Forbes dergisi, Türk Telekom’un Türkiye’deki müşterilerinin internet trafiğini gözetlemek için Procera Networks adlı bir şirketten donanım ve yazılım hizmeti aldığını ortaya çıkardı. Ağ gözetimi teknolojileri üreten şirketten sızdırılan bilgilere dayandırılan haberde, Türk Telekom’un 6 milyon dolara satın aldığı hizmet sayesinde Türkiye’deki yaklaşık 26 milyon müşterisinin IP adreslerini, ziyaret ettikleri internet sitelerini ve çeşitli sitelerde kullandıkları kullanıcı adlarıyla şifrelerini topladığı iddia ediliyor.
Belgeleri kimin sızdırdığı henüz net değil; ancak şirketin yazılım mühendisi Kriss Andsten, geçtiğimiz Nisan ayında tüm çalışma arkadaşlarına bir e-posta göndermiş, “Hayatımın geri kalanını Erdoğan’ın çılgınlığı yüzünden pişmanlık duygusuyla geçirmek istemiyorum. O yüzden artık bu işte yokum.” diyerek istifa etmiş. Andsten’den sonra şirketin diğer mühendisleri de yönetimine isyan edip beş yazılım mühendisi daha istifa edince, şirket Türk Telekom için kullanıcı adı ve şifre toplama işini başka bir şirkete devretmiş.
Konuyla ilgili görüştüğüm Türkiyeli yazılımcılar ve hukukçular, darbe girişimi sonrasında kapatılan Taraf gazetesinde Tunca Öğreten imzasıyla yayınlanan haberleri işaret ettiler. Öğreten’in 21 Haziran 2014 ve 3 Temmuz 2014 tarihli haberleri gazetenin manşetinde yer almıştı.
Taraf gazetesinin dijital arşivini barındıran web sitesi de KHK ile erişime kapatıldı ama Internet Archive’da bu haberlerin birer kopyasını bulmak mümkün:
* Tunca Öğreten, 'İktidar internet korsanlığına başlıyor', 21 Haziran 2014, Taraf.
* Tunca Öğreten, ‘İnternete sansür donanımı’, 3 Temmuz 2014, Taraf.
Bu haberlere göre Telekomünikasyon İletişim Başkanlığı (TİB) erişim sağlayıcılara gizli bir direktif göndererek, 5651 sayılı kanunda yapılan değişiklik gereği kullanıcıların trafik bilgilerinin kayıt altında tutulmasının zorunlu olduğunu, bu işlemi yapmak için gerekli teknolojileri şirketlerin satın alması gerektiğini belirtmişti. Türk Telekom’un ise “MA-0051-03-2014” numaralı sözleşme ile ihale açıp, Procera Networks’ten ağ izleme donanımı aldığı iddiası yer alıyordu. Türk Telekom bu iddiaların gerçek dışı olduğunu iddia etti, ama Procera Networks ihalesini yalanlamadı.
İhalede belirtilen gözetim sistemi ile toplanacak olan veri, Türkiye’nin internet mevzuatında yer alan trafik bilgisi tanımını kat be kat aşıyor.
“Erişim sağlayıcı trafik bilgisi: İnternet ortamında yapılan her türlü erişime ilişkin olarak abonenin adı, kimlik bilgileri, adı ve soyadı, adresi, telefon numarası, sisteme bağlantı tarih ve saat bilgisi, sistemden çıkış tarih ve saat bilgisi, ilgili bağlantı için verilen IP adresi ve bağlantı noktaları gibi bilgileri”
Bilişim alanında faaliyet gösteren kamu örgütlerinin yayınladığı (bkz. Ek-1) bildiriye göre ise, ihalesi yapılan sistem Türkiye’deki internet kullanıcılarının e-posta ve diğer kişisel mesajlaşma uygulamaları ile yaptıkları tüm görüşmelerin okunabilmesini, VPN ve Tor üzerinden bağlananların da tespit edilebilmesini sağlıyor.
Bu iddialar üzerine CHP milletvekili Sezgin Tanrıkulu, dönemin Ulaştırma, Denizcilik ve Haberleşme Bakanı Lütfi Elvan’ın yanıtlaması için sorular göndermiş, alınan donanımın özel hayatın gizliliğine ve sansüre yapacağı etkiyi sormuştu.
Ne yazık ki hükümet o dönemde basında, sivil toplumda ve mecliste dile getirilen tüm bu eleştirilere kulaklarını tıkadı, böylelikle Türkiye’nin internet gözetimi ve sansür mekanizması için teknolojik imkanlar seferber edildi.
Şirketler izliyor, devlet gözetliyor
Procera Networks’ten alınan hizmet, derin paket analizi (“deep packet inspection” DPI) teknolojisini kullanıyor, bir ağa giren ve çıkan bilgilerin sınıflandırılmasını, buna göre yönetilmesini sağlıyor.
Normal şartlarda bir internet şirketi, YouTube, Facebook ve Twitter gibi çok miktarda veri bulunduran sitelere yönelik taleplere daha çok kaynak ayırabilir, böylece izlediğiniz video hiç takılmaz. Ya da Türkiye’de hükümeti zor durumda bırakan her olan sonrası sosyal medya sitelerine giden trafik kısılır ve böylece haber almanız engellenmiş olur.
DPI teknolojisi özel şirketlerin ağlarını korumak için de kullanılabilir. Normal şartlarda bir şirketin IT yöneticisi, e-posta yoluyla gelen virüsleri engelleyebilir ve şirkete ait gizli belgelerin dışarıya çıkmasına engel olabilir. Ya da Türkiye’de sadece Güneydoğu illerinden internete erişim engellenir ki görevden alınan belediye başkanları için yapılan protestoların haberi kimseye ulaşamasın.
Procera Networks’ten iki yıl önce, Türk Telekom’un PHORM adlı bir reklam şirketiyle anlaşma yaptığını ve kullanıcılarını DPI teknolojisi kullanarak izlediğini yazmıştım. “Gezinti” adı verilen hizmet yasa dışı yollarla veri topladığı için ceza almış, buna rağmen “Adobur” adıyla TTNET kullanıcılarının kişisel verilerini toplamaya devam etmişti. TTNET’in bu yolla veri topladığı sitelerin özellikle haber siteleri olması, Türk Telekom’un tekel konumu ve şirketin yüzde 30 hissesinin hükümetin elinde olması, vatandaşların siyasi tercihlerine göre fişlemesine dair haklı endişeler doğurmuştu.
Forbes’un haberi üzerine, erişim sağlayıcılara DPI hizmeti veren başka bir şirketin çalışanıyla görüştüm. Siyasi endişeler nedeniyle adını ve çalıştığı şirketi açıklamadığım bu kişi, Türkiye’deki internet şirketlerinin 2012’den beri DPI teknolojisini kullandıklarını belirtiyor. Erişim sağlayıcı şirketlerin DPI kullanma nedeni, müşterilerini sınıflandırmak ve onlara buna göre ürünler pazarlamak. Fakat, Tunca Öğreten’in haberleştirdiği direktif ile birlikte Türkiye’deki tüm erişim sağlayıcılar DPI kullanmak zorunda bırakıldılar.
Milli istihbaratta yap-işlet-devret modeli
TİB’in internet şirketlerine gönderdiği direktif, 5651 sayılı İnternet Kanunu’nda Şubat 2014’te yapılan değişikliklere dayanıyor. Hatırlanacağı gibi, 17-25 Aralık yolsuzluk soruşturmasına dair bilgiler sosyal medyada ve haber sitelerinde yer alınca, hükümet “kişilik hakları” bahanesiyle internette yer alan içeriğin dört saat içinde engellenmesini sağlayacak düzenlemelere gitmişti.
Bu düzenlemeler arasında “trafik bilgisi”nin yeniden tanımlanması ve içeriğin URL adresi ile sansürlenmesi de yer alıyordu.
Bu düzenlemeden önce hükümet bir haberi engelletmek istese bile, haber sitesinin tamamını engelletmek durumundaydı; çünkü engelleme işlemi, sitenin alan (veya IP) adresinin (DNS) telefon rehberinden çıkarılması benzeri bir yöntemle yapılıyordu. Düzenleme sonrasında ise haber sitelerinin tamamen engellenmesi ile doğacak tepkilerin önü alındı: DPI yöntemi sayesinde, bir sitede yer alan belirli haberlerin (URL) adreslerine ulaşıp haberi okumak isteyen internet kullanıcılarının talepleri, sitenin geri kalanına ulaşmak isteyenlerin taleplerinden ayıklanabilir oldu.
Şubat 2014 değişikliklerinde yer alan 3. maddenin 4. fıkrası ise, internet şirketleri tarafından toplanan trafik bilgilerinin TİB’e doğrudan verilmesini öngörüyordu. Bu düzenleme, CHP milletvekillerince Anayasa Mahkemesi’ne taşındı ve mahkemenin Ekim 2014 kararıyla iptal edildi.
Hukukçular Yaman Akdeniz ve Kerem Altıparmak, internet trafik bilgisinin toplanmasının uluslararası hukuka aykırı olduğunu belirtiyorlar. AKP’nin o yasa değişikliğine dayanak olarak gösterdiği Avrupa Birliği Veri Saklama Direktifi (2006/24/EC), Nisan 2014’te Avrupa İnsan Hakları Mahkemesi tarafından iptal edilmiş. Buna rağmen TİB, Haziran 2014’te erişim sağlayıcıların DPI teknolojisiyle kişisel verileri toplanmasını zorunlu kıldı.
Böylece Türkiye’deki tüm internet kullanıcılarının internette ziyaret ettikleri tüm siteler dakika dakika kayıt altına alınmaya başlanmış oldu.
Procera Networks mühendislerinin isyan ettikleri gibi, en gelişmiş gözetim teknolojileriyle toplanan kişisel bilgiler, hükümet hakkında sesini yükselten herkesin ev baskınlarıyla, hakaret davalarıyla susturulması için kullanılmaya başlandı.
Hukukçu Akdeniz bu noktada başka bir düzenlemeye, 2937 sayılı MİT Kanunu’nun 6/b maddesine de dikkat çekiyor:
“[Milli İstihbarat Teşkilatı] Kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu kapsamındaki kurum ve kuruluşlar ile diğer tüzel kişiler ve tüzel kişiliği bulunmayan kuruluşlardan bilgi, belge, veri ve kayıtları alabilir, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim alt yapısından yararlanabilir ve bunlarla irtibat kurabilir. Bu kapsamda talepte bulunulanlar, kendi mevzuatlarındaki hükümleri gerekçe göstermek suretiyle talebin yerine getirilmesinden kaçınamazlar.”
Bu kanun maddesi hakkında CHP milletvekillerinin Anayasa Mahkemesi’ne yaptığı itiraz ise Aralık 2015’te reddedildi, maddeye kişisel verilerin korunması gerekçesiyle itiraz eden iki AYM hakimi, Alparslan Altan ve Erdal Tercan ise KHK ile meslekten atıldılar.
Hukukçu Altıparmak, kullanıcı adlarının ve şifrelerinin derlenmesinin kesinlikle trafik bilgisi kapsamında değerlendirilemeyeceğini, bunun için mutlaka hakim kararı olması gerektiğini ifade ediyor.
Bilişim hukukçusu Serhat Koç, Türk Telekom müşterilerinin tüketici mahkemelerine başvurulabileceğini, kamu kurumu niteliği olan kurumlara karşı ise idare mahkemelerinde tazminat başvurusu yapılabileceğini söylüyor; ancak umutlu değil. Aynı zamanda Korsan Parti sözcüsü de olan ve üniversitede bilişim hukuku dersleri Koç, Türkiye’de sivil ve ticari aktörlerin bir araya gelip böylesi hukuksuzluklara karşı çıkamadığını söylüyor.
Temmuz 2014’te yazılımcıların ve hukukçuların bir araya gelip yayınladığı bildiri ile kapatalım, çünkü görünen o ki, erişim sağlayıcılar eliyle hükümet hala Anayasa’yı, uluslararası hukuku ve internet standartlarını ihlal ediyor.
Ek-1: Bilişim alanında faaliyet gösteren demokratik kitle örgütlerinin konuyla ilgili 2014 Temmuz tarihli duyurusu
Türk Telekom Anayasal Suç İşliyor
Türk Telekom’un MA-0051-03-2014 numaralı sözleşme ile ihale yaptığı ve gözetim donanımları satın aldığı çeşitli basın kuruluşlarında yer aldı. Sözleşmede belirtilen hedefler, yurttaşların anayasal hakları, temel hak ve özgürlükleri, hukukun evrensel ilkelerini çiğniyor.
Sözleşmede satın alınacak donanımın amacı “şebeke üzerinden taşınan trafiğin paket bazında detaylı olarak analiz edilmesi, yatırım plan ve önceliklerinin belirlenmesi, taşınan trafiğin uygulama bazında analiz edilmesi, şebeke kaynaklarının optimum olarak kullanılması, şebeke performansının arttırılması, art niyetli uygulama ve kullanıcıların tespit edilerek önlem alınmasının sağlanması. 5651 Sayılı ‘İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun’ değişiklikleri ile birlikte mevcut kanun gereği olan yükümlülükleri kati suretle yerine getirmektir.” şeklinde ifade edilmekte. Bu amaçla
Sistem aynı İnternet sitesine ait HTTP ve HTTPS protokollerinin ayrımını yapabilecek, ayrım bazlı politika (shaping, drop, marking ve redirection) uygulayabilecektir.
Sistem; WAP, HTTP, MMS, E-Mail, DHCP, FTP, HTTP Browsing, HTTP Streaming, MMS (Microsoft streaming), NNTP, POP3, RTSP, Streaming, SIP, Vonage, MGCP, Messenger (MSN,Yahoo v.s), SMTP, H323, Ultrasurf, Hotspot, TOR, Opera Mini gibi servis tiplerini destekleyecek, analizi, sınıflandırması ve kontrolünü yapacaktır.
Sistem; WhatsApp, Lime, Telegram, CoverMe, Google+, Tango, ICQ, Instant Messaging, Jabber, Open MMS, Skype, Messenger (MSN, Yahoo v.b) gibi mesaj uygulamalarını destekleyecek, analizi, sınıflandırması ve kontrolünü yapacaktır.
Sistem, VPN Tünel Prokollerini (Spotflux, Hotspot VPN, Mobile VPN, Safe Tun VPN, vpn Bitz, ibVPN, SecureLine, Onavo, HMA, VirtualBrowser, BIG VPN, VPN Direct, VPN Express, VPNOneClick, Freedome, TunnelBear, Hotspot Shield, Ultrasurf, TOR, Freegate, Gtunnel, GappProxy, Your Freedom, Hykproxy, Tunnelier, Gpass vb.) analiz edebilecek ve yönetebilecek kabiliyette olacaktır.
Sistem, müşteri DNS sorgusundaki hedef DNS IP adresini farklı bir IP adresi ile değiştirebilecektir (DNS Overwrite özelliği)
Sistem erişim engelleme kararı verilen yayınlarla ilgili olarak alternatif erişim yollarını engelleyici tedbirleri alacaktır.
Sistem erişim engelleme kararı verilen yayınlarla ilgili olarak URL bazlı HTTPS trafiğini engelleyecektir.
