Tüm ayrıntılarıyla FETÖ’nün Bylock tuzağının işleyişi

Share on facebook
Share on twitter
Share on pocket
Share on email
Share on print

Adli Bilişim Uzmanı Tuncay Beşikçi, Cumhuriyet davasının dördüncü duruşmasında tutuklu sanık Emre İper’in telefonunda Bylock olup olmadığına dair mahkemeye rapor sundu. İper’in telefonuna Bylock indirilmediğini açıklayan Beşikçi, Freezy adlı müzik programıyla Bylock’a yönlendirme yapıldığını belirtti. Daha önce Koray Peksayar’ın raporunda ortaya çıkan şimdi ise Beşikçi’nin doğruladığı bilgiler tüm Bylock soruşturmalarını etkileyebilir.

Tuncay Beşikçi duruşmada Emre İper’in telefonunda Android işletim sistemi bulunduğunu ve hiç formatlanmadığını vurgulayarak, İper’in telefonuna yüklediği ve sonradan sildiği Freezy programının Litvanya’daki ByLock sunucusuna yönlendirme yaptığını kanıtlarıyla ortaya koydu. Emre İper’in telefonuna Freezy programının yüklendiğine dair görsel de raporda yer aldı. (Görseller Tuncay Beşikçi’nin izniyle rapordan alınmıştır)

freezy var

Peki yönlendirme nasıl gerçekleşiyor?

Bir uygulamaya veya programa iFrame kodu eklenerek Bylock.net adresine yönlendiriliyor. Dolayısıyla bu sayfaya giren herhangi bir kullanıcı farketmeden ve hiç Bylock yüklemese bile Bylock sunucusunun IP adresine bağlanmış gibi görünüyor.

İper’in Freezy programını kaydettiği tarihlere bakıldığında bu tarih aynı zamanda Emre İper’in telefonundaki Bylock tespitinden 4 gün öncesine denk geliyor. Freezy-Müzik Bul Dinle uygulaması son olarak 11 Haziran 2015’te kullanılmış ve telefonda kaldığı 293 gün süresince toplamda 572 defa çalıştırılmış. Aşağıdaki görsellerden de anlaşılacağı üzere Freezy programının yönlendirme yaptığı Beşikçi’nin testiyle doğrulanmış oluyor.

deneme1

deneme2

Olayın bir başka boyutu ise İper’in Bylock sunucusuna bağlanmaya başladığı tarihlerde Bylock’a olan ilgi artmış, tüm zamanların en üst noktasına ulaşmıştır. (Grafik Google verilerinden alınmıştır) Bu sert yükselişin morbeyin.com ve benzeri sitelere iFrame kodu eklenerek yapıldığı açıktır. Medyascope.tv’de Ağustos ayında yaptığımız haberde Ağustos-Eylül-Ekim 2014 tarihlerinde Bylock sunucusuna bağlandığı görünen kişilerin mağduriyet iddialarını haberleştirmiştik. İper ile birlikte binlerce kişi 2014 yılının Ağustos-Eylül-Ekim aylarında Bylock’a bağlandığı iddiasıyla yargılanıyor. Aşağıdaki grafikle ortaya çıkan tablo, mağduriyetlerdeki kumpas iddialarını doğrular nitelikte:

google ilgi ve iper giriş grafiği

Emre İper’in ByLock sunucusuna bağlandığı son tarih olan 13 Eylül 2014’den sonra ise İper’in telefonuyla paralel olarak ByLock’a olan ilgi sert bir şekilde düşüş göstermiştir. Beşikçi’ye göre bu sert düşüşün nedeni iki şekilde açıklanabilir:

1- ByLock sunucusunun Türk IP adreslerine erişimi kapatması sebep olabilir

2- iFrame kodlarıyla ByLock sunucusunu destekleyen morbeyin.com veya benzer amaçlı siterden iFrame’in kaldırılması

Sunucuyu kiralayanlar FETÖ bağlantılı

Sonuç olarak Beşikçi’ye göre HIS (CGNAT) kayıtlarına göre, Yunus Emre İper’in kullanımındaki telefondan 26 Ağustos- 13 Eylül 2014 tarihleri arasındaki 18 günlük sürede, toplamı 945 dakikalık 14 ayrı oturumda, ByLock uygulamasının Litvanya’da bulunan 46.166.160.137 IP adresli sunucusuna bağlandığı anlaşılıyor. Ancak telefonda Bylock uygulamasının kurulduğuna dair herhangi bir iz yok.

Freezy programı isnat edilen suçun gerçekleştiği tarihlerde telefonda kurulu. Dahası Tuncay Beşikçi, morbeyin.com adresinin barındırıldığı sunucuyu kiralayan kişilerin FETÖ bağlantılarını savcılığa bildirdiğini ve bu kişilerin 17-25 Aralık’tan sonra yurt dışına kaçtığını ekliyor.

Daha net anlaşılması için Tuncay Beşikçi’nin raporda hazırladığı kronolojik sıra:

kronolojik sıra

Sorun nasıl düzeltilebilir?

Adli Bilirkişi Tuncay Beşikçi’ye göre bir telefonda Bylock kulanılıp kullanılmadığı veya yönlendirme yapılıp yapılmadığı kolayca anlaşılabilir. Bunun için 26 Ağustos ile 13 Eylül 2014 tarihleri arasındaki tüm HIS (CGNAT) kayıtları operatörden istenip, ByLock sunucu IP adresi olan 46.166.160.137 bağlantılar bulunduktan sonra bir önceki bağlantıya bakılabilir.

Bu ortaya çıkarıldıktan sonra bir önceki bağlantıların tamamımın aynı olması durumunda ByLock sunucusuna başka bir sunucudan (örneğin morbeyin.com’a ait 199.188.204.137 numaralı IP adresinden) yönlendirildiği rahatlıkla tespit edilebilir.

Konuyla ilgili Av. Ali Aktaş ile iki hafta önce bir yayın yapmış ve bazı programlardan Bylock sunucusuna yönlendirme yapıldığını ortaya koymuş, kumpas iddialarını değerlendirmiştik. Aktaş, Bylock’u yaygınlaştırma tarihiyle, paralel devlet operasyonunun başladığı tarih arasındaki benzerliğe vurgu yapıyor.

ggg

 

Share on facebook
Share on twitter
Share on pocket
Share on email
Share on print
  • Medyascope
  • Medyascope Plus