Medyascope’un kitlesel gözetim faaliyetleri hakkında yayınladığı belgelere rağmen, Bilgi Teknolojileri ve İletişim Kurumu (BTK) açıklama yapmamakta ısrarcı. Bu sırada Türkiye’deki 88 milyon internet kullanıcısının kişisel verileri her saat başı BTK’ya gitmeye devam ediyor. Medyascope, BTK-gate araştırma dizisinin dördüncü kısmında, BTK’ya giden verilerimizin neye benzediğini, bizler hakkında neler söylediğini inceliyor.
Medyascope’un ulaştığı belgeler, daha önce iddia düzeyinde konuşulan kitlesel gözetim faaliyetlerini ispatladı. Belgeler, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) 15 Aralık 2020 tarihinde internet servis sağlayıcısı firmalara kitlesel gözetim talimatlarını ilettiğini gösteriyor.
BTK firmalara gönderdiği İSS Trafik Log Deseni başlıklı yazıda, Türkiye’deki tüm abonelerin internet trafiklerinin, saat başı kendisine gönderilmesini istemişti. Üstelik kurum, trafik verilerini kullanıcıların isimleriyle birlikte kendisine iletilmesini talep etmişti.
Medyascope’un BTK-gate araştırmasının dördüncü kısmında, internet servis sağlayıcılar tarafından BTK’ya gönderilen internet trafiği verilerimizin neye benzediğine odaklanıyoruz. Medyascope bu araştırma için Türkiye’de faaliyetlerine devam bir internet servis sağlayıcı şirketten yardım aldı. Trafik verilerimizin neye benzediğini görmek için, şirketin sağladığı internet bağlantısını kullanarak birkaç saat geçirdik ve taslak bir internet trafik veri kaydı, yani trafik log’u oluşturmayı denedik.
BTK-gate araştırma dizimizin dördüncü bölümünde yer verilen terimler için, makalenin sonundaki Araştırma dizisi için sözlük kısmına göz atabilirsiniz.
BTK’nın internet servis sağlayıcılara 15 Aralık 2020 tarihinde gönderdiği yazı, kullanıcıların tüm internet trafiğinin her saat başı kuruma gönderilmesini emrediyordu.
İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:
Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik süre [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Hedef IP | Hedef port | App protokol [Bir uygulama için bağlantı kurulduysa burada uygulamanın adı, bir internet sitesine bağlantı gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.tv] | Network protokol | İndirilen miktar [İndirilen verinin byte cinsinden miktarı] | Yüklenen miktar [Gönderilen verinin byte cinsinden miktarı] | Bağlantı PVC | Oturum ID | SSG IP | NAT cihaz | DPI cihaz | Termination cause | Packet type | Direction
Yani BTK’ya giden trafik kayıtlarının her bir satırında;
Medyascope'un haftalık e-bülteni
Andaç'a abone olun
Editörlerimizin derlediği öngörüler, analizler, Türkiye’yi ve dünyayı şekillendiren haberler, Medyascope’un e-bülteni Andaç‘la her çarşamba mail kutunuzda.
- Abonenin adı ve soyadı (Tüzel kişiyse resmi adı),
- Abonenin o sırada kullanmakta olduğu IP numarası,
- Hangi uygulamayla ya da internet sitesiyle veri alışverişi yaptığı,
- İlgili veri alışverişinin başlangıç tarihi ve saati, veri alışverişinin ne kadar sürdüğü,
- Ne büyüklükte veri alıp ne büyüklükte veri gönderdiği
gibi bilgiler yer alıyor.
Peki, bu karmaşık gözüken veri satırları bir araya gelince, bizler hakkında neler söylüyor? Önce bir cep telefonu üzerinden varsayımsal verilerimizin her birimiz hakkında neler söyleyebileceğini değerlendireceğiz, devamında ise bilgisayarımızda birkaç saatlik internet kullanımıyla oluşturduğumuz taslak trafik log’umuzu inceleyeceğiz.
Mobil veri: Sinyale dönüşen yaşamım
BTK tarafından hazırlanan Türkiye Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu’nda yer alan güncel verilere göre Türkiye’de yaklaşık 70 milyon kullanıcı, internete cep telefonlarından erişiyor. 18 milyon civarında da sabit internet hizmeti alan kişi ya da kuruluş var. Yani toplam 88 milyon kullanıcının verileri saat başı BTK’ya akıyor. Ama ağırlık mobil kullanıcılarda.
Okuyun: Belgeleriyle BTK-gate (3): BTK-gate’in önceki gözetim girişimlerinden farkı ne?
