Büyükada tutuklamaları ve bilgi güvenliği

Melih Kırlıdoğ - Center for Advanced Internet Studies

5 Temmuz’da Büyükada’da toplantı yapan 10 STK çalışanı gözaltına alındı. Bunlardan altısı tutuklanarak cezaevine gönderildi. Dört kişi önce adli kontrol şartıyla serbest bırakıldı, daha sonra da haklarında yakalama kararı çıkarıldı. Basında çıkan haberlere göre toplantının konularından birinin elektronik ortamda bilgi güvenliği olduğu anlaşılıyor. Yine basına göre iki yabancı katılımcıdan biri olan Alman vatandaşı Peter Frank Steudtner bu konuda eğitim vermek amacıyla toplantıda yer almış.

Beklendiği gibi tutuklamalara karşı yurtiçindeki tepkilere ek olarak yurtdışında Birleşmiş Milletler İnsan Hakları Yüksek Komiserliği de dahil olmak üzere şiddetli bir tepki dalgası geldi. Yine beklendiği gibi AKP Genel Başkanı Erdoğan’ı takiben havuz medyası tutuklanan kişilerin casusluk amacıyla toplantı yaptıklarını, asıl amaçlarının ülkede kaos çıkarıp iktidarı devirmek olduğunu yazdı.

Türkiye’nin geldiği noktada aklı başında herkesin gördüğü gibi, AKP iktidarının devrilmesi için AKP’den başka bir siyasi odağa ihtiyaç yok. Ölçünün iyice kaçtığı bu ortamda AKP iktidarı, Uluslararası Af Örgütü gibi dünyanın en saygın STK’lerinden birinin çalışanlarını dünyada ilk ve tek olarak tutuklama “şerefine” erişti. Gitgide daha da tuhaflaşan uygulamalarıyla artık AKP, tüm dünyada parya muamelesi görüyor, bu yönüyle de Güney Afrika’da 1994’te yıkılan ırkçı iktidarın “Milli Partisi'ne” benzemeye başlıyor. Diğer bir deyişle kendi mukadder sonuna doğru hızla yaklaşıyor.

Geziden başlayarak tüm dünyadaki prestijini yitirdi, son birkaç haftada Suriye’yi enkaza çevirme sürecindeki suç ortağı Suudi Arabistan’la bile bozuşmayı başardı. 16 Nisan Referandumu'nun gösterdiği gibi yurtiçinde de iktidarını ancak seçim hileleriyle koruyabilecek bir düzeye geriledi. Önümüzdeki süreçte kapılması muhtemel girdapla tarihin karanlıklarına gömülmesi, ancak yok olup giderken bu girdaba tüm ülkeyi çekmemesi umulur.

Büyükada toplantısının kamuoyunda fazla ilgi çekmeyen yönü elektronik ortamda bilgi güvenliği oldu.

Ancak basında çıkan birkaç yazıda tutuklananların “suçları” arasında bilgisayar ortamındaki ve iletişim halindeki bilgilerin güvenliğini sağlama amacıyla eğitim almaları olduğu belirtildi. Bu mantığa göre kişilerin kendi özel bilgilerini ve iletişimlerini AKP’nin parti polisi dahil olmak üzere başkalarından gizlemeleri suç oluyor. Bu suça, bu konuda teknik eğitim almak da dahil. AKP iktidarında ne kadar anlamlı olduğu tartışılır ama yeri gelmişken belirtelim: Halen yürürlükte olan Anayasa'nın 20. maddesine göre “herkes özel hayatına saygı gösterilmesini isteme hakkına sahiptir.” Yine Anayasa'nın 22. maddesinde de “herkes haberleşme hürriyetine sahiptir; haberleşmenin gizliliği esastır” denmektedir.

Bu konu üzerinde durulmayı hak ediyor, çünkü artık herkesin kullandığı sosyal medya ve e-posta gibi iletişim araçları ve kişisel bilgilerin saklandığı bilgisayar ortamı artık bireylerin uzantısı haline geldi.

