Analiz Siber-Güvenlik

ByLock nedir? ‘FETÖ’ operasyonları nasıl yapılıyor?

ByLock adlı uygulamayı bulundurmak, 15 Temmuz darbe girişiminin faili olduğu düşünülen ‘Fethullahçı Terör Örgütü’ (FETÖ) mensubu olunduğuna dair en önemli kanıt sayılıyor.

15 temmuzdan bu yana hemen her gün yeni bir ByLock operasyonu duyuyoruz. Ama bu operasyonların nasıl yapılabildiği anlaşılamıyor. Ya da bu yazılımı kullananların ‘FETÖ’ mensubu olduğunun nasıl anlaşıldığı bilinmiyor.

ByLock, Whatsapp gibi bir anlık mesajlaşma uygulaması. Sunucusunun Litvanya’da bulunduğu söyleniyor. Bylock ile ilgili 15 Temmuz öncesinde haber ya da reklam olarak herhangi bir bilgi yok.

İlk duyumlar 15 temmuz sonrasında MİT’in böyle bir yazılımı tespit ettiği ve şifrelerini çözdüğü şeklindeydi. Sonra eylül başında Hürriyet Daily News Genel Yayın Yönetmeni Murat Yetkin’e bazı açıklamalar yapıldığını gördük. Olayı bu açıklamalar sayesinde kısmen anlayabildik.

Buradan hareketle, ByLock meselesine yakından bakalım:

Türk istihbaratı ByLock sunucularına sızdı

Açıklamalara bakılırsa, 17-25 Aralık dönemi sonrasında, Gülen cemaatine mensup kişilerin haberleşmesinde bir azalma görülüyor. İletişimin başka yöne kaydığı düşünülüyor. İletişimin nasıl sağlandığını araştıran istihbarat yetkilileri, ByLock anlık mesajlaşma yazılımına ulaşıyor. Daha sonra da nasıl yapıldıysa bu yazılımın sunucularına sızılıyor. (bu siber ustalık da olabilir, içeriden bir kişinin yardımı da olabilir)

Bir süre önce Whatsapp konusunda hatırlarsanız Jonathan Zdziarski isimli iOS araştırmacısı sildiğiniz mesajların bile silinmediğini veri tabanında kaldığını açıkladı. WhatsApp ya da ByLock farketmez; sonuçta her yazılımın işletildiği bir sunucu vardır. Bu sunucuya erişiminiz varsa, içeriği de görebilirsiniz.

15 temmuz sonrası başlayan ByLock tartışmaları bir ara Britanya merkezli haber ajansı Reuters’ın da ilgisini çekti ve iki Amerikalı güvenlik uzmanına ByLock’un denettirildiğini duyurdular. Bu iki kişi ‘amatör’ olarak değerlendirdikleri yazılımın sunucularına çok kolaylıkla sızıldığını belirtiyorlardı.

Bu arada yazılımın geliştiricisinin kayıtlarda “David Keynes, Oregon” şeklinde verildiği ama gerek Türk istihbaratının, gerekse Reuters’ın bu bilgilerden hareketle ulaşabildiği birileri ya da bir firma olmadığı görüldü. Dolayısıyla bu adresin uydurma olduğu düşünülüyor. Şüpheleri arttıran bir unsur da bu.

MİT yetkililerinin yaptıkları araştırmada, yazılımın sahibi görünen firmanın bir tabela şirketi olduğu, kullanılan “David Keynes” gibi yabancı isimler arkasında Türklerin bulunduğu, Cemaat tarafından sanki ABD’de bir şirketmiş gibi kurulup, yazılımın da Türkiye’de üretildiği sonucuna varmış. Ayrıca yine belirtildiğine göre, ByLock yazılımının kaynak kodları arasında bazı Türkçe komutların unutulduğu da görülmüş.

Bir başka ilginç not da sunucudan indirilen 18 milyon mesaj, 3.5 milyon e-postanın %99’unun Türkçe yazıldığı ve bağlantı yapılan IP’lerin %98’inin  Türkiye kaynaklı olduğu şeklinde.

