ByLock kullanımının kesin delillerle tespitinin kişinin örgütle bağlantısını gösteren delil olarak kabul eden Yargıtay Ceza Genel Kurulundan bir ByLock kararı daha çıktı.
Kurulun, FETÖ davalarında yol haritası niteliği taşıyacak ve ByLock analizinin yapıldığı kararının gerekçesi tamamlandı.
ByLock teknik analizi yapıldı
Yargıtay Ceza Genel Kurulunun gerekçeli kararında, ByLock'un teknik analizi yapıldı.
Gerekçede, kullanılması için indirilmesi yeterli olmayıp, özel bir kurulum gerektiren ByLock iletişim sisteminin, güçlü bir kriptolama yoluyla internet bağlantısı üzerinden iletişim sağlamak üzere gönderilen her bir mesajın farklı bir kripto anahtarı ile şifrelenerek iletilmesine dayanan tasarıma sahip olduğuna değinildi.
Şifrelemenin, kullanıcıların kendi aralarında bilgi aktarırken üçüncü kişilerin bu bilgiye izinsiz şekilde ulaşmasını engellemeye yönelik bir güvenlik sistemi olduğunun tespit edildiği aktarıldı.
Gerekçede, 2014 başlarında iletişim sistemlerine ait uygulama mağazalarında yer alıp, bir süre herkesin erişimine açık olan ByLock'un bu mağazalardan kaldırılmasından sonra geliştirilen, yenilenen sürümünün ancak örgüt mensuplarınca harici bellek, hafıza kartları ve bluetooth yoluyla yüklendiğinin anlaşıldığı bildirildi.
ByLock'un internet ağına doğrudan bağlanan, her cihaza verilen numaralardan oluşan tek adres anlamına gelen "IP adresi"ne sahip sunucu üzerinden hizmet verdiğine işaret edilen gerekçede, sunucu yöneticisinin uygulamayı kullananların tespitini zorlaştırmak amacıyla "8 IP adresi" daha kiraladığı anlatıldı.
Tespiti zorlaştırmak için yapılanlar
Gerekçede, global ve ticari uygulamaların aksine kullanıcıların tespitini zorlaştırmak için ByLock'a kayıt esnasında, kullanıcıdan telefon numarası, kimlik numarası, e-posta adresi gibi kişiye ait özel bir bilgi talep edilmediği, SMS şifresi, e-posta yoluyla doğrulama işlemi yapılmadığı kaydedildi.
ByLock üzerinde telefon numarası veya ad-soyad bilgileriyle arama yapılarak kullanıcı eklenmesine imkan bulunmadığı da belirtilen gerekçede, telefon rehberindeki kişilerin uygulamaya otomatik eklenmesi özelliğinin de bulunmadığı vurgulandı.
Gerekçede, ByLock'ta kullanıcıların haberleşebilmesi için her iki tarafın önceden temin ettikleri kullanıcı adlarını ve kodlarını birbirlerine eklemeleri gerektiği, ancak bu aşamadan sonra taraflar arasında mesajlaşmanın başlayabildiğine işaret edildi.
Kullanıcıların dahi istediği zaman bu sistemi kullanma imkanının bulunmadığına işaret edilen gerekçede, bu kurgu sayesinde uygulamanın sadece oluşturulan hücre tipine uygun şekilde bir haberleşme gerçekleştirilmesine imkan verdiği anlatıldı.
Kullanıcı tespitinin önlenmesi ve haberleşme güvenliği için alınan bir başka güvenlik tedbirinin ise ByLock'a ait sunucu, iletişim verilerinin uygulama veri tabanında kriptolu olarak saklanması olduğuna dikkat çekilen gerekçede, bu önlemlerin yanı sıra kullanıcıların da kendilerini gizlemek amacıyla gerçek bilgiler yerine kod adı kullandıkları, çok haneli parolalar belirledikleri kaydedildi.
"2014 öncesini silmişler"
Gerekçede, Türkiye'den ByLock'a erişim sağlayan kullanıcıların kimlik bilgilerinin ve iletişimin gizlenmesi amacıyla "VPN (Sanal özel ağ)" kullanmaya zorlandıkları, büyük bir kullanıcı kitlesine sahip ByLock'un 15 Temmuz 2016'daki darbe girişiminden önce Türk ve yabancı kamuoyu tarafından bilinmediği aktarıldı.
MİT tarafından düzenlenen teknik rapora da yer verilen gerekçede, raporda, ByLock sunucusu yöneticisinin 15 Kasım 2014 tarihinden önceki kayıtları sildiği, üyelerine bir internet adresi üzerinden 17 Kasım 2014 tarihi itibarıyla ByLock sunucusunun bazı IP'lerine, Ortadoğu IP'lerine bağlantısını engelleyen bir metin gönderdiği, ancak engellemenin tüm IP numaralarını kapsamadığı tespitlerinin yapıldığı ifade edildi.
"MİT'in ByLock raporu hukuki"
ByLock kullanıcısı sanıkların savunmalarında, "MİT'in ByLock raporunun hukuki delil sayılamayacağı" yönündeki itirazlarına da Kurul kararıyla yanıt verildi. Yargıtay Ceza Genel Kurulunun gerekçeli kararında, MİT tarafından temin edilen ByLock veri tabanın yasal yetki çerçevesinde temin edildiği vurgulandı.
Gerekçede, ByLock'a ait teknik analizler ve kronolojik rapor dikkate alındığında, gerçekte ByLock ağına dahil olan kişinin, Türkiye'ye ait olmayan IP'ler üzerinden sisteme bağlanması nedeniyle ByLock'a bağlantı yaptığına dair kayıtlara ulaşılamayacağına dikkat çekildi.
KOM birimlerince ByLock sunucu verileri üzerinde yapılan incelemenin henüz sonuçlanmaması veya bu incelemelere rağmen bu kişiye ait verilerin kurtarılmaması, çözümlenememesi nedenleriyle kullanıcı adı, şifre, log kayıtları, roster bilgileri veya mesaj içerikleri gibi verilerin henüz tespit edilemeyebileceği de belirtildi.
Gerekçede, şunlar kaydedildi:
"Bu durumda dahi başka kullanıcılara ait kurtarılan, çözümlenen kayıtlar, mesaj içeriklerinin değerlendirilmesi sonucunda ByLock programını kullandığı halde kendisine ait veriler henüz bulunamayan ya da çözümlenemeyen diğer kullanıcıların da kim oldukları tespit edilebilmektedir. Böylelikle başta kullanıcısı belli olmayan bir user ID numarasının gerçekte kime ait olduğu belirlenebilmektedir. Gerçek kullanıcısı bu şekilde belirlenen User ID numaralarına ilişkin olarak da ByLock tespit ve değerlendirme tutanakları düzenlenebilmektedir."
Yargıtay Ceza Genel Kurulunun gerekçesinde, şu tespitlere yer verildi:
"Failin bilerek ve isteyerek ByLock sunusunda kayıtlı bir 'User-ID' aldığının belirlenmesi, ByLock sistemine dahil olup ancak bir örgüt üyesinin sahip olabileceği gizli haberleşme imkanına kavuştuğunun, dolayısıyla en azından FETÖ/PDY üyesi olduğunun kabulü için gerekli ve yeterli olacaktır. Ayrıca bu ağa dahil olan kişilerin, ağ içerisinde başka kişi ya da kişilerle yaptıkları görüşme içeriklerinin olması da aranmayacaktır. ByLock sistemine dahil olan failler yönünden sistem içerisindeki haberleşmelerin kimlerle yapıldığının ve içeriklerinin tespiti ancak fail hakkında örgüt yöneticiliğinden dava açılmış olması ve failin örgüt yöneticisi olduğunun belirlenmesi açısından mevcut delillerin yetersiz görülmesi halinde yol gösterici olacaktır."
Şüphe oluşması durumunda yapılması gerekenler
Gerekçede, ByLock bağlantısı tespit edilen bazı faillerin, "GSM hattının, internete bağlanan cihazın bilgisi dışında başkası tarafından kullanıldığı, internet aboneliğinin haksız ele geçirildiği" şeklindeki savunmaları karşısında ya da dosya kapsamına göre "User-ID" numarasının tespit edilenden farklı bir kişiye ait olduğuna yönelik şüphe oluşması durumunda yapılması gerekenler anlatıldı.
Bu durumda "User-ID" bilgisi içeren tutanakların sanığın kendisi dışında kullandığını iddia ettiği kişiye ait açıkça belirteceği bilgilerle veya yapılacak araştırmalar sonucunda elde edilecek verilerle değerlendirme yapılması gerektiği vurgulandı.
Gerekçede, savunma içeriği ve dosya kapsamına göre, gerekli görüldüğü takdirde ayrıca ByLock sunucu IP'lerine bağlandığı tespit edilen IP adresine ait olup, sanığın kullandığı belirlenen ADSL ya da GSM numarasına ilişkin "CGNAT" sorgu kayıtları ve varsa GSM numarasının HTS kayıtları ile KOM'un güncel ByLock sorgu sonuçlarına dair raporun da getirilerek elde edilen verilerin bir bütün olarak değerlendirilmesi gerektiğine vurgu yapıldı.
AA