Cep telefonları akıllı ama güvensiz
Yazar arkadaşlarımız Murat Ağırel ve Batuhan Çolak'ın cep telefonları aracılığı ile Twitter hesaplarının ele geçirilmesi, Türkiye'de gündem oldu. Konunun uzmanları ile akıllı telefonların güvenli olup olmadığını konuştum.
Önce şunu vurgulamak gerekli, devletin güvenliği söz konusu olduğunda yargı kararı ile elbette telefonlarımız dinlenebilir, SMS mesajlarımız okunabilir…
Ağırel ve Çolak'ın telefonlarının da Twitter hesaplarının da "ele geçirilmesi" olayına tanık olduk.
Önce şu anımı anlatayım.
Kemal ve Cem Uzan'ın, "Cep telefonları Almanya'da çok pahalı, Türkiye'de ancak 300-500 bin kişi alabilir" demesi sonrası ihale şartnamesinin taslağını verdiğim Hakan Uzan, "Cep telefonları Amerika'da çok yaygın, Avrupa'da yeni olduğu için pahalı ama hızla yaygınlaştıkça ucuzlar. Biz seninle gizlice ihaleye girelim" dedi.
Girdik ve ihaleyi Türkcell ile birlikte kazandık.
Aradan bir süre geçince cep telefonu abonelerinin dinlenebilmesi için başbakanlıktan resmi yazı geldi. Telsim olarak, "Abonelerimizin haberleşme gizliliğini ihlal edemeyiz" diye yanıt verdik.
Ancak kısa süre sonra başbakanlığa davet edildim. Devletin resmi güvenlik kurumlarının, Ulaştırma Bakanlığı'nın, Türk Telekom temsilcilerinin katıldığı toplantıda ilgili yasal mevzuat ve Türkcell ile Telsim'in önüne, "Devletin güvenliği için yargı kararı ile dinlemeye izin vermek zorundasınız" diye kondu…
İzin verdik ki o günün % 100 yerli ve milli şirketi olan Telsim'e Uzan Grubu'nun borçlarından dolayı Tasarruf Mevduatı Sigorta Fonu (TMSF) tarafından 13 Şubat 2004 tarihinde el konuldu.
Telsim, 13 Aralık 2005'te satışa çıkarıldı. 4,55 milyar dolar ile % 100 İngiliz şirketi Vodafone'nun oldu. Gün gelir Telsim'in satışı konusunu da yazarım.
O günkü teknoloji şöyleydi:
Yargı kararı ile dinlenmesi gereken telefon numarası hayali bir örnek ile 0 542 000 00 00 ise GSM santralından dinleme isteyen istihbarat birimine "paralel" bağlanıyordu.
Teknoloji ilerledi, yasalar değişti, yeni kurumlar kuruldu.
Akıllı telefonlar çıktı ama devlet kurumlarının uzmanlardan edindiğim bilgiye göre kesinlikle güvenli değiller.
Değerli okurlarım,
turk-internet.com sitesinin kurucusu bilişim uzmanı Füsun Sarp Nebil şunları söyledi:
"Murat Ağırel ve Batuhan Çolak'ın telefonlarına nasıl sızıldığını anlatmaya 2G ve 3G şebekelerindeki Sinyal Sistemi No.7 (SS7 ) açığı ile başlayayım.
Ağırel hattının 4,5 G'den 2G'ye indirildiğini gelen SMS ile gördüğünü söylüyor.
Demek ki Ağırel ve Çolak'ın hatları SS7 açığının olduğu 2G'ye indirilmiş. Ondan sonra da müdahale edilmiş."
- Sordum: Operatörler üzerine düşeni yapıyor mu?
Nebil: 2 gazetecinin telefon operatörü olan Türkcell ve Vodafone'nun bu konuda açıklama yapmaları ve eğer kendilerinden kaynaklanmıyorsa belirtmeleri ya da sistemleri zayıfsa düzenlemeleri gerekmiyor mu?
- Sordum: BTK üzerine düşeni yapıyor mu?
Nebil: Türkiye 164 ülke içinde SS7 güvenliği açısından ancak 115.sırada.
3 operatörün 2'sinin kötü, 1 tanesinin de orta düzeyde güvenli olduğu kaydediliyor.
- Sordum: Banka işlemlerinde de SMS kullanımı var, tehlikeli değil mi?
Nebil: Asıl konu "banka" doğrulamalı olaylarda bu sorun çok büyük
İnsanlar yabancı operatörlerden numara almaktan bahsediyor.
- Sordum: BTK nasıl izliyor telefon görüşmelerini?
Nebil: Bilgi Teknolojileri ve İletişim Kurulu (BTK) 18 Temmuz 2013 tarihinde Sabit Telefon Hizmeti (STH) işletmecilerinin abone görüşmeleri konusunda 2013/DK-TİB/401 numara ile özetle şu kararları almıştı:
- STH işletmecileri üzerinden geçen trafiğin (telefon görüşmelerinin) alınamamasından dolayı istihbarat zafiyetlerinin yaşanmaması için gerekli önlemlerin derhal alınması;
- Sabit Telefon Hizmeti işletmecileri trafiği Başkanlık Ankara lokasyonuna IP (Internet Protocol) protokolü üzerinden noktadan noktaya özel hatlar ile teslim etmesi, etmemesi durumunda yetkilendirmelerinin iptal edileceği…
Değerli okurlarım,
O gün devlet yargı kararı ile tek bir numarayı takip ediyordu. BTK'nın genelgesinden gördük ki tüm telefon abonelerine sahipler.
Günümüzde bir de KVKK var. Yani Kişisel Verileri Koruma Kurulu…
Batuhan ve Murat başvursunlar bakalım hangisi çıkacak:
- Koruma…
- Koru ma…
Ağırel ve Çolak'in Twitter hesapları ikili doğrulama ile koruma altındaydı.
Anlaşılan o ki Twitter hesaplarını engellemek isteyenler "şifremi unuttum" aracılığı ile kod istemişler ve telefonlarını kontrol altına aldıkları iki meslektaşımız için gönderilen kodları kendileri alarak şifreleri değiştirmişler.
Ağırel, Cumhuriyet Savcılığı'na suç duyurusunda bulunacak ama atı alan Üsküdar'ı çoktan geçti…
Bu işi yapanlar karda yürür iz dahi bırakmazlar…