Çürük Dal BYLOCK, tutunanları bir süre sonra taşıyamayacak…
Bugüne kadar hakkında çok şey söylendi ve yazıldı, birçok teknik analizler yapıldı. Kullanıcı sayısı ile alakalı onlarca farklı rakam yazıldı ve söylendi. Şu an cadı avı için elde kalan tek malzeme görüntüsü veren bu haberleşme/mesajlaşma programı Bylock ile alakalı belki de kumpas boyutu hiç ele alınmadı.
Türkiye’de konunun uzmanları bilir, istihbarat 4-5 farklı kurum tarafından idare edilen oldukça karmaşık bir halde idi. 2012’de GES (Genelkurmay Elektronik Sistemler) Komutanlığı ekibi ve teçhizatları ile MİT'e devredildi. 17-25 Aralık sürecinden sonra da Jandarma İstihbarat ve Emniyet İstihbarat bilinçli bir şekilde zayıflatıldı. TİB ve BTK gibi kurumlar el çabukluğuyla MİT’e bağlandı. Belli bir noktadan sonra MİT sahada tek yetkili ve istediği gibi at oynatan bir konuma geldi.
Şu an gelinen nokta itibari ile MİT'in istediği kumpası istediği kişiye/gruba uygulayabileceği gerçeği (hele ki elde ettiği kanuni koruma ve haklardan sonra) tüm çıplaklığı ile önümüzde durmaktadır. 15 Temmuz sürecinden sonra kaçırılan insanların kaçırılma görüntüleri hala ailelerinin sosyal medya hesaplarında durmakta isteyen bakabilir. Alenen gün ortasında insan kaçıran MİT, bilgisayar ortamında neler yapmaz ki?
Konuyu dağıtmadan tekrar BYLOCK konusunda MİT'in cemaate kurduğu kumpasa dönmek istiyorum. Kumpas diyorum çünkü başta MHP ve CHP Grup Başkanvekilleri meclis kürsüsünden haykırdı:
“Çocukluğundan beri tanıdığımız arkadaşlarımız BYLOCK kullandıkları gerekçesi ile ihraç edildiler.”
Yani bu listelere yanlışlıkla girdiğini söyledikleri kişiler aslında MİT in kumpasına kurban gittiler.
Diğer bir husus da cemaat mensupları bugün devam eden davalarda birçok mevzuda 'evet bunu yaptım, sohbete katıldım, kurban bağışı topladım vb' derken BYLOCK kurmadığını ve kullanmadığını söylemekte. Diğer faaliyetleri söylerken BYLOCK için kurmadık diyorlarsa, gerçekten kurmamışlardır.
O zaman geriye tek seçenek kalıyor. MİT BYLOCK konusunda cemaat mensuplarına kumpas kurdu. 15 Temmuz'un hemen ardından 50 bin insanı cemaatçi diye ortaya koyan MİT, medyaya da defalarca yansıdığı gibi kaç yıl öncesinden bu yana yememiş içmemiş, bu insanları listelemiş. Sonrasında kumpaslarla BYLOCK listelerine bu fişlenme listeleri özel tekniklerle dahil edilmiştir. Evet MİT BYLOCK konusunda cemaate kumpas kurmuştur.
AKP kontrolündeki HAVUZ medyasında yapılan haberlere göre MİT BYLOCK'un serverlarına sızmıştır, trafiğini takip etmiştir, server firmasından bazı bilgileri satın almıştır.
Ama bu haberler BYLOCK konusunda yüz binlerce masum insana kurdukları kumpasında itirafı niteliğindedir.
Olayın teknik yönüne gelecek olursak birkaç başlık altında ele almak istiyorum.
1-İNTERNETİN SİSTEMİ (IP açısından) ve VERİ/DATA TRAFİĞİ
2-TÜRKİYE DE IP DAĞITMA SİSTEMİ
3-Hashing
1-İNTERNETİN SİSTEMİ (ip açısından) ve VERİ/DATA TRAFİĞİ
İnternet üzerindeki veriler kesintisiz bir şekilde iletilemez. Bu nedenle iletimin sağlanabilmesi için veriler küçük parçalara bölünürek paket halini alır. Paket süzme ile, TCP/IP ağındaki giden ve gelen bu paketlerin takip edilmesi yapılabilir. Paketlerin içinde sadece gönderilen veriler değil gelen, giden port ve IP numaraları gibi bilgilerde yer alır.
IP (Internet Protocol) Adresi
Teknik olarak IP adresi, bir ağa bağlı cihazların birbirleriyle haberleşebilmesi için gerekli adrestir. Internet de ağları birbirine bağlayan en büyük ağ olduğu için internete bağlı her bilgisayar bir IP adresine sahip olmalıdır. Her ne kadar internet ortamında isimler kullanılsa da (alan adları) bilgisayarlar haberleşme için isimleri IP adreslerine çevirmektedir. Internete siber dünya olarak bakarsak IP, siber dünyada bizi adresleyen bir numaradır diyebiliriz. Gerçek hayatta nasıl adresler tanımlanırken mahalle, sokak, ilçe, il şeklinde tanımlanıyorsa sanal dünyada da IP adresleri benzer şekilde tanımlanmaktadır.
