Kriptolu telefonlar ‘arka kapı’yla dinlendi

TÜRKİYE’de TÜBİTAK’ın ürettiği kriptolu telefonların dinlenmiş olması meselesine kafayı taktığımı biliyorsunuz.

Haberin Devamı

Konu, geçen yıl şubat ayında bugünkü Cumhurbaşkanı Recep Tayyip Erdoğan tarafından dile getirildiğinden beri, ‘Nasıl oldu da dinlendi bu telefonlar’ sorusuna cevap arayan yazılar yazıp duruyorum.
Kriptoloji biliminin ayrıntılarına çok girmeden bir bilgi vermem lazım: Bu telefonların üzerindeki teknoloji şu an dünyanın en iyi teknolojisi. AES-256 adı verilen bu yeni algoritmalar Amerikan hükümeti tarafından da güvenle kullanılıyor. (Buradaki AES ‘İleri Şifreleme Standardı’ anlamına gelen bir kısaltma, standart Amerikan standardı ama bu algoritmayı iki Belçikalı matematikçi yazdı, dünyanın dört bir yanından matematikçiler yıllardır bu algoritmayı kıracak bir yöntem geliştiremedi.)
Peki bu kadar ileri bir standart kullanıldığı halde TÜBİTAK’ın şifreleri nasıl kırıldı ve dinlendi?
Baştan beri teori, TÜBİTAK’ta bu şifre programları yazılır ve yüklenirken bir arka kapı bırakıldığı yönündeydi. Bu arka kapı sayesinde üçüncü kişiler şifreyi çözebiliyor olmalıydı.
Bana bilgi veren adı bende saklı TÜBİTAK’tan üst düzey bir yetkili telefonların yazılımına eklenmiş olan arka kapıyı bulduklarını söyledi. Üstelik bu arka kapı, aynı yetkilinin verdiği bilgiye göre, öyle üzerinde çok çalışılmış bir dâhiyane yöntemle de yapılmamıştı. Bu telefonları kullananlar dünyanın en iyi şifreleme sistemini kullandıklarını düşünüyorlardı ama aslında telefonlardaki şifreleme son derece basit bir düzeye düşürülmüş, uzaktan erişim yoluyla, normalde rastgele üretilmesi gereken şifre anahtarları sabitlenmişti.
TÜBİTAK yetkilisi ayrıca ‘K2’ diye bilinen 154 tane ikinci nesil kriptolu telefonun 76’sının IMEI numaralarının Telekomünikasyon İletişim Başkanlığı veri tabanında ‘hedef telefon’ olarak dinlendiklerine dair bir resmi yazının TİB’den TÜBİTAK ve savcılığa gönderildiğini de söyledi ki bu başlı başına bir skandal.
Peki ama üst düzey devlet yöneticileri, ülke güvenliğinden sorumlu insanlar birbirleriyle yabancı kulakların erişemeyeceği biçimde konuşabilsinler diye üretilmiş olan bu telefonlar nasıl olur da ‘hedef’ olarak dinlenebilir? Bunun için önce bu telefonların numaralarının ve daha da önemlisi IMEI numaralarının bilinmesi gerekmez mi? Yani her iki numaranın da bir nevi ‘devlet sırrı’ olması gerekmez mi?
Gelin bir de kriptolu telefon dinleme meselesine buradan bakalım...

Haberin Devamı

HİTAB üzerinden dinleme...

Haberin Devamı

TELEKOMÜNİKASYON İletişim Başkanlığı’nda (TİB) inceleme yapan bilirkişilerin verdiği bilgiye göre bu kurumda dinlemeler birlikte çalışan dört tane önemli bilgi yönetim sistemiyle yapılıyor.
Yasal dinleme emirleri KUBİK adı verilen sisteme giriliyor; burada oluşan iş emirleri HİTAB adlı sisteme geliyor ve HİTAB da telefon dinlemeleri gerçekleştiren LIMS (Legal Intercept Management System-Yasal Dinleme Yönetim Sistemi) ve KDM (Kanuni Dinleme Merkezi) adlı sistemleri harekete geçiriyor.
Burada problem, gerek HİTAB ve gerekse LIMS sistemlerine bazı TİB çalışanlarının şifreleriyle erişebilmeleri ve KUBİK’te yer almayan dinleme talimatlarını girebilmeleri.

Haberin Devamı


IMEI’leri nasıl öğrendiler?


KENDİ telefonumun IMEI numarasını bilmiyorum; iddia üzerine açıp bakabilirim ama normal şartlarda bu bana lazım olan bir şey değil.
IMEI, biliyorsunuz kullandığınız telefona özgü olan çok uzun haneli bir sayı. Türkiye’de kural, IMEI’lerin Bilgi Teknolojileri Kurumu’na (BTK) tescil edilmesi. İthalatçılar toplu halde tescil ettiriyor, eğer yurtdışından siz yanınızda telefon getirirseniz onu da siz tescil ettiriyorsunuz. Yoksa telefon Türkiye’de çalışmıyor.
Tabii TÜBİTAK da kriptolu telefonları BTK’ya tescil ettirmiş olmalı. Nitekim birinci nesil ‘K1’ telefonlarla ilgili liste BTK’da bulundu. Ama ikinci nesil K2’lere ait listeye dair yazışma ne TÜBİTAK’ta var ne BTK’da. Yine de bu telefonlar BTK’ya tescilli.
Bu telefonların IMEI numaraları sisteme girilerek dinlendiğini bilirkişi tespit etti. Peki ama telefonu dinlemek isteyenler bu IMEI numaralarını nereden biliyordu? Bu listenin toplu halde bulunduğu iki yer var: TÜBİTAK ve BTK ve işe bakın ki bugün bu iki kurumda da bu liste kayıp.

Yazarın Tüm Yazıları