Yargıtay 16. Ceza Dairesi Kararına Teknik Bakış: CGNAT Neden Tek Başına Delil Olamaz? – Bölüm 1

Önsöz ve Açıklama

Her ne kadar daha önce https://koray.peksayar.org/yargitay-16-ceza-dairesi-karar-no-2018-1462-cgnat-karari/ adresinde de yayınladığım karar geniş kapsamda hukuk – teknik örtüşmesi sağlasa da, konunun teknik olarak ayrıntılandırılması gerektiğini düşünüyorum.

İncelediğim 500’e yakın ve raporladığım 300’den fazla CGNAT dökümünde karşılaşılan sorun aynı mahiyette benzer hatalar ve ön kabuller sonucu değerlendirmelere haizdir.

ByLock adlı sistem özelinde, söz konusu sistemin kullanıldığından söz edilmesi için sırayla ;

  1.  ByLock uygulamasının cep telefonu veya diğer akıllı cihaza kurulması,
  2. Bu uygulama kullanılarak kullanıcı kaydı oluşturulması,
  3. Kullanıcı kaydı oluşturulduktan sonra iletişim kurulacak kişilerin kullanıcı numaralarının (user ID) adres defterine eklenmesi,
  4. Uygulama kullanılarak haberleşme yapılması
    adımlarının gerçekleştirilmesi ve bu adımların eksiksiz olarak gerçekleştirildiğinin tespit edilmesi gereklidir.

Bu adımların gerçekleştirilerek ByLock uygulaması kullanılarak ByLock sunucusuna gerçekten bağlantı kurulduğunun ve kullanıma devam edildiğinin eksiksiz tespitinin yapılması için gerekli akıllı cep telefonu incelemesinin, gerekli bağlantı kayıtları incelemesinin ve ByLock sunucusundan elde edilmiş verilerden yapılan içerik ve kullanıcı kaydı sorgulamasının yapılması gereklidir.

Bu 3 unsurun birlikte varlığında ve aralarında çelişki olmaması durumunda ByLock uygulaması kullanılarak ByLock sunucusuna gerçekten bağlantı kurulduğundan ve kullanıma devam edildiğinden bahsedilebilir.

CGNAT sistemi işlevleri, daha önce de ayrıntılandırıldığı üzere, sadece IP adresleri ve port bilgileriyle ilgilidir.

Örnek olarak;

  1.  Aynı IP adresi üzerinde binlerce web sitesinin sanal web barındırma yöntemiyle yayınlandığı düşünüldüğünde; geçmişte 46.166.160.137 IP adresinde bir veya daha çok web sitesinin yayın yapması olasılığını da gözönünde bulundurarak, 46.166.160.137 IP adresinde yayın yapan herhangi bir siteye girildiğinde,
  2. Bir web sayfasında bulunan https://46.166.160.137 linkine tıklandığında,
  3. Bir başka web sayfasını web sayfası içinde göstermeye yarayan “iframe” olarak anılan öğenin gösterdiği web sayfası https://46.166.160.137 olduğunda

ByLock sunucusuna bağlantı kurulmuş gibi görülecektir, fakat bu durum ByLock uygulamasının kullanıldığına işaret etmeyecektir.

Örneğin geçmişte ByLock uygulaması geliştiricisinin web sitesi de bu IP adresine işaret eden https://bylock.net adresinde yayında olduğu bilinmektedir.

Bağlantı kayıtlarında görülen IP adresinin ilgili portuna kurulan bağlantıların diğer ayrıntıları, özellikle aktarılan veri miktarı noksan olduğu durumda söz konusu kayıtların bir kullanım şeklinde kesin olarak yorumlanması mümkün olamaz.

Gerçekte de örneğin “Morbeyin” olarak anılan platformun neden olduğu olayda aslında ByLock uygulamasının değil, aslında ByLock sunucusunun IP adresine bağlantı kuran ilgisiz uygulamaların neden olduğu tespit edilmiştir.

Bu tespitin önceden yapılmamasının nedeni bir IP adresine kurulan bağlantıların o IP adresinde çalıştığı bilinen ByLock sunucusuna ByLock uygulaması kullanılarak erişildiği hatalı ön kabuludür.

Oysa, yukarıda da ayrıntılandırıldığı üzere, birden fazla web sitesinin veya birden fazla uygulamanın aynı IP adresini kullanması olasıdır.

ByLock uygulamasına kurulan bağlantıların tespitinin bağlantı tarihinden 3 ila 4 yıl sonrasında olması ve 4 yıl gibi bir sürenin İnternet ortamının hızlı değişimi nedeniyle bu sürenin mecazi anlamda bir yüzyıla tekabül ettiği düşünüldüğünde, bağlantı tarihlerinde anılı IP adreslerini başkaca hangi uygulamaların ve web sitelerinin kullandığının tespiti de imkansız derecesine varacak kadar zordur.