Günümüzde bilgisayar kavramı sadece masaüstü veya taşınabilir bilgisayarları değil, aynı zamanda cep telefonlarını da kapsıyor. “Akıllı” olsun veya olmasın tüm cep telefonları da birer bilgisayar olarak nitelendirilebilir. Çünkü onlar da bilgisayarların ana bileşenleri olan yazılım, donanım ve hafıza unsurlarını içeriyor.

Bu ortamlarda kendimizin bile unuttuğumuz en küçük ayrıntılar da dahil olmak üzere tüm hayatımızla ilgili en kapsamlı ve mahrem bilgiler saklanıyor. Eskiden özel hayatımız hakkındaki bilgilere başkalarının erişmesini engellemek için onlar hakkında konuşmamak yetiyordu. Ancak teknolojinin hayatımıza bu ölçüde girdiği bir ortamda bu bilgileri korumak gitgide zorlaşıyor. Elektronik ortamda saklanan kişisel bilgiler kötü niyetli kişilerin eline geçtiğinde herkesin hayatını karartacak kötülüklere neden olabilir. Hatta bunun için bu koşulun oluşmasına bile gerek yok. Çok değil, daha beş-altı yıl önce AKP’nin o zamanki suç ortağı Gülen Cemaati’nin yaptıkları ortada: Cemaat’e mensup hakim, savcı ve polislerin çete düzeni içinde sahte dijital deliller imal edip yüzlerce insanı uzun hapis cezalarına mahkûm ettikleri bir ülkeden bahsediyoruz. Bu komplolar vasıtasıyla Türkiye sahte dijital delillerle seksen senelik bir yönetici sınıfı tasfiye eden ilk ve tek ülke olmayı “başardı” (yönetici sınıfın niteliği ayrı hikâye). Günümüzde Türkiye’de iki nedenden ötürü artık sahte dijital delil imalatına başvurulmuyor. Birinci olarak AKP’nin Cemaat polislerinin amatörce imal ettiği dijital hileleri oluşturacak düzeyde bile kadrosu yok. İkinci olarak da buna gerek yok, çünkü artık insanları hapse atmak için herhangi bir delil gerekmiyor. Örneğin, mahkeme kararında Büyükada tutuklamalarının nedeni olarak silahlı terör örgütüne yardımdan bahsedilmesine rağmen bu örgütün adı bile belli değil.

Bilgisayar ortamında gizliliğin tek yolu: Şifreleme, Internet’in atası sayılabilecek sistemler 1960’larda askeri amaçlarla geliştirilmesine rağmen teknik anlamda gizlilik kavramını içermiyorlardı. Bu durum günümüzün Internet’i için de geçerlidir. Diğer bir deyişle Internet’teki veri akışına uygun araçlarla bağlanan bir kişi bu akışı “dinleyip” kendi cihazına kopya edebilir. Ancak bu kabul edilemez bir durumdur, çünkü örneğin Internet üzerinden banka hesabımıza eriştiğimizde kullandığımız parolalar da iletişime “kulak kabartan” kötü niyetli kimselerin eline geçebilir. Bu da hesabımızın boşaltılmasına neden olabilir. Bu nedenle kendi bilgisayarımız ve bankanın bilgisayarı arasındaki veri akışı gönderen sistem tarafından şifrelendikten sonra Internet ortamına iletilir. Internet’te bu trafiğe uygun araçlarla kulak kabartan bir kişi sadece anlamsız rakam, harf ve özel karakterler görür. Çünkü şifreleme yazılımı özel matematiksel algoritmalar kullanarak mesajı değiştirmiş, görünüşte anlamsız hale getirmiştir. Bu “anlamsız” mesaj ancak alıcı tarafından anlamlı hale getirilebilir. Alıcı sistem bu işi kendisinde bulunan dijital “anahtarla” şifreyi çözmek suretiyle yapar. Bu işlem için gerekli dijital anahtar oluşturulması ve bu anahtarın iki sistem arasındaki değişimi kullanıcının herhangi bir müdahalesi olmadan yazılım tarafından otomatik olarak gerçekleştirilir. Bu süreçte kullanıcının bilmesi gereken sadece paroladır. Kötü niyetli kişiler banka parolası gibi mahrem bilgileri kriminal yollarla ele geçirmeye çalışırlar. Şifreyi “kırmak” imkânsıza yakın zorlukta olduğu için bu kişileri yaptığı işlem şifre kırmak değil parola çalmaktır. Bu durum Twitter vb. hesapların ele geçirilmesi için de geçerlidir.

