ByLock’ta IP Adresleri, yönlendirmeler ve hatalı tespitler

15 Temmuz hain darbe girişimi sonrası oluşan refleksle soruşturmalarda birtakım hataların yapılması anlaşılabilir fakat aradan 2 yıl geçtikten sonra hala yapılan hatalarda ısrar edilmesi hiçbir mazeret ile açıklanamaz. Örgütle mücadelede ByLock sunucusunun ele geçirilmesi devletin çok büyük başarısıdır fakat sonrasında yapılan hatalar ve yargılama süreçleri için bunu söyleyebilmek çok zor.

Sadece TİB/BTK verilerine güvenilerek, sağlıksız ve eksik operatör kayıtları ile yönlendirme kumpasları hesap edilemeden başlatılan soruşturmaların sonucunda mağduriyetlerin artarak devam ettiği görünüyor. Teknik incelemeler ve güvenlik soruşturmaları sonucunda FETÖ ve ByLock ile hiçbir ilgisi olmadığı anlaşılan çok sayıda mağdurun yargılanmaları devam ederken tüm çabalarımıza rağmen bu kişiler hakkında henüz bir açıklama dahi yapılmamıştır. Ölüm gösterilen bu insanlar sıtmaya razı edilmemelidir.

Bugün, özellikle çok kafa karıştıran tarih ve IP adreslerine değinerek bazı teknik bilgiler ve örneklerle birlikte, yapılan hatalar ve olası sonuçlarını en başından anlatmaya çalışayım.

ByLock uygulamasının bağlandığı alan adı bylock.net ilk olarak 11 Mart 2014 tarihinde GoDaddy firmasından tescil edildi. 18 Mart 2014 tarihi itibarı ile ABD’deki 184.168.221.39 numaralı IP adresinde yayında olan bylock.net alan adı, 31 Mart 2014 tarihinde yine ABD’deki 69.64.56.133 numaralı IP adresine transfer edildi. Bu tarihten 11 gün sonra, 11 Nisan 2014 tarihinde de ByLock uygulamasının ilk sürümü Google Play ve aynı ay içinde David Keynes adına açılmış hesaptan Apple Store mağazalarından yayınlanmaya başlandı. Appbrain.com adlı sitenin istatistiklerine göre ByLock uygulamasının iOS sürümü Apple Store mağazasından 7 Eylül 2014, Android sürümü Google Play mağazasından 3 Nisan 2016 tarihinde kaldırılmıştır.

Türkiye’de yapılan tüm soruşturmalar için BTK tarafından mahkemelere gönderilen CGNAT İnternet trafik kayıtları ise ByLock sunucusunun ABD’den, 46.166.160.137 IP adresli Litvanya’daki sunucuya transfer olduğu 10 Ağustos 2014 tarihinden başlatıldı. Yani sadece Litvanya’daki sunucuya bağlananlar tespit edildi. Oysa, o tarihe kadar ByLock’un neredeyse tamamının örgütün üst yönetiminden olduğu anlaşılan 15 bin kullanıcısı vardı ve bu kişiler uygulamayı ABD’deki 69.64.56.133 IP adresli sunucuda kullanmışlardı. Soruşturmalarda her nedense, örgüt üst yöneticilerinin kullandığı 11 Nisan – 10 Ağustos 2014 aralığındaki trafik kayıtlarına bakılmadı, sonrasına yani ByLock’un örgüt tabanına ve yönlendirmelerle masum insanlara yayıldığı tarihlere odaklanıldı. Aynı tarihlerde, özellikle 22 Temmuz 2014 tarihinde yapılan Emniyette Paralel Yapı Operasyonu’ndan sonra  ByLock’un sahipleri, ilk kullanıcıları ve örgütün tepe kadrosu zaten ByLock’u terketmeye ve Eagle adlı uygulama üzerinden haberleşmeye başlamışlardı. Kanaatimce soruşturmaya ilk olarak ABD’deki sunucu üzerinden başlanmayarak büyük bir stratejik hata yapılmıştır.

10 Ağustos 2014 tarihinde Litvanya’da bulunan Baltic Servers isimli firmadan kiralanan sunucu üzerinden çalışmaya başlayan ByLock uygulaması, 1 Eylül 2014 tarihine kadar sadece bylock.net’e yani 46.166.160.137 numaralı IP adresine bağlandı. Bu tarihten sonra ByLock’un Android sürümleri güncellendikçe IP adresleri sırası ile 46.166.164.176, 46.166.164.177 ve 24 Aralık 2014’de çıkan son Android sürümü ile birlikte 46.166.164.181 numaralı IP adreslerine bağlandı. Bununla birlikte, ByLock sürüm güncellemesi yapmayanlar önceki IP adreslerine bağlanmaya devam etti. 24 Aralık 2014 tarihinden 12 Mart 2016 tarihinde sunucu kapanana kadar bu 4 IP adresi de aktif olarak kullanıldı. 7 Eylül 2014 tarihinde Apple Store mağazasından kaldırılan ByLock’un iOS uygulaması ise sadece 46.166.160.137 IP adresli bylock.net’e bağlanmıştır.

25 Aralık 2015 tarihinde 215 bin kullanıcı kayıtlı ByLock sunucusu ele geçirildi, şifreleri kırılarak kullanıcı verilerine ulaşıldı ve darbe girişiminin hemen sonrası haklarında adli işlem başlayan yaklaşık 45 bin kişi bu şekilde tespit edildi. Bylock kullanıcısı örgütlülerin yakalanması ile darbe girişimi çok daha hızlı ve az hasarla atlatılmıştır. ByLock listeleri olmasaydı, TSK, Emniyet ve bürokrasideki üst düzey örgüt elemanları belki bugün dahi görevlerinin başında olacak ve tüm FETÖ soruşturmalarını akamete uğratacaklardı. Fakat ele geçirilen veri eksikti, örgüt 8 Kasım 2014 tarihinden başlayarak geçmişe dönük olarak verileri silmişti ve bu kişilerin kim olduğu veri tabanından tespit edilemiyordu. Tüm kullanıcıları bulmak için başka bir yol denenecekti.

Silinen verideki kullanıcıları tespit etmek için geriye kalan tek yol operatör ve BTK tarafından kayıt edilen IP trafiği, yani hangi cep telefonunun ByLock sunucusuna bağlandığının tespiti idi. Yapılan çalışmada 10 Ağustos 2014 tarihi itibarı ile ByLock’un kullandığı 4 IP adresine 443 numaralı porttan en az 3 farklı günde bağlanan 103 bin kişi tespit edildi. Karışıklık tam da burada başladı. Sağlıksız operatör verileri kesin ve net delilmiş gibi değerlendirilirken örgütün yönlendirme kumpasları akıllara gelmedi. Kasım 2016 itibarı ile 103 bin kişi aynı torbaya konularak haklarında adli işlem başlatıldı. Darbe sonrası yaşanan tramva sırasında bir an önce örgütlülerin yakalanması için acele edildi. Eğer o tarihlerde bu liste üzerinde veri doğru analiz edilebilse idi Morbeyin vb mağduriyetler hiç yaşanmayabilirdi.

IP adreslerinin ve ByLock bağlantılarının daha iyi anlaşılabilmesi amacı ile ByLock sunucusunu kullandığı 4 IP adresini 4 kapılı bir eve benzeterek 3 farklı telefon örneğinden aşağıdaki şemaya bakalım. Şemadaki kapı numaraları IP adreslerinin son 3 haneleridir.

Telefonlarından VPN uygulamaları ile bağlanan tüm kullanıcılar, yurtdışındaki taşeron VPN sunucular üzerinden yeşil yolu kullanarak ByLock sunucusuna ulaştılar. Bu kullanıcıları VPN bağlantıları kesilmediği sürece İnternet trafikleri üzerinden ByLock sunucusuna bağlandıklarına dair tespit mümkün değildir.