Türkiye’de mobil cihazlara internet erişimi sağlayan üç kurum, yani Türk Telekom, Turkcell ve Vodafone, BTK-gate araştırma dosyamızın yayını öncesi kendilerine yönelttiğimiz soruları cevaplamadı. Araştırma dosyasının yayına başlaması sonrası ise üç kuruluştan da herhangi bir açıklama gelmedi.
Bu üç şirketten biri, bir günlük mobil veri trafik kaydımızı bize göstermeyi kabul etse nasıl bir tabloyla karşılaşırdık?
Sıradan bir iş gününüzü düşünün. Sabah gözünüzü nerede açıyorsunuz? İşe gitmeden telefonunuzda neler yapıyorsunuz? Yoldayken ya da mesainiz başladıktan sonra telefonunuzu kullanmayı sürdürüyor musunuz? Öğle tatilinizde ya da işten çıktıktan sonra hangi uygulamaları kullanıyorsunuz?
İnternet trafik kayıtlarımızdan söz ettiğimizde pek çoğumuzun aklına bir bilgisayar ve bu bilgisayardaki bir internet tarayıcı üzerinden ziyaret edilen internet siteleri geliyor. Genellikle veri trafiğimizin en yoğun gerçekleştiği mobil cihazları unutuyoruz ve bu cihazları kullanırken geride bıraktığımız trafiği pek de önemsemiyoruz.
BTK-gate’e sessiz kalan mobil operatörlerden biri, bir günlük trafik kaydımızı önümüze koysa acaba neye benzerdi?
Kendi yaşantım üzerinden bu log’un neler anlatabileceğini tarif etmeye çalışayım:
- İstanbul’un Anadolu yakasındaki bir semtte uyanıyorum. Telefonum uçak modundaysa bile şebekeyi aktifleştirdiğimde veri trafiği tekrar başlıyor. Şebekeye erişim sağlayınca yakındaki bir baz istasyonundan sinyal alıyorum ve trafik kayıtlarına ilk önce konum bilgim gidiyor. Ama merak etmeyin, BTK 2018’deki Abone Desen Yapısı kararıyla zaten internet abonelerinin adreslerini aylık olarak internet servis sağlayıcılardan alıyor. Dolayısıyla benim nerede uyandığımı BTK zaten biliyordu. Trafiğin yoğunlaşmasıyla BTK sanırım saat kaçta uyandığımı da tahmin edebiliyordur.
- Telefonumun alarmını susturduktan sonra yaptıklarım genellikle şöyle: WhatsApp ve Signal mesajlarımı kontrol etmek, e-posta’larıma bakmak, Twitter’da gündeme ilişkin neler konuşulduğuna göz atmak ve takip ettiğim haber sitelerindeki son gelişmeleri incelemek. Yani telefonumu elime alır almaz, WhatsApp, Signal, Twitter ve internet tarayıcısı üzerinden birçok trafik verisini şimdiden yarattım.
- İşe gitmek için evimden ayrıldıktan sonra ana ulaşım arterlerine erişebilmek için bazen Martı ya da BinBin gibi e-scooter’ları kullanıyorum. Bunlar için de cep telefonumda birer uygulama var. Martı uygulamasını kullandığımı varsayalım; uygulamayı açıp veri alışverişine başladığım sırada, cep telefonu operatörümün en yakın baz istasyonundan aldığı sinyal kaydı BTK’ya giden log’larda var. Yani o andaki konumum zaten biliniyor. Sonra bir süreliğine e-scooter’la yolculuk yapıp e-scooter’ı uygun bir yerde bırakıyorum ve Martı uygulamasıyla işim bitiyor. BTK’ya iletilen konum verisi sayesinde, e-scooter’dan nerede indiğimi de BTK biliyor. Seyahatimin bir sonraki aşamasında İstanbul Kart’ın mobil uygulamasını kullanarak otobüse ya da metroya bindiysem, BTK bunu trafik kayıtlarımdan görecektir. Ama konum verim, kent içindeki hangi ulaşım hattını, hangi yönde kullandığım konusunda neredeyse kesin bir bilgi verecektir zaten.
- İşyerime saat kaçta ulaştığım yine konum verilerimden anlaşılabilir. Bir abonenin mesai gün ve saatlerinde, sürekli aynı konumdan sinyal vermesi, gözetim yapanlara muhtemelen bu konumda ilgili abonenin işyerinin bulunduğunu söyleyecektir. Benim için de aynısı geçerli.
