Operatör Kayıtlarından ByLock Çıkmaz!

ByLock, Operatör, ATK, Pilot başlıklı yazımı (https://www.meridyenhaber.com/bylock-operator-atk-pilot-makale,44859.html) okuduğunuzu düşünerek devam edeceğim. 

Adli Tıp Kurumu’nun (ATK) bürokratik bir üslupla da olsa GSM operatörlerinin internet trafik kaydı olarak BTK’ya gönderdikleri, oradan da dava dosyalarına dahil edilen verilerden anlamlı bir kayıt çıkmayacağını kabul ettiğini belirtmiştik. ATK, operatör kayıtlarından (CGNAT ve GPRS) ByLock uygulamasının kullanımını teknik olarak herhangi bir şüpheye yer vermeyecek şekilde tespit etmenin olanaksız olduğunu zımnen de olsa kabul etmiştir. Operatör kayıtları 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”un (İnternet Kanunu) 2. Maddesi j bendinde tanımlanan internet trafiği gereklerini karşılamamaktadır.

Mahkemelerden ATK’ya ısrarla gönderilen verilerin incelenemeyeceği yine bürokratik ve nazik bir üslupla belirtilmişti. ATK bu defa genel bir yazı ile operatör kaynaklı verilerin bilirkişilerce birleştirilmesi yerine mobil operatör firmasından alınabileceğini belirtmiştir. Yazının ekran görüntüsünü sunuyorum. Kullanmak isteyenler için 24 Eylül 2019 tarihli yazının tarih ve sayı içeren bölümünü de ekliyorum. Elbette herhangi bir özel bilgi paylaşılamıyor.

Bunun üzerine de mahkemeler ilgili GSM operatörlerine müzekkere yazmış ve internet kanununda belirtilen tanıma uygun olacak şekilde bir kayıt oluşturmanın mümkün olup olmadığını sormuştur. Yazılan yazılardan birinin ekran görüntüsünü paylaşıyorum.

İlk derece mahkemelerinin operatör kayıtlarının delil niteliği üzerinde neden ısrarcı olduğunu anlamadığımı belirterek operatörlerden daha önce gönderilen iki yazıya atıf yapmak ve bu talep edilenin imkânsız olduğunu açıklamak istiyorum.

Operatörler müşterilerinin ByLock kullanıcısı olup olmadıkları hakkında rapor düzenleyemezler, bunu bilemezler. CGNAT ve GPRS verilerini tek bir dosyada birleştirmeleri ve hangi tarihte ne kadar süre ile hangi uygulamaya bağlanılmış, ne kadar veri gönderilmiş ve indirilmiş sorularına cevap verebilmeleri de ByLock’un kullanıldığı zaman dilimleri için mümkün değildir.  

Öncelikle 5651 ve 5809 sayılı kanunlar nedeniyle operatörler kayıtları Haziran 2016’ya kadar bir yıl, sonrasında ise iki yıl tutmakla yükümlüdürler ve sonrasında imha etmek zorundadırlar. Yapılan imha değildir, zaten bu derece yüksek boyutlu verileri saklayacak altyapıları bulunmaz, eski verilerin üzerine veri yazarlar. Her koşulda kayıtların saklama süresi sonrasında imha edilmemesi de ayrı bir suçtur. Bu konu daha önceki bir yazımızda da (https://www.meridyenhaber.com/internet-trafik-bilgilerini-ve-hts-kayitlarini-kim-tutuyor-makale,44634.html) açıklanmıştır.  

Operatörler de daha önce dava dosyalarına dahil olan çok sayıda yazılarında ByLock kullanımı iddialarına konu olan tarihler için kayıtlarını saklamadıklarını ancak BTK’ya daha önce iletmiş olduklarından BTK’dan talep edilebileceğini belirtmişlerdir. Yukarıda ekran resmi paylaşılan müzekkereye de benzer bir cevap verilebileceğini düşünüyorum.

Bir diğer önemli problem ise GRPS verilerinin tutulma yöntemleri ile ilgilidir. GPRS verilerinde operatörlerin amacı her bir müstakil bağlantı ayrı bir kayıt oluşturmak değildir. Daha çok muhasebe/faturalandırma amaçlı kayıt tuttuklarını incelediğim bini aşkın kayıttan söyleyebilirim.  Turkcell ve Türk Telekom (Avea) operatörlerinin 7200 saniyelik, Vodafone operatörünün ise 3600 saniyelik kayıt yenileme süresi kullandığı gözlenmekte ancak bu süreler operatörlerce değiştirilebilir. Daha çok kayıt yenileme süreleri içinde paketler halinde kayıt tutulur. Tutulan kaydın baz/konum verisinin hizmetin sağlanması ile eş zamanlı değil, gecikmeli olarak tutulduğu incelenen çok sayıda kayıtta gözlenmiştir. Ancak bu gecikme süresi sabit olmadığı gibi, gecikme miktarı GSM operatörlerince de ayrıca kaydedilmemektedir.

GSM operatörlerinin kayıt sistemleri şeffaf (kamuoyuna açık) olmadığından GPRS kayıtlarındaki gecikme miktarı konusunun net olarak bilinebilmesi mümkün olmamaktadır. Ancak ByLock isnatlı bir kovuşturma dosyasında ülkemizde yaygın kullanılan bir GSM operatörünce BTK’ya yazılan yazı dava dosysına dahil olmuştur. Yazının fotoğrafı pek kaliteli olmamakla birlikte anlaşılırdır. Ekran görüntüsünü paylaşıyorum. 

Yazı sadece konum verileriyle ilgili gibi görünmekle birlikte, GPRS verilerinde gecikmenin 12 saati bulabileceğini de anlıyoruz. Yazının gecikmeye işaret ettiği zaman dilimi ise ByLock uygulamasının kullanıldığı tüm zaman dilimini kapsamaktadır.

Bir başka önemli hususu da yeri gelmişken vurgulamak da fayda var. GSM operatörleri karşı taraftaki IP’leri görüyor ve müşterilerinin bağlantı talebinde bulunduğu IP adreslerini kaydediyor. Müşteri ayrıştırmasını sağlıklı yapamadıkları ortada olmakla birlikte karşı taraftaki IP’nin sadece ByLock tarafından kullanıldığını kim biliyor?

ByLock dokuz ayrı IP adresi satın alıyor ve dördünü aktif olarak kullanıyor. En meşhurları 46.166.160.137 şeklindeki IP adresi. Bildiğiniz gibi Av. Ali Aktaş, Av. Gizay Dulkadir ve Adli Bilişim Uzmanı T. Koray Peksayar ile birlikte bir rapor (https://koray.peksayar.org/wp-content/uploads/2018/03/BL_PROBLEMLER_GENEL_%C4%B0MZALI.pdf) kaleme almıştık. Raporun 36. sayfasında önemli bir tespite yer vermiştik. Yeniden yazmayayım ve rapordan ekran resmini dipnotuyla birlikte paylaşayım. 

17 Kasım 2014 sonrası VPN kullanımı gerektiren dönemde yer alan CGNAT kayıtlarının bir nedeni de bu olabilir. Bizlerin dört ayrı site tespit etmiş olması 14 site olmadığı anlamına gelmez. Biz bir IP için çalışma yapabildik, imkanlarımız sınırlı idi. Diğer IP’ler için de böyle bir durum elbette olabilir ki bence vardır.

Bazı bilirkişilerimiz bu tespite karşı çıkmıştı ve ByLock IP adreslerinin “dedicated” (tahsisli) olduğundan bahisle ByLock uygulaması haricinde kullanılamayacağını belirtmişlerdi. Öyle mi? Biz tespit ettik. Dileyen kontrol etsin. 

Üstelik Litvanya gibi bir ülkede para ödenerek verilerin satın alınabileceğine inanıyoruz ama aynı sunucuyu işletenlerin parayı verene tahsisli IP kullandıracağına inanmıyoruz. İçine düşülen çelişkinin farkında mıyız? Parayı veren düdüğü çalar ve de çalmış.

Eğer tahsisli IP’lere ve GSM operatörlerinin CGNAT kayıtlarına çok güveniyorsak neden 11 Nisan-10 Ağustos 2014 tarihleri arasında parayı verenin keyfi düdük çalamayacağı bir ülke olan ABD’deki ilk ByLock sunucusunun IP’sine (69.64.56.133) yapılan bağlantı taleplerini kontrol etmiyoruz? ByLock kullanan en kritik ilk 15 bin kişi oradan bulunamaz mı? İçinde olmasından korktuğumuz birileri mi var?

Bence ya bu ilk döneme de bakın ya da gelin tekniğin ve hukukun gereğini kabul edelim. Operatör kayıtlarından ByLock çıkmaz diyelim.