IP adreslerini kim dağıtır?
IP adresleri IANA başkanlığında RIR (Regional Internet Registry) olarak adlandırılan organizasyonlar tarafından dağıtılır. Tüm dünyaya IP dağıtan beş farklı RIR vardır. Bunlar bölgelere göre IP dağıtım işlemlerini üstlenmişlerdir. Sıradan Internet kullanıcılarına (son kullanıcılara) IP dağıtım işlemi hizmet aldıkları ISS (Internet servis sağlayıcısı) tarafından yapılır. Bazı ISS’ler sabit IP adresi verebilirken bazı ISS’ler değişken IP adresi ataması yapar.
IP Adresi Neden Önemlidir?
Siber dünyada bizleri tanımlayan ayırt edici en önemli özellik IP adreslerimizdir. Gerçek dünyadaki adreslerimizden farklı olarak siber dünyada IP adreslerimiz kimliğimizdir. Bunun sebebi siber dünyada yapılan her işlemde IP adreslerinin kullanılması ve ötesinde IP adres kullanılarak yapılan her tür işlemden IP adresinin sahibinin sorumlu olmasıdır.
IP Spoofing Kavramı internetin çalışmasını sağlayan TCP/IP protokol ailesi geliştirilirken güvenlik temel amaç olmadığı için olabildiğince esnek davranılmıştır. Bu esneklik IP adreslerinin aldatılabilir (spoofed) olmasını sağlamıştır. IP spoofing yaparak başkasının IP adresinden istenilen internet aktivitesi yapılabilir.
Hping yazılımı ile spoof edilmiş paketler oluşturma (IP Spoofing)
Hping kullanarak istenilen ip adresinden geliyormuş gibi paketler üretilebilir. Hping ile IP paketlerine ait istenilen alanlar düzenlenebilir. Paketlerdeki en önemli alanların kaynak ip adresi, hedef ip adresi, paket parçalama opsiyonu ve ip id numarasıdır. Konumuz IP olduğundan ICMP Paketleri ve UDP Paketleriyle oynamanın da mümkün olduğunu burada not edip geçelim.
Başkasının IP Adresinden Nasıl Suç İşlenir?
Kısaca yukarıda bahsettiğimiz IP spoofing ve paket oluşturma işlemi kullanılarak istenen herhangi birinin IP adresinden suç işlenebilir.
SONUÇ OLARAK;
MİT IP Spoofing ve Hping Metodlarını kullanarak daha önceden oluşturduğu fişleme listelerindeki insanların girişte anlattığımız geniş ve kontrolsüz yetkiler sayesinde kullandıkları IP adreslerini elde ederek 'spoof' etmiş, BYLOCK indirmiş ve kullanmış gibi görünmelerine sebep olmuştur.
2-TÜRKİYE DE IP DAĞITMA SİSTEMİ
Bu konuda da oldukça fazla yazıldı, çizildi. MİT'in baltayı taşa vurduğu noktalardan biri de aslında IP çakışmaları oldu. Cemaatçi diye fişlediği insanları yukarıda anlattığımız yöntemlerle BYLOCK server'ine bağlanmış gibi gösteren MİT'in atladığı bir husus vardı. Tüm dünyada olduğu gibi Türkiye'de internet kullanıcı sayısı, tahsis edilen IP sayısından fazla idi. Bu sebeple bir IP birden çok kişiye verilebiliyordu. Bu sebeple ciddi IP çakışmaları yaşandı.
Konuyu daha teknik olarak ele alacak olursak ;
Türkiye'de mevcut olan IP blok sayısı 15 Milyon 534 bin.
Bu blok IP'lerin dağılımıysa şu şekilde:
TÜRK TELEKOM : 6 Milyon 930 bin
TURKCELL : 2 Milyon 228 bin
VODAFONE : 1 Milyon 655 bin
AVEA : 811 bin
TELLCOM : 664 bin
SUPERONLINE : 545 bin
TURKSAT : 459 bin
DIGITURK : 410 bin
Oysa İnternet Servis Sağlayıcısı firmalara tahsis edilen IP sayısı yukarıdaki rakamlar iken, sadece GSM operatörlerinin kullandığı IP sayıları bu rakamların çok çok üstündedir.
TURKCELL : 35 milyon
VODAFONE : 20 milyon
AVEA : 15 milyon
Yukarıda verdiğimiz GSM operatörlerinin kullandığı ip sayılarında da görüldüğü üzere yaklaşık olarak, TURKCELL'de 15, AVEA'da 18,5 ve VODAFONE'da 12 kişiye 1 adet IP düşüyor!