- İşyerimdeki sabit internet bağlantısını kullanırsam veri trafiğinin kime ait olduğunu tespit etmek zorlaşacaktır. Ama varsayımlarımızı kolaylaştırmak için, Medyascope ofisindeki internet bağlantısını değil, kendi mobil hattımdaki internet bağlantısını kullanmayı sürdürdüğümü farz edelim. Hangi sitelere girdiğim takip edildiği takdirde, üzerinde çalıştığım araştırmanın neyle ilgili olduğu belki tahmin edilebilir. Eğer yaptığım araştırma kapsamında biriyle buluşmayı planlamışsam, o kişiyle kısa bir yazışma gerçekleştirmem de muhtemel. Haber kaynağımla WhatsApp ya da Signal üzerinden yaptığım konuşma ya da yazışma, eğer bu kişiyle aramdaki trafik sıkça yinelenmişse, BTK kayıtlarından eşleştirilerek tespit edilebilir. Böylelikle haber kaynağımın kim olduğu da anlaşılabilir.
- Haber kaynağımla yüz yüze görüşme yapmayı tasarlarsam, BTK’nın bunu anlamak için de yolları var. İşyerimden ayrılıp ziyaret ettiğim konum, haber kaynağımın kimliği hakkında ipuçları sağlayabilir. Eğer haber kaynağımı kendi ofisinde ziyaret ediyorsam, konum bilgileri gözetimi gerçekleştirilenlere fikir verebilir. Kamusal bir alanda buluşuyorsak dahi, yakındaki baz istasyonlarından sinyal alan kişiler BTK’nın veri tabanından tespit edilerek, olası adaylar belirlenebilir.
- Eğer işyerime Yemeksepeti ya da Getir gibi uygulamaları kullanarak yemek söylüyorsam, internet trafik kayıtlarıma bu da yansıyacaktır.
- Konum verilerim ve diğer ulaşım uygulamalarının internet trafiğime yansıması, işyerimden ayrıldığım saati ve hangi güzergahtan, hangi vasıtaları kullanarak evime döndüğümü de ortaya çıkaracaktır. Eve dönerken bulunduğum konumlar aynı zamanda hangi dükkanlara uğradığımı da belli edebilir. Yani trafik kayıtlarında eve dönerken hangi ekmek fırınına uğradığım yazmayabilir ama veriyi inceleyen biri, haftada kaç kez hangi fırından alışveriş yaptığımı anlayabilir.
- Alışverişlerim öncesi bir bankamatiğe uğramış ve bankamın mobil uygulaması üzerinden QR kod kullanarak para çekme özelliğini kullanmışsam, hangi bankada vadesiz hesabımın bulunduğunu BTK çoktan anlamış demektir.
- Konum verilerim eve saat kaçta ulaştığımı muhakkak belli edecektir. Ama evdeki vaktimi nasıl geçirdiğim de trafik verilerimden okunabilir. Gecemi kitap okuyarak geçiriyorsam trafik verilerim çok hacimli olmayabilir ama stream servislerinden film veya dizi izlediysem, mobil hattımın trafik kayıtlarında değilse bile, evimdeki sabit internet hattımın trafik kayıtlarında bunun izleri gözükecektir.
- İnternet trafiğimin azaldığı ve bir noktada sadece rutin uygulamaların trafik kaydı oluşturmaya başladığı görüldüğünde, uyumaya gittiğim saat aralığı da aşağı yukarı anlaşılacaktır.
Yani bir günlük mobil internet trafik verilerim bile,
- Uyandığım adres ve uyandığım saat,
- Evimden saat kaçta çıktığım,
- İşyerime gitmek için hangi vasıtaları kullandığım ve işyerime saat kaçta ulaştığım,
- Bir araştırma yapıyorsam bunun neyle ilgili olduğu,
- Haber kaynağımla buluştuğum adres,
- Görüştüğüm haber kaynağımın kimliği,
- İşyerinde saat kaçta öğle yemeği yediğim ve işten saat kaçta ayrıldığım,
- Hangi bankada hesabımın olduğu,
- Eve saat kaçta döndüğüm ve eve dönerken hangi dükkanlara uğrayıp ne alışverişi yaptığım,
- Evdeki vaktimi nasıl geçirdiğim
hakkında birçok şey söyleyebiliyor.
Sıradan bir gününüzü internet trafiğiniz üzerinden düşünün.
Aynı verilerin haftalar, aylar ve hatta yıllar boyu hakkınızdaki klasöre eklendiğini varsayın ve ne kadar ölçülebilir hale gelebileceğinizi hayal edin.
Evinize ortalama giriş-çıkış saatlerinizi, ortalama hangi saatlerde hangi otobüs güzergahında yolculuk yaptığınızı, haftada kaç defa hangi bankamatikten para çektiğinizi, hangi kitapçıya hangi aralıklarla ziyarette bulunduğunuzu sorsam, belki bu sorulara hemen yanıt veremeyebilir, şöyle bir düşünme ihtiyacı hissedebilirsiniz. Ama Türkiye’de bir kamu idaresi, bu sorulara sizden daha kesin yanıtlar verebilir. Üstelik bu kurumun internet verilerinizle ne yaptığı, verilerinizi nerede ve hangi koşullarda sakladığı, verilerinizi hangi kişi ya da kurumlarla paylaştığı belirsiz.
