Hükümet, ByLock haberleşme uygulaması ile ilgili MİT ve Emniyet’ten başka iki farklı özel şirketten de bilişim raporu aldırdı. Bu şirketlerden biri İstanbul merkezli Adeo Bilişim Danışmanlık Hizmetleri, diğeri ise Birleşik Krallık merkezli IntaForensics isimli bilişim şirketidir.
MİT’in hazırladığı rapor toplamda 182 sayfa, Adeo Bilişim Danışmanlık Hizmetleri’nin raporu 116 sayfa iken Birleşik Krallık merkezli IntaForensics isimli bilişim şirketinin raporu ise yalnızca 47 sayfa. Uluslararası alanda en küçük bir bilişim analizinin fiyatı 10 bin $- 30 bin $ arası değişmekte iken ByLock gibi hacimli veri tabanı titizlikle incelenmesi gereken ve suç unsuruna rastlanılması için özel bir çaba gösterilen bir haberleşme uygulaması için gözden çıkarılması gereken meblağın 100 bin $’dan daha fazla olduğunu düşünüyorum.
IntaForensics şirketi adına raporu hazırlayan kişi Philip Ridley isimli bir Ana Olay Müdahale Danışmanı’dır. Şunu özellikle belirtmek isterim: Bir olay müdahale danışmanı, siber güvenlikte çalışır ve görevi olay artışlarını önlemektir. Bilişim raporu hazırlamak görev tanım formu içerisinde yer almamaktadır. Görevleri, güvenlik duvarları gibi güvenlik ve iyileştirme protokollerini ve sistemlerini izlemek, iyileştirmek ve entegre etmektir. Bu analize dayanarak, sistemlerin sürekli olarak nasıl izleneceği ve ihlallerin nasıl araştırılacağı konusunda tavsiyelerde bulunur ve olay müdahale ekiplerine eğitim verirler. Bence bir Ana Olay Müdahale Danışmanı'na ByLock ile ilgili bir rapor hazırlatmak ilginç bir tercih olmuş.
Aslında daha önceden IntaForensics isimli bilişim şirketi arayıp Philip Ridley ile görüşmek istediğimi söylemiştim , tabi ki görüştürmediler. Ben de kendilerine e-posta göndererek ‘Hükümetin kendilerine ne kadar ödeme yaptığını’ sordum ve de özellikle şunu: ‘Raporunuzda yer aldığı üzere ‘ByLock haberleşme uygulamasının işlevi kullanıcılarının teşhisini kısıtladığını ve bunun da sınırlı kullanıcı grubuna hizmet ettiğini’ varsaysak bile bu kullanıcı grupları birbirinden bağımsız olamaz mıydı? Sizin raporu hazırlarken özellikle bir kullanıcı grubuna atıf yatmanıza neden olan gerekçe neydi? Bunun gerekçesini raporunuz da bulamadım.’ oksa bunu sizden hükümet mi istedi?'
Tabi gelen ‘Bu konuda bilgi veremeyeceklerine dair’ şablon bir cevaptı.
İşte Philip Ridley’in ByLock ile ilgili çıkarımının Türkçe çevirisi:
"5. Sonuçlar
Yapılan analize dayanarak, aşağıdaki sonuçlar çıkarılabilir:
1. ByLock uygulaması dünya çapındaki uygulama mağazalarında yayınlanırken, uygulamaya yönelik ilgi her yönüyle Türkiye ile sınırlıydı.
2. Türkçenin kaynak kodunda mevcut bulunması bu görüşü pekiştirmektedir.
3. Uygulama mağazalarında, ByLock uygulamasının kendisinden ve diğer açık kaynaklardan toplanan bilgiler, ByLock'un geliştiricisinin "David Keynes" olduğunu göstermektedir. Yapılan analize göre, "David Keynes"in bir takma ad olduğu ve uygulamanın geliştiricisinin gerçek kimliği olmadığı çok muhtemeldir.
4. ByLock uygulaması güvenli bir mesajlaşma platformu olarak tanıtılmıştır, ancak güvenliğine öncelik veren diğer uygulamalarla karşılaştırıldığında, dikkate değer farklılıklar gözlemlenmiştir:
a. Telefon numarası veya e-posta adresi bilgisi verme hususunda hiçbir zorunluluk yoktur.
b. Hiçbir şekilde telefon rehberine erişme veya diğer kullanıcıları arama mümkün değildir, iletişim bilgileri (kullanıcı adı ve diğer bilgiler) başka yollarla paylaşılmak zorundadır.
c. Uygulama aktif olarak kullanımda olmadığı sürece uygulama için bildirim gelmemektedir.
5. Uygulamalar işlevsellikleri arasındaki fark göz önünde bulundurulduğunda ByLock için güvenlik kadar anonimliğin de uygulamanın birincil amacı olduğu görülmektedir.
6. Uygulamanın tanıtımının yapılmaması, sitede SSS (sıkça sorulan sorular) sayfası veya kullanım kılavuzu gibi destek hizmetlerinin sunulmaması ve uygulamanın en çok kullanıldığı bölgedeki (Türkiye) kullanıcılar için VPN kullanımının gerekli olması, uygulamanın ve geliştiricinin ticari bir kaygı gütmediği, yani aktif olarak kullanıcı sayısını artırmayı veya uygulamayı karlı hale getirmeyi amaçlamadıklarını gösterir.
7. Bu nedenle, ByLock uygulamasının diğer anlık mesajlaşma uygulamalarından farklı olarak ticari bir başarı amaçlamadığı sonucuna erişilmiştir. İşlevi kullanıcılarının teşhisini kısıtladığından, açıkça sınırlı bir kullanıcı grubuna hizmet etmek üzere tasarlandığı anlaşılmaktadır. "
Comments