Bağımsız gazeteciler grubu Lighthouse Reports’un 1 yıl süren araştırması sonucunda, Avusturyalı Josef Fuchs’in kurduğu “PT First Wap International” telekomünikasyon şirketinin, 1970’lerde ITU (Uluslararası Telekomünikasyon Birliği) tarafından geliştirilen “SS7 sinyalizasyon sistemini” kullanarak birçok insanı sadece telefon numaraları ile takip ettiği belirlendi.

BİNLERCE TELEFON NUMARASI, YÜZ BİNLERCE KONUM BİLGİSİ

Anadolu Ajansı’nda yer alan habere göre Lighthouse ekibindeki bağımsız gazeteciler, 2024’te dünyanın neredeyse tüm ülkelerinden binlerce telefon numarası ve yüz binlerce konum bilgisinin yer aldığı bir veri arşivine erişim sağladı.



1,5 milyon satırlık veriden oluşan arşivi inceleyen gazeteciler, çok sayıda ülkedeki binlerce telefon numarasının hedef alındığını ve yıllarca konumlarının takip edildiğini tespit etti. Özetle merkezi Endonezya’nın başkenti Cakarta’da bulunan ancak bir grup Avrupalı tarafından yönetilen First Wap, dünya çapında bir “telefon takip imparatorluğu” kurdu.

WHATSAPP GİBİ ŞİFRELİ MESAJLAŞMA UYGULAMALARINI DA KIRDILAR

Rapora göre şirket, dünyanın herhangi bir yerindeki bir telefonu geride iz bırakmadan takip edebilen ‘Altamides’ adlı bir telefon izleme yazılımı geliştirdi. Konum takibinin yanı sıra Altamides’in, mesajları ve telefon görüşmelerini dinleme ve hatta WhatsApp gibi şifreli mesajlaşma uygulamalarını kırabilme yeteneğine de sahip olduğu ortaya çıktı.





ESED’İN EŞİ VE NETANYAHU’NUN DAVALARINA BAKAN SAVCI GİBİ İSİMLER DE TAKİP EDİLDİ

Hedef alınan kişilerin kimler olduğunu anlamak için 14 binden fazla telefon numarasını inceleyen gazeteciler, kişiler arasındaki bağlantıları haritalandırdı. Hedeflerin çoğunun yalnızca birkaç kez izlendiği ancak bazı kişilerin düzenli şekilde takip edildiğini fark edildi.

Örneğin Suriye’nin devrik lideri Beşşar Esed’in eşi Esma Esed ve ABD merkezli özel güvenlik şirketi Blackwater’ın kurucusu Erik Prince gibi isimler olduğu görüldü. Ayrıca İsrail Başbakanı Binyamin Netanyahu’nun davalarına bakan savcı olarak atanan Tel Aviv Bölge Savcısı Liat Ben Ari de listede yer aldı.

Ruandalı muhalif lider Patrick Karegeya’nın ortakları, Güney Afrika’nın Johannesburg şehrinde bir otel odasında öldürülmeden önce takip edildiği, California’da 23andMe’nin kurucusu Anne Wojcicki, Silikon Vadisi'nde binden fazla kez takip edildiği saptandı. İtalya’da araştırmacı gazeteci Gianluigi Nuzzi’nin de Vatikan’daki köstebek skandalını ortaya çıkardıktan günler sonra takip edildiği görüldü.

Benzer şekilde, 160’tan fazla ülkede takip yapıldığını tespit eden gazeteciler, bazı ülkelerin veya dünyanın bazı bölgelerinin daha sık takip edildiğini saptadı. Özellikle Avrupa kıtasında takip faaliyetlerinin yoğun olduğu ayrıca İsrail, Kolombiya, Venezuela, Nijerya, Los Angeles ve Moskova gibi şehir ve ülkelerde de takip yoğunluğunun belirgin şekilde yüksek olduğu belirlendi. Öte yandan şirket, bu verilerin “kolluk kuvvetleri tarafından organize suç, terörizm ve yolsuzlukla mücadele” gibi amaçlarla kullanıldığını savundu.

Peki bu sistem tam olarak nasıl işliyor, bireyler ve devletler açısından ne gibi riskler barındırıyor? Konuyu, iletişim teknolojileri ve dijital güvenlik alanında uzman olan Prof. Dr. Ali Murat Kırık ile 10 soruda mercek altına aldık.

‘BU SADECE BİR TEKNOLOJİK AÇIK DEĞİL’

1- PT First Wap International’ın kurduğu sistem, sizce dijital çağın en büyük gözetim skandallarından biri olarak nitelendirilebilir mi?

Prof. Dr. Ali Murat Kırık: PT First Wap International’ın kurduğu bu sistem, kesinlikle dijital çağın en büyük gözetim skandallarından biri olarak nitelendirilebilir. Çünkü burada bireylerin cihazlarına herhangi bir casus yazılım yüklenmeden, sadece telefon numaraları üzerinden dünya çapında konumlarının takip edilmesi söz konusu. Bu durum, insanların en temel mahremiyet hakkını ihlal ediyor.

Üstelik hedef alınan kişiler arasında yalnızca siyasetçiler ya da iş insanları değil, gazeteciler ve aktivistler gibi kamu yararına çalışan isimler de var. Bu da meselenin sadece bir “teknolojik açık” değil, aynı zamanda etik, hukuki ve insani bir kriz olduğunu gösteriyor. Böylesine küresel ölçekte, devlet sınırlarını aşan bir gözetim mekanizmasının varlığı, dijital dünyada gizliliğin ne kadar kırılgan hale geldiğini bir kez daha kanıtlıyor.







‘TEKNOLOJİ İLERLESE DE GÜVENLİK AÇIKLARI MİRAS GİBİ TAŞINIYOR’

2- Peki, bu tür olaylar, küresel telekomünikasyon altyapısının güvenliği açısından bize ne anlatıyor?

Prof. Dr. Ali Murat Kırık: Bu olay, küresel telekomünikasyon altyapısının ne kadar savunmasız olduğunu açık biçimde ortaya koyuyor. 1970’lerde geliştirilen SS7 sistemi hâlâ dünya genelinde kullanılmaya devam ettiği için, günümüzün 4G ve 5G ağları bile bu eski protokole “geriye dönük uyumluluk” gerekçesiyle bağlı kalıyor. Yani, teknoloji ilerlese de güvenlik açıkları miras gibi taşınıyor.

PT First Wap örneği, bu zayıf halkaların kötü niyetli kişilerce nasıl istismar edilebileceğini gözler önüne serdi. Küresel düzeyde bir telekom güvenliği reformuna, veri trafiğinin kim tarafından ve hangi amaçla yönlendirildiğini doğrulayacak yeni standartlara acilen ihtiyaç olduğu çok net. Bu olay, aslında dijital dünyanın en derin kırılganlığını tüm çıplaklığıyla göstermiş durumda.

‘KLASİK SALDIRIDAN ÇOK DAHA TEHLİKELİ ÇÜNKÜ KULLANICILAR KENDİLERİNİ KORUYAMIYOR’

3- Pegasus gibi üst düzey casus yazılımlardan farklı olarak, First Wap'ın kullandığı Altamides sistemi tamamen telekom ağı düzeyinde çalışıyor, yani bir telefona bulaşmıyor. Bu gözetim biçimini nasıl değerlendirmek gerekir?

Prof. Dr. Ali Murat Kırık: Pegasus gibi casus yazılımlardan farklı olarak Altamides’in doğrudan telefona bulaşmaması, bu gözetim biçimini daha gizli ve tespit edilmesi zor hale getiriyor. Çünkü burada izleme işlemi ağ düzeyinde, yani telekom operatörlerinin kullandığı sinyal sistemleri üzerinden yapılıyor.



Bu da kullanıcıların hiçbir şeyden haberi olmadan, hatta telefonlarında hiçbir iz bırakılmadan takip edilmeleri anlamına geliyor. Bu tür ağ tabanlı izleme yöntemleri, klasik siber saldırılardan çok daha tehlikeli çünkü kullanıcılar kendilerini koruma şansı bile bulamıyor.





‘WHATSAPP DETAYI DOĞRUYSA DURUM DAHA KÖTÜ’

4- Rapora göre Altamides, konum takibinin yanı sıra mesajları, telefon görüşmelerini ve hatta WhatsApp gibi şifreli mesajlaşma uygulamalarını da izleyebiliyor. Bu teknik olarak nasıl mümkün olabilir?

Prof. Dr. Ali Murat Kırık: Altamides’in WhatsApp gibi şifreli mesajlaşma uygulamalarını izleyebildiği iddiası teknik olarak oldukça ciddi bir iddia ve ispata muhtaç. Eğer doğruysa, bu doğrudan şifreleme sistemlerinin değil, ağ düzeyinde verinin yönlendirilme biçiminin istismar edildiğini gösterir.



Yani veriler uygulamanın içinde değil, iletim hattında yakalanıyor olabilir. Bu da telekom seviyesindeki sinyal trafiğinin kötüye kullanılmasıyla mümkün olur. Ancak bu tür iddiaların doğrulanması için çok güçlü teknik kanıtlara ihtiyaç var…



‘SS7’NİN ESKİ YAPISI KÖTÜYE KULLANILIYOR’

5- SS7 sinyalizasyon sistemi nedir? Bu sistemin temel açıkları nelerdir ve neden hâlâ dünya genelinde kullanılmaya devam ediyor?

Prof. Dr. Ali Murat Kırık: SS7, yani geniş adıyla Signalling System No. 7, telefon şebekelerinin arama, mesaj ve konum bilgilerini yönlendirmesini sağlayan bir iletişim protokolü. Sorun şu ki bu sistem, 1970’lerde devlet kontrollü, sınırlı sayıda operatörün bulunduğu bir dönemde geliştirildi.



Dolayısıyla kimlik doğrulama veya erişim kontrolü gibi modern güvenlik önlemleri bulunmuyor. Bugün ise yüzlerce operatör birbirine bağlı çalışıyor ve SS7’nin bu eski yapısı kötüye kullanılabiliyor. Buna rağmen sistem hala aktif, çünkü birçok telekom altyapısı yeni nesil ağlara geçse de geriye dönük uyumluluğu sürdürmek zorunda…



‘BİREYSEL MAHREMİYETİN NEREDEYSE ORTADAN KALKMASI ANLAMINA GELİYOR’

6- İnsanların yalnızca telefon numarası üzerinden böylesine kapsamlı biçimde takip edilebilmesi, bireysel mahremiyet açısından ne gibi sonuçlar doğurur?

Prof. Dr. Ali Murat Kırık: İnsanların sadece telefon numaralarıyla bu kadar kapsamlı şekilde takip edilebilmesi, bireysel mahremiyetin neredeyse ortadan kalkması anlamına geliyor. Bu tür takip sistemleri, kişilerin nerede olduklarını, kimlerle görüştüklerini, hatta ne zaman seyahat ettiklerini ortaya çıkarabiliyor. Böyle bir gözetim, bireylerin güvenliğini tehdit ettiği gibi ifade özgürlüğünü ve özel yaşam hakkını da maalesef ciddi şekilde zedeliyor.





‘ŞİRKETLERİN AĞ DÜZEYİNDE GÜVENLİĞİ ARTIRACAK ÖNLEMLER GELİŞTİRMESİ LAZIM’

7- Şifreli uygulamaların bile kırılabildiği yönündeki iddialar, dijital iletişimin geleceği açısından ne anlama geliyor? İnsanlar dijital araçlara nasıl güvenebilir?

Prof. Dr. Ali Murat Kırık: Şifreli uygulamaların bile kırılabildiği yönündeki iddialar, dijital iletişimin geleceği açısından büyük bir güven krizine yol açabilir. Hem de büyük bir tehdit aslına bakarsanız... İnsanlar kullandıkları uygulamalara ve cihazlara güven duyamaz hale gelirse, dijital dünyanın temelini oluşturan “gizlilik” ilkesi çöker. Bu nedenle şirketlerin, sadece uygulama bazında değil, ağ düzeyinde de güvenliği artıracak önlemler geliştirmesi şart. Aynı zamanda kullanıcıların da hangi veriyi, hangi platformla paylaştığını daha bilinçli şekilde yönetmesi gerekiyor…

‘TÜRKİYE, AĞ TEMELLİ GÖZETİM SİSTEMLERİNE KARŞI TAMAMEN SAVUNMASIZ BİR ÜLKE DEĞİL’

8- Türkiye, bu tarz ağ temelli gözetim sistemlerine karşı yeterli teknik donanıma ve yasal altyapıya sahip mi?

Prof. Dr. Ali Murat Kırık: Türkiye, son yıllarda siber güvenlik ve telekom altyapısı konusunda ciddi bir ilerleme kaydetti. Bilgi Teknolojileri ve İletişim Kurumu (BTK), Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve TÜBİTAK BİLGEM gibi kurumlar, bu alanda uluslararası standartlarda bir denetim ve savunma kapasitesi oluşturdu. Türkiye bugün sadece kendi ağ güvenliğini korumakla kalmıyor, aynı zamanda diğer ülkelerle de siber tehdit istihbaratı paylaşımı yapabilecek seviyeye geldi.

4.5G’den 5G’ye geçiş sürecinde yapılan yerli yazılım ve donanım yatırımları, dışa bağımlılığı azaltarak veri güvenliğini güçlendirdi. Dolayısıyla Türkiye, ağ temelli gözetim sistemlerine karşı tamamen savunmasız bir ülke değil; aksine kendi teknolojisini geliştiren, yerli çözümler üreten ve ulusal güvenliği merkeze alan bir strateji izliyor.



‘BU TÜR SİBER OLAYLARI ERKEN UYARI SİSTEMLERİYLE FARK EDEBİLİYORUZ’

9- Türkiye’de bu sistemler üzerinden yapılmış bir izleme faaliyeti gerçekleşmiş olsaydı, bunun tespiti mümkün olur muydu?



Prof. Dr. Ali Murat Kırık: Türkiye’de bu tarz bir izleme faaliyeti gerçekleşmiş olsaydı, tespiti son derece zor olsa da imkânsız olmazdı. Çünkü Türkiye’nin telekom sektörü, BTK’nın koordinasyonunda sürekli olarak denetleniyor ve ağ trafiği olağandışı sinyal hareketlerine karşı takip ediliyor.



Operatörler, şüpheli sinyal taleplerini ve yabancı kaynaklı erişim girişimlerini tespit edebilecek teknik altyapıya sahip. Özellikle USOM bünyesinde kurulan analiz ekipleri, bu tür siber olayları erken uyarı sistemleriyle fark edebiliyor. Yani Türkiye’nin ağ güvenliği yalnızca tespit edici değil, aynı zamanda önleyici bir yapıya sahip. Bu da olası bir ihlalin erken fark edilip önlenme ihtimalini artırıyor.



‘5G TÜRKİYE İÇİN BÜYÜK BİR FIRSAT’

10- 5G ve ilerleyen ağ teknolojileri, bu tür gözetim mekanizmalarına karşı çözüm sunabilir mi? Yoksa gözetimi daha da karmaşık ve yaygın hale mi getirecek?

Prof. Dr. Ali Murat Kırık: Şu an gündemde sıklıkla konuştuğumuz 5G ve sonrasında gelecek yeni nesil ağ teknolojileri, aslında Türkiye için büyük bir fırsat... Çünkü Türkiye bu teknolojilere geçişte “yerli ve milli altyapı” vurgusunu temel prensip haline getirdi. 5G projelerinde ASELSAN, HAVELSAN ve TÜBİTAK gibi kurumların geliştirdiği yerli donanım ve yazılım çözümleri, dış kaynaklı güvenlik risklerini ciddi ölçüde azaltıyor.

5G’nin getirdiği ileri düzey şifreleme ve kimlik doğrulama sistemleri, SS7 gibi eski açıkların ortadan kalkmasını sağlayacak. Yani elbette bu teknolojiler gözetimi tamamen bitirmeyecek, çünkü 5G aynı zamanda çok daha fazla veriyi işleyebilen bir ekosistem yaratıyor. Burada önemli olan ne derseniz, Türkiye’nin bu teknolojiyi pasif şekilde kullanmak yerine aktif olarak üretmesi ve yönetmesi. Kısacası 5G, Türkiye’nin dijital egemenliğini güçlendiren bir dönüm noktası olabilecek potansiyele sahip diyebiliriz.