Türkiye’de bu kadar sorun varken çevrimiçi gözetimin görmezden gelinebilir bir şey olduğunu hâlâ düşünüyor musunuz?
Birkaç saatlik veriyle çizilen profil: Kısıtlı ama isabetli
Mobil veri üzerinden tarif ettiğim bir gün varsayımsaldı. Ancak şimdi incelememizi somut veriler üzerinden yapacağız.
BTK’ya giden verilerin bir benzerini yaratabilmek için bir internet servis sağlayıcı kuruluştan yardım aldım.
Yaklaşık yarım günümü, internet servis sağlayıcı firmanın sağladığı internet bağlantısını kullanarak geçirdim ve firmadan kendi trafik log’larımı edindim.
Mobil operatörler bizle iletişim kurmadığı için, bu denemeyi bir cep telefonunun ve mobil uygulamaların sunduğu zengin veri çeşitliliğinden uzakta, bir bilgisayar başında gerçekleştirebildim. Zira Türk Telekom, Turkcell ve Vodafone dışındaki internet servis sağlayıcılarının neredeyse tamamı sadece sabit internet hizmeti veriyor.
Bilgisayarımda yaptığım faaliyetlerin, kolaylaştırılmış ve kısaltılmış bir dökümünü sizin için hazırladım.
Bilgisayarında internet kullanan, sadece birkaç çevrimiçi uygulamanın veri alışverişi yapmasına izin vermiş benim gibi bir kullanıcı için, saatlik veri trafiği yaklaşık 5,000-6,000 satırlık bir log dosyası ortaya çıkarıyor.
Dört saatlik bir kullanımdan sonra oluşan yaklaşık 20,000 satırlık trafik log dosyasının aslını, BTK kendi veri tabanından eşleştirip, yardım aldığım internet servis sağlayıcı kuruluşu tespit etmesin diye yayınlamıyoruz. Kayıtlarda kendi IP adresimi, bağlantı kurduğum sunucuların IP adreslerini ve bağlantı zaman ve sürelerini de, aynı gerekçeyle karartıyoruz.
Biz kendi denememiz için, trafiğin yöneldiği adres üzerine odaklanacağız.
→(HTTPS/443), scss.adobesc.com
→domain, www.apple.com
→domain, www.youtube.com
→(HTTPS/443), chat.signal.org
→domain, imap.gmail.com
→http, detectportal.firefox.com/success.txt?ipv4
→domain, web.whatsapp.com
→(HTTPS/443), web.whatsapp.com
→domain, gateway.icloud.com
→(HTTPS/443), platform.twitter.com
→domain, media-sof1-1.cdn.whatsapp.net
→domain, turn3.voip.signal.org
→domain, ipv6.turn3.voip.signal.org
→domain, streetviewpixels-pa.googleapis.com
→(HTTPS/443), lh5.googleusercontent.com
→(HTTPS/443), medyascope.tv
→(HTTPS/443), dogueroglu.com
→(HTTPS/443), www.gazeteduvar.com.tr
→(HTTPS/443), www.diken.com.tr
→(HTTPS/443), bianet.org
→(HTTPS/443), media.newyorker.com
→(HTTPS/443), g1.nyt.com
→(HTTPS/443), video-images.vice.com
→(HTTPS/443), cdn.theatlantic.com
→(HTTPS/443), platform.instagram.com
→(HTTPS/443), meet.jit.si
→(HTTPS/443), drive.google.com
→(HTTPS/443), youtube.com
→(HTTPS/443), pbs.twimg.com
→(HTTPS/443), static.xx.fbcdn.net
→(HTTPS/443), scontent-sof1-1.xx.fbcdn.net
→(HTTPS/443), docs.google.com
→(HTTPS/443), dit.whatsapp.net
→(HTTPS/443), scontent.cdninstagram.com
→(HTTPS/443), i.instagram.com
→domain, edge-chat.instagram.com
→(HTTPS/443), dropbox.com
→(HTTPS/443), cfl.dropboxstatic.com
→(HTTPS/443), gateway.icloud.com
→spclient.wg.spotify.com
→my.1password.com
→(HTTPS/443), watchtower.1password.com
→domain, gs-loc.apple.com
→(HTTPS/443), bip.com
→(HTTPS/443), us04web.zoom.us
→(HTTPS/443), video.twimg.com
→(HTTPS/443), edge-chat.facebook.com
Yukarıdaki kayıtlar, kişisel bilgisayar kullanılarak gerçekleştirdiğim birkaç saatlik internet gezintisinden derlendi. Ama bu bile kullanıcıya dair, yani benim hakkımda birçok şey söylüyor.
NetBlocks araştırma direktörü Işık Mater, söz konusu kullanıcının ben olduğumu bilmeden, kısıtlı trafik verime bakarak gördüklerini özetliyor: “Kayıtları çok incelemeden bile kullanıcının, yabancı dili olan, sol görüşlü ve teknolojik bilgi sahibi biri olduğunu söyleyebilirim. Apple ürünleri kullanıyor. Adobe kullanıyor; grafik ya da fotoğrafla haşır neşir bir işi olduğunu söyleyebilirim. Signal ve Jitsi gibi uygulamaları kullanıyor, yani iletişim güvenliğini önemsiyor.”
Mater’in trafik verileri hakkındaki daha genel yorumları ise şöyle:
Belirli bir kişiyi takip edeceklerse bu log’lar işe yarayabilir. Log’lar bu kullanıcının hangi sitelere girdiğini, o sitelerde ne kadar kaldığını gösteriyor. Mesela Twitter’da fotoğraf görüntülediğini aktarıyor ama hangi fotoğrafa baktığı log’lardan anlaşılmıyor. WhatsApp için de öyle; içerik gözükmüyor ama kullanıcının WhatsApp’a girdiğini, birtakım medyaları görüntülediğini söylüyor. Örneğin bu kişi benimle WhatsApp’ta yazışsa, aynı anda benim de log’larımı gözetleyen kişi bu kayıtları karşılaştırıp aramızda yazışma gerçekleştirildiğini tespit edebilir.
Trafik verilerinin gösterdiği şeylere bakalım:
- Erişilen internet siteleri: Erişilen internet sitelerinin birçoğunun basın kuruluşlarına ait olduğu görülüyor. Medyascope, Gazete Duvar, Diken, Bianet, New Yorker, Vice, New York Times, The Atlantic gibi medya kuruluşlarının sitelerine sağlanan erişim birçok değerlendirmeye olanak sağlayabilir. Türkçe kaynaklardaki tercih kabaca, sol ya da muhalif bir dünya görüşüne işaret ediyor olabilir (Daha fazla veri görseydik daha fazlasını söyleyebilirdik). İngilizce yayın yapan kaynakların çokluğu, kullanıcının haber-makale okuma düzeyinde İngilizce bildiğini düşündürüyor. Ziyaret edilen medya kuruluşu sitelerinin fazlalığı, kullanıcının basınla ilgili bir iş yaptığı fikrini de doğurabilir. Ancak BTK zaten her ay başında internet servis sağlayıcılardan Abone Desen Yapısı kararı uyarınca temel kişisel bilgi topluyor. Yani beyan ettiğim mesleğimin muhabir-gazeteci olduğunu BTK zaten biliyor.
- Şebeke üstü görüşmeler ve iletişim güvenliği: Veriler şebeke üstü görüşmeleri ve güvenli olduğu düşünülen kanallardan gerçekleştirilmiş konuşmaları da gösteriyor.
→domain, turn3.voip.signal.org
→domain, ipv6.turn3.voip.signal.org
→(HTTPS/443), meet.jit.si
signal.org’un voip isimli alt alan adıyla gerçekleşen trafik alışverişi, VoIP [Voice over IP], yani IP üzerinden ses gönderimi protokolünün kullanıldığını gösteriyor. Yani kullanıcı, bilgisayarındaki Signal uygulamasını kullanarak biriyle sesli görüşme gerçekleştirmiş. Görünüşe göre, meet.jit.si adresi ziyaret edilerek, Jitsi uygulamasının sağladığı olanaklarla sesli ya da görüntülü bir görüşme daha yapılmış. Kullanıcının şebeke üstü görüşmeleri tercih etmesi, hem iletişim güvenliği hakkında fikir sahibi olduğunu hem de görüşmelerini meraklı gözlerden korumak için önlem aldığını düşündürüyor.
- Sürekli trafik yaratan uygulamalar: Bilgisayarlarımızda yüklü bazı uygulamalar sürekli trafik yaratıyor. Benim verilerim söz konusu olduğunda bunlar Adobe, Apple, Spotify ve Firefox. Kullandığım Apple bilgisayarın servisleri internete bağlı olduğumda birçok Apple hizmetiyle irtibata geçiyor ve verilere bakan biri kullandığım donanım ve işletim sistemi hakkında fikir sahibi olabiliyor. Benzer şekilde, kullandığım internet tarayıcısı Mozilla Firefox da kendi sunucusuyla zaman zaman iletişim kuruyor. Mesleğim gereği görüntü ve video düzenleyici programları kullanmama olanak sağlayan Adobe da kendi sunucularıyla sürekli haberleştiği için trafik verilerinde birçok defa gözüküyor. Bu da gözetleyenlerin uğraştığım faaliyetler hakkında fikir edinmesine yol açıyor.
- Depolama alanları: Kayıtlarım arasında göze çarpanlar arasında, →(HTTPS/443), gateway.icloud.com, →(HTTPS/443), dropbox.com ve →(HTTPS/443), drive.google.com satırları da var. Bunların üçü de –iCloud, DropBox ve Google Drive– bulut depolama servisleri. Yani trafiğimi gözetleyen kişi, bana ait kimi verilerin bu servislerde barındırıldığını görebiliyor. Hatta bu servislere bulutta barındırılmak üzere gönderdiğim ya da buluttan sabit diskime indirdiğim dosyaların büyüklüğünü de, trafiğin miktarına bakan gözetleyiciler anlayabiliyor. Benim elimde bulunan bazı verilere ulaşmak isteyebilecek kişiler, trafik verilerine göz attıkları takdirde, hangi bulut depolama hizmetine saldırmaları gerektiğini bilecek.
- Parola kasası: Son yıllarda birçok kullanıcı, birçok farklı servisi kullanırken farklı parolalar belirlemenin zorluklarını yaşıyor. Bilgisayarınızı açarken, e-devlet’e ya da e-posta hesabınıza giriş yaparken, çevrimiçi bankacılık araçlarını kullanacağınız zaman, sosyal medya hesaplarınıza gireceğinizde ya da alışveriş sitelerindeki hesaplarınıza ulaşmak istediğinizde, daha önce belirlediğiniz parolaları kullanıyorsunuz. Ancak parolalarımızı koruyan sunucuların verilerinin çalınması, hepimizin güvenliğini tehlikeye atıyor. Bu parolalar size ait e-posta adresleriyle ilişkilendirilmiş biçimde sızıntılarla ortalığa saçıldığında, Apple ya da Google, kullanıcılarını uyarıp parolalarını değiştirmelerini istiyor. Bu yüzden birçok kullanıcı her yeni abonelik için daha önce kullanmadığı, kendisiyle ilişkilendirilemeyecek harf ya da karakterlerden oluşan parolalar belirliyor. Ama her geçen gün kullanıcı hesabımızın olduğu hizmetlerin sayısı artıyor. Her yeni kullanıcı hesabı için yeni parolalar belirlerken, bu parolaların çetelesini nasıl tutacağız? İşte burada devreye parola kasaları giriyor. Parola kasaları sizden tahmin edilmesi kolay olmayan bir ana parola belirlemenizi istiyor ve diğer önemli-önemsiz parolalarınızı kendi içinde muhafaza ediyor. Yani artık her bir kullanıcı hesabınız için tahmin edilmesi çok zor ve uzun parolalar belirleyebiliyorsunuz çünkü parolalarınızı sizin yerinize parola kasanız hatırlıyor. Ancak bilgisayarımda kurulu 1Password parola kasası, ara sıra kendi sunucularıyla haberleştiği için trafik kayıtlarına girmiş durumda. →(HTTPS/443), watchtower.1password.com kaydını gören bir kişi, artık tüm hesaplarımın parolalarını öğrenebilmek için nereyi hedef alması gerektiğini bilecek.
Sosyal ağlardaki gezintinin ne kadarı BTK’ya gidiyor?
YouTube, Facebook, Twitter ve Instagram gibi servisleri kullandığım log’larda gözüküyor. Bu başlı başına bir şey söylemiyor çünkü diğer ciddi internet siteleri ve hizmetler gibi bu servisler de SSL sertifikalarıyla korunuyor ve bu sitelerde HTTPS [Güvenli HTTP] protokolü kullanılıyor. Bu yüzden log’larda sadece Instagram’da ya Facebook’ta barındırılan bir sayfayı ziyaret ettiğim gözüküyor; hangi Facebook ya da Instagram profil veya sayfalarına baktığım belli olmuyor. Facebook ve Twitter’daki gezintimin detayları belki log’larda belli olmuyor ama görüntü ya da video dosyalarını açıp baktığım log’lara yansımış vaziyette (scontent.cdninstagram.com adresinden gelen veri paketi, Instagram’dan görsel görüntülediğimi söylüyor. video.twimg.com adresinden gelen paket, Twitter’dan bir videoya eriştiğimi anlatıyor. scontent-sof1-1.xx.fbcdn.net adresinden gelen paketse Facebook’tan bir görsele ulaştığımı belli ediyor).
Mesajlaşma uygulamalarını kullandığımda, bu da trafik kayıtlarıma yansıyor. Örneğin log’larımdaki →domain, edge-chat.instagram.com ya da →(HTTPS/443), edge-chat.facebook.com kayıtları, Instagram ve Facebook üzerinden kişisel yazışmalar yaptığımı ortaya çıkarıyor.
Ama bu gizlilik de çok sürmeyebilir. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’a 2021’de yapılan eklemelerle (Ek madde 4), sosyal ağ sağlayıcılar için birçok yeni yükümlülük belirlendi. Bu yükümlülükler arasında, Türkiye’deki kullanıcıların verilerinin Türkiye’de barındırılması da var. Ayrıca sosyal ağ sağlayıcıları birçok konuda BTK’ya bildirim yapmakla yükümlü.
Sosyal ağ sağlayıcılarının tüm kullanıcı verilerini BTK’yla paylaşması için herhangi bir düzenleme bulunmuyor ancak Alternatif Bilişim Derneği’nden avukat Faruk Çayır, Türkiye’de temsilcilik açıp BTK’nın denetimine tabi hale gelen şirketlerin, kendilerinden istenen kişisel verileri BTK’ya vermek zorunda kalacağını tahmin ediyor.
Yani SSL-HTTPS, trafik log’larında kullanıcının detaylı sosyal ağ hareketlerini BTK’nın öğrenmesini engelliyor olabilir ama BTK’nın bu hareketleri takip etmesinin başka yolları da olabilir.
Medyascope’un BTK-gate araştırma dosyasının beşinci ve son kısmında, kullanıcıların yasal haklarına ve kitlesel gözetimden kaçınma yöntemlerine odaklanacağız.
Dördüncü bölümde okurlarımızla paylaştığımız trafik log’larındaki eksik parça da beşinci kısımda tamamlanmış olacak: VPN ve Tor!
Araştırma dizisi için sözlük:
BTK: Bilgi Teknolojileri ve İletişim Kurumu. Ulaştırma ve Altyapı Bakanlığı’na bağlı. Türkiye’deki 11 düzenleyici ve denetleyici üst kuruldan biri. Kamuoyunun tanıdığı diğer bazı üst kurullar arasında, BDDK (Bankacılık Düzenleme ve Denetleme Kurumu), SPK (Sermaye Piyasası Kurulu), RTÜK (Radyo ve Televizyon Üst Kurulu), EPDK (Enerji Piyasası Düzenleme Kurumu), Rekabet Kurumu ve KİK (Kamu İhale Kurumu) bulunuyor.
BTK-gate: 1972’de ABD’deki Başkanlık seçimleri öncesi Demokrat Parti’nin Watergate binasında bulunan bürosuna giren beş kişi, Demokrat Parti telefonlarına dinleme cihazları yerleştirmeye çalışırken yakalandı. Watergate binasına giren beş kişiyi, Cumhuriyetçi Parti’nin ve Başkan Nixon yönetiminin yönlendirdiği anlaşılınca, olay büyük bir skandala dönüştü. Demokrat Parti ofisinin bulunduğu Watergate binası, skandalın da ismine dönüştü. Bu tarihten itibaren dünya basını, yolsuzluk ve usulsüz dinleme-gözetim skandallarına ya da büyük sızıntılara, Watergate skandalına referansla, -gate eki eklemeye başlandı. Örneğin Wikileaks’in ABD Dışişleri yazışmalarını sızdırdığı olay Cablegate adıyla, Nokia’nın IŞİD’e verdiği rüşvetlerin ortaya çıkmasıyla Nokiagate yakıştırmasıyla anıldı. Türkiye’de, eski Emlak Bankası Genel Müdürü Engin Civan’ın vurulmasıyla ortaya çıkan, siyaset, iş dünyası ve mafyanın dahil olduğu rüşvet ağını ortaya çıkaran olaylar da Civangate ismiyle anılmıştı. Bu geleneğe istinaden, BTK’nın herhangi bir yasal düzenleme olmaksızın tüm toplumu kitlesel biçimde gözetlediğini gösteren bu olayı Medyascope, BTK-gate olarak nitelendirdi.
BTK’nın İSS Trafik Log Deseni yazısı: BTK 15 Aralık 2020’de internet servis sağlayıcı firmalara gönderdiği İSS Trafik Log Deseni başlıklı yazıda, Türkiye’deki tüm internet kullanıcılarının internet trafiklerinin, saat başı kendisine gönderilmesini istemişti. Kurum, trafik verilerini kullanıcıların isimleriyle birlikte kendisine iletilmesini talep ediyordu.
BTK’nın Abone Desen Yapısı kararı: BTK 2018’de internet servis sağlayıcı firmalara gönderdiği yazıyla, abonelerin ad-soyad, T.C. kimlik no, cinsiyet ve uyruk, anne-baba adı ve anne kızlık soyadı, doğum yeri ve tarihi, meslek, adres, cep telefonu numarası gibi bilgilerin aralarında bulunduğu birçok kişisel bilginin her ay güncellenmiş bir şekilde kendisine gönderilmesini istedi.
