
Tesbit edilen IP adreslerinin incelenmesi kapsamında bu IP adreslerinin ByLock’un etkin olduğu tarihlerde hangi alan adı veya adları ile ilişkilendirildiği sorgulanmıştır. Bu kapsamda 1 Eylül 2015 – 9 Ekim 2016 tarihleri arasında anılan IP adreslerinden yalnızca 46.166.160.137 adresinin bylock.net alan adı ile kullanıldığı, diğer IP adreslerinin herhangi bir alan adı ile eşleşmediği bulgusuna ulaşılmıştır.
Açık kaynaklarda yapılan araştırmalardan çıkan sonuçlar da bu durumu destekler niteliktedir.“virustotal.com, whois.domaintools.com, ptrarchive.com” gibi web sitelerinde yapılan sorgulamalarda Bylock sunucularının aktif olduğu döneme ait başka bir alan adı kullanımına rastlanılmamıştır.
“https://bylock.net:443/SHU-Server”
“https://46.166.164.181:443/App-Server”
alan adlarının yer aldığı tespit edilmiştir.”,
“ByLock uygulamasının, “46.166.160.137” IP adresine sahip sunucu üzerinden hizmet sunduğu görülmüştür. Bahsi geçen sunucunun [email protected] isimli e-posta adresi kullanılarak kiralandığına dair e-posta muhtevasına aşağıda yer verilmiştir. Bahsi geçen sunucunun, Litvanya’da hizmet veren “BalticServers” isimli firmanın kiraladığı sunuculardan biri olduğu görülmüştür.”
“Uygulama sunucusu yöneticisinin, uygulamayı kullananların tesbitini nispeten zorlaştırmak amacıyla 8 adet ilave IP adresi (46.166.164.176,46.166.164.177, 46.166.164.178,46.166.164.179, 46.166.164.180,46.166.164.181, 46.166.164.182, 46.166.164.183) kiralamıştır. Kiralanan IP adreslerine ilişkin elde edilen e-posta içeriğine aşağıda yer verilmiştir.” ifadeleri yer almaktadır.
MİT raporunun farklı sayfalarında görülen ifadeler arasındaki farklılıklar sebebiyle sistemin dönemsel olarak 9 adet IP adresi ile veya anılan 2 IP adresi ile çalıştığı konusu net olarak anlaşılamamaktadır. denilerek “46.166.164.181 ve 46.166.160.137” IP numaralarının ByLockServirinin kullanımında olduğu diğer 7 IP numarasının ise teknik takibi zorlaştırmak amacıyla manipülatif olarak kullanıldığı belirtilmektedir.
Hemen hemen benzer bütün dâvâlarda soruşturma savcıları ve mahkemeler, teknik destek alıp dâvâlarını teknik verilerle neticeye ulaştırıken, bu kadar önemli dâvâlarda Adlî Bilişim uzmanı veya başkaca teknik konularda bilirkişiye başvurulmaması, neticede bir çok mağduriyetlerin doğmasına sebebiyet vermeye devam edecektir.