“İzi Sürülemeyen” Casus Yazılım ve Türkiye

Gün geçmiyor ki Türkiye’nin de içinde bulunduğu bir gözetleme sistemi orataya çıkmasın. Haklarımız o kadar büyük tehlike altında ki bunu hergün tekrar tekrar görüyorum.

Milan’dan kısaca HT S.r.l olarak bilinen Hacking Team, devletler için “saldırgan teknolojiler” tedarik eden bir firma. Makalelerde geçtiği üzere ürünlerinden bir tanesi “Remote Control System (RCS)“, –adı üzerinde– uzaktan kontrol sağlayan bir trojan olup dünya çapında gizli servislere ve kanun uygulayıcılara satılmış. Hacking Team’in tanımladığı üzere bu trojan devletin kontrol edebildiği alanların dışında kalanlar ve şifreleme kullanları monitörlemek için geliştirilmiş. 2011 yılı RCS tanıtım broşürü:

image00

Kısaca RCS hedef bilgisayar ve akıllı telefona girerek veri iletim için şifrelenmeden veya hiç iletilmemesi için müdahalede bulunuyor. Bununla birlikte, bir bilgisayarın harddiskinde bulunan dosyaları kopyalayabiliyor, Skype aramalarını, e-postaları, tarayıcıya girilen şifreleri (keylogger gibi) kaydedebiliyor. Ayrıca, cihazın kamerasını veya mikrofonunu da kullanıcıyı gözetlemek ve dinlemek için aktif edebiliyor. Hacking Team ise bu trojanı terör ve suçla mücadele etmek, siber soruşturmalar için oluşturduklarını, kesinlikle baskıcı rejimlere satılmayacağını/satmadıklarını söylüyor. İzi sürülememesine gelecek olursak hedefe yapılan saldırılar için kendine RCS sunucuları üzerinden tamamen farklı zıplama yolu hazırlamaktadır.

CIRCUITS_FINAL_REDACTED

Örneğin, RCS izinin sürülememesini sağlamak amacıyla Meksika’daki hedef için Hong Kong, Londra, Amstardam ve Atlanta üzerinden bir yol oluşturulmuş. Bir diğer örnek de Fas’taki hedef için oluşturulan Kiev ve Tampa yoludur.

İlk makale Ethiopian Satellite Television Service (ESAT) isimli, bağımsız ve Etiyopya diasporası üyelerine ait televizyon, radyo ve online haber kurumunu anlatıyor. ESAT kendini sürülen gazetecilerden, insan haklarını savunan, sivil toplum liderleri ve Diaspora üyelerinden oluşan bir yapı olarak tanımlamaktadır.  Etiyopya’nın dikkati çeken bir diğer özelliği de Afrika çapında en çok gazetecinin mahkum edildiği bir ülke. Ayrıca, Etiyopya devleti 1993’ten bu yana 75’ten fazla radyo ve televizyon kurumlarını kapatmış. ESAT’ın bir diğer özelliği ise Etiyopya hükümetinin muhalefet partilerini burada program yapmamaları için uyarmış olması. ESAT tek bir saldırgan tarafından 2 saat boyunca hedef alınmış ve ESAT gazetecilerine RCS içeren rar, doc gibi dosyalar gönderilmiş. Bu örnekten çıkartılacak en temel sonuç, “baskıcı rejimlere” satılmadığı söylenen bu casus yazılımın bizzat baskıcı rejimler tarafından kullanıldığıdır.

İkinci makale izi sürülemeyen bu casus yazılımın izini sürmeye çalışıyor. Kullandığı şüphelenilen ülkelerin haritası:

SUN_NOON_WORLD1

Şüphelenilen ülkeleri sıralayacak olursak Meksika, Kolombiya, Panama, Macaristan, İtalya, Polonya, Türkiye, Umman, Suudi Arabistan, Birleşik Arap Emirlikleri, Mısır, Etiyopya, Fas, Nijerya, Sudan, Azerbaycan, Kazakistan, Malezya, Tayland, Güney Kore ve Özbekistan. Harita üzerinde de görülüğü gibi ülkelerin %52’si Dünya Bankası tarafından 3. dünya ülkesi olarak tanımlanmakta ve Türkiye de dahil olmak üzere baskıcı rejimlerin yönetimi altında bulunmaktalar. Tekrar Hacking Team’in ifadesine dönecek olursak baskıcı rejimlere satılmayan bu casus yazılım bizzat bu rejimler tarafından kullanıldığından şüphelenilmiş.

Makalede geçen RCS hedeflerine de kısaca bir bakacak olursak:

  • Faslı yurttaş gazeteci grup Mamfakinch
  • Arap Emirlikleri’nden insan hakları aktivisti Ahmed Mansour
  • Arap Emirlikleri’nden bir gazeteci ve bir insan hakları aktivisti

Makalede “Bilinmiyor” olarak geçen birkaç hedef daha mevcut. Bu durumun enteresan tarafı Hacking Team’in ısrarla Avrupa Birliği, Amerika, NATO ve benzer uluslararası organizasyonların baskıcı rejim, ifade özgürlüğünün kısıtlı, adalet sisteminin yozlaşmış, insan hakları ihlallerinin olduğu ülkeler diye adlandırdığı ülkelere kesinlikle tedarik edilmediğini söylemesine rağmen örnekler bunun tam tersini söylemekte, yurttaş gazeteci, insan hakları aktivistleri veya gazetecileri hedef alınmaktadır.

Türkiye bunun neresinde kısmına gelelim. Türkiye de sahip olduğu iktidar ile gayet baskıcı, hiçbir muhalefete tahammülü olmayan, kendi kıt anlayaşılarını hukuk diye dayatan polis devletinden muhaberat devletine geçmek için gün sayan bir devlet konumuna geldiğini biliyoruz. CitizenLab, RCS’nin proxy zincilerini 6 parmak izi (fingerprinting) üzerinden taramış ve bir sunucular listesi çıkartmıştır. Bu listeye bakıldığında Türkiye’den (firma ismi vermiyorum, whois çekin) 1 Şubat 2014 tarihi itibariyle 176.216.47.175, 176.218.9.153, 176.55.188.147, 85.153.34.173, 85.153.34.187, 85.153.34.9 ve 95.9.71.180 adreslerine ulaşılmış. Bu adreslerle birlikte, ben de Türkiye’yi şüphelenilen (kullanma potansiyeli yüksek) ülkeler kapsamına alırım.

Durumun vehameti açıkça ortada. Siber soruşturmalar için –sözde– izi sürülemeyen bir casus yazılım ve bu yazılımla insan haklarının ihlal edildiği ülkelerde muhalefet, gazeteci ve aktivistleri hedef alan rejimler. Diğer yanda para için gözetleme/takip yazılımları hazırlayanlar. Yakınlarda çıkan Internetten illegal mp3 indirenleri tespit edecek casus yazılım haberi de şu bahsi geçen iki makaleye tam oturmuyor değil. Türkiye birçok alanda geri kalmış bir ülke olabilir fakat gözetleme, takip, sansür ve fişlemede teknolojiyi hiç kaçırmıyor gibi duruyor.

Haklarım, Hakların, Hakları

Abdullah Gül önüne konan Internet düzenlemesini “bir iki husus vardı onlar da giderilecek” yaklaşımıyla onayladı. Bir iki husus kısmını saymazsak benim beklentim de onaylayacağı yönündeydi. Bazen insan bir şeyin olcağını bildiği halde kendini aksine inandırır. Ben bunu yapmayı çok önceden bırakmıştım.

Abdullah Gül tarafından dün onaylanan sansürcü, toptan gözetimci, fişlemeci Internet düzenlemesi muktedirin çıkarları için geriye kalan herkesin gizliliğine vurulmuş bir darbedir. Fakat, gizlilik bir insan hakkıdır. Açık toplumlar için bir gerekliliktir. Gizlilik hakkı, bizi biz yapan şeylerle çevrili, bize ait bir alana sahip olma hakkıdır. Sadece biz bu alanda kimlerin olacağını ve paylaşmak istediğimiz şeylerin kapsamını, niyetini ve zamanlamasını kontrol etmeye sahibiz. Gizlilik hakkı, insani gelişme için bir araçtır, kişinin bireysel kimliğini inşaa eder, kendini tanımasına yardımcı olur, yaratcılık ve öğrenme için gereklidir. Ayrıca, insanoğlunun otonomisini korumak anlamına da gelir.

Madde 20 – Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.*

Gizlilik hakkı bizlere yapay bir ada oluşturur. Bu ada fiziksel veya sanal olsun, bizler burada bir üçüncü gözün gözetimi altında kalmadan, herhangi bir sosyal baskıya uğramadan ve yaptığımız eylemlerin sorumluluğunu üstlenmeye zorlanmadan deneyler ve hatalar yapabiliriz. Kendimize ait yalnız kalabileceğimiz bir alana sahip olamazsak kendimiz için neyin doğru veya yanlış olduğuna bağımsız bir şekilde karar veremez, gerçek anlamda otonom insanlar olamayız. Bununla birlikte, gizlilik hakkı insanların fiziksel ve akıl sağlıklarını korumalarına yardımcı olur. Çünkü, oluşturulan bu yapay adalar insanların yüzyüze gelmek istemediği kişilere sahip değildir. Kişinin oynaması gereken sosyal rollere bu adada gerek yoktur. İnsan bu alanda tamamen kendisiyle veya sadece orada olmasını istedikleriyle başbaşa kalabilir.

Madde 22 – Herkes, haberleşme hürriyetine sahiptir. Haberleşmenin gizliliği esastır.*

Madde 24 – Herkes, vicdan, dinî inanç ve kanaat hürriyetine sahiptir.*

Bir demokrasideki en hassas konulardan biri de ifade özgürlüğüdür. Bireyin kendini tanıması için ifade özgürlüğü olmazsa olmazdır, ifade özgürlüğü bir doğru arayışıdır. Öncelikle, düşünce bir kişi, olay vs. hakkında görüş sahibi olmak ve zihinsel hüküm kurmaktır. Zihinsel hüküm şunu söyler; bu süreç bireyin kendi iç dünyasındadır ve başkası tarafından bilinemez. Düşünceler ise yazıyla, sözle, resimle, fotoğrafla, video vd. ile yansıtılır. Özgürce düşünemeyen, düşüncelerine ait içeriklerin sansürlendiği bir ortamda birey bunun bir sonucu olarak kendini özgürce ifade edemez. Gizliliğin olmadığı, sansürün ve gözetlemenin olduğu bir yerde bizler daha farklı davranmaya başlar, daha resmi bir tavır takınır, dürüstlüğümüzden ödün verir ve ayıplanma, dışlanma, fişlenme vs. korkuları yüzünden kendimizi özgürce ifade edemeyiz. Ek olarak, kendimizi özgürce ifade edemediğimiz bir yerde inanç özgürlüğünden söz edilemez. Ayrıca, ifade özgürlüğünün zarar görmesi araştırma özgürlüğünü olumsuz yönde etkiler. Çünkü ifade özgürlüğünün engellenmesi açık bilgi akışını etkileyecek ve böylece planlı ve sistemli olarak toplanan veriler, yapılan analizler, yorumlar, değerlendirilmeler bundan dolayı zarar görecektir.

Madde 26 – Herkes, düşünce ve kanaatlerini söz, yazı, resim veya başka yollarla tek başına veya toplu olarak açıklama ve yayma hakkına sahiptir. Bu hürriyet resmî makamların müdahalesi olmaksızın haber veya fikir almak ya da vermek serbestliğini de kapsar. Bu fıkra hükmü, radyo, televizyon, sinema veya benzeri yollarla yapılan yayımların izin sistemine bağlanmasına engel değildir.*

Madde 27 – Herkes, bilim ve sanatı serbestçe öğrenme ve öğretme, açıklama, yayma ve bu alanlarda her türlü araştırma hakkına sahiptir.*

Tüm bunların karşısında artık bazı alışkanlıklarımızı da değiştirmek zorundayız. Kapalı kaynak, bilim etiğinden yoksun, arka kapılara sahip herhangi bir yazılımın ve donanımın kullanılmasına karşı çıkmak gereklidir. Sırf alışkanlık diyerek GNU/Linux görmezden gelinmemelidir. Elbette, kullandığınız veya işiniz için gerekli olan her uygulamayı bulamayabilirsiniz. Fakat, gündelik kullanımınızda hiçbir eksiği yoktur. Hatta işiniz için benzer uygulamalara bile sahip olabilmektedir. Diğer yandan, kriptografi artık olmazsa olmazdır. Birine bir şeyler söylemek veya göndermek isteniyorsa ve bu Internetin gözetlendiği, sansürlendiği, insanların fişlendiği bir ortamda yapılıyorsa bunu şifreleyerek yapmak, anonim, otonom servisler, dijital para (btc vd.) sistemleri kullanmak ve bunları desteklemek gerekmektedir.

Ayrıca, yukarıda bahsettiğim haklarımı hiçbir hükümet, parti, şirket ya da büyük ve yüzsüz örgütlerin savunmasını istemiyorum. Benim adıma konuşmaları, haklarımı savunuyor gibi yapmaları, sanki benimle birlikte aynı mücadeleyi veriyormuş gibi görünmeleri sadece kendi çıkarları içindir. Amaçları benim gizliliğime değer vermek ve bunun için mücadele etmekten çok sahip olduğum bilgiyi elde etmek ve onu kontrol etmektir. Ben bunun bir parçası veya aracı olmak istemiyorum. Bununla birlikte, yalanın doğru, doğrunun ise yalan olduğu şu dönemde bir insan dürüstlükten asla vazgeçmemelidir. Okurken denk gelmiş veya bir yerlerden duymuşsunuzdur; bütün insanlar yalancıdır. Fakat, ben buna inanmıyorum. Tıpkı saydığım haklar gibi dürüstlük de benim için önemlidir. Bir insan dürüst olmadıktan sonra tüm bu haksızlıklara karşı nasıl bir fark yaratabilir ki? Şunu da bir kez daha yinelemek zorudayım. Empati yapmalıyız. Empati yapmayı öğrenmeliyiz. Sizi etkilemediğini düşündüğünüz durumlarda bile, sansüre, fişlemeye, gözetime vd.lerine hangi dilden, dinden, etnik kimlikten vs. maruz kalan olursa olsun bu haksızlıklara karşı mücadele etmek gerekir. Empati ve dürüstlük bunu gerektirir.

Madde 28 – Basın hürdür, sansür edilemez. Basımevi kurmak izin alma ve malî teminat yatırma şartına bağlanamaz.*

Son olarak, bunu okuyanlara da bir mesajım var. Yazıyı okurken benim ruhsal dalgalanmalarımı hissedebilirsiniz. Bunu yazıyı da nasıl algılarsanız algılayın. Bir manifesto veya sıradan bir yazı. Fakat devamlı olarak; ben, benim için, bence desem de bu yazı ancak sizlerle birlikte bir fark yaratabilir ve sadece sizlerle bir anlam kazanabilir. Sadece devamlı olarak gördüğünüz “Internet yasaklarını aşın“, “sansürden korunma rehberleri“, “şunu kullanın sansürü aşın” ile değil, sizlerin sansüre, fişlemeye, gözetime her ne ve kime yapılırsa yapılsın karşı çıkarak başa çıkabileceğinizi unutmayın. Ben böyle olduğunu düşünüyorum.

* Türkiye Cumhuriyeti Anayasası

Fişlemeyi Normalleştirmek

Özellikle iktidarın devamlı ihbar edin çıkışları, son bulacağını söyledikleri fişmele ile doğrudan çelişmektedir. Epey deneysel bir yazı oldu. Bir eleştiri yazısı olarak yorumlarınızı beklerim.

Gezi sürecinden bildiğimiz üzere insanlar Gezi’ye destek vermek amacıyla geceleri ülkenin birçok ilinde “tencere tava” çalmaya başlamıştı. Çok geçmeden Erdoğan; “Komşuyu rahatsız etmek suçtur. Ben değil yasalar söylüyor. Müracaatınızı yapacaksınız, yargıya bildireceksiniz.” diyerek tencere tava çalanların ihbar edilmesini istemişti. Ardından, bu konuyla ilişkin olarak “Sırdaş Polis İhbar Noktası” projesinden bahsetmişti:

Mahalle aralarına yerleştirilecek bu sistem sayesinde, bir suç işlendiğinde, insanlar ‘kimliğim tespit edilir mi?’ endişesi yaşamayacak. Bu sistem ile ister yazılı olarak, isterse de sesli olarak bu kutulara ihbarda bulunabilecek. Bu kutulara yapılan ihbarlar ise kesinlikle gizli kalacak. Projenin kısa bir zaman diliminde başlatılması hedefleniyor.

Görüldüğü üzere yazılı veya sesli olarak mahalle aralarına yerleştirilmiş bu sisteme insanlar kimlikleri gizli kalacak şekilde ihbarlarda bulunabilecekler. Ek olarak, bu proje sayesinde “polise olan ihbarların artırılması ve ihbar sisteminin işlevlik kazanması” amaçlanmakta olduğu söylenmiştir. Bir süre sonra, gündem değiştirme gücünü iyice kaybeden Erdoğan’ın kızlı-erkekli öğrenci evleri çıkışı olmuştu. “Üniversite öğrencisi genç kız, erkek öğrenci ile aynı evde kalıyor… Vali Bey’e bunun talimatını verdik. Bunun bir şekilde denetimi yapılacak.” demişti. Bu söyleminden sonra epey tepki çekmiş, kızlı-erkekli öğrenci evlerinin ihbarı başlamış, kendilerini ihaber edenler olmuş ve ihbar sonucunda da bir kişi hayatını kaybetmişti. Görüldüğü üzere her iki söylemin de ortak yönleri; neyin suç olduğunun bir kişi tarafından belirlenmesi ve  “ihbar.”

Bu sefer çok yakın bir tarihte, 6 Aralık 2013’te “Trafikte Yeni Dönem! Herkes Polis Olabilecek” başlıklı yeni bir haber yayımlandı. Ayrıca, bu haber tv programlarında da gösterildi. Haberde geçen bölümden bir altıntı yapayım:

Tasarı Meclis’ten geçerse elinde kameralı cep telefonu bulunan herkes trafik casusluğu yapabilecek. Vatandaş aşırı hız, kırmızı ışık ihlali, emniyet kemeri, yasak park, araç kullanırken cep telefonu ile konuşma, hatalı sollama, araçtan sigara izmariti, çöp atma gibi eylemleri ya fotoğraflayarak tespit edecek ya da videoya çekecek.

Alıntıdan da görüldüğü üzere insanlar ellerindeki cep telefonları ile isterlerse trafik casusluğu yapabilecekler. Yani tekrar aynı bahaneyle, yasalara aykırı bir durumun ihbar edilmesi istenmektedir. Bununla birlikte, “casusluk” kelimesi “Sırdaş Polis İhbar Noktası” projesi ile -bence- doğrudan ilişkilidir. Çünkü, her ikisinin de ortak noktası kimlik gizliliğidir (e-posta ile ihbar bu konuda biçilmiş kaftan). Şimdi bir ayrım yapalım. Mobese, devletin kendi eliyle koyduğu bir gözetleme sistemidir. Haberlerde insanlara “evlilik teklif eden çiftler, enteresan kazalar, mobese kameralarına takılan ilginç görüntüler vs.” şeklinde gösterilmekte, asıl çalışma amacı gizlenerek ve normalleştirilerek anlatılmaktadır. Öte yandan, bahsedilen ihbarlar bir sivil muhbirlik olup, ayrıca yasal bir dayanağı olmadan, farklı veya karşıt görüşlerde olanları devletin fişleyemediği noktada fişlenmesine yardımcı olmaktır.

İlk olarak, elinde kameralı cep telefonu olan herkesin trafik casusluğu yapmasını (kurallara uymayan sürücüler için bile) kabul edilemez buluyorum. Trafikteki kural ihlallerinin çözümü “ihbar” sisteminden geçmemektir. Ayrıca, bununla  fişleminin ilerleyen süreç içerisinde daha normal bir algı yaratacağına inanmaktayım. Bunu şundan dolayı söylüyorum; ilk iki ihbar isteğinde neyin suç olduğu bir kışı tarafından belirlenirken bu sefer de yasalara aykırı durumlar bahane edilerek bir ihbar sistemi kurulmaktadır. Çünkü, hem tencere-tava hem de kızlı-erkekli ihbarların toplumun belirli bir kesimi tarafından (iktidar gibi düşünmeyenler diyelim ya da siz ne derseniz) “fişleme” olarak algılanmasına rağmen “kurallara, trafiğe vs. yardımcı olmak” adıyla fotoğraf çekilmesinin ve bununla ihbarda bulunulması gözden kaçırılmaktadır. Tıpkı Mobese haberleri ile yaratılmaya çalışılan algı gibi bu tarz ihbarların da asıl resmin üzerini örttüğünü düşünüyorum. Bu resim de fişlemenin ve devletin fişleme mekanizmasına yardımcı (gönüllü, sivil muhbirlik) olmanın ta kendisidir.

Son olarak, iktidar söz vermesine rağmen fişlemeyi son vermemektedir. Askine, fişlemeyi normalleştirmekte ve bunun için de elinden geleni yapmaktadır. Fişlemenin zeminini hazırlayan ve normalleştiren bu tarz haberler ve ihbarların altında yatanlar iyi görülmelidir. Bugün için makul gelebilecek bir ihbar/ihbarlar ilerleyen süreçte fişleyen bir toplum mekanizmasına dönüşebilir/dönüştürebilir.