Bağımsız gazeteciler grubu Lighthouse Reports’un bir yıl süren araştırması sonucunda, Avusturyalı Josef Fuchs tarafından kurulan “PT First Wap International” telekomünikasyon şirketinin, 1970’lerde ITU (Uluslararası Telekomünikasyon Birliği) tarafından geliştirilen “SS7 sinyalizasyon sistemi” aracılığıyla birçok insanı yalnızca telefon numaraları üzerinden takip ettiği belirlendi.
Binlerce Telefon Numarası, Yüz Binlerce Konum Bilgisi
Anadolu Ajansı’nın haberine göre Lighthouse ekibindeki bağımsız gazeteciler, 2024 yılı itibarıyla dünyanın neredeyse tüm ülkelerinden binlerce telefon numarası ve yüz binlerce konum bilgisinin yer aldığı bir veri arşivine erişim sağladı.
1,5 milyon satırlık veriden oluşan arşivi inceleyen gazeteciler, çok sayıda ülkede binlerce telefon numarasının hedef alındığını ve yıllarca konumlarının takip edildiğini tespit etti. Kısacası merkezi Endonezya’nın başkenti Cakarta’da bulunan, ancak bir grup Avrupalı tarafından yönetilen First Wap, dünya çapında bir “telefon takip imparatorluğu” kurmuş durumda.
WhatsApp Gibi Şifreli Mesajlaşma Uygulamalarını Da Kırdılar
Rapora göre şirket, dünyanın herhangi bir yerindeki bir telefonu geride iz bırakmadan takip edebilen ‘Altamides’ adında bir telefon izleme yazılımı geliştirdi. Konum takibinin yanı sıra Altamides’in mesajları ve telefon görüşmelerini dinleme, hatta WhatsApp gibi şifreli mesajlaşma uygulamalarını kırabilme yeteneğine sahip olduğu ortaya çıktı.
Esed’in Eşi ve Netanyahu’nun Davalarına Bakan Savcı Gibi İsimler de Takip Edildi
Hedef alınan kişilerin kimler olduğunu anlamak için 14 binden fazla telefon numarasını inceleyen gazeteciler, kişiler arasındaki bağlantıları haritalandırdı. Hedeflerin çoğunun yalnızca birkaç kez izlendiği ancak bazı kişilerin düzenli şekilde takip edildiği görüldü.
Örneğin Suriye’nin devrik lideri Beşşar Esed’in eşi Esma Esed ve ABD merkezli özel güvenlik şirketi Blackwater’ın kurucusu Erik Prince gibi isimlerin takip edildiği tespit edildi. Ayrıca İsrail Başbakanı Binyamin Netanyahu’nun davalarına bakan Tel Aviv Bölge Savcısı Liat Ben Ari de bu listede yer aldı.
Ruandalı muhalif lider Patrick Karegeya’nın ortaklarının Güney Afrika’nın Johannesburg şehrinde bir otel odasında öldürülmeden önce takip edildiği, California’da 23andMe’nin kurucusu Anne Wojcicki'nin Silikon Vadisi'nde binden fazla kez takip edildiği saptandı. İtalya’daki araştırmacı gazeteci Gianluigi Nuzzi’nin, Vatikan’daki köstebek skandalını ortaya çıkardıktan günler sonra takip edildiği de belirlendi.
Benzer şekilde, 160’tan fazla ülkede takip yapıldığını tespit eden gazeteciler, bazı ülkelerin veya dünyanın bazı bölgelerinin daha sık takip edildiğini saptadı. Özellikle Avrupa kıtasında takip faaliyetlerinin yoğun olduğu, ayrıca İsrail, Kolombiya, Venezuela, Nijerya, Los Angeles ve Moskova gibi şehir ve ülkelerde de takip yoğunluğunun belirgin şekilde yüksek olduğu belirlendi. Şirket, bu verilerin “kolluk kuvvetleri tarafından organize suç, terörizm ve yolsuzlukla mücadele” gibi amaçlarla kullanıldığını savundu.
