17 aralık sonrası internete getirilmek istenen kısıtlamalardan birisi de HTTPs konusunda. Pek çok internet kullanıcısı –özellikle bloklanan Twitter, Anayasa Mahkemesi tarafından açıldıktan sonra– gayet rahat bir şekilde “Twitter’ı bloklayamazlar çünkü HTTPs” dese de hükümetin tavrı bu değil. Tam tersine “kapatırım” tavrı sürüyor. Hatta muhtemelen bu iddialaşma ile daha da inatlaşmaya dönen “kapatırım ulan” tavrına sürükleniyor.
Ama bu iddialaşmak doğru mu? Daha doğrusu bu iddialaşma burada sürer giderken, stratejik, devletin yarınını da ulusal tehlikeye koyan hatalar yapılıyor mu?
Yani “içteki mücadele”ye yoğunlaşmaktan, dışarıdakiler ne yapıyor bakamaz durumda mıyız? Tıpkı 50-60-80 yıldır olduğu gibi.
HTTPs Zor da Olsa, Teknik Anlamda da, Hukuki Anlamda da Yapılabilir ama Ülkenin Blok Değiştirmesi Şartıyla
HTTPs teknik anlamda zor da olsa mümkün. Ama ulusal network anlamına geliyor. Yani Çin gibi, Rusya gibi, Kuzey Kore gibi.
Hukuki taraftan baktığımızda 5809 sayılı kanun içinde yer alan kripto maddesi “izne tabidir” şeklinde ve dolayısıyla devlete hukuki bir hak sağlıyor[1].
Zaten bu nedenle olsa gerek TİB, geçtiğimiz günlerde erişim sağlayıcı firmalara bir yazı gönderdi ve “30 nisana kadar HTTPs bloklamada nasıl bir yol izleyeceğinizi bildirin” dedi. Yani anlayacağınız hükümet bunu fena halde takmış durumda.
Ama yapılabilir mi? Daha doğrusu “ne pahasına yapılabilir?”
İçerdeki Kör Döğüşünün Nedeni Dışarısı ise, İçeriyi Kapatmak Ne Yaratır?
Bu “ne pahasına yapılır?”ın cevaplarından birisi ülkenin gelirlerine, diğeri ise ülkenin yönüne dair olmak üzere 2 tehlikesi var. Bunları anlatalım;
Ama bu tehlikelerden önce başka bir tehlikeyi hatırlatalım; içerdeki kör döğüşünün nedeni içerden çok dışarısı ise, bu ülkeye birileri darbe yapıyorsa, çözümü bu değil. Çünkü bu palyatif çözümler, bir yandan ülkeyi (çeşitli cihazlar ve yazılımlarla) bir daha da mücadele edemeyecek düzeye getirirken, diğer yandan daha da açık hale sokuyor. Bir gün bunlar kuralları koyanların kendilerine de lazım olabilir. Neler olduğunu yazının devamında okuyacaksınız[2].
Bütün Hükümetler Kripto Anahtarlarını İstiyorlar…
Son 10-15 yılda akademisyenlerin ve Edward Snowden ya da Julian Assange gibi insanların yüksek sesle bağırdıkları husus “çağımızın casusluk makinası, internet’tir” şeklinde[3]. Eskiden günlerce/aylarca toplanan bilgiler bugün bir çırpıda istihbarat örgütlerinin ellerinde. Örneğin sağcı-solcu ya da başka birşeyci olduğunuza dair siz bir şey söylemiyorsanız bile, arkadaşlarınız, akrabalarınız söylüyor. Ordan hareketle siyasal yakınlıklarınız ortaya dökülüyor.
Ama yine de eksik parçalar var. Bu parçaların büyük bir kısmı ise, “siyasal güç savaşına altyapı sağlayan istihbarat savaşı” anlamına geliyor. Mesela Twitter’da ses kayıtlarını yayınlayan şu gizli kimlik @fuatavni de kim ola acaba? Yayınladığı bilgiler yenilir, yutulur cinsten değildi.
Bu hükümet, ya da şu hükümet, ya da Amerikan hükümeti, ya da Alman hükümeti, ellerinin altındaki bu kaynaktan istihbarat hasat etmek istiyorlar. Örneğin son 2-3 yılda Blackberry firmasının Hindistan, Arabistan gibi ülkelerde karşılaştığı “kripto key’leri vereceksiniz” baskısı bu tür bir durumdu[4].
Amerikan hükümetinin bu konuda daha da sıkı ve çeşitli standartları var. Şifreli haberleşme Amerikan hükümetinin iznine tabi ve belli bir boyutun üzerindeki keyler Amerikan hükümetine verilmek zorunda. Çünkü düşük boyutlular (mesela 128 K) zaten kırılıyor ama boyut büyüdükçe kırılması zorlaşıyor (burden çıkan ders; dikkat; hiçbir şey okunamaz, alınamaz değil).
5809 Sayılı Kanun, Kriptolu Haberleşmede BTK’ya Dolayısıyla Hukuki Yetki Sağlıyor.. Peki Ama …….Ya Sonra….
Yazının başında dedik ya; TİB erişim sağlayıcılara bir yazı gönderdi ve 30 nisana kadar ne tür bir HTTPs bloklaması yapacaklarını bildirmelerini istedi. İlk başta herkes “yapılamaz” dedi ama, teknik açıdan çok zor olsa da yapılamaz değil; TİB de zaten durumu “bütün kriptolu haberleşmeyi bloklayabiliriz. 5809 sayılı kanun çerçevesinde yetkimiz var. Herkesten key almalarını (sertifika) isteyebiliriz” şeklinde ifade ediyorlar.
Zaten hatırlatalım; 5809 sayılı kanunun 39cu maddesi şu anda uygulanıyor[1] ama sadece cep telefonlarına[4]. Ülkemizde kriptolu telefon pazarının büyümemesinin en önemli nedeni de budur. Herkes kendisini devlete karşı korumak için kriptolu telefon alacakken, bu madde nedeniyle “anlamsız olduğundan” almadılar. Kriptolu cep telefonu pazarı bu nedenle ülkemizde büyüyemedi.
Ya Sonra…..
Temel soru bu; Tamam HTTPs bloklama için altyapı hazırlanacak ama “Ya sonra….” Yani “blokladım ulan” mı olur? Başka etkileri olmaz mı? Mesela ülkenin gelirleri hangi anlamda etkilenir?
Örneğin bir Alman firması (ki Almanların epeyce yatırımı var bu ülkede), VPN ile bağlanıp merkezden çalışmak istese ne olacak? Firma temel ihtiyacı olan “ticari sır” kavramı nedeniyle VPN kullanıyor. “Kriptolu haberleşme anahtarını bana vereceksin” demek, o firmaya başka deyişle gözlerinin içine baktığımız yabancı yatırımcıya “güle güle” demekle eşdeğer.
Aynı konu, ülkemizi ziyaret eden turistler için de geçerli. İstanbul’a bir konferansa, Ankara’ya bir toplantıya ya da Alanya’ya bir tatile gelmiş olan turist, seyahati sırasında bilgisayarını açıp VPN ile şirketine bağlanmak istese, ne olacak? “Git sertifika al” mı duyacak?
Ülke içindeki firmaların ticari ya da vatandaşların kişisel gizlilikleri ile bu konuya bakış açısını daha tartışmıyoruz bile..
Üstelik client tarafı da değil, sertifikanın sunucu tarafına yüklenmesi gerekiyor.
Bu örnekleri çoğaltmak mümkün ama zaten yazı yeterince uzun oldu.
Şimdilerde erişim sağlayıcılar yapılması durumunda doğabilecek sakıncaları TİB’e göndermek üzereler. Hükümetin ve de bürokrasinin bir yerlerinde, internet’ten anlamadan, kurallar koymaya, bir şeyler yaptırmaya, dikte ettirmeye çalışanlar var. İnternet maddeleri ile düştükleri komik durumu daha da ötesi ülkenin siber güvenliğinde yaratabilecekleri sakıncaları anlayamamış gözüküyorlar[2].
Bizim Bütün Bilgilerimiz Yabancıların Ellerinde
Bugün geldiğimiz noktada tüm dünyada sorun var. Herkes ve özellikle Avrupa Birliği zaten uzun zamandır “Internet Governance” yani internetin yönetimini tartışıyor[5]. Teknolojik olarak Amerika’ya mahkum olmak., sadece Türkiye’nin sorunu değil, Almanya da, Fransa da, Japonya da muzdarip.
