Türk polisi bilgisayarınıza nasıl girdi

Odatv sızan belgelerle açıklıyor! Kumpaslar böyle mi kuruldu... Mert Taşçılar yazdı...

Türk Polis Teşkilatı'nı, HackingTeam belgelerinin hacklenmesiyle saran bilişim skandalı aralanıyor. Ortaya saçılan belgelere göre; Emniyet Genel Müdürlüğü Bilişim Şubesi'nden başını Emniyet Amiri Bilal Şen'in çektiği bir grup komiser ve memur, bazı kişileri takip etme ve bilgisayarlara "uzaktan delil yükleme" operasyonlarına imkan sağlayan "Remote Control System" denilen programı satın aldı.

Bu uygulamayı satın almak için verilen para 594 bin 718 dolara kadar çıkıyor. Belgelere göre Türk polisler, paranın Singapur üzerinden faturalandırılmasını talep ediyor.

Wikileaks'in yayınladığı İngilizce binlerce e-mail ve belgelere göre, Emniyet Genel Müdürlüğü Bilişim Suçlarıyla Mücadele Şubesi'nde görevli Emniyet Amiri Bilal Şen ve Hacking Team'in CEO'su David Vincenzetti arasında aylar süren e-posta trafiği oluyor. Mesajlaşmalar da "egm.gov.tr" kurumsal mail hesaplarından gerçekleştiriliyor. Mesajlaşmalar Bilal Şen'in ekibiyle Vincenzetti'nin ekibi arasında da sürüyor.

Çoğu görüşme birebir toplantı ayarlamaya ve Milano'ya yapılacak ziyareti organize etmeye yönelik olsa da 2011-2015 arasında gerçekleşen bu mesajlaşmalar sırasında Türk tarafı "Remote Control System"i satın almak istediğini HackingTeam'e iletiyor. Wikileaks belgelerine göre uzun süre fiyat alma, programda ön uygulama yapma konuşmaları yapılıyor.

KOD ADI: GALİLEO

Hacking Team, başta Emniyet Amiri Bilal Şen olmak üzere, Komiser Kerim Altıay, Polis Memuru Kamil Akdağ ve Hamza Aytaç Doğanay gibi isimlere "Whitepaper" adı altında sistemin "kullanma kılavuzu"nu iletiyor. Bu kılavuzda "Remote Control System"in kod adının "Galileo" olduğu ortaya çıkıyor.

Türk polisi bilgisayarınıza nasıl girdi - Resim : 1

"Galileo" kılavuzunda, Türkiye'deki başta Odatv davası olmak üzere, kumpas davalarında yaratılan sahte delillerin oluşturulmasına benzer, delil yükleme yöntemleri anlatılıyor. Ancak bunların nasıl gerçekleştirildiğine geçmeden önce...

GİZLİ ANLAŞMA İMZALANDI

İlk kez Odatv'de okuyacağınız Hacking Team ile Türk polisi arasında imzalanan "NON DISCLOSURE AGREEMENT" anlaşmasından bahsedelim. Kısa adı "NDA" olan Non Dısclosure Agreement, bir gizlilik anlaşması. Tüzel ve gerçek kişiler arasında imzalanan bu tür anlaşmalar, genellikle bir ilişki sebebi ile taraflardan birinin ticari ya da mesleki sırlarının diğerine verilmesi gerektiğinde yapılıyor. Türk Emniyet Teşkilatı da Hacking Team ile bu anlaşmayı imzalıyor. Polis Memuru Kamil Akdağ, anlaşmanın imzalandığını, HackTeam'den Mostapha Moanna isimli kişiye, 12 Nisan 2013 sabah saat 9'da attığı maille bildiriyor. Akdağ mailde, "Mostapha bey günaydın. Anlaşmayı imzaladık ve damgaladık" ifadelerini kullanıyor.

