Bylock'daki VPN engeli de çözüldü

Bylock kullancıları, Bylock'a erişirken vpn kullanıyordu. MİT, bylock'a erişirken kullanılan vpn platformunu da çözdü.

İşte gazeteci Emre Erciş'in tespipleri:

2-Kamuoyu Bylock'u özellikle 15 Temmuz'dan sonra duydu lakin insanları aydınlatacak somut bilgiler paylaşılmadığı için hep muğlak kaldı.

3-Şuana kadar Bylock hakkında yazılmayan ve anlatılmayan hemen hemen her şeyi paylaşacağım ki kafalarda oluşan soru işaretleri giderilsin.

4-Bylock,Google Play'de 2014'ün başında kullanıma sunulan,2016'nın ilk aylarına kadar çeşitli versiyonlarla kullanımda olmuş bir uygulama.

5-Kriptolu anlık mesajlaşma, kriptolu sesli görüşme,grup mesajlaşmaları,dosya paylaşımı,e-posta iletimi & Arkadaş ekleme özelliklerine sahip

6-Arkadaş ekleme, kayıt olurken kullanıcı tarafından "Kullanıcı Adı" olarak isimlendirilen şahsa özel kodun girilmesiyle gerçekleşiyor.

7-Uygulama üzerinden telefon numarası veya "ad-soyad" bilgileriyle arama yapılarak kullanıcı eklenmesi gibi bir uygulama mevcut değil.

8-Yine, muadil veya yaygın mesajlaşma mesajlaşma uygulamalarında bulunan, tel rehberindeki kişilerin otomatik olarak eklenme özelliği yok.

9-Kullanıcıların birbirleriyle iletişime geçebilmeleri için tarafların birbirlerinin "Kullanıcı Adı/kod" bilgilerini bilmeleri gerekiyor.

10-Kayıt işlemleri için kullanıcıdan telefon numarası veya e-posta adresi istenmiyor.Parola ve kullanıcı adı türetmesi yeterli.

11-Kullanıcı adı&parola işlemi tamamlanıp girildikten sonra, kullanıcıdan talep edilen bilgiler ile bir kriptografik anahtar üretiliyor.

12-Uygulamanın, Android işletim sistemi üzerinden çalışan "1 serisi" ve "2 serisi" olarak adlandırılabilecek 2 temel sürümü bulunmakta.

13-"2 serisi" aynı zamanda "Bylock++" olarak da adlandırılmış olup, Google Play'de farklı bir sayfadan yeni bir uygulama gibi sunulmuş.

14-"1 serisi" olan "Bylock 1.1.7" 2014'ün Aralık ayında güncellenirken daha sonraki süreçte "2 serisi, Bylock++" piyasaya sürülmüş.

15-Uygulama Google Play'den kaldırılana kadar bu sürümünün kullanıma sunulması devam etmiş.

16-Uzmanlar, Bylock uygulamasını global ve ticari anlık mesajlaşma uygulamalarından ayıran özellikleri şu şekilde sıralamakta:

17-Bylock kullanan birisi iletişim kurmak istediği şahsa ait "Kullanıcı adını/kod" bilgisine sahip değilse, bu kişi ile iletişim kuramıyor.

18-Diğer uygulamalar, programın kitlelere ulaşabilmesi için bir çok servisten yararlanırken Bylock, sınırlı bir kitleyi hedef almış durumda.

19-Bylock'a ait internet trafiğinin incelenmesi sonucu uygulamanın sunucu sistemine çoğunlukla doğrudan IP adresi üzerinden erişim sağlanmış

20-Bazı sürümlerin ise(Bylock 1.1.3 sürümü) "http://bylock.net " alan adı üzerinden aynı sunucuya bağlanmak suretiyle iletişim kurulmuş

21-Uygulamanın bağlandığı IP adresinin tespit edilmesi amacıyla yapılan testlerde, farklı sürümlerin farklı IP'lere bağlandığı anlaşılıyor.

22-Uygulama sunucusunda,geliştiricisinin uygulamaya özgü oluşturup imzaladığı 1 sertifika ile HTTPSgüvenlik protokolü kullanıldığı görülüyor

23-Sertifika üzerinden de Litvanya'da sunucu kiralama hizmeti veren "Baltic Servers" isimli firmaya tahsilli 9 IP adresi tespit ediliyor.

24-IP adreslerinin incelenmesi sonucu, Bylock'un etkin olduğu tarihlerde hangi alan adı/adlarıyla ilişkilendirildikleri tespit edilmiş.

...

26-"http://bylock.net " alan adıyla kullanılan IP dışındaki 8 IP adresinin herhangi bir alan adı ile eşleşmediği tespit edilmiş durumda

27-17.12.2013-17.2.2016 arası"Bylock" anahtar kelimesi kullanılarak yapılan Google aramalarında 7-13 Eylül 2014 arasında Bylock tavan yapıyor

28-Bylock, tavan yaptığı 7-13 Eylül 2014 tarihlerinden sonra 2015 yılının başlarında inişe geçiyor ve bir daha da hiç yükselmiyor.

