BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere


sayfa5/8
d.ogren-sen.com > Doğru > Evraklar
1   2   3   4   5   6   7   8
PROGRAM KULLANIMINDA REFERANS GÖSTERME İDDİASI
Medyada yer alan haberlere ve iddialara göre, program kullanıcılarının birbiriyle iletişime geçebilmesi için sistem içindeki bir başka kişinin veya kişilerin referans vermesi gerektiği iddia edilmektedir. Bu durumun da programı ancak örgüt üyelerinin kullanabileceği şeklindeki iddiayı desteklediği ifade edilmektedir.
İddialar çerçevesinde iki senaryo söz konusudur:
1. İletişim kurulmak istenilen kişinin kullanıcıya referans olması.
2. Programın kullanılabilmesi ve diğer kullanıcılarla iletişime geçilebilmesi için örgüt içinden belli kişi veya kişilerin kullanıcılara referans vermesi, aksi durumda programın kullanılamaz olması.
1. Senaryo: İletişime geçmek istenilen kişinin kullanıcıya referans olması. (Karşılıklı Katılım)
Program kurulduktan sonra başka bir ByLock kullanıcısıyla iletişim kurulabilmesi için iletişim kurulmak istenilen kişinin referans olmasının örgüt iddiasıyla herhangi bir ilişkisi bulunmamaktadır. Burada kastedilen sadece iletişim kurmak isteyen iki kullanıcının birbirleri arasındaki onay sürecidir/durumudur. Bu şekildeki bir referans mekanizması birçok programda mevcuttur.
“Karşılıklı Katılım” (two-way opt-in) olarak adlandırılan bu mekanizmada A kullanıcısı B kullanıcısıyla mesajlaşmak/haberleşmek istediğinde öncelikle B kullanıcısına A kullanıcısının arkadaşlık isteğini kabul edip etmediği sorulur. B kullanıcısı A kullanıcısına referans olduğunda, daha anlaşılır bir ifadeyle, A kullanıcısının arkadaşlık teklifini kabul ettiğinde veya görüşme talebine onay verdiğinde haberleşmeye izin verilir. Bu mekanizma insan faktöründen bağımsız yazılımsal bir mekanizmadır.
Bu mekanizma piyasada birçok uygulamada da kullanılan bir yöntemdir. Whatsapp, Blackberry Messenger, Hangouts, Hike, Kik, Line, Nimbuzz, Skype, Surespot, Telegram, Threema aynı özelliğe sahip bilindik uygulamalardır.
2. Senaryo: Programın kullanılabilmesi ve diğer kullanıcılarla iletişime geçilebilmesi için örgüt içinden belli kişi veya kişilerin kullanıcılara referans vermesi, aksi durumda programın kullanılamaz olması. (Örgütsel Referans)
İddialar kapsamında referanstan kastın örgüt içerisinden merkezi bir onay sürecinin olduğu da anlaşılmaktadır. Çünkü diğer senaryonun örgüt iddiasıyla herhangi bir ilişkisi bulunmamaktadır.
Bu iddiaya da sunucunun kullanımdan kalkmış olması sebebiyle direkt cevap verilememektedir. Fakat mevcut verilerden yola çıkarak bir sonuca ulaşmak mümkündür.
Şöyle ki; bir programın kullanılabilmesi için bünyesinde böyle bir referans mekanizması barındırması, o programın bir örgüte ait, gizli bir program olduğu iddiasını delillendirebilecek bir durumdur. Dolayısıyla böylesine gizli, örgütsel bir programın, uygulama mağazalarına konarak tüm dünyaya ifşa edilmesi hayatın olağan akışına, akla ve mantığa aykırıdır.
Ayrıca hücre tipi yapılanmaya sahip olduğu iddia edilen bir örgüt için aynı zamanda böyle bir referans mekanizmasının iddia edilmesi birbirini çürütecek mahiyettedir. Çünkü her bir kullanıcının bu şekilde birden fazla kişinin referansına ihtiyaç duyması, örgüt elemanlarının kendi içlerinde deşifre olması demektir ki örgütün böyle bir yönteme başvuracağını düşünmek de akılcı değildir.
Kısaca; ByLock uygulamasında mevcut olduğu iddia edilen referans mekanizmasının mahiyeti hakkında net bir bilgiye ulaşmak mümkün değildir. Bununla beraber,
 Uygulamayı kullandığı iddia edilen 200 bin üzerindeki kullanıcı sayısı,
 Uygulamanın zaman içerisinde global mağazalarda yayında olması,
 Örgütün hücre tipi yapılanmaya sahip olduğu iddiaları
 Örgütsel referans mekanizmasına dair halen ekstra herhangi bir bilgi, belgenin olmaması
İddialarda geçen referans yönteminin pazardaki birçok uygulama tarafından da kullanılan “Karşılıklı Katılım” mekanizması olduğunu ortaya koymaktadır.
ÖZEL KOD İLE ARKADAŞ EKLEME İDDİASI
Bu kapsamdaki iddiaların haberleşme programlarının çalışma prensipleri hakkında bilgi eksikliğinden kaynaklandığı anlaşılmaktadır. İddialardan “kod” olarak tarif edilmeye çalışılan bilginin hesap bilgisinden (Kullanıcı-ID) başka bir bilgi olmadığı anlaşılmaktadır.
Her haberleşme programı kullanıcılarını tanımlayacağı “Kullanıcı-ID” olarak adlandırılan tekil bir bilgiye ihtiyaç duyar ve her programda istisnasız her kullanıcı birbirini “Kullanıcı-ID” ile ekler, çıkartır, “Kullanıcı-ID” üzerinden iletişim kurar.
ByLock uygulamasında arkadaş eklemek için kod kullanıldığı iddialarının uygulamaların hesap yönetim mekanizmaları hakkında bilgi sahibi olunmamasından kaynaklandığı görülmektedir. Detayları verildiği üzere, iddialarda yer alan “kod” tabirinin Kullanıcı-ID olduğu anlaşılmaktadır. Kullanıcı-ID uygulamasının da piyasadaki diğer örneklerinden farklı olmadığı ortadadır.
Kullanıcılardan Cep Telefonu, Kimlik Numarası, E-Posta İstenmesi Gerekli midir?
Mağazalarda kullanıcılar telefon numarası veya e-posta vb. Kullanıcı-ID harici herhangi bir bilgi paylaşmaksızın kullanabilen birçok program mevcuttur. Threema, Wickr, Surespot, Nimbuzz, Cryptocat, Kik bunlardandır.
Kullanıcı-ID ile olarak T.C. Kimlik No kullanan veya kullanıcılarından ekstra bilgi olarak T.C. Kimlik No isteyen herhangi bir programla karşılaşılmamıştır.
PROGRAM REHBER EŞLEŞTİRMESİ YAPMADIĞI İDDİASI
Uygulamanın bu çalışma prensiplerinin uygulamanın gizli ve örgüte özel olarak adlandırılması için yeterli olmadığı aşikardır. Kik ve nimbuzz gibi rehber birleştirme/eşleştirme özelliği olmayan ve on milyonlarca kullanıcısı olan programlar da mevcuttur.
Asimetrik şifreleme yeni ve ByLock’a özel geliştirilmiş bir yöntem değildir.
1970’lerden beri bilinen bir yöntemdir ve günümüzde teknolojinin ve fiber internet altyapılarının yaygınlaşmasıyla çok yaygın bir uygulama alanı bulmaktadır. Whatsapp, Telegram, Signal, Facebook Messenger, Blackberry Messenger, Facetime, Cryptocat, Google Allo, iMessage, Line, Surespot, Threema, Viber, Wire vb. milyonlarca hatta milyarlarca kullanıcısı olan birçok mesajlaşma programında da E2EE şifreleme yani asimetrik şifreleme kullanılmaktadır. Telegram, Threema, Cyber dust mesajlaşma programları da ByLock’la aynı şekilde 2048-bit RSA şifrelemesi kullanmaktadırlar.
KISACA;
 ByLock uygulamasında kullanılan açık ve gizli anahtarların günümüzde yaygın olarak kullanılan asimetrik şifreleme olarak bilinen standart şifreleme teknolojisi olduğu,
 Piyasada ve daha güçlü şifreleme kullanan uygulamaların bulunması,
 Dünyanın en çok kullanılan mesajlaşma programlarında (whatsapp, Facebook Messenger, Google Allo vb.) farklı şifreleme teknolojileriyle yakın seviyede güçlü şifreleme sağlanıyor olması,
 Aynı teknolojileri (RSA ve AES) kullanarak aynı seviyede şifreleme sağlayan yaygın olarak kullanılan programların (Telegram, Threema, cyber dust vb.) bulunması
 Aynı teknolojileri (RSA ve AES) kullanarak ByLock’tan daha yüksek seviyede şifreleme sağlayan programların bulunması
 NIST’e göre minimum 128-bit güvenlik sağlayan tüm şifreleme teknolojilerinin güvenli olması (bahsedilen tüm teknolojiler 128-bit ve üzeri seviyede güvenlik sağlamaktadır)
ByLock uygulamasının çok özel ve gizli bir uygulama olmadığını; piyasada benzerleri olan standart seviyede bir uygulama olduğunu göstermektedir.
Şifreleme başlığı altında verilen tüm bilgiler ışığında ByLock uygulamasının piyasadaki benzerlerinden çok üst düzey bir güvenlik sağlamadığı hatta mevcut durumda piyasadaki birçok haberleşme programından DAHA DÜŞÜK SEVİYEDE güvenlik sağladığı rahatlıkla söylenebilir.
SSL sertifikalarının doğruluğu iki farklı kullanımı mevcuttur:
KENDİ KENDİNE İMZALANAN SSL SERTİFİKASI KULLANDIĞI İDDASI
 Otorite imzalı SSL sertifikası
 Kendi kendine imzalanan (self signed) SSL sertifikası
Otorite imzalı SSL sertifikası; SSL sertifikasının dünya çapında sertifika onaylama hizmeti veren Globalsign, Comodo, Symantec, Go Daddy, DigiCert, VeriSign gibi sertifika otoriteleri tarafından onaylanan sertifika demektir.
Kendi kendine imzalanan SSL sertifikası; SSL sertifikasının uygulama geliştirici veya web sayfasının kendisi tarafından onaylanmasıdır.
Her iki durumun birbirine sertifikanın güvenliği, yani SSL bağlantısının güvenliği bakımından bir üstünlüğü bulunmamaktadır. Otorite imzalı sertifika kullanıcıya bağlandığı web sayfasının/uygulamanın doğruluğunu garanti etmektedir, ziyarete gitmek istenilen bir komşunun muhtardan kimliğinin doğrulatılması gibi. Elbette bu hizmetler ücreti karşılığında verilen hizmetlerdir.
SSL protokolü, açık anahtarlı asimetrik şifrelemeye dayanır. Bu altyapının en temel özelliklerinden biri de, online (çevrimiçi) çalışmaya ihtiyaç duymadan tamamen offline (çevrimdışı) olarak güvenlik kontrollerinin yapılabilmesidir. Sertifika otoritesi ile duyulan haberleşme ihtiyacı sadece, sertifikanın ilk satın alımı sırasında sertifikanın imzalanması noktasındaki haberleşmedir. Sertifika otoritesinden sadece sertifika dosyası alınır ve kullanılacak sunucuya dosya yüklenir. Sonraki tüm haberleşme, tamamen SSL otoritesinden bağımsız olarak gerçekleşir ve SSL otoritesine herhangi bir bilgi vs. gönderilmesine ihtiyaç bırakmaz. Zaten teknik olarak da sertifika otoritesinden alınan bir sertifika dosyası ile dış dünyaya herhangi bir veri aktarımı söz konusu olamaz. Dolayısıyla self-signed bir sertifika kullanımının bu bilgi sızıntısını engellemek için yapıldığı yorumu temelsiz ve konunun uzmanlarının iddia edeceği bir husus değildir. Bu kadar temel teknik bir konuda gerçeğe aykırı tespitler yapan bir ekibin, dünyanın hiçbir büyük ülkesinin kıramadığı bir protokolü kırmayı becerdikleri iddia etmeleri iş bu raporun ciddiyeti konusunda şüpheleri beraberinde getirmiştir.
MİT tarafından ByLock uygulamasına dair hazırlanan Bilgi Notu‘nun 55. Sayfasında uygulamanın otorite imzalı SSL sertifikası kullanmadığıyla ilgili olarak aşağıdaki tespit yapılmıştır.
“ByLock uygulamasında ise uygulama geliştiricisinin kullanıcılara ait birtakım bilgilerin sertifika otoritesine gitmesini istememesi nedeniyle ‘otorite imzalı SSL sertifikasını tercih etmediği değerlendirilmektedir. Uygulama geliştiricisinin sistem, işleyiş, kullanıcı güvenliği bakımından aldığı diğer önlemler de nazara alındığında, kullanıcılara ait haberleşme trafiğinin kendi uygulama sunucusu harici bir noktaya akışını engelleyen ilave bir önlemi olarak tasarladığı görülmektedir.”
Raporu yazan uzmanlar her fırsatta sistemin gizlilik fonksiyonlarını mümkün olduğunca abartmaya çalıştıkları gözlemlenmektedir. Bir uygulama otorite imzalı SSL sertifikası kullandığında söz konusu otorite ile ilişkisi kendi gizli anahtarının otorite tarafından imzalanması ile sınırlıdır. Yani, uygulamaya erişen ağ trafiği, uygulama otorite imzalı SSL kullansa dahi, sertifika otoritesine gitmez. Trafik sadece uygulama sunucusu ile bu sunucuya erişmeye çalışan kullanıcılar arasında gidip gelir.
Şimdiye kadar verilen;
 Apple mağazada Nisan 2014 ile Eylül 2014 tarihleri arasında;
 GooglePlay mağazada ise 11 Nisan 2014 ile 3 Nisan 2016 tarihleri arasında yayında kalmış olması
 600 bin civarında sadece mağazalardan indirilme sayısı,
bilinirliği konusundaki tartışmaları noktalamaktadır. Zira uygulamanın uluslararası mağazalarda yayınlanmış olması herkese açık bir uygulama olduğunu ve örgütsel “gizli” bir uygulama olduğu yönündeki tüm iddiaları çürütmektedir.
Bununla beraber, ByLock uygulamasının 2015 yılından itibaren Türkiye’de yazılı ve görsel medyada hakkında haberler yapılan bir uygulama olması da 15 Temmuz Darbe girişiminden önce kimsenin bilmediği iddialarıyla tezat oluşturan diğer bir husustur.
PROGRAM KULLANICILARININ PAROLA DAVRANIŞLARI
Günümüz teknolojilerini göz önünde bulundurarak, konunun uzmanları tarafından da güvenli bir parolanın en az 8 haneli olması, harf, rakam ve simge içermesi asgari özellikler olarak belirtilmektedir. İdeal bir şifrenin de en az 14 karakterden oluşması gerektiği ifade edilmektedir.
Kısacası, ByLock kullanıcılarının parola uzunluklarının kendilerini gizlemeye ve haberleşmelerini saklamaya yönelik olduğu iddialarının mesnetsiz olduğu ortadadır. Zira yukarıda bahsedilen gerekçelerle; kişisel verilerini, haberleşme içeriklerini koruma amacında olan her kullanıcı hayatın olağan akışı içerisinde, kendi güvenlik önlemini alması ve kendince güvenli gördüğü, kullandığı programın izin verdiği çerçevede de istediği parolayı oluşturması kullanıcının en doğal hakkı olduğu gibi, parola uzunluğu veya türünden art niyet aramak da anlamsız ve zorlama bir tavırdır.
Programın GooglePlay ve Apple Mağaza Geçmişlerine dair veriler ışığında;
 GooglePlay mağazasında 11 Nisan 2014 ile 3 Nisan 2016 tarihleri arası yayında kaldığı
 Apple mağazasında 2014 Nisan ile Eylül ayları arasında yayında kaldığı
 Apple Mağazasında 12 ülkede ilk 100, 47 ülkede ilk 500 uygulama arasına girdiği
 GooglePlay mağazada 5 ülkede ilk 100, 41 ülkede ilk 500 uygulama arasına girdiği
 David Keynes ile yapılan röportajda geçen bilgilerin internetteki diğer açık kaynak verilerle teyit edilebilir ve doğru olduğu