Sistemin tüm Multimedia, mesaj sistemleri, P2P, tüm servis ve uygulamaları analiz, izleme yetenekleri de var. Bunların arasında e-posta, ftp, DHCP, Skype, Whatup, Gtalk, MSN, VPN, Tor, Hotspot Shild gibi uygulamalar var.
Yukarıda adı geçen servisler; iletişim, haber alma, bilgiye erişme, örgütlenme gibi temel özgürlüklerimizi kullandığımız araçlardır. Sistem tüm bu servisleri izleyebilecek, dilediği gibi manipüle edebilecek ve engelleyebilecek yeteneğe sahip olacaktır. Böyle bir sistemin temel hak ve özgürlüklerimiz üzerinde bir tehdit olarak durması kabul edilemez.
Haberleşme gizliliği esastır, haberleşmeyi izlemek ancak yeterli nedenlerle mahkeme kararıyla mümkün olabilir. Tüm bu servislerin de esas olarak bir bir telefon konuşmasından farkı yoktur. Son yapılan düzenlemelerle telefon dinlemeleri zorlaştırılmıştır. Aynı korumanın İnternet üzerinden haberleşme için geçerli olması gerekir. Normal posta hizmetlerinde, mektubun iceriğine bakmak nasıl suçsa, e-postanın içeriğine bakılması, pek çok e-posta Web üzerinden gittiği için HTTP ve HTTPS’nin izlenmesi de suçtur. Bu kapsamdaki izleme çabası da anayasal suç, bunu teşvik eden BTK ve uygulayan TT’nin anasayal suç işlemesi anlamına gelmektedir.
Gözetime ek olarak sözleşmede adı geçen DNS Overwrite özelliği ise iletişime sahtekarlık yoluyla müdahaledir. Bu, bir kullanıcının kendi iradesi ve bilgisi dışında, erişmek istediğinin dışında başka bir yere yönlendirilmesidir. Bu da küresel İnternet standartlarının ihlalidir.
İnternet, Türkiye’de hak ettiği değeri bulamıyor. Kanun yapıcılar, düzenleyici aktörler ekonomi, kamu yönetimi, bireysel gelişim, demokrasinin gelişmesi, toplumun bütünleşmesi, toplumsal denetim, saydamlık, katılımcılık gibi faydalarını görmezlikten geliyor. Günlük siyasi çekişmeler için, muhalefeti bastırmak için, sansür için İnternet korkunç bir denetim ve gözetim ağı haline getiriliyor.
AB’ye üye olmak, 10. büyük ekonomi olmak, dünya ile bütünleşmek, turizmde lider ülke olmak, dünya finans merkezi olmak, yabancı yatırımlar çekmek gibi ifadelerle; İnternet’i denetlemek, kontrol altında tutmak, korkunç bir gözetim mekanizması kurmak, “bizim istemedigimiz kuş uçmasın” felsefesiyle problemleri çözmeye uğraşmak, son derece çelişkilidir. Yöneticilerin ve toplum önderlerinin bu durumu görememesi içler acısıdır.
Biz aşağıda imzaları olan Bilişim/Bilgi/iletişim alanında faaliyet gösteren demokratik kitle örgütleri olarak, BTK ve TT’yi açıklama yapmaya ve bu suçtan vazgeçmeye davet ediyoruz. Bu konularda suç duyurusunda bulunmaktan, AİHM’ye gitmeye kadar her türlü mücadele yöntemini uygulayacağımızı kamuoyuna saygıyla duyururuz.
Alternatif Bilişim Derneği
Ankara Barosu Bilişim Kurulu
Demokrat Bilgisayar Mühendisleri
Elektrik Mühendisleri Odası
İnternet Teknolojileri Derneği
İnternet Yayıncıları Derneği
Korsan Parti Türkiye Hareketi
Linux Kullanıcıları Derneği
Pardus Kullanıcıları Derneği
Türk Kütüphaneciler Derneği