Peki bu sistem tam olarak nasıl işliyor, bireyler ve devletler açısından ne gibi riskler barındırıyor? Konuyu, iletişim teknolojileri ve dijital güvenlik alanında uzman olan Prof. Dr. Ali Murat Kırık ile 10 soruda mercek altına aldık.
Bu Sadece Bir Teknolojik Açık Değil
1- PT First Wap International’ın kurduğu sistem, sizce dijital çağın en büyük gözetim skandallarından biri olarak nitelendirilebilir mi?
Prof. Dr. Ali Murat Kırık: PT First Wap International’ın kurduğu bu sistem, dijital çağın en büyük gözetim skandallarından biri olarak nitelendirilebilir. Burada bireylerin cihazlarına herhangi bir casus yazılım yüklenmeden, yalnızca telefon numaraları üzerinden dünya çapında konumlarının takip edilmesi söz konusu. Bu durum, insanların mahremiyet hakkını ihlal eder.
Ayrıca hedef alınan kişiler arasında yalnızca siyasetçiler veya iş insanları değil, gazeteciler ve aktivistler gibi kamu yararına çalışan isimler de mevcut. Bu da meselenin sadece bir “teknolojik açık” değil, aynı zamanda etik, hukuki ve insani bir kriz olduğunu gösteriyor. Böylece küresel ölçekte devlet sınırlarını aşan bir gözetim mekanizmasının varlığı, dijital dünyada gizliliğin ne kadar kırılgan hale geldiğini bir kez daha kanıtlıyor.
Teknoloji İlerlese de Güvenlik Açıkları Miras Gibi Taşınıyor
2- Peki, bu tür olaylar, küresel telekomünikasyon altyapısının güvenliği açısından bize ne anlatıyor?
Prof. Dr. Ali Murat Kırık: Bu olay, küresel telekomünikasyon altyapısının ne kadar savunmasız olduğunu açık biçimde gözler önüne seriyor. 1970’lerde geliştirilen SS7 sistemi hâlâ dünya genelinde kullanılmakta; bu nedenle günümüzün 4G ve 5G ağları bile bu eski protokole “geriye dönük uyumluluk” gerekçesiyle bağlı kalmaktadır. Yani, teknoloji ilerlese de güvenlik açıkları miras gibi taşınıyor.
PT First Wap örneği, bu zayıf halkaların kötü niyetli kişilerce nasıl istismar edilebileceğini gözler önüne serdi. Küresel düzeyde bir telekom güvenliği reformuna acilen ihtiyaç vardır; veri trafiğinin kim tarafından ve hangi amaçla yönlendirildiğini doğrulayacak yeni standartlara gereklidir. Bu olay, aslında dijital dünyanın en derin kırılganlığını tüm çıplaklığıyla göstermektedir.
Klasik Saldırıdan Çok Daha Tehlikeli Çünkü Kullanıcılar Kendilerini Koruyamıyor
3- Pegasus gibi üst düzey casus yazılımlardan farklı olarak, First Wap'ın kullandığı Altamides sistemi tamamen telekom ağı düzeyinde çalışıyor, yani bir telefona bulaşmıyor. Bu gözetim biçimini nasıl değerlendirmek gerekir?
Prof. Dr. Ali Murat Kırık: Altamides’in doğrudan telefona bulaşmaması, bu gözetim biçimini daha gizli ve tespit edilmesi zor hale getiriyor. Çünkü burada izleme işlemi ağ düzeyinde, telekom operatörlerinin kullandığı sinyal sistemleri üzerinden gerçekleştiriliyor.
Bu durum, kullanıcıların hiçbir şeyden haberi olmadan, telefonlarında iz bırakılmadan takip edilmelerini sağlıyor. Bu tür ağ tabanlı izleme yöntemleri, klasik siber saldırılardan çok daha tehlikeli çünkü kullanıcılar kendilerini koruma şansı dahi bulamıyor.
WhatsApp Detayı Doğruysa Durum Daha Kötü
4- Rapora göre Altamides, konum takibinin yanı sıra mesajları, telefon görüşmelerini ve hatta WhatsApp gibi şifreli mesajlaşma uygulamalarını da izleyebiliyor. Bu teknik olarak nasıl mümkün olabilir?
Prof. Dr. Ali Murat Kırık: Altamides’in WhatsApp gibi şifreli mesajlaşma uygulamalarını izleyebildiği iddiası teknik olarak oldukça ciddi bir iddia ve ispata muhtaçtır. Eğer bu doğruysa, bu doğrudan şifreleme sistemlerinin değil, ağ düzeyinde verinin yönlendirilme biçiminin kötüye kullanıldığını gösterir.
Yani veriler uygulama içinde değil, iletim hattında yakalanıyor olabilir. Bu da telekom seviyesindeki sinyal trafiğinin kötüye kullanılmasıyla mümkündür. Ancak bu tür iddiaların doğrulanması için çok güçlü teknik kanıtlara ihtiyaç vardır…
SS7’nin Eski Yapısı Kötüye Kullanılıyor
5- SS7 sinyalizasyon sistemi nedir? Bu sistemin temel açıkları nelerdir ve neden hâlâ dünya genelinde kullanılmaya devam ediyor?
Prof. Dr. Ali Murat Kırık: SS7, yani geniş adıyla Signalling System No. 7, telefon şebekelerinin arama, mesaj ve konum bilgilerini yönlendirmesini sağlayan bir iletişim protokolüdür. Sorunun temelinde, 1970’lerde, devlet kontrollü, sınırlı sayıda operatörün bulunduğu bir dönemde geliştirilmesi yatmaktadır.
Dolayısıyla kimlik doğrulama veya erişim kontrolü gibi modern güvenlik önlemleri mevcut değildir. Günümüzde ise yüzlerce operatör birbirine bağlı çalışıyor ve SS7’nin eski yapısı kötüye kullanılabiliyor. Buna rağmen sistem hâlâ aktiftir çünkü birçok telekom altyapısı, yeni nesil ağlara geçse de geriye dönük uyumluluğu sürdürmek zorundadır…
Bireysel Mahremiyetin Neredeyse Ortadan Kalkması Anlamına Geliyor
6- İnsanların yalnızca telefon numarası üzerinden böylesine kapsamlı biçimde takip edilebilmesi, bireysel mahremiyet açısından ne gibi sonuçlar doğurur?
Prof. Dr. Ali Murat Kırık: İnsanların yalnızca telefon numaralarıyla bu kadar kapsamlı şekilde takip edilmesi, bireysel mahremiyetin neredeyse ortadan kalkması anlamına gelmektedir. Bu tür sistemler, kişilerin nerede olduklarını, kimlerle görüştüklerini, hatta ne zaman seyahat ettiklerini ortaya çıkarabiliyor. Böyle bir gözetim, bireylerin güvenliğini tehdit ettiği gibi özgürlüklerini ve özel yaşam hakkını da maalesef ciddi şekilde zedelemektedir.
Şirketlerin Ağ Düzeyinde Güvenliği Artıracak Önlemler Geliştirmesi Lazım
7- Şifreli uygulamaların bile kırılabildiği yönündeki iddialar, dijital iletişimin geleceği açısından ne anlama geliyor? İnsanlar dijital araçlara nasıl güvenebilir?
Prof. Dr. Ali Murat Kırık: Şifreli uygulamaların bile kırılabildiği yönündeki iddialar, dijital iletişimin geleceği açısından büyük bir güven krizine yol açabilir. İnsanlar kullandıkları uygulamalara ve cihazlara güven duyamaz hale gelirse, dijital dünyanın temelini oluşturan “gizlilik” ilkesi çöker. Bu nedenle şirketlerin, sadece uygulama bazında değil, ağ düzeyinde de güvenliği artıracak önlemler geliştirmesi şart. Aynı zamanda kullanıcıların da hangi veriyi, hangi platformlarla paylaştığını daha dikkatli bir şekilde yönetmesi gerekmektedir…
Türkiye, Ağ Temelli Gözetim Sistemlerine Karşı Tamamen Savunmasız Bir Ülke Değil
8- Türkiye, bu tarz ağ temelli gözetim sistemlerine karşı yeterli teknik donanıma ve yasal altyapıya sahip mi?
Prof. Dr. Ali Murat Kırık: Türkiye, son yıllarda siber güvenlik ve telekom altyapısı konusunda önemli ilerlemeler kaydetmiştir. Bilgi Teknolojileri ve İletişim Kurumu (BTK), Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve TÜBİTAK BİLGEM gibi kurumlar, bu alanda uluslararası standartlarda bir denetim ve savunma kapasitesi oluşturmuştur. Türkiye bugün sadece kendi ağ güvenliğini korumakla kalmıyor, aynı zamanda diğer ülkelerle de siber tehdit istihbaratı paylaşabilecek seviyeye ulaşmıştır.
4.5G’den 5G’ye geçiş sürecinde yapılan yerli yazılım ve donanım yatırımları, dışa bağımlılığı azaltarak veri güvenliğini güçlendirdi. Dolayısıyla Türkiye, ağ temelli gözetim sistemlerine karşı tamamen savunmasız bir ülke değil; kendi teknolojisini geliştiren, yerli çözümler üreten ve ulusal güvenliği merkeze alan bir strateji izlemektedir.
Bu Tür Siber Olayları Erken Uyarı Sistemleriyle Fark Edebiliyoruz
9- Türkiye’de bu sistemler üzerinden yapılmış bir izleme faaliyeti gerçekleşmiş olsaydı, bunun tespiti mümkün olur muydu?
Prof. Dr. Ali Murat Kırık: Türkiye’de böyle bir izleme faaliyeti gerçekleşmiş olsaydı, tespiti zor olsa da imkânsız değildi. Türkiye’nin telekom sektörü, BTK’nın koordinasyonunda sürekli olarak denetleniyor ve ağ trafiği olağandışı sinyal hareketlerine karşı takip ediliyor.
Operatörler, şüpheli sinyal taleplerini ve yabancı kaynaklı erişim girişimlerini tespit edebilecek teknik altyapıya sahiptir. Özellikle USOM bünyesinde kurulan analiz ekipleri, bu tür siber olayları erken uyarı sistemleriyle fark edebiliyor. Yani Türkiye’nin ağ güvenliği yalnızca tespit edici değil, aynı zamanda önleyici bir yapıya sahip. Bu da olası bir ihlalin erken fark edilip önlenme ihtimalini artırmaktadır.
5G Türkiye İçin Büyük Bir Fırsat
10- 5G ve ilerleyen ağ teknolojileri, bu tür gözetim mekanizmalarına karşı çözüm sunabilir mi? Yoksa gözetimi daha da karmaşık ve yaygın hale mi getirecek?
Prof. Dr. Ali Murat Kırık: Şu anda gündemde sıklıkla konuştuğumuz 5G ve sonrasında gelecek yeni nesil ağ teknolojileri, aslında Türkiye için büyük bir fırsat sunmaktadır. Çünkü Türkiye, bu teknolojilere geçişte “yerli ve milli altyapı” vurgusunu temel prensip haline getirmiştir. 5G projelerinde ASELSAN, HAVELSAN ve TÜBİTAK gibi kurumların geliştirdiği yerli donanım ve yazılım çözümleri, dış kaynaklı güvenlik risklerini ciddi ölçüde azaltmaktadır.
5G’nin getirdiği ileri düzey şifreleme ve kimlik doğrulama sistemleri, SS7 gibi eski açıkların ortadan kalkmasını sağlayacak. Bu teknolojiler elbette gözetimi tamamen sona erdirmeyecek; zira 5G, aynı zamanda çok daha fazla veriyi işleyebilen bir ekosistem yaratıyor. Burada önemli olan, Türkiye’nin bu teknolojiyi pasif bir şekilde kullanmak yerine aktif olarak üretmesi ve yönetmesidir. Kısacası 5G, Türkiye’nin dijital egemenliğini güçlendiren bir dönüm noktası olabilecek potansiyele sahiptir.