İSS: İnternet servis sağlayıcı (Eng. Internet service provider, ISP). En basit tanımıyla, kullanıcılara internet hizmeti veren kuruluşlar, İSS olarak nitelendirilebilir. Bir vatandaş sabit adresinde internet kullanmak için örneğin Türksat’tan aylık internet aboneliği hizmeti aldığında, Türksat bir İSS hizmeti gerçekleştirmiş oluyor. Yurttaşlar mobil cihazlarında da hizmet aldıkları telekomünikasyon şirketleri vasıtasıyla internet kullanıyor. Bu durumda, mobil telefon hattı ve bağlı hizmetleri müşterilere sunan Turkcell, Vodafone ve Türk Telekom gibi şirketler de, abonelerine aynı zamanda internet erişimi de sağladıkları için İSS niteliği taşıyor.
IP: İnternet protokolü. İnternette veya yerel ağda yer alan cihazların sahip olduğu benzersiz adres. Noktalarla ayrılmış sayı dizilerinden oluşur (Örnek: 192.168.1.1). Bu sayı dizilerine genellikle, IP adresi adı verilir.
Application ya da app: Uygulama. Özellikle mobil cihazlarda, belirli fonksiyonları yerine getirmek için hazırlanan yazılımlar. İnternet tarayıcısı aracılığıyla herhangi bir adresle iletişim kurmaya gerek olmaksızın, uygulamalar kullanıcıların istekleri doğrultusunda ya da sürekli, bazı adreslerle iletişime geçebilir.
Kullanıcı internet trafiği: İnternete bağlı bir cihazın (bilgisayar ya da mobil cihaz), bağlantısı üzerinden yaptığı tüm veri alışverişleri. Örneğin bir bilgisayar ya da cep telefonunun internet tarayıcısı (Firefox, Chrome, vb.) üzerinden ziyaret ettiği internet siteleri, uygulamalar üzerinden gerçekleşen veri alışverişleri (Spotify, mobil banka uygulamaları, vb.), bir kullanıcının internet trafiğini oluşturuyor.
Log: Sistem günlüğü. Bir kullanıcının internet trafiği belirli periyotlarda (saatlik, günlük ya da haftalık) kaydedildiğinde, kullanıcı internet trafiği kayıtlarından oluşan bu belgeye log deniyor. BTK’ya İSS’ler tarafından gönderilen log’lar, kullanıcıların bir saatlik internet trafiğini içeriyor. 5651 sayılı Kanunda 2020’de yapılan değişiklikle birlikte İSS’lere, abonelerine sağladıkları internet trafiğini iki yıla kadar saklama zorunluluğu getirilmişti.
5651 sayılı Kanun: İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (Kanunun tam metni için tıklayınız). 23 Mayıs 2007’de Resmi Gazete’de yayımlandı. 5651 sayılı Kanun, 2020’de eklenen sosyal ağ sağlayıcı düzenlemesiyle, 2022 yılında ise TBMM’ye gelen yasa teklifiyle sebebiyle gündeme geldi.
VoIP: IP üzerinden geçen ses (Eng. Voice over Internet Protocol). WhatsApp, Telegram ya da Signal gibi uygulamaları kullanarak sesli ya da görüntü görüşme gerçekleştiren kullanıcılar, mobil telefon hatlarının telefon şebekesini değil, internet hatlarını kullanıyor ve böylelikle şebeke üstü görüşme gerçekleştirmiş oluyor. Bu protokole VoIP adı veriliyor.
Bulut depolama: Sunucular tarafından ağ üzerinde sanal olarak oluşturulan havuzlarda veri depolanması. Örneğin Google’dan 100 gigabayt büyüklüğünde bulut depolama alanı alan bir kullanıcı, dosyalarını bulut depolama alanına yüklediğinde, internete bağlı olduğu bulut depolama sunucularından dosyalarına ulaşabilir.
Parola kasası: Kullanıcıların farklı uygulama ya da internet sitesi hesap ve parolalarını içerisinde saklayan, istendiğinde bu parola ve kullanıcı hesap adlarını kullanıcının kolaylıkla erişimine sunan uygulamalar.
SSL sertifikası: Bir internet sitesinin kimliğini doğrulayan ve internet sitesine ulaşan kullanıcı ile internet sitesi arasındaki iletişimin şifrelenmesini sağlayan sertifika.
HTTPS protokolü: Güvenli hipermetin aktarım protokolü (Eng. secure hypertext transfer protocol). SSL sertifikasının kullanıldığı bir HTTP iletişimi.
