Bylock kullancıları, Bylock'a erişirken vpn kullanıyordu. MİT, bylock'a erişirken kullanılan vpn platformunu da çözdü.
İşte gazeteci Emre Erciş'in tespipleri:
2-Kamuoyu Bylock'u özellikle 15 Temmuz'dan sonra duydu lakin insanları aydınlatacak somut bilgiler paylaşılmadığı için hep muğlak kaldı.
3-Şuana kadar Bylock hakkında yazılmayan ve anlatılmayan hemen hemen her şeyi paylaşacağım ki kafalarda oluşan soru işaretleri giderilsin.
4-Bylock,Google Play'de 2014'ün başında kullanıma sunulan,2016'nın ilk aylarına kadar çeşitli versiyonlarla kullanımda olmuş bir uygulama.
5-Kriptolu anlık mesajlaşma, kriptolu sesli görüşme,grup mesajlaşmaları,dosya paylaşımı,e-posta iletimi & Arkadaş ekleme özelliklerine sahip
6-Arkadaş ekleme, kayıt olurken kullanıcı tarafından "Kullanıcı Adı" olarak isimlendirilen şahsa özel kodun girilmesiyle gerçekleşiyor.
7-Uygulama üzerinden telefon numarası veya "ad-soyad" bilgileriyle arama yapılarak kullanıcı eklenmesi gibi bir uygulama mevcut değil.
8-Yine, muadil veya yaygın mesajlaşma mesajlaşma uygulamalarında bulunan, tel rehberindeki kişilerin otomatik olarak eklenme özelliği yok.
9-Kullanıcıların birbirleriyle iletişime geçebilmeleri için tarafların birbirlerinin "Kullanıcı Adı/kod" bilgilerini bilmeleri gerekiyor.
10-Kayıt işlemleri için kullanıcıdan telefon numarası veya e-posta adresi istenmiyor.Parola ve kullanıcı adı türetmesi yeterli.
11-Kullanıcı adı&parola işlemi tamamlanıp girildikten sonra, kullanıcıdan talep edilen bilgiler ile bir kriptografik anahtar üretiliyor.
12-Uygulamanın, Android işletim sistemi üzerinden çalışan "1 serisi" ve "2 serisi" olarak adlandırılabilecek 2 temel sürümü bulunmakta.
13-"2 serisi" aynı zamanda "Bylock++" olarak da adlandırılmış olup, Google Play'de farklı bir sayfadan yeni bir uygulama gibi sunulmuş.
14-"1 serisi" olan "Bylock 1.1.7" 2014'ün Aralık ayında güncellenirken daha sonraki süreçte "2 serisi, Bylock++" piyasaya sürülmüş.
15-Uygulama Google Play'den kaldırılana kadar bu sürümünün kullanıma sunulması devam etmiş.
16-Uzmanlar, Bylock uygulamasını global ve ticari anlık mesajlaşma uygulamalarından ayıran özellikleri şu şekilde sıralamakta:
17-Bylock kullanan birisi iletişim kurmak istediği şahsa ait "Kullanıcı adını/kod" bilgisine sahip değilse, bu kişi ile iletişim kuramıyor.
18-Diğer uygulamalar, programın kitlelere ulaşabilmesi için bir çok servisten yararlanırken Bylock, sınırlı bir kitleyi hedef almış durumda.
19-Bylock'a ait internet trafiğinin incelenmesi sonucu uygulamanın sunucu sistemine çoğunlukla doğrudan IP adresi üzerinden erişim sağlanmış
20-Bazı sürümlerin ise(Bylock 1.1.3 sürümü) "http://bylock.net " alan adı üzerinden aynı sunucuya bağlanmak suretiyle iletişim kurulmuş
21-Uygulamanın bağlandığı IP adresinin tespit edilmesi amacıyla yapılan testlerde, farklı sürümlerin farklı IP'lere bağlandığı anlaşılıyor.
22-Uygulama sunucusunda,geliştiricisinin uygulamaya özgü oluşturup imzaladığı 1 sertifika ile HTTPSgüvenlik protokolü kullanıldığı görülüyor
23-Sertifika üzerinden de Litvanya'da sunucu kiralama hizmeti veren "Baltic Servers" isimli firmaya tahsilli 9 IP adresi tespit ediliyor.
24-IP adreslerinin incelenmesi sonucu, Bylock'un etkin olduğu tarihlerde hangi alan adı/adlarıyla ilişkilendirildikleri tespit edilmiş.
...
26-"http://bylock.net " alan adıyla kullanılan IP dışındaki 8 IP adresinin herhangi bir alan adı ile eşleşmediği tespit edilmiş durumda
27-17.12.2013-17.2.2016 arası"Bylock" anahtar kelimesi kullanılarak yapılan Google aramalarında 7-13 Eylül 2014 arasında Bylock tavan yapıyor
28-Bylock, tavan yaptığı 7-13 Eylül 2014 tarihlerinden sonra 2015 yılının başlarında inişe geçiyor ve bir daha da hiç yükselmiyor.
29-Bylock uygulamasına ilişkin dünya genelinde yapılan aramalar incelendiğinde yine aynı tarih aralığında Fransa,İngiltere,ABD öne çıkıyor.
30-Android'de çalışan 4 farklı sürümünün kurulum dosyalarına yönelik statik ve dinamik tersine mühendislik analizleri gerçekleştirilmiş.
31-Bylock'un kaynak kodları üzerinde yapılan incelemede bulanıklaştırma yönteminin kullanıldığı tespit edilmiş.
32-Bu yöntemle kaynak kodlarda kullanılan sınıf isimleri, yordam isimleri,değişken isimleri gizlenerek tersine mühendislik kullanılmış.
33-Bu sayede de statik analiz yapacak kişinin işini zorlaştırıp,karışıklık yaratmak ve kaynak kodların güvenliğini sağlamak amaçlanmış.
34-Uygulamanın kaynak kodları içerisinde Türkçe olarak "Dosya, Posta ve Sesli arama" şeklinde ifadelerin bulunduğu tespit edilmiş.
35-Uygulamada,mesajlaşmaya dair anlık bildirimlerin iletim kodlarının mevcut olduğu,lakin bu işlem için standart dışı 1 program kullanılmış.
...
37-2 kullanıcı arasındaki veri 2048 bitlik asimetrik "RSAiECB/OAEPWithSHA-lAndMGFlPadding" kriptografik algoritması kullanılarak şifrelenmiş
38-Bu kriptografik algoritma,anahtarlı/asimetrik şifreleme algoritması olup birisi gizli birisi açık, 2 anahtar kullanılarak şifrelenmiş.
39-Açık anahtarla şifrelenen veriler, gizli anahtar olmadan çözümlenemiyor.Asimetrik gizli anahtar içinde simetrik algoritma kullanılmış
40-Kullanıcı parolasının"password"'u "MD5"Kriptografik özet algoritmasıyla,gizli anahtar "PrivateExponent"şifreli olarak sunucuya iletiliyor
41-Uygulama sunucusunu yöneten şahıs, hizmet veren sunucuyu ve IP adresini kiralamış, aylık ve 3 aylık aralıklarla ödeme yapmış.
...
43-15.11.2014'de Bylock sunucusunun yöneticisi olan şahıs, uygulamayı ...yönettiği tespit edilmiş.
44-Sunucuya yönelik yapılan teknik incelemede şahsın Türkiye'den gelen IP adreslerini engellediği ve log kayıtlarını sildiği tespit edilmiş.
45-Şahıs, Türkiye'den gelen IP adreslerini engelleyerek VPN kullanımını şart koşmuş ve böylece kullanıcı tespitinin önüne geçmeye çalışmış.
46-Bylock, VPN olmadan neden çalışmıyor sorusunun cevabı da bu şekilde bulunmuş oluyor.Çünkü IP'ler olası takibe tedbir amaçlı engellenmiş.
47-Yürütülen çalışmalar neticesinde Bylock uygulama sunucusundaki veri tabanı dosyaları, komutlar, yazılım dosyaları ele geçirilmiş durumda.
48-Yine,Türkiye'den sunucuya doğrudan bağlanılmasını engelleyen yazılım da yer alan IP adres blokları da ele geçirilmiş durumda.
...
50-Aslında şuana kadar sadece 25 sayfayı özetleyebildim.Raporda yer alan bilgilerin çoğu teknik terimler ve izahlar.Sonuca gelecek olursam,
51-a) Bylock,güçlü bir kripto sistemiyle her bir mesajı farklı bir kripto anahtarıyla şifreleyen bir ve özel yazılmış bir uygulama.
52-b)Uygulamanın ticaret amaçlı tasarlanmadığı, kullanıcıların genelinin Türkiye'de olması ve kaynak kodlarda Türkçe kelimeler bulunması,
53-c)Yönetici tarafından teknik takibi engellemek amaçlı Türkiye'deki kullanıcıların IP adreslerini engellemesi ve VPN ile erişim sağlanması
54-d) Çözümlenen kriptolu mesajların neredeyse tamamının Türkçe karakterlerden oluşması. (Örnek: son 4 satırı çözümlenmemiş bir mesaj)
55-e) 7-13 Eylül 2014 arasında Bylock programının indirilme oranının tavan yapması ve devamında zamanla bu oranın inmesi ve yükselmemesi,
56-f) Kullanıcıların gruplar oluşturması, birbirleriyle dosya paylaşımı yapması ve kullanıcıların genelinin Türkiye'de bulunması,
57-g)Elde edilen&çözümlemesi yapılan mesajlar gösteriyor ki Bylock,sıradan 1 uygulama olmayıp 1 grup arasında kullanılmak için tasarlanmış.
58-Son olarak şuana kadar yapılan çalışmalar sonucu ortaya çıkan ve kullanıcılara yönelik grafik şu şekilde: