Emniyet casus yazılımla ne yapıyor?

Emniyet casus yazılımla ne yapıyor?

Nihan GÜNELİ

Geçtiğimiz haftaya İtalyan yazılım şirketi Hacking Team’in hacklenmesi haberiyle başladık. Hacklenme sonucunda sızdırılan 400 GB’ı aşan belgelerden İtalyan şirketin Sudan, Rusya, Suudi Arabistan gibi ülkelere “Remote Control System – RCS” adında bir yazılım sattığı anlaşıldı. İtalyan şirketin bu yazılımı sattığı ülkelerin arasında Türkiye de var. Şirketin sızan arşivinden incelenebilen faturalara göre, Emniyet Genel Müdürlüğü 21 Haziran 2011 tarihinden bu yana RCS casus yazılımını kullanıyor. Üstelik Emniyet Genel Müdürlüğü bu elzem olduğu (!)marifetlerinden belli olan yazılıma toplamda neredeyse 450 bin avro civarında ücret ödemiş.

Emniyet Genel Müdürlüğü tarafından o günün kuruyla toplamda 1 milyon TL’den fazla para ödeyerek satın alınan yazılımın meziyetleri ise saymakla bitmiyor. Casus yazılım, e-posta da dahil olmak üzere çeşitli yollarla hedeflenen kişinin bilgisayarına gönderildiği andan itibaren tüm iletişimi, iletişim daha şifrelenmeden önce gözetleyebiliyor ve yalnızca hedeflenen kişinin iletişimini dinlemekle kalmıyor, iletişimde kullanılmayan, bilgisayardaki belgeleri kopyalıyor ve yazılımı kullanan kişinin kullanımına açıyor. Sadece bunlar da değil; yazılım sayesinde hedeflenen kişinin bilgisayarının kamerası ve mikrofonu yazılımı kullanan kişi tarafından uzaktan kontrol edilebiliyor, hedeflenen kişinin haberi dahi olmadan kişinin bulunduğu ortam dinlenebiliyor. Skype görüşmeleri, e-postalar, kullanılan mesaj servisleri, şifreler de dahil olmak üzere her türlü tarayıcı geçmişleri de dahil olmak üzere, bilgisayardaki neredeyse tüm hareketi kopyalayıp iletebilen yazılım, akıllı telefonlarda da kullanılabiliyor.

BU YAZILIMA İHTİYAÇ NEDEN?

Emniyet Genel Müdürlüğü böyle bir yazılıma neden ihtiyaç duyar? Bu soruyu başta soracağım, çünkü aksine inanmamız için her gün çılgınca çabalayanlara inat, kağıt üzerinde de olsa, Türkiye halen bir hukuk devleti. Polis Vazife ve Salahiyetleri Kanunu, Türkiye’de ancak hakim kararı bulunması halinde iletişimin tespit edilebileceğini, dinlenebileceğini, sinyal bilgilerinin değerlendirilebileceğini ve kayda alınabileceğini açıkça belirtmiş durumda. Üstelik saydığım faaliyetleri Kanun kapsamında yalnızca Telekomünikasyon İletişim Başkanlığı yapabilir. Ceza Muhakemesi Kanunu ise, bir bilgisayarda ancak hakim kararıyla arama yapılabileceğini, arama esnasında bilgisayarda bulunan verilere ulaşmak bir sebeple mümkün olmaz ise sistemdeki bütün verilerin bir kopyasının çıkarılacağını, bu kopyanın bir örneğinin de bilgisayarı aranan kişiye verileceğine hükmeder. Yine, ağır ceza mahkemesinin oybirliği ile aldığı kararı olmaksızın şüpheli ve sanıkların iletişiminin dinlenmesi, kayda alınması ve sinyal bilgilerinin değerlendirilmesi de Kanunen mümkün değil. Benzer şekilde, sanık veya şüpheli ancak kamuya açık yerlerde ve işyerinde teknik araçlarla ancak CMK 140. maddede sayılan suçlar söz konusu ise ve ağır ceza mahkemesinin oybirliği ile aldığı karar bulunması halinde izlenebilir. Tüm bu saydığım gözetleme ve denetleme işlemlerinin hukuka uygun olması için ise öncelikle (1) kuvvetli şüphe sebeplerinin varlığı ve daha da önemlisi (2) başka surette delil elde etme imkanının bulunmaması gerekir. Bu noktada açıkça belirtmek gerekir ki; herhangi bir polisin, kendi kafasına göre, mahkeme kararı olmaksızın, bir kişinin bilgisayarına girme, bilgisayarı uzaktan teknik olarak takip etme veya bilgisayardaki belgeleri kopyalama yetkisi yok, olamaz. Dolayısıyla, herhangi bir polisin, herhangi bir sebeple RCS casus yazılımını kullanma yetkisi de yok. Bu durumda ne oluyor? Bu durumda, bu yazılımı kullananlar mevzuatta sayılan çok çeşitli suçları işlemiş oluyorlar. 