Rusya bunu ve başka sorunları, dünyayı yeniden kamplaştırarak aşmaya çalışıyor.
Ama sonuçta hükümetin (ve maalesef farkında olmasalar da muhalefetin) bugün temel sorunu eğer “Benim bütün bilgilerim yabancıların elinde….” ise, oturup bundan sonrasını çalışmak lazım. Bugünü zaten kaybetmiş durumdayız.
Klasik ifadeyle “tam bağımsız Türkiye”den bahsediyorsak, bunun bir yerinde ellerimizi başımızın 2 yanına koyup, bir daha “Ya Sonra?” demeliyiz..
AKP’nin Kendi İnternet’i mi? Tam Bağımsız!!!! Türkiye
17 aralık sonrası olaylar, ortaya konulan ses kayıtları, hükümet tarafından her ne kadar “Cemaat” şeklinde sunulsa da, aslında herkesin düşündüğü “bunu yapan ABD’dir” şeklinde. Eskiden askere darbe yaptırırlardı, şimdi başka zümreler buldular. Başbakan da muhtemelen de cemaate laf söylerken, “kızım sana söylüyorum, gelinim sen anla” modunda bağırıyor.
Batının iyi bir istihbarat gücü olduğunu zaten olaylardan, kitaplardan, filmlerden görüyoruz, biliyoruz. Şimdi Başbakan’ın bu istihbarata karşı mücadelesi var, bir takım insanları suçluyor. Ama ya çeşitli kurumlardaki sunucular, router’lar, erişim sağlayıcı cihazlar, yazılımlar[6]?
Bunlar beklenen işlevleri yanısıra, beklenmeyen işlevler de üstleniyorlar mıdır? Kim ne kadar biliyor, inceliyor, anlıyor? Dünya literatüründe bunların nasıl kullanıldığına dair kitaplar var[6].
Bu çok uluslu firmaların cihaz ve yazılımları, özel ya da devlet kurumlarını son 20-30 yıldır iyice kaplamış durumdaysa ve çaresi yoksa, o zaman başka bir şey yapılmalı.
Demek istiyorum ki; bu cihazlar ya da yazılımlar bir şeyler topluyor mu? Daha doğrusu nerden ne topluyor? Bunlara bakan var mıdır? Tamam topluyor ama bizim elimiz bağlı olmak zorunda mı? Karşı casusluk ya da tersine casusluk yapılamaz mı?
Ama AKP hükümeti bunları düşünmek yerine ülkede kendi internetini yaratmaya çalışıyor gibi gözüküyor[6]. Eğer amacı ülkenin bağımsızlığı ve dışarıdan gelen tehlikenin engellenmesi ise, burda belirtelim; yapılan şey ülkenin vatandaşlarını daha fazla risk altına alıyor. Belki AKP kontrolü altına da alıyor ama başkalarının da kontrollerini arttırıyor[7].
Birileri bağırıyor; “tam bağımsız Türkiye” … Ama böyle bağırıp, çağırmakla tam bağımsızlık olmuyor. Tam bağımsızlık bazı şeyleri kendi kendine yapmakla oluyor..
Daha bir açık kaynak yazılım konusunda adım bile atamadık[8][9].
Altyapı olmadan, altyapı cihazlarını ve yazılımlarını kendin üretmeden, bağımsız bir ülke haline getireceğim diye sınırlamalar, farklı blokların uygulamaları vs ile ülkeyi batı blokundan koparabilirsiniz, internetini alır kendi içine kapatırsınız[6] ama ondan sonrası ne olur? Ülke ne olur? Kuzey Kore? Daha sonra kimin kucağına düşer?
Bu ülkeyi şunun ya da bunun istihbaratından kurtarmak istiyorsanız, bu bloklama ile engelleme ile sansürleme ile olmaz;
- Bilimsellik
- Ekonomik yükselme
- Istihbarata KARŞI önlem (belki neler toplandığına bakmak)
- Yapılan düzenlemelerin neye yol açtığına, kimi hangi stratejik noktaya getirdiğine bakmak
lazım. Örneğin bugünlerde URL bloklama için firmaların hepsine kurulduğunu duyduğumuz 2 markanın 2si de İsrail şirketi. Yani bundan sonra bu ülkedeki herkesin mail şifreleri İsrail’in elinde mi olacak acaba? Bu “one minute” showu yapmakla olmuyor gördüğünüz gibi. Neyin ne olduğunu ve hangi hareketin neye yol açacağını bilmek ve strateji tespit etmekle olur.