Bu sorunu aşmak için Network Address Translation (NAT) tekniği ile özel bir ağdaki birden fazla cihazın, internet hizmet sağlayıcısı tarafından aynı ortak IP'yi kullanarak internet'e erişmesine izin verilir. Ağınızın dışındaki makinelerde bir IP adresi bulunurken NAT’ın arkasında birden fazla bilgisayar bulunabilir ve hepsine özel IP'ler atanır.
GSM operatörleri bu adreslerden yapılan bağlantıları yönlendirici cihazlarla bir adrese çevirerek birden fazla abonenin erişimini sağlar. Bunun içinde Ağ Adresi Dönüştürme (Carrier Grade NAT=CGN) veya Geniş Ölçekli Ağ Adresi Dönüştürme (Large Scale NAT=LSN) kullanılmakta. İşte bu teknik sayesinde çok sayıda abone, birbirine kapalı ağlara ayrılarak, özel IP atanıp bu kapalı ağlardan açık internete bağlanıyor.
Şu ana kadar mahkemelere ulaşan cevabi yazılarda AVEA’nın NAT kayıtlarına ait logları tutmadığını öğrenmiş bulunuyoruz. Diğer operatörler ne yaptı bilemiyoruz. Belki NAT kayıtlarını vererek MİT'in kumpasına yardımcı olmuşlardır.
3-Hashing
İnsanların parmak ve dil izleri benzersizdir. Yani kişiye özeldir. Dosyalarda da bu durum geçerli ve tüm dijital verilerin kendine özel bir hash değeri vardır. Hash değeri, dosyaların kendilerine özel parmak veya dil izleridir. Kesinlikle tek ve o dosyaya özgüdür. Bu sebeple özellikle adli bilişim konularında dijital veri analizlerinde Hashing sayesinde bir dosyanın orjinali ile kopyası kıyaslanarak üzerinde değişiklik yapılıp yapılmadığı kesin olarak tespit edilir. Gerçek verideki 1 baytlık değişim dahi, hash değerinin tamamen değişmesine neden olur.
Hashing, özellikle güvenlik yazılımlarında çok kullanılır. Bir verinin değiştirilmemiş (authentic) olduğunun ispatında, hashing kullanılır. En bilinen hashing algoritmaları: DES, MD4 (çok zayıftır), MD5 (uzun süre endüstri standardı olmuştur) ve SHA 512 (en kuvvetlisidir)
Aşağıda bilgisayardaki bir belgeden türetilmiş, o belgeye ait hash değeri verilmiştir.
2488519C5035GBAC83CBFA23A32058CCF5522758
Eğer bu belgede bir harf dahi değiştirsek, hash değeri değişecektir.
Dolayısıyla bilgisayar ortamında kritik dijital veriler bir yere gönderilecekse hash değeri alınır ki daha sonra kumpasçı ekipler tarafından eklemeler yapılmasın veya yapılmış ise bu ortaya çıksın.
1 yıldır BYLOCK'u çözdük, server'a girdik diye hava atan MİT elemanlarının bunu bilmemesi mümkün değildir.
Yukarıda anlattığım yöntemlerle fişlediği cemaat üyelerine kumpas kuran MİT, BYLOCK konusunda daha en başta elde ettiği dijital veriler için az sonra anlatacağım Hashing metodu ile mühürleme yapar ve bunu ilan ederdi. Bizde bu konuda elde edilen tüm dijital verilerin üzerinde oynanmadığına ve keyfi olarak değiştirilmediğine inanırdık. Bunun ispatı yine HAVUZ medyası tarafından farklı zamanlarda verilen farklı BYLOCK rakamlarıdır. Fişlemelerle elde ettikleri yeni isimlerin IP bilgilerini listelere ekleyerek bu konuda da kumpaslarına farklı bir boyut kazandırmışlardır.
MİT gerçekten Litvanya’daki eski adıyla Baltic Server yeni adıyla CHERRY SERVER’dan elde ettiği verileri ilk elde ettiği anda Hash değerlerini almış mıdır? Aldıysa aynı verilerin şu anki hash değerleri veya en azından Emniyet'e yolladığı verilerin Hash değerleri aynı mıdır? Arada keyfi değişikler olmuş mudur? Ya da MİT son 1 yılda keyfi eklemeler yapmış mıdır? Ya da Emniyet'e yolladığı listelerin hash değerlerini kaydetmiş midir? Emniyette keyfi olarak bu listelere ekleme yapılmış mıdır?
Bu soruların cevabının sadece elde edilen ve oluşturulan verilerin önceki ve sonraki Hash değerleri ortaya konarak verileceğini belirtmek isterim.
Yaptılarsa yukarıdaki konularla beraber teknik olarak anlatsınlar dinleyelim. Değilse çürük dal BYLOCK, tutunanları bir süre sonra taşıyamayacaktır.
A.U
Siber Güvenlik Uzmanı