Nuri Çilengir

I'm application security & software development enthusiast. Also, translator and writer at Arka Kapı Magazine.

Navigation


Search

XKeyscore: Büyük Birader’in Gölgesinde Yaşamak

23 May 2020 » privacy

“Gizlenecek hiçbir şeyin olmadığı için gizlilik hakkıyla ilgilenmediğinizi iddia etmek, özgür konuşma hakkıyla ilgilenmediğinizi söylemekten farklı değildir çünkü söyleyecek bir şeyiniz yoktur.” Edward Snowden

big-brother-is-watching-you

Mahremiyetin insanlığın başlangıcına kadar uzanan bir hikayesi vardır ve insanın özgür bir birey olabilmesinin ön şartlarından biridir. Dolayısıyla mahremiyet ihtiyacı, en temel insan ihtiyaçlarından biri olmalıdır. Durum böyleyken, günümüz bilgi çağında insanlar mahremiyet haklarından bir takım yanılsamalar ya da farklı amaçlar uğruna bilinçli veya bilinçsiz vazgeçmektedirler. Bilginin önemin arttığı ve her kesimden insanın bilgi alışverişi ile yaşayabildiği çağımızda, kişisel bilgilerin gizliliği önemli görülmemekte. Bu yüzden makale boyunca mahremiyet kavramından yola çıkarak, insanların global çapta devlet ya da şirketler tarafından mahremiyetleri hiçe sayılarak nasıl manipüle edildiğini gösteren XKeyscore’a değineceğiz.

Bir düşünelim. En sevdiğiniz müzisyenin doğum gününü mü unuttuğunuzda ne yapıyorsunuz? Tabii ki Google’a bakıyorsunuz! Yediğiniz efsane yemeği dünyayla mı paylaşmak istiyorsunuz? Fotoğrafını çekip Instagram’a atın ki herkes beğensin! Eski arkadaşlarla hasret mi gidermek istiyorsun? Facebook’tan yazıyorsun! Toplantın var ve uzakta mısın? Skype’tan bağlan! Bunlar hemen hemen birçoğumuzun günlük yaptığı aktiviteler. Peki, tüm bu aktiviteler sırasında aslında biri bizi gözetliyor olsa ve kötüsü bu ihtimale rağmen şunun varsayımlarla kendimizi avutmayı denesek; “Beni, kim neden izlesin? Ki izlese de benim saklayacak bir şeyim yok…”

Mahremiyet Nedir?

Mahremiyet, literatürde ilk kez 1890 yılında Amerikalı yargıç Brandeis tarafından “Yalnız bırakılma hakkı; hakların en kapsamlısı ve özgür insanlar tarafından en çok değer verileni.” olarak özgürlük ve birey olma kavramları ile mahremiyet kavramını ilişkilendirerek tanımlanmıştır. Ancak daha güncel bir tanımlamaya başvurmak istersek James Rachels’in “…Sadece saklanacak şeyi ifade etmek için değil, yaşam niteliğini artırmak için bir gereksinim, kendini gerçekleştirme, özerkliğini koruma yollarından biri olarak ele alınmalıdır. Sonuç olarak mahremiyet, toplumdan soyutlanma değil, ben ile öteki sınırının belirlenmesi, kontrol edilmesi olarak özetlenebilir.” şeklindeki tanımını da aktarmakta fayda var.

big-brother-is-watching-you

XKeyscore Nedir?

XKeyscore, adını ilk kez 2013 yılında Guardian’ın yayınladığı Snowden belgelerinde ortaya çıkan bir NSA projesi olarak biliyoruz. Bu projenin amacı, internette istihbarat amacıyla kullanılabilecek her türlü bilgiyi toplayan, organize eden ve analistlerin gerek duyduklarında bu araç üzerinden arama yaparak sayısız kişinin internet aramalarını, e-postalarını, belgelerini, kullanıcı adlarını ve parolalarını ve diğer özel iletişimleri gibi bilgilere ulaşabilecekleri bir altyapı oluşturmak. 2013 yılında yayımlanan bu belgeler bize NSA’in amaçladıklarını büyük derecede başarabildiğini gösteriyor.