Yaygın kanının aksine şifreleme sadece bankacılıkta değil, Internet üzerindeki uygulamaların çoğunda da kullanılır. Gmail, Hotmail gibi yaygın e-posta hizmetleri ile Twitter ve Facebook gibi sosyal medya araçları veriyi şifreleyerek iletir. Adres çubuğunda HTTP yerine HTTPS ibaresinin bulunması iletişimin şifreli olduğunu gösterir. Günümüzde Internet trafiğinin yarısından oldukça fazlası şifrelenmiş olarak iletilmektedir. Şifreleme sadece akış halindeki veriler için değil, bilgisayarımızda veya cep telefonlarımızda durağan halde bulunan veriler için de yapılabilir. Diğer bir deyişle bilgisayar ortamındaki tüm veri depolama sistemleri tamamen veya kısmen şifrelenebilir. Ortam şifrelemesi olmasa bile bireysel dosyaları şifrelemek de mümkündür.

Ancak şifreleme tek başına yüzde yüz veri güvenliği sağlayamaz. Bazı şifreleme sistemleri “zayıf” olup belli bir çaba sonunda kırılabilirler. Örneğin, çoğu GSM sistemi sesi şifreleyerek atmosferde iletir, ancak kullanılan şifreleme sistemi uygun cihazlar kullanılarak kolaylıkla kırılabilir. Ya da bazı sistemler “noktadan noktaya şifreleme” yerine bilgiyi kopyaladıktan sonra şifreli olarak Internet üzerinden gönderebilirler. Örneğin, çoğu e-posta sistemleri şifrelemeyi sadece Internet üzerinde hareket halindeki veri için kullanırlar. Diğer bir deyişle bu sistemler veriyi kendi sunucularında şifrelenmiş halde değil, orijinal halinde tutarlar. Bu durum genellikle kendi bilgisayarlarımızdaki e-posta mesajları için de geçerlidir. Yani bu mesajlar da kendi bilgisayarlarımızda şifrelenmemiş halde bulunurlar. Bazı sistemlerde ise noktadan noktaya şifreleme olmasına rağmen yazılım “arka kapı” denilen boşlukları içerir. Uygun derecede bilgiyle bu arka kapılardan yararlanarak şifrelenmiş bilgiyi anlaşılır hale getirmek mümkündür. ABD’nin elektronik casusluk teşkilatı NSA’nın bu konudaki faaliyetleri Edward Snowden tarafından ortaya çıkarılmıştır. Yine Snowden’ın ortaya çıkardığı belgelere göre NSA, Microsoft (Hotmail), Google (Gmail), Facebook (WhatsApp), Apple gibi ABD kökenli bilişim tekelleriyle işbirliği halinde çalışarak tüm dünyadaki Internet trafiğini izlemektedir. Tüm bunlara rağmen şifreleme bireysel mahremiyeti sağlamak ve özel hayatın gizliliğini garantilemek için vazgeçilmez önemdedir.

Yakın zamana kadar sadece devlet kurumları düzeyinde erişilebilir olan “kuvvetli” şifreleme sistemleri günümüzde ücretsiz olarak herkesin erişimine açıktır. Ancak PGP (Pretty Good Privacy) gibi sistemleri kullanmak belli ölçülerde teknik bilgi gerektirmektedir. “Kuvvetli” şifreleme yapan bu sistemleri “kırmak” günümüz teknolojisiyle yaratılan en güçlü bilgisayarlar tarafından bile ancak milyarlarca yıl çalışma sonucunda -belki- mümkün olabilir. Bu nedenle şifreyi kırmak isteyenler ancak sorunun “etrafından dolanarak” sonuca gitmeye çalışırlar. Örneğin, şifrelemeyi yapan bilgisayarı uzaktan “ele geçirerek” şifreleme parolasını ve dijital anahtarı çalmak bu yollardan biridir.

Diğer taraftan şifreleme ne kadar kuvvetli olursa olsun bu sadece mesajın içeriği için geçerlidir.

Elektronik mesajlaşmada kullanılan “üstveri” (metadata) şifrelenmez. Mesajı kimin kime gönderdiği, gönderim zamanı ve mesaj konusu (subject) gibi bilgiler üstveriyi oluşturur. Şifrelenmiş mesaj da içerdiği özellikler nedeniyle kolayca diğerlerinden ayrılabilir. Diğer bir deyişle, mesaj anlaşılır hale getirilemese de meraklı bir kurum veya kişi kimin kime hangi zamanda ve ne konuda şifreli bir mesaj gönderdiğini kolaylıkla ortaya çıkarabilir. Bu durum belli ölçüde Tor gibi Internet üzerindeki sitelere güvenli erişim sağlayan sistemler için de geçerlidir. Tor kullanıcının kimliğini ve hangi sitelere eriştiğini gizlese de bu sistemi kullandığını örtemeyebilir.

Bir “insan hakkı” olarak bilgi güvenliği 2015 yılında Birleşmiş Milletlerin ifade özgürlüğü konusundaki özel raportörü David Kaye bilgi güvenliği konusunda önemli bir rapor hazırladı

(http://www.ohchr.org/EN/Issues/FreedomOpinion/Pages/CallForSubmission.aspx). Raporda bilgiye güvenli bir şekilde ve kimliğini ortaya çıkarma zorunluluğu olmadan erişimin temel bir insan hakkı olduğu vurgulanmaktadır. Bunun Internet üzerindeki tezahürü olarak da şifreleme ve anonimlik sağlayan araçlar irdelenmektedir. Rapor ayrıca şifreleme ve anonimliği özel hayatın gizliliğini ve mahremiyetini Internet üzerinde sağlayan araçlar olarak tanımlamaktadır. Bu hakka karşı devletlerin ve şirketlerin çeşitli müdahaleleri kabul edilemez bulunmaktadır. Özel olarak bu iki kavramın hem devletlerin haksız olarak gerçekleştirdikleri Internet sansürünü hem de Internet üzerinde yaptıkları kanunsuz gözetimi boşa çıkarıcı niteliklerine vurgu yapılmaktadır.

Rapora göre Internet üzerinde ifade özgürlüğünü sağlayan araçlar olarak şifreleme ve anonimlik ancak üç durumda devletler tarafından engellenebilir: Engelleme keyfi değil, kanuna dayalı olmalıdır; haklı nedenleri içermelidir; gerekli ve ölçülü olmalıdır. Ancak Türkiye şartlarında AKP’nin sicilinin bu kavramlarla bağdaşır nitelikte olmadığı açıktır.

Türkiye’de Tor gibi anonimlik sağlayan yazılım araçlarının kullanımının engellenmesine yönelik herhangi bir yasa bulunmamaktadır. Buna rağmen yapılan keyfi engelleme çabaları asıl olarak Erişim Sağlayıcıları Birliği vasıtasıyla Internet erişimi sağlayan şirketleri engellemeden sorumlu kılmaya yöneliktir. Ancak engelleme servis sağlayıcı şirketler için iki nedenden ötürü kolay değildir. Birinci olarak yasa gereği engellemek için gerekli olan sistemlerin maliyeti şirketler tarafından karşılanmak durumundadır. Fakat birçok şirketin bu pahalı sistemleri satın alıp sürekli bakımlarını yapacak maddi gücü yoktur.

