Türk vatandaşlarının ödediği vergiler, bizzat Türk vatandaşlarının mahremiyetine bir tehdit mi? 3 gün evvel verileri hacklenen İtalyan Hacking Team firmasının verilerine bakıldığında[1], Türkiye’den polis teşkilatının firmaya aldığı yazılım karşılığında, 2011 haziran – 2014 kasım arasındaki dönemde ödediği lisans ücreti rakamı 440 bin $ (1,3 milyon TL) olmuş.
Hükümetlere sızma ve takip araçları sağlayan Hacking Team şirketinin hack edildiğini ve 400 GB veri çalındığını, bu verilerin de halka açık bir sunucuya yerleştirildiğini 2 gün evvel yayınlamıştık[1]. Şirket dünya çapındaki pek çok hükümet kuruluşuna yazılım satmakla ünlü. Ülkemizdeki polis ve orduya açık güvenlik konferansında da bu firmayı görüyoruz.
Firmadan ele geçen dökümanlardan birisinde 75.000 $’lık avans karşılığı olan ve haziran 2011 tarihli bir faturaya bakıldığında[2], “Uzaktan Kumanda Sistemi (RCS)” şeklinde bir ürün gözüküyor. Firmanın kendi tanıtımında ürün için şu not var[3];
Modern digital haberleşmede, kullanıcıları bilgisi olmadan takip edilmekten kurtarmak için şifreleme kullanılır. Maalesef bu şifreleme kanun güçleri ve gizli servisleri de, suçları önlemekten ve ülkenin güvenliğini sağlamaktan geri koyar.
Uzaktan Kontrol Sistemi (RCS), şifrelemeyi aşmayı sağlar. Gizli servis elemanı doğrudan gözleyeceği cihaza monte edebilir. Gözlenen cihazlardan delil toplama işlemi görünmez ve veriler bu cihazdan RCS sunucularına şifreli olarak aktarılır ve izlenemez.
Bu noktada hatırlatmak lazım; demokratik bir ülkede telefon dinleme ancak şüphe halinde ve mahkemeden karar alarak gerçekleştirilir. Yani RCS tanıtımında yer alan bu ifade, polisin bu yazılımı satın alarak, hukuksuz bir işlem yaptığına işaret ediyor.
Tabi bu hukuksuz işlemlerin ne işe yaradığı, kimler üzerinde kullanıldığı ya da buradan elde edilen bilgilerle ne yapıldığı da araştırılması gereken bir husus. Bu konuda ilgililerin harekete geçmesi lazım.
Son 4-5 yıldır ülkemizde, polis-istihbarat örgütü-ordu-siyaset dörtgeninde toz dumana katılmış vaziyette. Bazen şununla ya da bununla yapılan siyasal bir görüşmede gizli videoların ya da bilgilerin sunularak, insanların susturulduğu iddiaları var.
Hatta bu dörtgene gazeteciler ve hukuk mensuplarını da katmak mümkün. Dolayısıyla acaba buradan elde edilen bilgiler şantaj amaçlı kullanılmış mıdır? Ya da hangi amaçlarla kullanılmıştır?
Kullanılmamış olsa bile makinalara “gayri-hukuki bir şekilde sızılma ve takip” mahremiyete aykırı bir durum değil midir?
Bunların araştırılması lazım. Ülkemizde demokrasi varsa bu şarttır.
Türk Polisi Aktif Müşteri Gözüküyor
Her ne amaç ise; firmadan çalınan “Customer_History.xlsx isimli dosyaya bakıldığında [4], Türkiye’nin Hacking Team şirketine RCS için 2011’de 150.000 Euro, 2012’de 140.000 ve 2013’de 150.000 Euro olmak üzere 440.000 Euro lisans ücreti ödediği gözüküyor (bugünkü kur ile 1,3 milyon TL). Yine diğer bir dosya olan “Client List_Renewal date.xlsx,” ise [5] Türk Polisinin 10 kasım 2014’de lisansının geçerliliğini yitirdiği ama yenilenmediği notunu taşıyor. Ama firma Türk Polisini “aktif” müşteri olarak sınıflandırıyor.
Hacking Team firmasının RCS yazılımı konusunda Citizen Labs’ın 2014 yılında yayınladığı raporda yer alan haritada Türkiye de gözüküyor[6]. Rapor, bu servisin çeşitli ülkelerdeki insan hakları savunucuları ile bağımsız gazetecileri hedeflediğini söylüyor.
Türk Polisi Amerika’lıları mı İzliyordu?
6 nisan 2013 tarihli Wired Magazine’de yayınlanan bir haber ilginç detaylar veriyor[7]. Haberde, bir Amerika’lı bir kadına gelen ve içinde bir link olan mailden bahsediliyor. Harvard Üniversitesindeki bir profesörden geliyor gibi gözüken mailin aslında hardward.edu diye bir yerden geldiği yani phishing olduğu görülüyor.
Haberde kendi isteği nedeniyle Amerika’lı kadının adı verilmiyor ama kendisinin Gülen hareketine bağlı Türk Polisi tarafından takip edildiğine inandığı not ediliyor. Maildeki link kontrol edildiğinde ise Hacking Team firması tarafında sadece polis güçlerine sattığı RCS isimli kötücül yazılımın bulunduğu anlatılıyor.
Haberde görülen şu ki; 2013 yılında bile RCS’nin Skype, Yahoo Messenger, Google Talk ve MSN Messenger gibi pek çok yazılım üzerinden hem yazılı hem de sesli haberleşmeyi takip edebildiği, bilgisayarı kontrol edebildiği, resim, video alabildiği, bilgisayardaki bilgileri çalabildiği biliniyor.
Twitter DM Mesajlarına ya da Bedava Uygulamalara Dikkat
Peki “Bu firmanın yazılımı nasıl çalışıyor ve beni nasıl takip edebilir?” diye soruyorsanız, zaaflar ya da boşluklar kullanılarak sızılıyor.
Twitter’da bugünlerde çokca gelen doğrudan mesajlara (DM) bakın; “bu resim senin mi?” ya da “filancanın porno videosu bu linkte” gibi mesajları ciddiye alıp tıkladınız ise, vay halinize, telefonunuz ya da bilgisayarınız artık başkalarının paylaşımında ve hatta yönetiminde (mesela kameranın açılması gibi) demektir.
Ama bedava dağıtılan yazılımların da potansiyel tehlike olduğunu unutmayın. Bunlar “namaz saatini bildiren uygulamalar” da olabilir, “oyun”lar da olabilir ya da çok daha fazla ilginizi çeken başka uygulamalar da olabilir.
Anlayacağınız “Big Brother” bu. Orwell 1934’de yazdığı kitabında müthiş bir öngörü ile olayı göstermiş. Hükümetler “güvenlik” sopası göstererek, aslında kendi güvenliğini yani iktidarını sürdürme yolunda insanların mahremiyetlerini ihlal ediyor. İnternet kullanıcıları ise farkında bile değil.
Ortada gözükmeyen bir savaş süregidiyor. Bu savaşın tarafı değilim sanıyorsanız, yanılıyorsunuz.
[1] Hükümetlere Sızma ve Takip Araçları Sağlayan Hacking Team Şirketi Hack Edildi 400 GB Veri Çalındı
[2] RCS Basic Solution – Advance Payment
[3] Remote Control System (RCS)
[6] Mapping Hacking Teams Untraceable Spyware
[7] American Gets Targeted by Digital Spy Tool Sold to Foreign Governments