İşte o mail:

Türk polisi bilgisayarınıza nasıl girdi - Resim : 2

Polis teşkilatıyla Hacking Team arasında imzalanan gizlilik anlaşmasının tam metni:

Türk polisi bilgisayarınıza nasıl girdi - Resim : 3

Türk polisi bilgisayarınıza nasıl girdi - Resim : 4

VE "GALİLEO"NUN KULLANIM KILAVUZU GÖNDERİLİYOR

Anlaşma sonrasında Galileo'nun yani "Remote Control System" programının "Whitepaper" adı altında kullanım kılavuzu gönderiliyor. Kılavuzda şahısların bilgisayarlarına nasıl delil yerleştirileceği anlatılıyor. Öyle ki internete bağlı olmayan bilgisayarlara bile delil yükleme yöntemleri gösteriliyor. Ancak ortaya saçılan maillerden anlaşıldığı kadarıyla Türk polisler delil yüklemenin yanı sıra bu delillerin yüklendiğinin "tespit edilmemesi" üzerine HackingTeam program yöneticilerine sorular soruyor. Polis Memuru Kamil Akdağ, HackingTeam yöneticisi Mostapha Moanna'ya attığı mailde, "Yüklenen bu program 'hedefler' tarafından anti virüs ve benzeri programlarla tespit edilebilir mi" diye soruyor. Moanna yanıtında, "Bu programla hedeflerin cihazlarına bir çok yoldan fiziki yükleme yapılabilir. Yükleme yapan ajan (the agent) görünemez ve anti virüs programları tarafından tespit edilemez" ifadelerini kullanıyor.

Akdağ ve Moanna arasındaki tarihi ve saatiyle birlikte o yazışma:

Türk polisi bilgisayarınıza nasıl girdi - Resim : 5

BİLGİSAYAR KAMERALARIYLA GİZLİ ÇEKİM NASIL YAPILIR

30 sayfalık kullanma kılavuzunda, "kullanıcı hesabı oluşturma", "arka kapıdan dolanma", "mobil aygıtlara yükleme yapma", "enjeksiyon" gibi pek çok casus yazılım yükleme ve bilgi ve belge yaratmaya yarayan işlemin nasıl yapıldığına dair uygulama testleri yer alıyor.

Kılavuzda, "Tactical Network Injector" (Taktik Enjektör Ağı) başlığı altında, hedefteki kişinin bilgisayarının bağlı olduğu internet ağına sızarak, hedefteki elektronik alete daha sonradan internete bağlı olmadığı zamanlarda dışardan yükleme yapılmasının önü açılıyor. Kılavuza göre bu durum hedefteki kişinin IP adresinin alınmasıyla, kullandığı internet tarayıcısı ve host adresinin belirlenmesiyle gerçekleştiriliyor. Bu durum dışardan yüklemeyi sağladığı gibi kişinin bilgisayarının anı anına takip edilmesini de sağlıyor.

Bu anlarda bilgisayar kamerası, mikrofonu da ortam dinlemesi ve gizli çekim için kullanılabiliyor.

HİÇ BİR İZ KALMIYOR

Polisler tüm bunları yaptıktan sonra bilgisayarda adli açıdan kendileri için sorun yaratacak hiçbir iz bırakmadan o elektronik cihazdan çıkabiliyor. Bu durum kılavuzda, "Remote uninstallation" başlığı altında anlatılıyor. Burada anlatılana göre programın kullanıcısı "Ajan" için uygulamayı kaldırma işlemi basit bir tıkla (a simple click) hallediliyor. Kullanılan tüm data, cihazdan siliniyor.

Uygulama kılavuzunda, hedeflerden delil sağlanırken kullanılan cihazlardan bilgisayar ve telefon için ayrıca başlık açılmış. Bu başlıklarda anlatılanlara göre kişinin bilgisayarındaki her attığı adım haberi olmadan delil olarak kaydedilebiliyor. Buna kişinin kullandığı telefondan yaptığı aramalar, aldığı ekran görüntüleri, BBM, Whatsapp ve Messenger konuşmaları, telefonunu kilitlediği şifre bile alınabiliyor. Söz konusu işlemler kılavuzda şu grafikle anlatılıyor:

Türk polisi bilgisayarınıza nasıl girdi - Resim : 6

Ancak en önemlisi bu yöntemde telefona uzaktan ulaşan kişi, telefonun mikrofonunu kullanarak ortam dinlemesi yapabiliyor. Hatta ve hatta cihazın kamerasını kullanarak cihaz sahibinin haberi olmadan fotoğraf dahi çekebiliyor. Üstelik kılavuzda tüm bunları yapmak için internete bağlı olmanın gerekmediği de "Offline evidence collection" başlığı altında anlatılıyor.

KITALAR ARASI YÜKLEME YAPILABİLİYOR

Yüklemeler, delil toplama ve ajanlık faaliyetlerinin kıtalararası yapılabildiği kılavuzda bir grafikle anlatılıyor. Grafiğe göre cihazınızdaki herhangi bir bilgi, yeri tam olarak tespit edilemeyen Amerika'daki bir 'server'a koruma altındaki bir kanaldan aktarılıyor. Oradan yine kilitli bir kanaldan Avrupa'daki başka bir 'server'a oradan Singapur'daki bir 'server'a aktarılıyor. Yüklenecek ya da arşivlenecek datalar bu işlemlerden sonra, bir "Collector"de toplanıyor ve son olarak da oradan hedefe gönderiliyor. Tabi tüm bu işlemler bir saniyeden kısa bir sürede gerçekleşiyor. Kılavuzda konuyla ilgili şu grafik kullanılıyor:

Türk polisi bilgisayarınıza nasıl girdi - Resim : 7

DELİL/AKSİYON PARADİGMASI

Kılavuzun son bölümünde ise önemli bir bölüm daha yer alıyor. "Delil/Aksiyon Paradigması" (Event/Action Paradigm) başlığı altında toplanan bölümdeki tabloya göre bu programla izlenen ve takip altında olan cihaz eğer telefonsa, telefona arama geldiğinde otomatikman cihazı kullanan kişi telefona bakmadan ön kameradan görüntü alınıyor. Bu işlem sürerken kimin aradığı da belirleniyor. Herhangi bir GPS konumu belirlendiğinde de telefonun mikrofonuyla ortam ses kaydı başlatılıyor. İşte o tablo:

Türk polisi bilgisayarınıza nasıl girdi - Resim : 8

Kılavuzun en ilginç bilgisi ise "Profiling" başlığı altında verilmiş. Galileo, kişilerin özel hayatının takibini o kadar kolaylaştırıyor ki bu bölümde anlatılana göre bilgisayar ekranında önünüze açılan pencereden kişinin nerede olduğu, nereye gittiği, emailleri, facebook bildirimleri, Twitter paylaşımları, fotoğrafı, whatsapp ve diğer konuşmaları ile tüm özel hayatı takip altına alınabiliyor, gereken "delil" anında kaydedilebiliyor ya da aktarılabiliyor.

Türk polisi bilgisayarınıza nasıl girdi - Resim : 9

Ayrıca "korelasyon" başlığı altında da program, takip ettiğiniz kişilerin kimlere yakın olduğunu çevresini ve ilişkide bulunduğu kişilere göre gideceği yerleri ya da ilişkileri üzerine analizler de veriyor.

Türk polisi bilgisayarınıza nasıl girdi - Resim : 10

Türk polisi bilgisayarınıza nasıl girdi - Resim : 11

DONANIM DA SATIN ALINMIŞ

Emniyet teşkilatı sadece Galileo'yu yani Remote Control System'i (RCS) satın almakla da kalmıyor. Bu sistemin cihazlara "enjekte" edilmesi için gerekli, kısa adı "IPA" olan uygulama için donanım (Hardware) da satın alıyor. Bununla yapılmak istenen, Türkiye'deki internet ağını kullanan tüm bilgisayarların RCS'nin kullanımına açılmasını sağlamak.

Mert Taşçılar

Odatv.com

galileo rcs türk polisi bigisayar hackteam arşiv