İkinci neden de Tor’un engellenmesindeki teknik zorluklardır. Zira Tor’un normal kullanımına ek olarak sunduğu “köprü” imkânları birçok engelleyici sistemi sorunsuzca aşmaktadır. Bu imkânlar Türkiye’deki Internet kullanıcıları tarafından yoğun olarak kullanılmaktadır.

Ancak şifreleme yönünden durum biraz farklıdır. Günlük hayatta kullanılan e-posta gibi yazılımların içerdikleri şifreleme sistemi bir yana bırakılırsa PGP gibi kuvvetli şifre sistemleri Türkiye’de yaygın olarak kullanılmamaktadır. Yukarda da belirtildiği gibi bu sistemler birçok kişi için kolay olmasa bile belli bir alışma sürecinden sonra rahatlıkla kullanılabilir. Bu konuda ortada yasal bir sorun da gözükmemektedir, çünkü Türkiye’de özel olarak şifreli Internet iletişimini engelleyen bir yasa yoktur.

Sadece şifreleme konusunu düzenlemeye yönelik olarak 23 Ekim 2010’da Resmi Gazetede yayımlanan bir BTK yönetmeliği bulunmaktadır. Ancak “Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkındaki Yönetmelik” isimli bu belge asıl olarak özel cihazlara yönelik olup Internet ortamında mesajlaşmayı kapsayacak nitelikte değildir. Örneğin, Internet kelimesinin hiç geçmediği bu yönetmeliğe göre şifrelemede kullanılan “cihazların” dijital anahtarlarının “üreticiler tarafından” BTK’ye verilmesi istenmektedir.

Bilgisayar ortamında bilgi güvenliği günümüzün en çok konuşulan ve ilgi gösterilen konularından biridir. Twitter gibi çeşitli uygulama hesaplarının parolalarının izinsiz ele geçirilmesi, banka hesaplarının boşaltılması, kurumların gizli belgelerinin çalınması ve benzer birçok eylem ancak bilgi güvenliği kavramları gözönünde tutularak engellenebilir. Bunlara Türkiye şartlarında STK’lerin AKP tehditinden uzak çalışması ve AKP sansürünün aşılması da eklenebilir. Başta kişisel düzeyde şifreleme ve anonimlik kavramları olmak üzere Türkiye’de bilgi güvenliği konusunda geçmişte sayısız çalışmalar yapılmış ve eğitimler verilmiştir. Dünyanın her yerinde olduğu gibi Türkiye’de de bu çalışmalar gelecekte de devam edecektir.

Büyükada tutuklamaları iki nedenden ötürü AKP rejiminin niteliksel dönüşümüne işaret etmektedir. Bunlardan birincisi yukarda belirtildiği gibi bu rejimin ölçüsüzlüğünün Uluslararası Af Örgütü gibi bir kuruluşun çalışanlarını tutuklama noktasına erişmesidir. İkinci olarak da AKP rejimi ilk defa olarak bilgi güvenliği konusundaki çabaları kriminalize etme düzeyine gelmiştir.

2016’nın sonuna doğru Tor ve VPN kullanımına karşı açılan ancak büyük ölçüde başarısız olan kampanya ile sinyalleri verilen bu dönüşümle AKP ilk defa bilgi güvenliği konusunda yapılan bir eğitim çalışmasına müdahale etmektedir. Bu durumda yapılacak olan da bellidir: Bu ülkenin Ortaçağ karanlığına sürüklenmesine karşı çıkan insanların bilgi güvenliği kavramlarını daha fazla gözönünde bulundurması ve Internet üzerinde anonimlik ve şifreleme sağlayan araçları daha fazla kullanması.
Not: Bilgi güvenliği konusunda aşağıdaki sitelerden yararlanılabilir. https://securityinabox.org/tr/https://prism-break.org/tr/