BTK-Gate: Fişleme belgeleri ortaya çıktı

Çevrimiçi kitlesel nezaret, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı devirden itibaren Türkiye’de tartışma konusu. Lakin Türkiye’de bağlantının saklılığı ve bilgi mahremiyeti konusundaki en büyük tartışmalar internetin nezareti hakkında değil, yöntemsiz telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.

BTK bir buçuk yıldır gözetliyormuş

Ancak Medyascope’tan Doğu Eroğlu’nun ulaştığı dokümanlar, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel nezaretin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İrtibat Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.

1972’de ABD’deki Başkanlık seçimleri öncesinde Demokrat Parti’nin binasına ses kaydı yerleştirilmesi skandalı olan “Watergate” isminden yola çıkan Medyascope, BTK’nın fişlemesini “BTK-Gate” olarak tanımladı.

BTK daha evvel yalanlamamıştı

BTK’nın kullanıcı trafik datalarını tertipli olarak internet servis sağlayıcılardan istediğini daha evvel CHP Genel Lider Yardımcısı Onursal Adıgüzel açıklamış, BTK rastgele bir yalanlamada bulunmamıştı.

‘İnternet trafiğini saat başı gönderin’ talebi

15 Aralık 2020 tarihli, 15 sayfadan oluşan evraklara nazaran BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının datalarının hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik ayrıntı dokümanında internet servis sağlayıcılara detaylarıyla anlattı.

İSS Trafik Log Deseni başlıklı yazıda, kullanıcı bilgilerinin anonim olarak değil, kullanıcının ismi soyadıyla birlikte kuruma gönderilmesi isteniyor.

WhatsApp, Telegram ya da Signal farketmiyor

BTK’nın nezareti, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Bilişim uzmanları, bu nezaret sayesinde elde edilecek bilgilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal üzere uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi hayli kolay.

Konum bilgisi argümanı teyit edilemedi

İnternet servis sağlayıcıları, taşınabilir telefon operatörlerinden BTK’ya giden bilgiler ortasında, kullanıcıların pozisyon bilgilerinin de olduğunu ileri sürüyor. Fakat Medyascope bu iddiayı birebir vakitte taşınabilir telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.

BTK’ya yollamayana ceza

Aralık 2020 tarihli evrakta, kullanıcıların internet trafik datalarını BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.

Başkanlık yazısıyla tüm kullanıcıların internet trafiğini istediler

BTK’nın Türkiye’deki tüm kullanıcılara ilişkin internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve bâtın ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.

Belgede, “Kurumumuz isimli maksatlı bağlantının tespit edilmesi, dinlenmesi, sinyal bilgilerinin kıymetlendirilmesi ve kayda alınmasına yönelik süreçler kapsamında verilen misyonları müddetinde, eksiksiz ve rastgele bir aksamaya sebebiyet vermeyecek biçimde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ait olarak isimli ve önleyici kapsamda daha ayrıntılı bilgilerin alınmasına gereksinim duyulmuştur” tabirleri yer aldı.

BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Lideri ismine, Kurum Lider Yrd. titrine sahip Fethi Azaklı imzası taşıyor.

Bilgi Teknolojileri Bağlantı Kurumu’nun karar organı, Bilgi Teknolojileri ve İrtibat Şurası. Yani BTK ismine kararlar heyet tarafından alınıp yöneticilerce icra ediliyor. Lakin İSS Trafik Log Deseni başlıklı yazıda, rastgele bir konsey kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, konsey kararlarının yer aldığı kısımda de, şura tarafından alınmış benzeri bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, konsey tarafından alınmış rastgele bir karara dayanmıyor.

Gizli ibareli ve İSS Trafik Log Deseni başlıklı dokümanın Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği iddia ediliyor.

Veri akışı 2021 prestijiyle başlamış

BTK’nın bağlantı dalındaki düzenleyici ve denetleyici pozisyonundan dolayı isimlerinin gizli kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği data akışının 2021 prestijiyle başladığını ileri sürüyor.

Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen bilgiler hakkındaki sorularımıza rastgele bir yanıt vermedi.

Trafik bilgileri anonim değil, kullanıcıların ismiyle birlikte bildiriliyor

Mobil uygulamalar, Facebook üzere toplumsal ağ platformları ya da Google üzere servisler, kullanıcılarından topladığı bilgileri eser ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Lakin Türkiye’de ve dünyada yürürlükte olan şahsî bilgilerin korunması kanunları uyarınca, bu bilgiler data sahiplerinin kimliklerinin belirlenmesini önleyecek formda maskeleniyor. Yani toplanan datalar ile gerçek bireyler ortasındaki bağlar koparılıyor.

BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği bilgilerde ise bu türlü bir uygulama yok. Yani datalar anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.

İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin ismiyle başlıyor.

İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:

Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik mühlet [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Maksat IP | Maksat port | App protokol [Bir uygulama için irtibat kurulduysa burada uygulamanın ismi, bir internet sitesine irtibat gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen ölçü [İndirilen datanın byte cinsinden miktarı] | Yüklenen ölçü [Gönderilen bilginin byte cinsinden miktarı] | Temas PVC | Oturum ID | SSG IP | NAT aygıt | DPI aygıt | Termination cause | Packet type | Direction

Yani BTK’ya giden trafik kayıtlarının her bir satırında;

• Abonenin ismi ve soyadı (Tüzel bireyse resmi adı),
• Abonenin o sırada kullanmakta olduğu IP numarası,
• Hangi uygulamayla ya da internet sitesiyle bilgi alışverişi yaptığı,
• İlgili bilgi alışverişinin başlangıç tarihi ve saati, bilgi alışverişinin ne kadar sürdüğü,
• Ne büyüklükte bilgi alıp ne büyüklükte bilgi gönderdiği

gibi bilgiler yer alıyor.

BTK’nın internet servis sağlayıcılardan istediği trafik dataları, e-postaların ya da WhatsApp yahut öteki uygulamalardan gönderilen bildirilerin içeriği hakkında bilgi içermiyor. Fakat danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından data toplandığı için, bu büyük bilgi kullanılarak yazışmaların kimler ortasında yapıldığının anlaşılacağını aktarıyor.

“İstihbari” bilgi toplamanın birinci ayağı abone deseniydi

BTK trafik bilgilerini toplamaya başlamadan evvel, internet aboneleri hakkındaki detaylı bilgileri abone deseni ismi altında internet servis sağlayıcılardan edinmeye başlamıştı.

4 Aralık 2018’de işletmecilere Abone Desen Yapısı isimli bir doküman yollayan BTK, ortalarında internet kullanıcılarına ilişkin aşağıdaki ferdî bilgilerin de bulunduğu abone belgelerinin kendisiyle paylaşılmasını istemişti:

• Abone adı-soyadı
• T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
• Cinsiyet ve uyruk
• Anne ve baba ismi ile anne kızlık soyadı
• Doğum yeri ve tarihi
• Meslek
• Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
• Abonenin adresi
• Abonenin eski cep telefonu numarası

BTK ayrıyeten, bu şahsî bilgilerin yeni hallerini içeren evrakların her ayın birinci günü kendisine tekrar gönderilmesini kural koşmuştu.

Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının ferdî bilgilerine ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı bilgilerine ekledi.

BTK’nın aboneler hakkında tuttuğu evraklardaki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın birinci günü internet servis sağlayıcılardan gelen bilgilerle güncelleniyor.

Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.

BTK topladığı datalarla ne yapacak?

BTK’nın 2022 yılının birinci çeyreği için hazırladığı Türkiye Elektronik Haberleşme Bölümü Üç Aylık Pazar Bilgileri Raporu’na nazaran, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu taşınabilir aygıtlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı evrak, 89 milyon kullanıcının her birine ilişkin saatlik internet trafik bilgilerinin, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.

