ByLock uygulamasının mobil cihaz üzerinde kullanıldığı tesbit edilebilir mi?

(1) Mobil cihaz üzerinde kullanılan ByLock uygulamasının kesin olarak tesbiti konusunda inceleme yapılabilmesi için adlî bilişim yazılım ve donanımları kullanılarak adlî kopyasının alınmasına ihtiyaç duyulmaktadır. Mobil cihazlar üzerinden fiziksel kopya(Fiziksel adlî kopyanın temel mantığı, işletim sisteminin orijinal bootloader’ını başka bir loader ile değiştirerek sistem kaynakları üzerinde Ring-0 (kernel düzeyi) düzeyinde veya yazılım bütünlüğü içinde fiziksel bir erişim yetkisine kavuşmaya dayanmaktadır) ve mantıksal kopya (Mobil cihazın aktif dosya sisteminde yer alan dosyaları başka bir sisteme kopyalayıp, inceleme işlemine verilen addır.) olmak üzere iki türlü kopya alma işlemi yapılabilmektedir.

(2) Android işletim sitemini kullanan mobil cihazlarda;

(a) Fiziksel adlî kopya işlemi yapılabilmesi için öncelikle mobil cihaz üzerinde “Geliştirici Seçenekleri” ve “Bilinmeyen Kaynaklar” sekmeleri aktif hale getirilmelidir.

(b) Mobil cihazların incelenmesinde kullanılan adlî bilişim yazılımları, mobil cihazlar üzerine yüklemiş oldukları ajan ile cihazın fiziksel kopyasının alınmasını sağlamaktadır. Bu işlem bütün marka ve model mobil cihazlar için geçerli değildir. Adlî bilişim yazılımları ile otomatik olarak fiziksel kopyası alınamayan mobil cihazlara manuel olarak “ROOT” işlemi yapılarak “SuperSU” uygulaması yüklenmelidir.  

(c) Mobil cihazlar üzerinde manuel olarak yapılan “ROOT” işleminin yapılamaması (Mobil cihazın marka, model ve işletim sistemine uygun bootloader yazılımının bulunamaması durumunda ROOT işlemi sırasında mobil cihazın fabrika ayarlarına dönme veya işletim sisteminin çökmesi gibi riskler bulunmaktadır.) gibi durumlarda  mantıksal kopya alma işlemi yapılmaktadır. 

(ç) Hali hazırda Google Play ve AppStore uygulama mağazaları haricinde çeşitli mobil cihaz uygulama mağazalarında bulunan ByLock uygulaması indirilerek sıkıştırılmış dosyalar genişletilmeli, uygulama içerisinde bulunan bütün dosyaların sayısal imza seti (MD5, SHA-1) oluşturularak adlî bilişim yazılımı içerisine eklenmelidir.

(d) Mobil cihaz kopyası üzerinde adlî bilişim yazılımları ile veri kurtarma işlemi yapılmalı, mevcut ve kurtarılan bütün verilerin saysısal imzası (MD5, SHA-1) hesaplanmalıdır.

(e) Adlî bilişim yazılımları ile ByLock uygulaması sayısal imza seti ile mobil cihaz üzerinden tesbit edilen sayısal imzaların karşılaştırması yapılmalı, eşleşen dosyalar raporlanmalıdır.

(f) Mobil cihaz etiketinde belirtilen IMEI numarası ile adlî bilişim yazılımı ile tespit edilen IMEI numarası karşılaştırılmalıdır.

(g) Mobil cihazın kopyası  üzerinde bulunan bütün veriler (fiziksel kopyada silinmiş alanlar da dahil edilir) adlî bilişim yazılımı ile indekslenmeli, belirlenen anahtar kelimeler ile indeks üzerinde arama yapılmalıdır.

(ğ) Mobil cihaz ile entegre çalışan bulut veri depolama alanları adlî bilişim yazılımları kullanılarak incelenmeli, bulut depolama alanları üzerinde kurulan uygulamalara ait veriler incelenmeli, belirlenen anahtar kelimeler ile arama yapılmalıdır.

(h) Mobil cihaz sahibinin cihaz ile entegre çalışan e-posta adresi kullanılarak yüklenen uygulamalara ait bilgiler uygulama mağazalarından tesbit edilmelidir.

(3) iOS işletim sitemini kullanan mobil cihazlarda;

(a) iOS işletim sistemini kullanan mobil cizalarda (iPhone 4S üzeri) fiziksel kopyalama işlemi yapılamamaktadır. iOS cep telefonları üzerinde yapılan incelemeler mantıksal kopya üzerinde yapılmaktadır. 

(b) Mobil cihaz etiketinde belirtilen IMEI numarası ile adlî bilişim yazılımı ile tesbit edilen IMEI numarası karşılaştırılmalıdır.

(c) Mobil cihazın kopyası  üzerinde bulunan bütün veriler adlî bilişim yazılımı ile indekslenmeli, belirlenen anahtar kelimeler ile indeks üzerinde arama yapılmalıdır.

(ç) Mobil cihaz ile entegre çalışan bulut veri depolama alanları adlî bilişim yazılımları kullanılarak incelenmeli, bulut depolama alanları üzerinde belirlenen anahtar kelimeler ile arama yapılmalıdır.

(d) Mobil cihaz sahibinin cihaz ile entegre çalışan e-posta adresi kullanılarak yüklenen uygulamalara ait bilgiler uygulama mağazalarından tesbit edilmelidir.

g.  ByLock kullanımı delil olabilir mi?

(1) ByLock uygulamasının mobil cihaz üzerinde tesbit edilmesi sonucunda, kullanıcının bilerek isteyerek uygulamayı yüklemesi yanında bilinçsiz veya tuzak kurularak yüklenmiş olması ihtimalinin bulunduğu göz ardı edilmemelidir. Konuşma muhtevası tesbit edilememesi durumunda kişinin kullanıldığı mobil cihazı ile diğer dijital eşyaları eş zamanlı olarak incelenmelidir. 

(2) Mobil cihaz kullanılarak ByLock sunucusuna yapılan bağlantıların tesbit edilmesi, yapılan yazışmaların belirlenmesi, yazışmalar kapsamındaki suç unsurlarının ve suçların eyleme geçirildiğinin netleştirilmesi sonucunda şahsın örgüt üyeliğinin tesbitini sağlayabileceği değerlendirilmektedir.

(3) Ülkemizde, geçtiğimiz yıllarda kamuoyunda Ergenekon dâvâsı olarak bilinen yargılamada kararını açıklayan Yargıtay 16. Ceza Dairesi, dijital delillerle alâkalı şu ifadeleri kullanmıştır: 

“… tamamı ‘dijital delil’ olarak adlandırılan, suistimale müsait olan verilerin… (sayfa 32, EK-2)” “Dijital delillere harici müdahalenin teknik olarak mümkün olması, çoğu zaman kim tarafından hangi tarihte müdahale yapıldığının da belirlenememesi karşısında… (sayfa 34, EK-2)”.

(4) ByLock kullanıcılarının tesbitinin yapılma işleminin ByLock sunucusunun hacklenerek elde edildiği bilgisi basında yer almaktadır. Bu işlem doğru ise kanunsuz elde edilen delilin delil olarak kabul edilmeyeceği hususu göz ardı edildiği değerlendirilmektedir. 

ByLock’u Nasıl Kırmışlardır?

(1) “ByLock’u kırmak” yanlış bir tabirdir. ByLock’un kendisi şifreli bir program değildir. Veri elde etmek maksadıyla ya ByLock sunucusu hacklemiş ya da ByLock sunucusu veri tabanı satın alma gibi yöntemlerle elde edilmiş olabilir. Bu konu ile ilgili net bir bilgi bulunmamaktadır. 

(2) Basında yer alan bilgilerde ByLock uygulamasında kullanıcıların kullandığı şifrelerin 16-24 karakter olduğu belirtilmesine karşın, MİT raporunda üç karaktere kadar  kullanıcı şifrelerini bulunduğu, yaklaşık yarısının 9 karakterden uzun olduğu ifade edilmiştir.

(3) MİT raporunda veritabanı tabloları içerisinde yer alan iletişim verilerinin ByLock uygulaması tarafından 2048 bit anahtar kullanılarak otomatik olarak şifrelendiği belirtilmektedir.

(4) 13/09/2016 tarihinde Hürriyet Gazetesi’nde “Darbe yolundaki gizli yazışmalar: ByLock” başlığıyla yayınlanan yazıda ByLock uygulamasına ait olduğu belirtilen ve Şekil-19’te sunulan veri tabanı görüntüsü yer almaktadır.  Bu yazıda kullanılan bir görsel MySQLveritabanı yönetim sistemlerini kullanan phpMyAdmin yönetim yazılımına ait aşağıdaki ekran görüntüsüdür (Haberin doğru olduğu, bu görselin simgesel olmadığı ve kullanıcılar hakkında tutulan veri tiplerinin tamamını gösterdiğini varsaydığımızda devletin ilgili birimlerinin ByLock’un kullanıcı veritabanına sahip oldukları anlaşılmaktadır. Ancak bu görselden edinilemeyen bilgi veritabanında kullanıcılar hakkında başka bilgilerin depolanıp depolanmadığıdır.). 

(5) Söz konusu veritabanı görüntüsü incelendiğinde;

(a) Veritabanı adı “appDb” ve veritabanı tablosu da “user” olduğu,

(b) Tabloda tutulan veri sütunlarının id (kullanıcı kimlik numarası), username (kullanıcı adı), psw (şifrelenmiş parola), plain (şifrelenmemiş parola), name (ad) ve lastonlinetime (sisteme son bağlanılan tarih) olduğu görülmektedir.

 c) Hazırlanan uygulama bir bütün olarak incelendiğinde yanlızca Şekil-25’de gösterilen sütunlardan oluşmayacağı değerlendirilmektedir. Konu ile ilgili olarak MİT raporu incelendiğinde karartılmış bölümler içerisinde şifreli durumda dosya ekleri, yazışmalar vb. bilgilerin olduğu anlaşılmaktadır.  

(ç) MİT raporu ve basına yansıyan bilgiler bir bütün olarak incelendiğinde ByLock uygulamasının birden fazla veri tabanı tablosundan oluştuğu görülmektedir. Tablolar üzerinde bulunan verilerin bir kısmının açık, bir kısmının ise şifreli durumda bulunduğu anlaşılmıştır. Farklı tablolarda yer alan bilgilerin kullanıcı bazlı  tutarlılık analizinin titizlikle yapılması tespitlerin kesinliği açısından önem arz etmektedir. 

(d) Veri tabanı tablolarında yer alan kriptolu verilerin klâsik yöntemlerle çözümlenmesi teknik olarak pek mümkün değildir. Ancak, kriptolu durumda bulunan verilerin çözümü işleminde dünya genelinde yaygın olarak kullanılan ve “RainbowTable” olarak adlandırılan yöntemin MİT tarafından kullanılmakta olduğu değerlendirilmektedir. Klâsik yöntemler kadar uzun sürmese de MİT raporunda yer alan yaklaşık 18 milyon mesajın RainbowTable kullanarak yapılacak tesbitlerinin de uzun bir süre alacağı kaçınılmaz bir sonuçtur. Mesaj çözümlenmesinin de bir önceliklendirme esası doğrultusunda gerçekleştirilmesi gerektiği değerlendirilmektedir.

ByLock sunucusunda haberleşme muhtevaları açık metin olarak sunucuda saklanıyor mudur?

(1) Basında mesajların “karşı taraf okuyunca, ya da 24 saat içinde otomatik olarak silindiği” haberleri bulunmaktadır. İzmir Cumhuriyet Başsavcılığı tarafından hazırlanan iddianamede mesajların 24 saatlik süre içerisinde silinebilecek şekilde ayarlanabildiği bilgisi yer almaktadır. 

(2) Görüşme kayıtlarının sunucuda yer alan kopyalarının şifreli olduğu değerlendirilmektedir. Basında yer alan şifrelerin çözümü devam ediyor şeklindeki haberler de bilgilerde bu tezi desteklemektedir.  

(3) Mevcut bilgilerden yola çıkılacak olursa, ortada ByLock sunucunda yer alan verilerin elde edilmesiyle ilgili olarak üç ihtimalin bulunduğu görülmektedir. Bunlardan birincisi ByLock sunucusunu hacklenmesi, ikincisinin sunucu sahibinden verilerin satın alınması, üçüncüsünün  ise Türkiye’nin internet çıkışlarından ByLock sunucusuna giden bağlantıların listesinin alınmasıdır.

(4) İlk iki ihtimalin göz ardı edilmesi durumunda ByLock kullanıcılarının tesbiti maksadıyla Türkiye’den ByLock sunucusuna yapılan erişim kayıtlarının tespit edilmesine yönelik çalışmalar yapıldığı kuvvetle muhtemeldir. Bu işlemler geçmişe yönelik olarak güvenlik birimleri tarafından tesbit edilebilmektedir. FETÖ yöneticilerinin takip edildiklerini fark edip VPN kullanımına yönelik talimatlar vermesi de bunun bir göstergesi olarak yorumlanabilir. Zira VPN, böyle bir durumda ancak IP adresini gizlemek için kullanılmaktadır (üçüncü ihtimalin tek başına kullanılması durumundan MİT raporunda yer alan ByLock uygulaması veritabanı tablolarına ulaşmak teknik olarak mümkün değildir).

(5) ByLock kullanıcılarının net olarak tesbit edilmesi, amacıyla bir ve ikinci yöntemler uygulanarak elde edilen verilerin analizin üçüncü yöntemle elde edilen verilerle karşılaştırılmasının bir zorunluluk olduğu değerlendirilmektedir.