XKeyscore 2008’de, Amerika Birleşik Devletleri, Meksika, Brezilya, Birleşik Krallık, İspanya, Rusya, Nijerya, Somali, Pakistan, Japonya, Avustralya ve diğer birçok ülkede bulunan 700’den fazla sunucudan oluşan yaklaşık 150 saha alanına sahip. Bu sunucuların çoğu CIA kontrolünde backbone üzerinden topladıkları verileri istenilen herhangi bir zamanda NSA analistlerine iletiyorlar. Çeşitli bölgelerdeki sunucular tüm trafiği dinliyor ve dinledikleri trafiğin içeriğini 3-5 gün, metadalarını ise 30-45 gün aralığında depoluyorlar. Kaldı ki, Snowden tarafından sızdırılan NSA dökümanları milyarlarca kaydın veritabanlarında tutulduğunu da gösteriyor.

NSA kendi sunumlarında XKeyscore’u “Dünyanın dört bir yanındaki makinelerde çalışan, tamamen dağıtık bir veri işleme ve sorgulama sistemidir.” şeklinde açıklanıyor. Bu açıklamadaki sorgulama kısmı aslında her birimizin verilerinin bir arama butonu kadar uzak olduğunu gösteriyor. Peki toplanan ve işlenen veriler neler ve bu veriler nasıl kullanılmakta?

Belgelerden XKeyscore’un, internet üzerinden her türlü veriyi toplama amacıyla tasarlamış olduğu görülüyor. Toplanan verileri işleyip kişiler ve kurumlar hakkında profilleme yapmakta. Sistem, sosyal medya uygulamaları gibi işlenen tüm veriyi tıbkı Facebook, Twitter ve Google gibi büyük şirketlerin yaptığı gibi profilize ediyor. Oluşturulacak profil için sunucuların topladığı veri sadece normal internet trafiği, e-posta yazışmaları ve mesajlaşmalarınızla sınırlı değil. Tüm bunların haricinde VoIP görüşmeleri, cep telefonlarında taşınabilecek ve sızdırılabilecek her türlü içeriği/veriyi, telefon aramalarınızı, webcam erişimi, özel fotoğraflar ve videoları, web sitelerinin analiz amacıyla topladığı çerezler ve analytics verilerini, sosyal medya trafiği, botnet trafiği, log dosyaları, CNE hedeflerini, ele geçirilmiş ya da sızdırılmış kullanıcı adı ve parola kaynaklarını, çevrimiçi servislere yüklenmiş dosyaları, Skype oturumları ve daha fazlasını toplayabilme ve tüm bu verileri profilleme yetisine sahip.

Öte yandan XKEYSCORE, şüpheli davranışlar algıladığı durumları modelleyerek, insanları inanılmaz derecede geniş gözetime tabi tutuyor. Örneğin, insanların konumlarını, uyruklarını ve ziyaret edilen web sitelerini temel alarak faaliyetlerini göstermek için sistemde arama yapmak mümkün. Yani bu, Pakistan’da almanca içerikler üretseniz de sizi takip edebildiği anlamına geliyor. Facebook, Twitter, Amazon, YouTube, Netflix ve daha birçok ünlü uygulamalar aslında bizleri bu çerezler ile çok güzel özetliyor. Bu yüzden, ziyaret ettiğiniz her web sitesinde bıraktığımız izler ve tutulan çerezler XKeyscore için en büyük hazinelerden biri. Dolayısıyla ben VPN kullanıyorum ya da internete şöyle erişiyorum demenin de çerezlerinizi silemedikçe bir önemi kalmıyor.

XKEYSCORE’un kapasitesi ve yöntemleri yalnızca bilgileri toplama ve arşivleme ile sınırlı değil. Tüm bunların yanında bunları kullanarak kolayca istedikleri sistemleri de hackleyebildikleri ve erişim sağlayabildikleri belgelerde öne çıkıyor. Bu yüzden NSA analistlerinin popüler hedeflerinden biri de sistem yöneticileri. Sistem yöneticilerinin bilgilerine erişmek krallığın anahtarını elinde bulundurmak demek. Dolayısıyla analistler, sistem yöneticilerini hedef alarak bir çok sisteme erişim sağlayabiliyor. Ayrıca, sistem sürekli olarak Hacker forumlarını, sızdırılmış veri ve diğer hack araçlarını satan veya kullanan kişileri ve web sayfalarını da takip ediyor. NSA, rakipleri tarafından geliştirilen araçları anlamak için izlerken, aynı zamanda bu tür yeteneklerin satın alınabileceği yerleri de izliyor.

XKeyscore Nasıl Çalışır?

Dünyanın herhangi bir yerinde, bir kişi çevrimiçi olduğunda -ister e-postalarını okumak için, ister sosyal medyada gezmek için, ister oyun oynamak için- yaptığı eylemden bağımsız bir şekilde gönderdiği ve aldığı tüm i̇nternet trafiğinin toplanması ve işlenmesi XKeyscore’un bu dağıtık yapısının nasıl çalıştığı hakkında oldukça merak uyandırıyor. Bu kadar büyük ve istikrarlı bir bilgi akışını anlamak için, NSA analistleri, farklı trafik türlerini tespit etmek ve her türden yararlı bilgileri ayıklamak için binlerce script yazdılar.

Sistemin çalışma mantığı aslında uzaktan baktığımızda o kadar da komplike olmadığı görünüyor. Daha net anlamak için bir belgelerdeki bir örneği ele alalım. Örneğin, bir arkadaşınıza mail gönderiyorsunuz. XKeyscore oluşan bu trafiğin mail olduğunu tespit ediyor. Daha sonra, hangi servisi -Google, Yandex, Yahoo vs- kullandığınıza bakıyor ve buna göre bir etiketleme yapıyor. Eğer gönderdiğiniz e-posta PGP ile şifrelenmiş ise veya gönderilen dil Fransızca olarak ayarlanmışsa bunları alt etiket mantığı ile etiketliyor.

XKeyscore, Linux sunucuları -genellikle Red Hat sunucuları- üzerinde çalışan bir sistemlerden oluştuğu bilmekte. Apache web sunucusunu -XKeyscore web tabanlı bir sistem- kullanıyor ve toplanan verileri MySQL veritabanlarında depoluyor. Sunuculardaki dosya sistemleri NFS ve Autofs servisleri tarafından gideriliyor ve tabi ki zamanlanmış görevler için CRON scriptler kullanılıyor. Bu kadar büyük verileri işleyen ve saklayan sistem aslında herkesin az çok aşina olduğu servisler ile yönetiliyor.

Sistemin ne olduğunu gördük. Aslında baktığımızda bu kadar büyük veri akışının olduğu sistem için oldukça mütevazi ve basit bir konfigürasyona sahip. Dolayısıyla, bu sistemi daha efektif kullanmak gerekiyor ki toplanan onca ham veri kolayca işlenebilsin. Bunun için toplanan veriler, GENESIS adında özel bir dil ile appID, fingerprint ve microplugin adı verilen kurallara uygun bir şekilde kaydediliyor. AppID’ler, yakalanan trafik protokolünü tanımlamak için kullanılırken, fingerprintler belirli bir içerik türünü algılıyorlar. Her yakalanan trafik akışı bir appID’ye ve herhangi bir fingerprint’e atanıyor. AppID’leri kategoriler, fingerprint’leri etiketler olarak düşünebiliriz. Örneğin; Windows Update isteklerini “update_service/windows” appID altında, normal web istekleri “http/get” appID altında işleniyor. Öte yandan, THY’den bir bilet aldınız bu trafik XKeyscore tarafından “travel/turkishairlines” fingerprint ile ya da iPhone’nunuzda bulunan bir tarayıcıda gezinirken oluşturduğunuz trafik “browser/cellphone/iphone” ile tespit edilip etiketleniyor.

big-brother-is-watching-you

Yeni trafik bir XKeyscore sunucularına geldiğinde, sistem gelen verileri bu kuralların her birine karşı test ediyor ve trafiğin var olan patternlerle ile eşleşip eşleşmediğine bakıp depolıyor. Öte yandan, birden fazla appID tek bir trafik akışıyla eşleşiyorsa, en düşük “düzey” olan appID seçiliyor. Örneğin, XKeyscore, Yahoo postasından bir dosya ekini değerlendirirken, görselde olan tüm appID’ler eşleşiyor, ancak bu trafik akışıyla yalnızca “mail/webmail /yahoo/attachment” ilişkilendiriliyor. Daha net anlamak için, Arapça iletişim kuran kimse bir Yahoo e-posta adresine girdiğinde bu trafik “mail/yahoo/login” appID ile saklanacaktır. Öte yandan bu trafik akışı, “mail/arabic” parmak iziyle (dil ayarları) ve “mail/yahoo/ymbm” parmak iziyle (Yahoo tarayıcı çerezleri) eşleşip etkileniyor.

Belgeler, 2010 yılında XKeyscore’un yaklaşık 10000 appID ve fingerprint’e sahip olduğunu gösteriyor. Günümüzde bu sayının ne olduğu gerçekten merak edilesi.

big-brother-is-watching-you

Genesis adı verilen özel dil, bazı karmaşık pattern barındıran trafik türlerininin eşleşmesini yapacak kadar güçlü değildir. Bu durumlarda, dökümanlarda gözüktüğü kadarıyla Micropluginler devre girmete. Micropluginler, C/C++ ile yazılmış appID ve fingerprintlerdir.

big-brother-is-watching-you

Örnek olarak burada, yakalanan Facebook sohbet mesajlarını incelemek ve ilişkili e-posta adresi ve sohbet mesajının gövdesi gibi ayrıntıları almak için C++ kullanan bir microplugin görmekteyiz.

Sonuç : “Benim saklayacak bir şeyim yok”

Gözetimin çok eskilere dayanan bir kavram olduğunu biliyoruz fakat 1980’ler itibaren enformasyon teknolojileri sayesinde daha da arttığını ve zamanın düşünürleri, gözetim toplumlarını anlatan ve irdeleyen Karl Marx, Michel Foucault ve daha nicelerinin ne kadar haklı olduklarını görüyoruz. Eğer çevrimiçi iseniz sizi devletler, şirketler ve diğerleri izliyor. Öte yandan çevrimdışıyken de kayıt altına alınıyorsunuz. Kim olduğunuzdan ziyade ürettiğiniz verilere bakılıyor! Onlar için önemli olan ürettiğiniz veri ve yaptığınız eylemler. Kısacası, kimse sizin Muhittin Topalak olmanız ile ilgilenmiyor. 2013 yılında Snowden dosyalarının ancak ufak bir kısımdan görebildiğimiz kadarıyla, bize demokratik bir ortam olarak sunulan internetin aslında tüm mahremiyetimizi nasıl yok ettiğini gösterdi. Masumca kullandığımız servislerin ve ürünlerin aslında bize karşı kullanılan bir silah olduğunu bir daha gördük. Tüm bunları kanıtlarıyla birlikte daha yüzümüze vuran Edward Snowden’e saygılarla.

“-Neden kör olduk,

-Bilmiyorum, bunun nedeni belki bir gün keşfedilir,

-Ne düşündüğümü söylememi ister misin?

-Söyle,

-Sonradan kör olmadığımızı düşünüyorum, biz zaten kördük,

-Gören körler mi?

-Gördüğü halde görmeyen körler.” Körlük / Jose Saramago

Kaynaklar