HACKING TEAM ŞİRKETİ SADECE DEVLETE SATIYOR

Yazılıma ilişkin en önemli bilgi gerçek kişi veya şirketlerin bu yazılımı kullanamıyor olması. Gerçekten de, Hacking Team şirketi, “Müşteri Politikası” isimli belgede açıkladığı üzere bu yazılımı sadece devletlere satıyor. Hacking Team bu belgede diyor ki, “Ürettiğimiz gözetim teknolojilerinin kötüye kullanılma ihtimalini anlıyoruz ve bu sebeple bu yazılımı sadece devletlere ve devlet kurumlarına sağlıyoruz.” Yani Hacking Team diyor ki, bu yazılımın sebep olabileceği durumların farkındayız, o yüzden de “sadece” devletlerin vatandaşlarını gözetlemesine vesile oluyoruz. Böyle de oksimoron bir durum.
Peki bu “sızıntıların” gerçek olma ihtimali var mı? Birkaç yıl önce Wired dergisinde yayınlanan bir makalede, Gülen Cemaati’ni eleştiren ABD’li bir kadına güvendiği bir meslektaşından gönderilmiş gibi duran bir e-posta ve bu e-postanın içinde başka bir websitesine yönlendiren bağlantıdan bahsediliyor. 2013 tarihli makalede, Türkiye’deki bir sunucudan profesyonel bir kötücül yazılım gönderildiği açıkça belirtilmiş. Başka birçok vesile ile de Türkiye’de RCS yazılımının kullanıldığından şüphelendiği kısa bir incelemeyle görülebilir. Dolayısıyla, yazışmaların gerçekliğini sorgulamak mümkünse de, Türkiye’nin bu yazılımı aldığı ve kullandığından şüphe etmek gerekmediği kanaatindeyim.

Bu bilgiler ışığında bir kere daha soruyorum: Emniyet Genel Müdürlüğü bu yazılımla ne yapıyor? 21 Haziran 2011 tarihinden bu yana Emniyet Genel Müdürlüğü, bu yazılımla hangi bilgileri elde etti? Elde edilen bu bilgiler hangi amaçla kullanıldı? Bu yazılımla elde edilen bilgiler herhangi bir soruşturmada kullanıldı mı?

‘BERKİNELVAN.DOCX’ TALEBİ

Bu sorulardan anlayabileceğiniz üzere durum ciddi. O kadar ciddi ki, Avrupa Parlamentosu üyesi Marietje Schaake, İtalyan şirketin Avrupa Birliği müeyyidelerini muhtemel ihlalleri konusunda Avrupa Komisyonu’na 3 soru yönelterek Hacking Team’in Sudan ve Rusya’ya RSC yazılımını satarak AB müeyyidelerini ihlal edip etmediğinin değerlendirilmesini talep etti. Listede yer alan başka bir ülke olan Çek Cumhuriyeti’nde ise emniyet teşkilatı, casus yazılımın özel bir birim tarafından kullanıldığını kabul etmek zorunda kaldı. Wired dergisi ise, Hacking Team’in müşterilerinden olan FBI’ın yazılıma 2011 yılından beri 775 bin Amerikan Doları ödemesini haberleştirdi. 

Bu skandal dünyada tüm ayrıntılarıyla masaya yatırıladursun, bizim de polisin hukuka ve yasaya aykırı davranışlarını etkin şekilde sorgulamamız gerekiyor. Emniyet Genel Müdürlüğü’nün acilen kendisine bu konuda yapılan bilgi edinme başvurularına açıkça cevap vermesi ve bu yazılımın kullanımını derhal durdurması elzem. Bu noktada belirtmem gerek ki, sızan yazışmalardan birinde Hacking Team’den “BerkinElvan.docx” adında bir exploit, yani yetkisiz erişim programı hazırlanması talep ediliyor. 14 Mart 2014 tarihinde. Berkin Elvan’ın ölümünden 3 gün sonra.Belli ki devletin polisine, vatandaşlara karşı karşıya geldikleri her ortamda destan yazmak yetmemiş; kahraman polisimiz teknolojiyle çağı takip ediyor, destanını sanal ortama da taşıyor. Ne diyeyim, Emniyet Teşkilatı çalışıyor.

www.evrensel.net