29-Bylock uygulamasına ilişkin dünya genelinde yapılan aramalar incelendiğinde yine aynı tarih aralığında Fransa,İngiltere,ABD öne çıkıyor.

30-Android'de çalışan 4 farklı sürümünün kurulum dosyalarına yönelik statik ve dinamik tersine mühendislik analizleri gerçekleştirilmiş.

31-Bylock'un kaynak kodları üzerinde yapılan incelemede bulanıklaştırma yönteminin kullanıldığı tespit edilmiş.

32-Bu yöntemle kaynak kodlarda kullanılan sınıf isimleri, yordam isimleri,değişken isimleri gizlenerek tersine mühendislik kullanılmış.

33-Bu sayede de statik analiz yapacak kişinin işini zorlaştırıp,karışıklık yaratmak ve kaynak kodların güvenliğini sağlamak amaçlanmış.

34-Uygulamanın kaynak kodları içerisinde Türkçe olarak "Dosya, Posta ve Sesli arama" şeklinde ifadelerin bulunduğu tespit edilmiş.

35-Uygulamada,mesajlaşmaya dair anlık bildirimlerin iletim kodlarının mevcut olduğu,lakin bu işlem için standart dışı 1 program kullanılmış.

...

37-2 kullanıcı arasındaki veri 2048 bitlik asimetrik "RSAiECB/OAEPWithSHA-lAndMGFlPadding" kriptografik algoritması kullanılarak şifrelenmiş

38-Bu kriptografik algoritma,anahtarlı/asimetrik şifreleme algoritması olup birisi gizli birisi açık, 2 anahtar kullanılarak şifrelenmiş.

39-Açık anahtarla şifrelenen veriler, gizli anahtar olmadan çözümlenemiyor.Asimetrik gizli anahtar içinde simetrik algoritma kullanılmış

40-Kullanıcı parolasının"password"'u "MD5"Kriptografik özet algoritmasıyla,gizli anahtar "PrivateExponent"şifreli olarak sunucuya iletiliyor

41-Uygulama sunucusunu yöneten şahıs, hizmet veren sunucuyu ve IP adresini kiralamış, aylık ve 3 aylık aralıklarla ödeme yapmış.

...

43-15.11.2014'de Bylock sunucusunun yöneticisi olan şahıs, uygulamayı ...yönettiği tespit edilmiş.

44-Sunucuya yönelik yapılan teknik incelemede şahsın Türkiye'den gelen IP adreslerini engellediği ve log kayıtlarını sildiği tespit edilmiş.

45-Şahıs, Türkiye'den gelen IP adreslerini engelleyerek VPN kullanımını şart koşmuş ve böylece kullanıcı tespitinin önüne geçmeye çalışmış.

46-Bylock, VPN olmadan neden çalışmıyor sorusunun cevabı da bu şekilde bulunmuş oluyor.Çünkü IP'ler olası takibe tedbir amaçlı engellenmiş.

47-Yürütülen çalışmalar neticesinde Bylock uygulama sunucusundaki veri tabanı dosyaları, komutlar, yazılım dosyaları ele geçirilmiş durumda.

48-Yine,Türkiye'den sunucuya doğrudan bağlanılmasını engelleyen yazılım da yer alan IP adres blokları da ele geçirilmiş durumda.

...

50-Aslında şuana kadar sadece 25 sayfayı özetleyebildim.Raporda yer alan bilgilerin çoğu teknik terimler ve izahlar.Sonuca gelecek olursam,

51-a) Bylock,güçlü bir kripto sistemiyle her bir mesajı farklı bir kripto anahtarıyla şifreleyen bir ve özel yazılmış bir uygulama.

52-b)Uygulamanın ticaret amaçlı tasarlanmadığı, kullanıcıların genelinin Türkiye'de olması ve kaynak kodlarda Türkçe kelimeler bulunması,

53-c)Yönetici tarafından teknik takibi engellemek amaçlı Türkiye'deki kullanıcıların IP adreslerini engellemesi ve VPN ile erişim sağlanması

54-d) Çözümlenen kriptolu mesajların neredeyse tamamının Türkçe karakterlerden oluşması. (Örnek: son 4 satırı çözümlenmemiş bir mesaj)

55-e) 7-13 Eylül 2014 arasında Bylock programının indirilme oranının tavan yapması ve devamında zamanla bu oranın inmesi ve yükselmemesi,

56-f) Kullanıcıların gruplar oluşturması, birbirleriyle dosya paylaşımı yapması ve kullanıcıların genelinin Türkiye'de bulunması,

57-g)Elde edilen&çözümlemesi yapılan mesajlar gösteriyor ki Bylock,sıradan 1 uygulama olmayıp 1 grup arasında kullanılmak için tasarlanmış.

58-Son olarak şuana kadar yapılan çalışmalar sonucu ortaya çıkan ve kullanıcılara yönelik grafik şu şekilde: