#métadonnées

Belgeleriyle BTK-gate (1): Türkiye’deki tüm kullanıcıların internet hareketleri, yaklaşık bir buçuk yıldır, kimlikleri ve kişisel verileriyle birlikte BTK’ya akıyor

Girdiğiniz internet siteleri, WhatsApp’ta kimlerle yazıştığınız ya da telefonlaştığınız, konum verileriniz ve daha fazlası, her saat başı Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) gönderiliyor. Medyascope, daha önce ortaya çıkan kitlesel gözetim faaliyetinin belgelerine ulaştı. Belgelere göre internet servis sağlayıcıları, bilgisayar ya da mobil cihaz üzerinden internete bağlanan tüm kullanıcıların trafiğini, her saat başı BTK’ya iletiyor. BTK’ya giden bu veriler anonim hâle getirilmiyor. Yani her bir veri paketi, kullanıcının kimliğiyle birlikte kuruma gönderiliyor. “Adli ve önleyici tedbirler” gerekçesiyle internet trafiğini isteyen BTK’nın, tüm vatandaşların verilerini nasıl kullanacağı belirsiz.

Çevrimiçi kitlesel gözetim, internet kullanımının yaygınlaşması ve internet hakkındaki yasal düzenlemelerin yapıldığı dönemden itibaren Türkiye’de tartışma konusu. Fakat Türkiye’de iletişimin gizliliği ve veri mahremiyeti konusundaki en büyük tartışmalar internetin gözetimi hakkında değil, usulsüz telefon dinlemeleri sebebiyle ortaya çıkmıştı. 1999’da düzenlenen Telekulak Operasyonu ve 2013’teki 17-25 Aralık operasyonları, ülkenin en büyük telefon dinleme skandalları olarak kayda geçmişti.

Ancak Medyascope’un ulaştığı belgeler, geçmişte ortaya çıkan telefon dinleme skandallarından katbekat büyük bir kitlesel gözetimin, Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yaklaşık bir buçuk yıldır gerçekleştirilmekte olduğunu gösteriyor.

BTK’nın kullanıcı trafik verilerini düzenli olarak internet servis sağlayıcılardan istediğini daha önce CHP Genel Başkan Yardımcısı Onursal Adıgüzel açıklamış, BTK herhangi bir yalanlamada bulunmamıştı.

Medyascope’un ulaştığı 15 Aralık 2020 tarihli, 15 sayfadan oluşan belgelere göre BTK, internet servis sağlayıcılardan, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. BTK milyonlarca kullanıcının verilerinin hangi formatta kayıt altına alınacağı ve kendisine nasıl gönderileceğini, kurum yazısıyla birlikte gönderdiği teknik detay dokümanında internet servis sağlayıcılara ayrıntılarıyla anlattı.

İSS Trafik Log Deseni başlıklı yazıda, kullanıcı verilerinin anonim olarak değil, kullanıcının adı soyadıyla birlikte kuruma gönderilmesi isteniyor.

BTK’nın gözetimi, internet kullanıcılarının kimlikleriyle birlikte, hangi internet sitelerini ziyaret ettikleri ve hangi uygulamaları kullandıklarının kurum tarafından kaydedilmesini sağlıyor. Medyascope’un görüştüğü bilişim uzmanları, bu gözetim sayesinde elde edilecek verilerin karşılaştırılmasıyla, kullanıcıların WhatsApp, Telegram ya da Signal gibi uygulamalar üzerinden kimlerle yazıştığını ya da sesli-görüntülü görüşme yaptığının anlaşılacağını aktarıyor. Bu tip uygulamalardan yazışan ya da birbirini arayan kullanıcıların her ikisi de Türkiye’deki internet servis sağlayıcılardan hizmet alıyorsa, bu iki kişinin tespit edilebilmesi oldukça kolay.

Görüştüğümüz internet servis sağlayıcıları, mobil telefon operatörlerinden BTK’ya giden veriler arasında, kullanıcıların konum bilgilerinin de olduğunu ileri sürüyor. Ancak Medyascope bu iddiayı aynı zamanda mobil telefon hizmeti de sunan Turkcell, Vodafone ve Türk Telekom’dan teyit edemedi.

Aralık 2020 tarihli belgede, kullanıcıların internet trafik verilerini BTK’ya yollamayan internet servis sağlayıcılara ceza kesileceği uyarısı da yer alıyor.

BTK’nın Türkiye’deki tüm kullanıcılara ait internet trafiğini talep ettiği, İSS Trafik Log Deseni başlıklı ve gizli ibareli yazı, 15 Aralık 2020’de internet servis sağlayıcısı şirketlere gönderildi.

Belgede, “Kurumumuz adli amaçlı iletişimin tespit edilmesi, dinlenmesi, sinyal bilgilerinin değerlendirilmesi ve kayda alınmasına yönelik işlemler kapsamında verilen görevleri süresinde, eksiksiz ve herhangi bir aksamaya sebebiyet vermeyecek şekilde yerine getirmekle yükümlüdür. . . İnternet ortamında gerçekleşen faaliyetlere ilişkin olarak adli ve önleyici kapsamda daha detaylı bilgilerin alınmasına ihtiyaç duyulmuştur” ifadeleri yer aldı.

https://medyascope.tv/wp-content/uploads/2022/07/trafik-belge-copy-750x506.jpg

BTK’dan internet servis sağlayıcılara gönderilen yazı, BTK Başkanı adına, Kurum Başkan Yrd. titrine sahip Fethi Azaklı imzası taşıyor.

Bilgi Teknolojileri İletişim Kurumu’nun karar organı, Bilgi Teknolojileri ve İletişim Kurulu. Yani BTK adına kararlar kurul tarafından alınıp yöneticilerce icra ediliyor. Ancak İSS Trafik Log Deseni başlıklı yazıda, herhangi bir kurul kararına atıfta bulunulmuyor. BTK’nın internet sitesinde, kurul kararlarının yer aldığı bölümde de, kurul tarafından alınmış benzer bir karara rastlanmıyor. Yani internet trafiğini gözetlemek için internet servis sağlayıcılara yollanan yazı, kurul tarafından alınmış herhangi bir karara dayanmıyor.

Gizli ibareli ve İSS Trafik Log Deseni başlıklı belgenin Aralık 2020’de, farklı tarihlerde yüzlerce internet servis sağlayıcısı şirkete gönderildiği tahmin ediliyor.

Medyascope’un görüştüğü ve BTK’nın iletişim sektöründeki düzenleyici ve denetleyici konumundan ötürü isimlerinin saklı kalması kaydıyla konuşan internet servis sağlayıcı firmaların yetkilileri, şirketlerden BTK’ya kullanıcı trafiği veri akışının 2021 itibarıyla başladığını ileri sürüyor.

Medyascope’un irtibat kurduğu Turkcell, Türk Telekom ve Vodafone, yani Türkiye’de abone sayısı bakımından en büyük üç internet servis sağlayıcısı, BTK’ya gönderilen veriler hakkındaki sorularımıza herhangi bir cevap vermedi.

Trafik verileri anonim hâlde değil, kullanıcıların adıyla birlikte bildiriliyor

Mobil uygulamalar, Facebook gibi sosyal ağ platformları ya da Google gibi servisler, kullanıcılarından topladığı verileri ürün ve hizmetlerin pazarlanmasında sıkça kullanabiliyor. Ancak Türkiye’de ve dünyada yürürlükte olan kişisel verilerin korunması kanunları uyarınca, bu veriler veri sahiplerinin kimliklerinin belirlenmesini önleyecek şekilde maskeleniyor. Yani toplanan veriler ile gerçek kişiler arasındaki bağlar koparılıyor.

BTK’nın internet servis sağlayıcılardan her saat başı temin ettiği verilerde ise böyle bir uygulama yok. Yani veriler anonimleştirilmeden, gelen tüm trafik bilgisi kullanıcıların kimlikleriyle birlikte kayıt altına alınıyor.

İnternet servis sağlayıcılar tarafından BTK’ya iletilen log’larda, yani trafik kayıtlarında, her bir satır abonenin adıyla başlıyor.

İnternet servis sağlayıcılar tarafından BTK’ya saat başı gönderilen paketlerdeki her bir trafik satırı, şuna benziyor:

Abonenin adı-soyadı@Hizmet alınan servis sağlayıcı | Abonenin IP numarası | Özel Port | Gerçek IP | Gerçek port başlangıç | Gerçek port bitiş | Trafik başlama tarihi [Gün-ay-yıl-saat-dakika-saniye] | Trafik süre [Bağlantının ne kadar devam ettiği, saniye cinsinden] | Hedef IP | Hedef port | App protokol [Bir uygulama için bağlantı kurulduysa burada uygulamanın adı, bir internet sitesine bağlantı gerçekleştirildiyse sitenin adresi yazıyor. Örnek: WhatsApp ya da medyascope.com] | Network protokol | İndirilen miktar [İndirilen verinin byte cinsinden miktarı] | Yüklenen miktar [Gönderilen verinin byte cinsinden miktarı] | Bağlantı PVC | Oturum ID | SSG IP | NAT cihaz | DPI cihaz | Termination cause | Packet type | Direction

Yani BTK’ya giden trafik kayıtlarının her bir satırında;

Abonenin adı ve soyadı (Tüzel kişiyse resmi adı),
Abonenin o sırada kullanmakta olduğu IP numarası,
Hangi uygulamayla ya da internet sitesiyle veri alışverişi yaptığı,
İlgili veri alışverişinin başlangıç tarihi ve saati, veri alışverişinin ne kadar sürdüğü,
Ne büyüklükte veri alıp ne büyüklükte veri gönderdiği

gibi bilgiler yer alıyor.

BTK’nın internet servis sağlayıcılardan istediği trafik verileri, e-postaların ya da WhatsApp veya diğer uygulamalardan gönderilen mesajların içeriği hakkında bilgi içermiyor. Ancak danıştığımız bilişim uzmanlarının tümü, Türkiye’nin tamamından veri toplandığı için, bu büyük veri kullanılarak yazışmaların kimler arasında yapıldığının anlaşılacağını aktarıyor.

“İstihbari” veri toplamanın ilk ayağı abone deseniydi

BTK trafik verilerini toplamaya başlamadan önce, internet aboneleri hakkındaki ayrıntılı bilgileri abone deseni adı altında internet servis sağlayıcılardan edinmeye başlamıştı.

4 Aralık 2018’de işletmecilere Abone Desen Yapısı adlı bir belge yollayan BTK, aralarında internet kullanıcılarına ait aşağıdaki kişisel bilgilerin de bulunduğu abone dosyalarının kendisiyle paylaşılmasını istemişti:

Abone adı-soyadı
T.C. Kimlik ve pasaport numaraları, vergi ve MERSİS numaraları
Cinsiyet ve uyruk
Anne ve baba adı ile anne kızlık soyadı
Doğum yeri ve tarihi
Meslek
Kimlik cilt, kütük, sayfa no, kimlik seri no ve kimliğin verildiği yer
Abonenin adresi
Abonenin eski cep telefonu numarası

BTK ayrıca, bu kişisel bilgilerin güncel hallerini içeren dosyaların her ayın ilk günü kendisine tekrar gönderilmesini şart koşmuştu.

Yani 2018’de Abone Desen Yapısı yazısıyla Türkiye’deki tüm internet kullanıcılarının kişisel verilerine ulaşan BTK, 2020’de İSS Trafik Log Deseni yazısıyla, aboneler hakkında sahip olduğu bilgilere internet trafiğini de arşivinde tuttuğu kullanıcı verilerine ekledi.

BTK’nın aboneler hakkında tuttuğu dosyalardaki (kimlik, meslek, adres içeren dosya) bilgiler, her ayın ilk günü internet servis sağlayıcılardan gelen verilerle güncelleniyor.

Abonelerin internet trafiği ise her saat başı internet servis sağlayıcılar tarafından BTK’ya gönderiliyor.

BTK topladığı verilerle ne yapacak?

BTK’nın 2022 yılının ilk çeyreği için hazırladığı Türkiye Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu’na göre, Türkiye’deki internet abone sayısı yaklaşık 89 milyon (88,847,744). İnternet kullanıcılarının 70 milyonu mobil cihazlarından, kalan kısmıysa sabit hizmetlerle internete bağlanıyor. Medyascope’un yayınladığı belge, 89 milyon kullanıcının her birine ait saatlik internet trafik verilerinin, abonelerin kimlik bilgileriyle birlikte BTK’ya ulaştığını gösteriyor.

Peki, BTK bu verilerle ne yapıyor?

Medyascope beş parçalık araştırma dizisinin kalan kısımlarında,

BTK’nın topladığı veriler nasıl kullanılabilir? İstihbari önleme, profilleme, şantaj ve siyasal manipülasyon olasılıkları,
BTK’nın daha önce gerçekleştirdiği gözetim girişimlerinin akıbeti, BTK’nın genişbant pazarının genel yapısının durumu, BTK’ya giden veriler nasıl bir zümrenin kontrolü altında?
BTK’ya giden internet trafiği verileri kullanıcılar hakkında neler söylüyor?
Kitlesel gözetime karşı yargı yolu açık mı? Kullanıcılar kendi mahremiyetlerini güvence altına alabilir mi?

sorularına yanıt arayacak.

–—

Araştırma dizisi için sözlük:

BTK: Bilgi Teknolojileri ve İletişim Kurumu. Ulaştırma ve Altyapı Bakanlığı’na bağlı. Türkiye’deki 11 düzenleyici ve denetleyici üst kuruldan biri. Kamuoyunun tanıdığı diğer bazı üst kurullar arasında, BDDK (Bankacılık Düzenleme ve Denetleme Kurumu), SPK (Sermaye Piyasası Kurulu), RTÜK (Radyo ve Televizyon Üst Kurulu), EPDK (Enerji Piyasası Düzenleme Kurumu), Rekabet Kurumu ve KİK (Kamu İhale Kurumu) bulunuyor.

BTK-gate: 1972’de ABD’deki Başkanlık seçimleri öncesinde Demokrat Parti’nin Watergate binasında bulunan bürosuna giren beş kişi, Demokrat Parti telefonlarına dinleme cihazları yerleştirmeye çalışırken yakalandı. Watergate binasına giren beş kişiyi, Cumhuriyetçi Parti’nin ve Başkan Nixon yönetiminin yönlendirdiği anlaşılınca, olay büyük bir skandala dönüştü. Demokrat Parti ofisinin bulunduğu Watergate binası, skandalın da ismine dönüştü. Bu tarihten itibaren dünya basını, yolsuzluk ve usulsüz dinleme-gözetim skandallarına ya da büyük sızıntılara, Watergate skandalına referansla, -gate eki eklemeye başladı. Örneğin Wikileaks’in ABD Dışişleri yazışmalarını sızdırdığı olay Cablegate adıyla, Nokia’nın IŞİD’e verdiği rüşvetlerin ortaya çıkmasıyla Nokiagate yakıştırmasıyla anıldı. Türkiye’de, eski Emlak Bankası Genel Müdürü Engin Civan’ın vurulmasıyla ortaya çıkan, siyaset, iş dünyası ve mafyanın dahil olduğu rüşvet ağını ortaya çıkaran olaylar da Civangate ismiyle anılmıştı. Bu geleneğe istinaden, BTK’nın herhangi bir yasal düzenleme olmaksızın tüm toplumu kitlesel biçimde gözetlediğini gösteren bu olayı Medyascope, BTK-gate olarak nitelendirdi.

İSS: İnternet servis sağlayıcı (Eng. Internet service provider, ISP). En basit tanımıyla, kullanıcılara internet hizmeti veren kuruluşlar, İSS olarak nitelendirilebilir. Bir vatandaş sabit adresinde internet kullanmak için örneğin Türksat’tan aylık internet aboneliği hizmeti aldığında, Türksat bir İSS hizmeti gerçekleştirmiş oluyor. Yurttaşlar mobil cihazlarında da hizmet aldıkları telekomünikasyon şirketleri vasıtasıyla internet kullanıyor. Bu durumda, mobil telefon hattı ve bağlı hizmetleri müşterilere sunan Turkcell, Vodafone ve Türk Telekom gibi şirketler de, abonelerine aynı zamanda internet erişimi de sağladıkları için İSS niteliği taşıyor.

IP: İnternet protokolü. İnternette veya yerel ağda yer alan cihazların sahip olduğu benzersiz adres. Noktalarla ayrılmış sayı dizilerinden oluşur (Örnek: 192.168.1.1). Bu sayı dizilerine genellikle, IP adresi adı verilir.

Dinamik IP: Bir cihaz internete bağlandığında, İSS tarafından bu cihaza atanan IP adresi. Bir cihaza statik ya da sabit bir IP atanmadığı takdirde, cihazın IP adresi internete her bağlandığında değişir.

Statik IP: Sabit ya da özel IP adresi. Genellikle sunuculara, yani internet kullanıcılarının sıkça eriştiği yerlere statik IP atanır ve böylece diğer cihazlardan bu sunuculara yönelen iletişim kolaylaşır. İSS değiştirmedikçe, statik IP sahibi cihazlar internete her bağlandıklarında aynı IP adresine sahip olurlar.

Application ya da app: Uygulama. Özellikle mobil cihazlarda, belirli fonksiyonları yerine getirmek için hazırlanan yazılımlar. İnternet tarayıcısı aracılığıyla herhangi bir adresle iletişim kurmaya gerek olmaksızın, uygulamalar kullanıcıların istekleri doğrultusunda ya da sürekli, bazı adreslerle iletişime geçebilir.

Kullanıcı internet trafiği: İnternete bağlı bir cihazın (bilgisayar ya da mobil cihaz), bağlantısı üzerinden yaptığı tüm veri alışverişleri. Örneğin bir bilgisayar ya da cep telefonunun internet tarayıcısı (Firefox, Chrome vb.) üzerinden ziyaret ettiği internet siteleri, uygulamalar üzerinden gerçekleşen veri alışverişleri (Spotify, mobil banka uygulamaları, vb.), bir kullanıcının internet trafiğini oluşturuyor.

Log: Sistem günlüğü. Bir kullanıcının internet trafiği belirli periyotlarda (saatlik, günlük ya da haftalık) kaydedildiğinde, kullanıcı internet trafiği kayıtlarından oluşan bu belgeye log deniyor. BTK’ya İSS’ler tarafından gönderilen log’lar, kullanıcıların bir saatlik internet trafiğini içeriyor. 5651 sayılı Kanunda 2020’de yapılan değişiklikle birlikte İSS’lere, abonelerine sağladıkları internet trafiğini iki yıla kadar saklama zorunluluğu getirilmişti.

▻https://medyascope.tv/2022/07/21/belgeleriyle-btk-gate-turkiyedeki-tum-kullanicilarin-internet-hareketleri
#surveillance #Turquie #surveillance_de_masse #BTK #internet #ISP #métadonnées

Le Conseil d’Etat a fini par valider, le 18 octobre, le décret permettant la création du fichier TES (Titres électroniques sécurisés) qui rassemble les données personnelles et biométriques de la quasi-totalité de la population française. Et ce, bien que les risques d’une telle base de données qui généralise la reconnaissance faciale et la surveillance de masse perdurent.

La même semaine, une étude produite conjointement par Cliqz et Ghostery, deux sociétés produisant des outils de protection des données personnelles, propose une analyse de premiers résultats – à interpréter avec beaucoup de précaution du reste – du règlement général sur la protection des données (#RGPD) appliqué depuis le 25 mai. Face à la promesse initiale de protéger les données personnelles des citoyens européens, l’effet semblerait être particulièrement aberrant puisqu’il aurait au contraire renforcé la position hégémonique de #Google sur ses marchés.

Au nom de quel principe l’Etat s’autorise-t-il ce qu’il interdit aux entreprises privées ? Ne serions-nous pas en train de basculer d’un Etat de droit vers un Etat de sécurité avec la bénédiction paradoxale du droit lui-même et sans que cela n’émeuve grand monde ? Ce signal a priori faible marque pourtant une étape symbolique forte quant à notre devenir démocratique.

Concept fondateur du droit public moderne, la fiction juridique qu’est l’Etat de droit traduit une certaine vision du pouvoir qui apparaît comme inhérente à la conception libérale de l’organisation politique : donnant à voir un pouvoir limité parce que régi par des règles, il implique que les gouvernants ne soient pas placés au-dessus des lois, mais exercent une fonction encadrée par le droit. La notion peut aussi se définir par opposition à l’Etat policier, caractérisé par le pouvoir discrétionnaire de l’administration.

Or, à y regarder de plus près, une répartition inédite du pouvoir prend actuellement forme cristallisée autour de la capacité à collecter et exploiter les métadonnées. Matérialisée par l’apparition de deux pôles, l’un économique, l’autre sécuritaire, articulés autour d’un projet commun tacite de surveillance. C’est autour de ce phénomène que les luttes de pouvoir se concentrent désormais et que la relation des surveillants, Etat et plates-formes géantes, se dessine face aux surveillés.

Les recours compliqués

En dépit de leurs postures officielles en apparence divergentes, ces deux pôles d’un nouveau genre se positionnent sur un même continuum porté par une vision du monde cohérente où souveraineté algorithmique et souveraineté territoriale se compléteraient, où le « capitalisme de surveillance » irriguerait à la fois les intérêts publics et privés. Les termes initiaux du contrat social « liberté contre sécurité » glissent sans grande résistance vers la formulation « liberté contre sécurité contre vie privée » articulée autour d’un régime de vérité contemporain qui pose comme postulat que plus nous possédons de données, plus nous nous rapprochons avec précision de la « vérité ».

Ce transfert d’une partie de la souveraineté de l’Etat le pousse à renforcer ses prérogatives en termes de souveraineté territoriale pour mieux s’auto-légitimer au regard du peuple. Par nécessité de survie, l’Etat de droit mute doucement vers une forme ultra-sécuritaire.

Dès lors, à ce nouveau régime de vérité est assorti un discours dominant formalisé autour d’une rhétorique du repli, de la peur, de la menace, de la lutte antiterroriste. Légitimant ainsi la collecte massive de données et les dispositifs de surveillance généralisée qu’ils soient en réalité à des fins marchandes ou sécuritaires. Les intrications entre plates-formes privées et services d’intelligence, services d’ordre et armées nationales sont de notoriété publique, forment une complexe toile d’acteurs qui enregistre le moindre frémissement de nos existences numériques et physiques.

Incertitude

Le péril démocratique est aggravé par les systèmes de prédiction algorithmique. Ainsi, nul n’échappera à la surveillance et son corollaire la prédictibilité, ultime stratégie de neutralisation de l’incertitude. Car dans ce monde en réseau, c’est bien l’incertitude qui devient la hantise du pouvoir. La police et la justice interviennent désormais de façon prédictive et préventive avant le crime même. Pour être puni, il n’est plus nécessaire de commettre un crime mais de risquer de le commettre. Par cet impératif sécuritaire, nous risquons de faire face à une justice pénale sans crime qui nous considérerait tous coupables parce que tous potentiellement dangereux.

Or l’Etat, par l’entremise du #Conseil_d’Etat, prend la responsabilité de préfigurer le développement et l’utilisation de ces technologies de surveillance émergentes. A titre d’exemple, l’article 4 du décret autorisant la création du fichier TES prévoit que son accès ne sera guère limité à la lutte contre la falsification et la contrefaçon mais également ouvert aux agents « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme » . Ce champ d’application très flou laisse craindre toutes sortes de dérives dans les usages policiers à venir de ce fichier. Abus qui seront démultipliés par le croisement du « mégafichier » avec nos données personnelles.

Les recours pourront se révéler compliqués pour les citoyens. Sur le modèle des bureaucraties classiques, les algorithmes savent légitimer leur opacité pour conserver leur fonctionnalité. Face à ce qui apparaît comme l’évidence sécuritaire certains applaudissent, d’autres s’engourdissent. Reste que nous ne réussissons pas à nous saisir collectivement de ces occasions offertes pour débattre de la condition de nos libertés publiques et individuelles. A l’aune de ces évolutions récentes, les mots du philosophe Michaël Foessel formulés dès 2010 résonnent avec une acuité toute particulière : « la sécurité est le préalable de la démocratie, pas son horizon indépassable. »

#État #capitalisme_de_plateforme #biométrie #reconnaissance_faciale #données #métadonnées #surveillance #sécuritaire #justice_pénale_sans_crime