A telefonunu kullanan iPhone/iPad kullanıcıları sadece mavi yolu kullanarak bylock.net yani 137 kapısından ByLock’a bağlandılar. VPN kullanan iPad/iPhone’lar ise yeşil yoldan yine sadece 137’ye bağlandı.

B telefonunu kullanan Android kullanıcıları 1 Eylül 2014 tarihine kadar tıpkı iPhone kullancılarına benzer şekilde mavi veya yeşil yoldan ByLock’un 137 numaralı adresine bağlandı. Bu tarihten sonra çıkan yeni Android sürümleri yine aynı yollardan sırası ile 176, 177 ve 181 nolu kapılardan ByLock’a ulaştı.

C telefonunu kullanan Morbeyin vb mağdurular, sarı yoldan Kıble/Namaz uygulama sunucusuna (alpenandroid.com) bağlandıklarını zannederken, farkında olmadan turuncu yoldan ByLock sunucusuna iradeleri dışında yönlendirildiler.

17 Kasım 2014 tarihinde ByLock sunucusunun Türkiye’deki IP adreslerine kapatılması ile mavi yol iptal oldu ve kullanıcılar sadece yeşil yoldan VPN kullanarak sunucuya ulaşabildi.

ByLock telefonların arka planda çalışmayan bir uygulamaydı, bu nedenle yarattığı İnternet trafik kayıtları benzer uygulamalara göre çok daha azdır, otomatik olarak trafik oluşturmamış, ancak kullanıcı etkileşimi ile trafik yaratılıyordu.

Konu ile ilgili olmayanlara karışık gibi görünebilir ama aslında hiç değil. Şemada da görüldüğü üzere yönlendirme mağdurlarının 17 Kasım 2014 tarihindeki IP adreslerinin bloklanması ile hiçbir ilgisi yokken Morbeyin çalışması bu tarihten sonraki mağdurları kapsamamış, bir teknik hata da burada yapılmıştır. 20’den fazla telefon incelemesinde tespit ettiğim üzere 17 Kasım’dan sonra da Kıble/Namaz uygulamaları, kullanıcıları ByLock’a yönlendirmeye devam ettiği kesin ve nettir. Buna rağmen eksik yapılan Morbeyin çalışması nedeniyle bu gruptaki Kıble/Namaz kullanıcısı çok sayıda kişi hala ByLock şüphesi ile ihraç olmuş ve yargılanmaktadır. Bu nedenle, Morbeyin çalışması Kıble/Namaz uygulamaları için tarihlerden bağımsız olarak tekrar yapılmalı ve ByLock ile hiçbir ilgisi olmayan bu kişilerin mağduriyetleri giderilmelidir.

Ayrıca, her ne kadar operatör ve BTK verileri sağlıksız olsa da, ByLock şüphesi ile yargılanan herkesin tüm İnternet trafikleri bir veritabanında toplanarak, tarafsız ve bağımsız veritabanı, veri analitiği ve GSM uzmaları tarafından analiz edilmeli ve varsa başka yönlendirme kumpasları ortaya çıkarılmalıdır.

Yaptığım testlerde ByLock uygulaması telefona kurulduktan sonra sonra, üye olup, en az bir kişiyi arkadaş listesine ekleyip bir mesaj göndermek için en az 13 IP kaydı gerekirken 3 farklı günde toplam 8-10 IP kayıtlı olanların halen yargılandığını görüyoruz. Dolayısı ile 3 farklı günde programı kullanabilmek ve bu günlerden birinde bir mesaj okuyabilmek için minimum 21 IP kaydı gerekmektedir. Buradan yola çıkarak 21’den az IP kayıtlıların adli soruşturmalarının hemen sonlandırılması gerekir. ByLock kullandığını itiraf edenlere ait kayıtlarının ortalama 150 IP kaydından başlayıp 120 bine kadar çıktığını da hatırlatayım.

Yargıtay’ın son kararı ise haklarında yeterli veri bulunmayan gerçek ByLock kullanıcıları ile hiç ByLock kullanmamış masumları aynı kategoriye sokarak “suçun sanık tarafından işlendiğinin sabit olmaması/delil yetersizliği” (CMK 223/2E) beraat ettirecektir ki bu durumda masumlar işe geri dönüşlerde başka sorunlarla karşılaşacaklardır. Dolayısı ile önce teknik çalışma yapılıp masumlar tespit edilmeli ve bu kişilerin “suçun işlenmediğinin sabit olması” (CMK 223/2B) gerekçesi ile beraatlerine karar verilmesi gerekir.

Kablosuz modem şifrelerini başkaları ile paylaştıkları için ByLock tespiti yapılan mağdurların ise CGNAT benzeri hiçbir IP kaydı bulunmuyor. Bu kişilerin gerçek kullanıcı tespitlerinin yapılması beklenenden çok daha fazla zaman aldığı anlaşılıyor. Bu tespitleri yapan KOM Şube’de çalışan sayısı arttırılması durumunda mağduriyetler çok daha hızlı şekilde çözülebilir. Aynı durum OHAL Komisyonu için de geçerli, komisyona onbinlerce başvuru yapıldığı halde neden komisyonun kapasitesinin arttırılmadığını anlamak güç.

Kendi adına olan telefon hatlarından başkalarının ByLock kullanması ile mağdur olanların durumu ise çözülmesi en kolay olan mağduriyetlerden. Herhangi bir bilirkişi ve uzmana gerek duymadan, HTS kayıtlarında yer alan baz istasyonu ve arayan/aranan numara bilgisinden ilgili hattı mağdurların kullanmadığı kolaylıkla tespit edilebilir. Fakat halen bu şekilde yargılanan çok sayıda insandan mail alıyorum, gerçek hat kullanıcıları sürekli mahkemelerinin ertelendiğinden şikayet ediliyor.

Bazı CGNAT kayıtlarında hata olduğunu da söyleyebilirim. Aynı baz istasyonunu kullanan cep telefon kayıtlarının birbirleri ile karıştığını, bazı IP adres ve lokasyon bilgilerinin eksik ve tutarsız olduğunu gözlemliyorum. Sağlıksız kayıtlarla başlatılan işlemlerde durumun içinden çıkılamaz bir hal aldığını ve bu nedenle şüphelilerin tek tek iceleme yoluna gidildiğini tahmin ediyorum. Üzerine çalışan uzman ve kalifiye eleman yetersizliği de eklenince yargılama süreçlerinin çok uzadığı gözlemleniyor. Veri nedeni ile oluşan mağduriyetler ancak BTK’daki tüm İnternet trafiği verisinin analiziyle ortaya çıkabilecek bir durumdur. Maalesef, BTK mahkeme kararlarına uymayarak tüm trafik verisini göndermemekte ısrar etmektedir. Hangi amaçla yargılanan insanların zaten kendi bağlanmış oldukları İnternet trafiğini vermediklerini bilemiyorum fakat başından beri BTK’nın kurum olarak yaptıkları ve yapmadıklarının bütün soruşturmaları olumsuz yönde etkilediği bir gerçek.

Sanıyorum mağdur kişiler için gitmediğim kurum,çalmadığım kapı kalmadı. Yapılan tüm teknik tespitler sonucunda ByLock kullanıcısı olmadıkları ve devlet kurumlarınca güvenlik soruşturmalarından geçip FETÖ ile herhangi bir bağı bulunmayan bu kişiler hayatlarını idame ettiremez hale gelmiş durumdadır. Yapılan hatalar neticesinde yaşanan acılar, gelinen durum ve örgütün olanları kendi lehine nasıl  kullandığı apaçık ortada iken, hatalarda ısrar edilmemeli ve gereken teknik çalışmalar yetkin kişilerce hızlıca yapılarak tüm mağduriyetler giderilmelidir. FETÖ’nün ateşe atıp 2 yıldır hayatları ile oynadığı bu insanları tekrar tekrar mağdur etmek Türkiye Cumhuriyeti Devletine yakışmıyor.