Çevrimiçi kitlesel nezaret, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı devirden itibaren Türkiye’de tartışma konusu. Lakin Türkiye’de bağlantının saklılığı ve bilgi mahremiyeti konusundaki en büyük tartışmalar internetin nezareti hakkında değil, yöntemsiz telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.

BTK bir buçuk yıldır gözetliyormuş

Ancak Medyascope’tan Doğu Eroğlu’nun ulaştığı dokümanlar, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel nezaretin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İrtibat Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.

1972’de ABD’deki Başkanlık seçimleri öncesinde Demokrat Parti’nin binasına ses kaydı yerleştirilmesi skandalı olan “Watergate” isminden yola çıkan Medyascope, BTK’nın fişlemesini “BTK-Gate” olarak tanımladı.

BTK daha evvel yalanlamamıştı

BTK’nın kullanıcı trafik datalarını tertipli olarak internet servis sağlayıcılardan istediğini daha evvel CHP Genel Lider Yardımcısı Onursal Adıgüzel açıklamış, BTK rastgele bir yalanlamada bulunmamıştı.

‘İnternet trafiğini saat başı gönderin’ talebi

15 Aralık 2020 tarihli, 15 sayfadan oluşan evraklara nazaran BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının datalarının hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik ayrıntı dokümanında internet servis sağlayıcılara detaylarıyla anlattı.

İSS Trafik Log Deseni başlıklı yazıda, kullanıcı bilgilerinin anonim olarak değil, kullanıcının ismi soyadıyla birlikte kuruma gönderilmesi isteniyor.

WhatsApp, Telegram ya da Signal farketmiyor

BTK’nın nezareti, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Bilişim uzmanları, bu nezaret sayesinde elde edilecek bilgilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal üzere uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi hayli kolay.

Konum bilgisi argümanı teyit edilemedi

İnternet servis sağlayıcıları, taşınabilir telefon operatörlerinden BTK’ya giden bilgiler ortasında, kullanıcıların pozisyon bilgilerinin de olduğunu ileri sürüyor. Fakat Medyascope bu iddiayı birebir vakitte taşınabilir telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.

BTK’ya yollamayana ceza

Aralık 2020 tarihli evrakta, kullanıcıların internet trafik datalarını BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.

Başkanlık yazısıyla tüm kullanıcıların internet trafiğini istediler

BTK’nın Türkiye’deki tüm kullanıcılara ilişkin internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve bâtın ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.

Belgede, “Kurumumuz isimli maksatlı bağlantının tespit edilmesi, dinlenmesi, sinyal bilgilerinin kıymetlendirilmesi ve kayda alınmasına yönelik süreçler kapsamında verilen misyonları müddetinde, eksiksiz ve rastgele bir aksamaya sebebiyet vermeyecek biçimde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ait olarak isimli ve önleyici kapsamda daha ayrıntılı bilgilerin alınmasına gereksinim duyulmuştur” tabirleri yer aldı.

BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Lideri ismine, Kurum Lider Yrd. titrine sahip Fethi Azaklı imzası taşıyor.

Bilgi Teknolojileri Bağlantı Kurumu’nun karar organı, Bilgi Teknolojileri ve İrtibat Şurası. Yani BTK ismine kararlar heyet tarafından alınıp yöneticilerce icra ediliyor. Lakin İSS Trafik Log Deseni başlıklı yazıda, rastgele bir konsey kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, konsey kararlarının yer aldığı kısımda de, şura tarafından alınmış benzeri bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, konsey tarafından alınmış rastgele bir karara dayanmıyor.

Gizli ibareli ve İSS Trafik Log Deseni başlıklı dokümanın Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği iddia ediliyor.

Veri akışı 2021 prestijiyle başlamış

BTK’nın bağlantı dalındaki düzenleyici ve denetleyici pozisyonundan dolayı isimlerinin gizli kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği data akışının 2021 prestijiyle başladığını ileri sürüyor.

Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen bilgiler hakkındaki sorularımıza rastgele bir yanıt vermedi.

Trafik bilgileri anonim değil, kullanıcıların ismiyle birlikte bildiriliyor

Mobil uygulamalar, Facebook üzere toplumsal ağ platformları ya da Google üzere servisler, kullanıcılarından topladığı bilgileri eser ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Lakin Türkiye’de ve dünyada yürürlükte olan şahsî bilgilerin korunması kanunları uyarınca, bu bilgiler data sahiplerinin kimliklerinin belirlenmesini önleyecek formda maskeleniyor. Yani toplanan datalar ile gerçek bireyler ortasındaki bağlar koparılıyor.

BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği bilgilerde ise bu türlü bir uygulama yok. Yani datalar anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.

İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin ismiyle başlıyor.

İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:

Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik mühlet [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Maksat IP | Maksat port | App protokol [Bir uygulama için irtibat kurulduysa burada uygulamanın ismi, bir internet sitesine irtibat gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen ölçü [İndirilen datanın byte cinsinden miktarı] | Yüklenen ölçü [Gönderilen bilginin byte cinsinden miktarı] | Temas PVC | Oturum ID | SSG IP | NAT aygıt | DPI aygıt | Termination cause | Packet type | Direction

Yani BTK’ya giden trafik kayıtlarının her bir satırında;

• Abonenin ismi ve soyadı (Tüzel bireyse resmi adı),
• Abonenin o sırada kullanmakta olduğu IP numarası,
• Hangi uygulamayla ya da internet sitesiyle bilgi alışverişi yaptığı,
• İlgili bilgi alışverişinin başlangıç tarihi ve saati, bilgi alışverişinin ne kadar sürdüğü,
• Ne büyüklükte bilgi alıp ne büyüklükte bilgi gönderdiği

gibi bilgiler yer alıyor.

BTK’nın internet servis sağlayıcılardan istediği trafik dataları, e-postaların ya da WhatsApp yahut öteki uygulamalardan gönderilen bildirilerin içeriği hakkında bilgi içermiyor. Fakat danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından data toplandığı için, bu büyük bilgi kullanılarak yazışmaların kimler ortasında yapıldığının anlaşılacağını aktarıyor.

“İstihbari” bilgi toplamanın birinci ayağı abone deseniydi

BTK trafik bilgilerini toplamaya başlamadan evvel, internet aboneleri hakkındaki detaylı bilgileri abone deseni ismi altında internet servis sağlayıcılardan edinmeye başlamıştı.

4 Aralık 2018’de işletmecilere Abone Desen Yapısı isimli bir doküman yollayan BTK, ortalarında internet kullanıcılarına ilişkin aşağıdaki ferdî bilgilerin de bulunduğu abone belgelerinin kendisiyle paylaşılmasını istemişti:

• Abone adı-soyadı
• T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
• Cinsiyet ve uyruk
• Anne ve baba ismi ile anne kızlık soyadı
• Doğum yeri ve tarihi
• Meslek
• Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
• Abonenin adresi
• Abonenin eski cep telefonu numarası

BTK ayrıyeten, bu şahsî bilgilerin yeni hallerini içeren evrakların her ayın birinci günü kendisine tekrar gönderilmesini kural koşmuştu.

Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının ferdî bilgilerine ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı bilgilerine ekledi.

BTK’nın aboneler hakkında tuttuğu evraklardaki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın birinci günü internet servis sağlayıcılardan gelen bilgilerle güncelleniyor.

Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.

BTK topladığı datalarla ne yapacak?

BTK’nın 2022 yılının birinci çeyreği için hazırladığı Türkiye Elektronik Haberleşme Bölümü Üç Aylık Pazar Bilgileri Raporu’na nazaran, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu taşınabilir aygıtlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı evrak, 89 milyon kullanıcının her birine ilişkin saatlik internet trafik bilgilerinin, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.