Bugünkü Hürriyet'te çıkan yazımı burada da sunuyorum.
*
Türkiye'de TÜBİTAK'ın ürettiği kriptolu telefonların
dinlenmiş olması meselesine kafayı taktığımı biliyorsunuz. Konu, geçen yıl
Şubat ayında bugünkü Cumhurbaşkanı Recep
Tayyip Erdoğan tarafından dile getirildiğinden beri, 'Nasıl oldu da dinlendi bu telefonlar' sorusuna cevap arayan
yazılar yazıp duruyorum.
Kriptoloji biliminin ayrıntılarına çok girmeden bir bilgi
vermem lazım: Bu telefonların üzerindeki teknoloji şu an dünyanın en iyi teknolojisi.
AES-256 adı verilen bu yeni
algoritmalar Amerikan hükümeti tarafından da güvenle kullanılıyor. (Buradaki
AES 'İleri Şifreleme Standardı'
anlamına gelen bir kısaltma, standart Amerikan standardı ama bu algoritmayı iki
Belçikalı matematikçi yazdı, dünyanın dört bir yanından matematikçiler
yıllardır bu algoritmayı kıracak bir yöntem geliştiremedi.)
Peki bu kadar ileri bir standart kullanıldığı halde
TÜBİTAK'ın şifreleri nasıl kırıldı ve dinlendi?
Baştan beri teori, TÜBİTAK'ta bu şifre programları yazılır
ve yüklenirken bir arka kapı bırakıldığı yönündeydi. Bu arka kapı sayesinde
üçüncü kişiler şifreyi çözebiliyor olmalıydı.
Bana bilgi veren adı bende saklı TÜBİTAK'tan üst düzey bir
yetkili telefonların yazılımına eklenmiş olan arka kapıyı bulduklarını söyledi.
Üstelik bu arka kapı, aynı yetkilinin verdiği bilgiye göre, öyle üzerinde çok
çalışılmış bir dahiyane yöntemle de yapılmamıştı. Bu telefonları kullananlar
dünyanın en iyi şifreleme sistemini kullandıklarını düşünüyorlardı ama aslında
telefonlardaki şifreleme son derece basit bir düzeye düşürülmüş, uzaktan erişim
yoluyla, normalde rastgele üretilmesi gereken şifre anahtarları sabitlenmişti.
TÜBİTAK yetkilisi ayrıca 'K2' diye bilinen 154 tane ikinci nesil kriptolu telefonun 76'sının
IMEI numaralarının Telekomünikasyon İletişim Başkanlığı veri tabanında 'hedef telefon' olarak dinlendiklerine
dair bir resmi yazının TİB'den TÜBİTAK ve savcılığa gönderildiğini de söyledi
ki bu başlı başına bir skandal.
Peki ama üst düzey devlet yöneticileri, ülke güvenliğinden
sorumlu insanlar birbirleriyle yabancı kulakların erişemeyeceği biçimde
konuşabilsinler diye üretilmiş olan bu telefonlar nasıl olur da 'hedef' olarak dinlenebilir? Bunun için
önce bu telefonların numaralarının ve daha da önemlisi IMEI numaralarının
bilinmesi gerekmez mi? Yani her iki numaranın da bir nevi 'devlet sırrı' olması gerekmez mi?
Gelin bir de kriptolu telefon dinleme meselesine buradan
bakalım...
IMEI'leri nasıl öğrendiler?
Kendi telefonumun IMEI numarasını bilmiyorum; iddia üzerine
açıp bakabilirim ama normal şartlarda bu bana lazım olan bir şey değil.
IMEI, biliyorsunuz kullandığınız telefona özgü olan çok uzun
haneli bir sayı. Türkiye'de kural, IMEI'lerin Bilgi Teknolojileri Kurumu'na
(BTK) tescil edilmesi. İthalatçılar toplu halde tescil ettiriyor, eğer yurt
dışından siz yanınızda telefon getirirseniz onu da siz tescil ettiriyorsunuz.
Yoksa telefon Türkiye'de çalışmıyor.
Tabii TÜBİTAK da kriptolu telefonları BTK'ya tescil ettirmiş
olmalı. Nitekim birinci nesil 'K1' telefonlarla ilgili liste BTK'da bulundu.
Ama ikinci nesil K2'lere ait listeye dair yazışma ne TÜBİTAK'ta var ne BTK'da. Yine
de bu telefonlar BTK'ya tescilli.
Bu telefonların IMEI numaraları sisteme girilerek
dinlendiğini bilirkişi tespit etti. Peki ama telefonu dinlemek isteyenler bu
IMEI numaralarını nereden biliyordu? Bu listenin toplu halde bulunduğu iki yer
var: TÜBİTAK ve BTK ve işe bakın ki bugün bu iki kurumda da bu liste kayıp.
HİTAB üzerinden dinleme...
Telekomünikasyon İletişim Başkanlığı'nda (TİB) inceleme
yapan bilirkişilerin verdiği bilgiye göre bu kurumda dinlemeler birlikte
çalışan dört tane önemli bilgi yönetim sistemiyle yapılıyor.
Yasal dinleme emirleri KUBİK adı verilen sisteme giriliyor;
burada oluşan iş emirleri HİTAB adlı sisteme geliyor ve HİTAB da telefon
dinlemeleri gerçekleştiren LIMS (Legal Intercept Management System-Yasal
Dinleme Yönetim Sistemi) ve KDM (Kanuni Dinleme Merkezi) adlı sistemleri
harekete geçiriyor.
Burada problem, gerek HİTAB ve gerekse LIMS sistemlerine
bazı TİB çalışanlarının şifreleriyle erişebilmeleri ve KUBİK'te yer almayan
dinleme talimatlarını girebilmeleri.
Hiç yorum yok:
Yorum Gönder