Erişim Sağlayıcılar Birliği Ne Durumda?
Tabi bir de erişim sağlayıcılar birliği konusu var. Her ne kadar küçük erişim sağlayıcıları “meslek birliği olacak” palavraları ile kandırmaya çalışsalar da, bunun devletin bir organı olacağı BTK’nın hazırladığı tüzük ile daha iyi görülmüş oldu[10].
Anayasa Mahkemesine CHP tarafından taşınan internet maddeleri arasında bu erişim sağlayıcılar birliği de var[11]. Eğer Anayasa Mahkemesi iptal ederse tamam ama diğer yandan 19 mayısa kadar kurulması gerektiği ve kurulmazsa firmalar ceza yiyecekleri için çalışmalar sürüyor.
Bize gelen bilgi gündemde 2 tüzük olduğu şeklinde. Tüzüklerin ilki BTK tarafından yazılmış ve erişim sağlayıcıların % 90’ının karşı çıktıkları tüzük ve BTK’nın bütün baskısına ragmen imzalanmadı[10]. Sadece 12 firma yani yönetim kurulunda 2’si eski bakan 5 AKP’linin yer aldığı Turkcell ile devlete hala yakın olduğu düşünülen Türk Telekom ve türevleri olan firmalar bu tüzüğü imzaladı[12].
Telkoder’in ise 100+ kadar imza topladığı duyuluyor.
Ama BTK kendi istediği tüzük için imzaları toparlayamayınca, bu sefer “kural değişikliği”ne gitti. Yani erişim sağlayıcı firmalar için önceden duyurduğu 325 rakamını değil, abonesi olanları saydı. Bunlar da 46 firma[12]. Turkcell ve Türk Telekom türevleri ile gerekli 1/4 imzayı toparladı ama yeter mi?
Bence BTK kafasını önüne eğip düşünmeli; evet emir büyük yerden ama acaba ülkenin iyiliği için ne yapmak lazım? Ya da acaba büyük yer, bunun sakıncalarını farkında mı? Bunların kendisine anlatılması iyi olmaz mı?
BTK 10 kusur yılda elde ettiği iyi ilişkileri ve sektör birliğini, sadece 3 ayda yok etti. Bunun en önemli nedeni; yukarıdan gelen teknolojiden anlamaz isteklere karşı neyin ne olduğunu anlatamaması oldu. BTK’nın yeniden eski güvenilirliğini kazanması zor da olsa mümkün. Ama bunu yapması için doğru olanları savunması ve sektörün yeniden desteğini elde etmesi lazım.
Teknolojiden Kaçmak Çözüm müdür?
Yukarıda da yazdık ama tekrarlayalım; devlet once teknolojiden kaçmak yerine teknolojiyi anlamaya ve kendi lehine kullanmaya başlamak zorundadır.
Hükümette ya da bürokraside, sadece Başbakanı memnun etmek için hareket eden ama teknolojiden anlamadığını zannettiklerimiz var. Niye bunu düşünüyoruz; bunu görmek için son 3 aya ve olanlara bakmak yeterli. Koydukları kurallar çalışmadı. Çünkü bunu bilerek koymak lazım. Teknolojiden anlamayanlar kural koyarken, teknolojiyi anlayanları dinlemeyi öğrenmeliler. Twitter ve Facebook kullanmak demek teknolojiden anlamak anlamına gelmiyor.
Hatta daha komiğini de ifade edelim; Sektörün internet servis sağlayıcı bölümünü de deneyimlemiş bir mühendis olarak 19 yıllık sektör tecrübesi içinde ifade edelim ki; bu koca koca internet erişim sağlayan firmalar içinde çalışanlardan bazıları bile teknoloji özürlü. Olmasalar neyin ne olduğunu anlatırlardı.
Teknolojiyi kısıtlamak yerine, teknolojiyi kullanmak ve bunun üzerinden fayda sağlamak gerekli.
Bunu yapmak için ise, ülkenin devlet memurlarından değil, teknolojinin içinde yaşayan, gerçek bilenlerden kurulu bir vizyoner danışmanlığa ihtiyacı vardır. Bunu nasıl kurabiliriz diye sormaya gerek yok; Amerika’yı yeniden mi keşfedelim; Obama’nın bütün bu teknoloji şirketlerinin başkanları ile kurduğu komisyona bakmak yeterli olacaktır.
Ülkemizde parlak bir genç nesil var. Teknolojide güçlü olanları ile, ülkemizin teknoloji liderlerini biraraya getirmek yeterli olacaktır. (Tabi ki iyi niyetlilerini dışarıda tutarak, kotalarını devlete kakalamaya çalışan çok uluslu firmaların yöneticilerini de kastetmiyorum. )
Ama devlet kurduğu komisyonlarda konuyu yakından/uzaktan bilmeyen bürokratlardan kurulu yapılarla, üstelik “böyle olmaz devletin yapısına uymaz” ifadesi ile getirilen sınırlamalarla, ülkenin önünü tıkamaya devam ediyor.
Kafkaslar – Balkanlar – Avrupa arasında stratejik ve şanslı konuma sahip olan ülkemiz bu durumu hala kendi avantajına kullanmayı beceremedi. Çünkü devlet dışarıya değil içeriye bakıyor. Kendi tekelini, kendi gücünü içeriye karşı korumaya çalışıyor. Istihbaratı böylece kontrol edeceğini zannediyor. Ama kontrol edeceğini sandığı “iç istihbaratı” bile ne kadar kontrol ettiği bilinmiyorken, dış istihbarat onu dinliyor ve hatta şakır şukur ortaya koyuyor. Uzun vadede devleti daha çok ele geçiriyor belki de..
Ne kadar zavallılık, ne kadar vizyonsuzluk.. Osmanlı’ya öykünenlerin anlayacağı şekilde ifade edelim; bu en az Estergon Kalesi, en az Anapa kalesi kaybı kadar önemli bir vizyonsuzluktur ve tarih bunu yazacaktır.
[1] Av.Serhat Koç : Kripto Yönetmeliği Eleştirisi
[2] Bu yazı olayın tüm boyutlarını 360 derece vermek için uzun yazıldı ama bahsettiğimiz tehlikenin boyutlarına dikkat çekmek ve daha net anlatmak için daha kısa bir yazı yayınlayacağız.
[3] Wikileaks Kurucusu Assange : Facebook, Şimdiye Dek yaratılan En Korkunç Casus Makinası
[4] Hindistan, BlackBerry Kullanıcılarının Erişimini Kesecek Mi?
[5] İnternetin Yönetimini 2015’te Devralacak Olan ICANN, Endişeleri Gidermeye Çalışıyor
[6] 1995 lerde yayınlanan “Bilgi Mafyası” isimli bir kitapta 1980’lerden başlayarak özellikle Mossad’ın bilgisayar sistemleri üzerinden nasıl istihbarat yaptığını anlatır. Bu kitapta örneğin Ürdün Su Şirketine bağışlanan bir bilgisayara bağlanan bir kablo ile yakındaki bir ofisten, su tüketimi takip edilerek, hangi eve misafir Filistin’li gelmiş olduğunun tespiti ya da Filistin liderinin Libya’ya gittiğini uçak bileti bilgilerini elde ederek öğrendikleri ve orada baskın yaparak öldürdükleri anlatılır.
[7] Asıl Sansür Yeni Başlıyor … AKP Kendini Aştı.. Kendi İnternet’ini mi Kuruyor?
[8] Milli işletim sistemi olarak başlatılan ve bir Linux cinsi olan Pardus, gerek yaratıcılarının vizyonsuzluğu ve egosu, gerek ise hükümet ve bürokrasinin anlamaması sonucu öldü.
[9] Münih Belediyesi Açık Kaynak Dönüşümünü Başarıyla Tamamladıklarını Duyurdu
[10] BTK Tepeden İnme Tüzük için Bastırırken, İnternet Erişim Sağlayıcılar Kendi Tüzüklerini İstiyor