 Uygulama sunucusunun 1 Mart 2016 tarihinden önce kullanımdan kaldırıldığı
 Halen bile farklı internet sitelerinden uygulamanın yükleme dosyasının indirilebilir olduğu
Uygulama kullanıcılarının milliyetleri ve profilleri bakımından;
 Uygulamanın hizmet verdiği dönemde dünyanın farklı bölgelerinden kullanıcıları olduğu
 Farklı dünya görüşüne sahip kişiler tarafından kullanılmış olduğu, bunlar arasında en dikkat çeken ismin BM Uluslararası Ceza Mahkemeleri Hakimi Aydın Sefa Akay ve farklı siyasi partilerden milletvekilleri olduğu
Uygulamanın teknik kabiliyetleri ve kullanıcılarına sunduğu özellikler bakımından, uygulamada bulunduğu iddia edilen;
 Kendi kendini imha eden medya/mesaj özelliği
 Kullanıcılarının birbirlerini sadece ID üzerinden arayıp, ekleyebilmesi
 Uygulamanın kullanıcılarından cep telefonu, kimlik numarası, e-posta adresi istenmemesi
 Rehber eşleştirme özelliğinin olmaması
Özellikleriyle piyasada benzer uygulamalarda da karşılaşıldığı;
Uygulamanın şifreleme algoritmaları bakımından;
 Kullanmış olduğu şifreleme algoritmasının standart asimetrik şifreleme algoritması olduğu ve birçok uygulama tarafından da kullanılan bir algoritma olduğu,
 Gizli ve açık 2 farklı anahtar kullanımı, 2048 bit RSA asimetrik şifreleme ve 256 bit AES şifreleme teknolojilerinin benzer uygulamalarda da kullanıldığı,
 Güvenlik seviyesi bakımından 128 bit ve üzeri güvenlik sağlayan tüm şifrelemelerin otoritelerce güvenli kabul edildiği; bu bakımdan tüm uygulamaların güvenli sayıldığı,
 Uygulamanın sağlamış olduğu güvenlik seviyesinden daha düşük ve daha yüksek seviyede güvenlik sağlayan uygulamaların olduğu,
 EFF kriterleri bakımından uygulamadan daha güvenli programların bulunduğu ve dünya çapında bilinen ve milyarlarca kullanıcısı olan bazı programların daha güvenli olduğu,
 Kendi kendine imzalanan SSL sertifikası kullanımının makul sebepleri olduğu ve benzer uygulamalarının mevcut olduğu,
Program kodlarının bulanıklaştırılması hususunun emeğin korunması bakımından makul olduğu,
Programın 15 Temmuz darbe girişimi öncesinde de dijital dünyada çok olmasa da bilindiği, Türkiye medyasında da 15 Temmuz öncesi programla ilgili haberler yapıldığı,
Program kullanıcılarının parola uzunluklarının günümüz güvenli parola kriterleriyle örtüşenlerini olduğu gibi, bu kriterleri sağlamayan uzunluklara sahip de kayda değer kullanıcı sayısının olduğu,
UYGULAMANIN 15 TEMMUZ DARBE GİRİŞİMİNDE KULLANILDIĞI İDDİASI
 Uygulama sunucusunun kullanımdan kalkması nedeniyle 2016 Mart ayından sonra programın 15 Temmuz Darbe girişiminde kullanılmasının teknik olarak mümkün olmadığı
Hususları tespit edilmiştir.
ByLock Uygulamasının Sadece İddia Edilen Örgüt Tarafından Kullanıldığı Hükmüne Nasıl Varılmıştır?
Fox-IT şirketi MİT raporu hakkında analizlerini bilimsel verilere gore yaparak ulaştığı sonucu raporunda yer vermiştir. Fox-IT şirketinin hazırladığı rapora gore;
MİT, ByLock uygulamasının sadece iddia edilen grup tarafından kullanıldığı hükmüne aşağıdaki bulgulara dayalı olarak varmıştır:
1   2   3   4   5   6   7   8

Benzer:

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconYargitay ceza dairesine gönderilmek üzere bölge adliye mahkemesi İSTİnaf ceza dairesiNE

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconBÖlge adliye mahkemesi İLGİLİ ceza dairesi’NE

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconYargitay 13. Ceza dairesi

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconİdare mahkemesi başkanliğI’na sunulmak Üzere

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconİstanbul sulh ceza hâKİMLİĞİ’ne sunulmak üzere istanbul sulh ceza hâKİMLİĞİNE

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconCumhuriyet savcilarina ceza kovusturmasi yapmak uzere acik cagrimizdir!

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconAĞir ceza mahkemesi başkanliğina

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconAĞir ceza mahkemesi başkanliğI'NA

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconSulh ceza mahkemesi sayin hâKİMLİĞİ’NE

BÖlge adliye mahkemesi İLGİLİ ceza dairesi’ne gönderilmek üzere iconNÖbetçİ trafik ceza mahkemesi HÂKİMLİĞİ’NE


Yasa




© 2000-2018
kişileri
d.ogren-sen.com