Uygulama dükkânlarından kaldırılmış

ByLock yazılımının bloguna bakıldığında, ön sayfada yer alan mesajda İngilizce olarak “Çok kısa zamanda 1 milyon kullanıcıya eriştik. Bu kadar kapasiteyi tahmin etmemiştik. Kaynaklarımız yetersiz kalıyor. O nedenle uygulamamızı iOS ve Android dükkanlarından kaldırdık” yazıyordu.

Reuters bu durumu; “1 milyona ulaşmış bir yazılım, nasıl duyulmaz, bilinmez şeklinde değerlendiriyordu.

Aynı döneme dair şöyle bir bilgi de var: “2014 yılında MİT sızdığı sunucudan tespit ettiği 40 bin kadar devlet çalışanını (ve 600 subayın ismini) ilgili kurumlara bildiriyor. Bu da ‘FETÖ’ tarafından, yazılıma sızıldığının anlaşılması anlamına geliyor. Dolayısıyla bu uygulama dükkânından kaldırmanın aynı döneme denk gelmiş olabileceği yorumu var. ‘FETÖ’ ondan sonra Eagle isimli başka bir uygulamayı kullanmaya başlıyor.

215 bin hesap, 18 milyon mesaj

Türk istihbarat yetkilileri, içine sızdıkları By sunucusundan tüm verileri 2015 sonunda indirmiş. Yetkin’in yazdığına göre 215 bin hesap ve 18 milyon civarı mesajdan bahsediliyor. İşte polisin yaptığı operasyonların kaynağı da bu hesap ve mesajların çözümlenmesi ile elde edilen bilgiler gibi gözüküyor.

Peki nasıl çözülüyor?

Sunucuya giden bağlantıların adresi üzerinden geriye dönüş yapılıyor. Bu bir mobil telefon ise, kullanan zaten operatörün kayıtları (loglar) üzerinden hemen anlaşılır.

Ama bu wi-fi kullanan bir mobil telefon ise, o zaman tespitinde iki farklı durum söz konusu. Eğer kullanılan wi-fi ağı bir kuruma aitse (otel/ cafe/şirket), o şirketin 5651 sayılı kanun çerçevesinde kullanım loglaması yapan cihazı vardır. Bu cihaz kanunda istendiği şekilde loglama yapıyorsa, wi-fi kullananı bulmak hala mümkündür.

Ama eğer internet fiyatını paylaşmak anlamında ortak wi-fi kullanımı varsa yani 2-3 komşu aynı interneti kullanıyorsa. Bunu anlamak zordur. Çünkü bireysel kullanımda loglama yoktur.

Yapılan açıklamalardan bizim anladığımız, hesapların, IP adreslerinin ve oradan da kimliklerinin tespiti yapıldığı, bu arada mesaj içeriklerinden de yararlanıldığı şeklinde.

Her kullanan ‘FETÖ’ üyesi mi?

Bu konuda çok net bir yorum yapmak mümkün değil. Bunu ancak belirttiğimiz gibi elinde veriler olan istihbarat yetkilileri söyleyebilir. Ama konuyla ilgili bir kaç detayı yorumlayalım:

ByLock konusunda bir kullanıcı rehberi yok. Karşılıklı anahtar ile haberleşildiği bilgisi var. Dolayısıyla herkese açık olmadığı, ancak belli kişilerce kullanılabileceği anlaşılıyor.

Acaba birisinde görüp, yüklemiş olan ya da iOS ve Android dükkanlarındayken yüklemiş olanlar var mıdır? Bunu bilemiyoruz. Ama pek duyulmamış ve reklamı yapılmamış bir yazılım olması ve kullanıcılarının ancak anahtar ile birbirini bulması nedeniyle bu yazılımı kullananlar çevresinde şüpheler yükseliyor.

Füsun Nebil

1996’dan beri telekom endüstrisinde çalışıyor.
2000’den beri sektörle ilgili yazılar yazıyor.

Journo E-Bülten