İnternet Erişim Sağlayıcılarının IP Atama ve Bağlantı Yönlendirme Yöntemleri

Günümüzde İnternet’in çalışmasında yaygın olarak kullanılan iletişim kuralı[1] IP[2] protokolünün 4. sürümüdür ve kısaca IPv4 olarak anılmaktadır. IPv4 tipindeki IP adresleri “.” ile ayrılan 4 adet 8’li[3] ile tanımlanır[4].

Bu matematiksel gerçek, IPv4 standardında tanımlanabilecek en çok IP adresi sayısının 232 ile yani 4.294.967.296 (yaklaşık 4,3 milyar) adetle sınırlı bırakmaktadır.

Bu IP adreslerinin bir bölümü (yaklaşık 589 milyon adet) özel kullanım içindir, “özel İnternet adresleri”, “İntranet adresleri” ve “İnternette yönlendirilemeyen adresler” olarak anılır.

Bu tipteki adresler dışarıya kapalı ağlarda istenilen cihaza her bir cihazın adresi farklı olacak şekilde serbestçe atanabilir. Ancak birbiriyle doğrudan bağlantısı olmayan ağlardaki cihazlarda tanımlanan IP adreslerinin farklı olması gerekliliği yoktur.

IPv4 standardında tanımlanabilecek adreslerden geri kalanı (yaklaşık 3.7 milyar adet) açık İnternet adreslerive İnternette yönlendirilebilen adresler” olarak anılır, İnternet kullanımına açıktır. İnternete doğrudan bağlı cihazların IP adreslerinin birbirinden farklı olması şarttır.

Günümüzde İnternet erişim sağlayıcılarının abone sayısı zamanla logaritmik olarak artmakta, fakat abonelerine atamaya hakları olan IP adreslerinin sayısı sabit kalmaktadır.

Özellikle mobil operatörler yeterli sayıda İnternet IP’sini abonelerine sağlayamamaktadır.

Bu nedenle Ağ Adresi Dönüştürme[5] adı verilen bir teknikle;

  1. Abonelere serbestçe kullanılan, her diğeriyle bağı olmayan ağda farklı olması şart olmayan (yani maliyeti olmayan) İnternette yönlendirilemeyen adresler atanır ve böylece IP protokolü kullanılarak abone erişim sağlayıcıyla bağlantı kurar,

  2. Erişim sağlayıcı bu adreslerden yapılan bağlantıları yönlendirici denilen cihazlarla İnternette yönlendirilebilen bir adrese çevirerek

birden fazla abonenin İnternet’e erişmesini sağlar.

Bu yapıda erişim sağlayıcıya bağlantı kuran abonelerin bulunduğu tarafa iç bacak ve İnternet tarafına da dış bacak denilmektedir. İç bacak ile dış bacak arasında ise iç bacaktan gelen bağlantı paketlerini değiştirerek dış bacağa (İnternete) aktaran yönlendirici bulunur.

Günümüzde artan abone sayısını karşılayabilmek için büyük erişim sağlayıcıların ihtiyacı olması sebebiyle bu Ağ Adresi Dönüştürme tekniğinin geliştirilmiş hali ortaya çıkmıştır.

Bu tekniğe Taşıyıcı Ölçeğinde Ağ Adresi Dönüştürme[6] veya Geniş Ölçekli Ağ Adresi Dönüştürme[7] denilmektedir.[8]

Bu teknikte çok sayıdaki abone birbirine kapalı ağlara ayrılarak, özel IP adresleri atanarak bu kapalı ağlardan açık ağ olan İnternet’e bağlanmaları sağlanmaktadır.

Örneğin bir özel IP aralığı olan ve 172.16.0.0 ile tanımlanan ağda 65534 aboneye IP adresi ataması yapılarak yönlendiricilerle İnternet’e bağlanması sağlanabilmektedir.

Bu şekilde yüzlerce kullanıcıya serbestçe atanabilen özel IP adresleri atanır. Bu özel IP adreslerinden gelen İnternet bağlantı istekleri sadece 1 İnternet IP’sine sahip yönlendirici ile İnternet bağlantılarına dönüşütürülür.

Bu nedenle birbirinden haberi olmayan yüzlerce kullanıcının İnternette eriştikleri servise aynı IP adresi üzerinden bağlanıyorlarmış gibi görünebilmektedir.

CGNAT tekniği hakkında en önemli yayın 7422 numaralı “Deterministic Address Mapping to Reduce Logging in Carrier-Grade NAT Deployments[9] başlıklı bir standart taslağı öneri metnidir.

Türkçesi: “Geniş Ölçekli Ağ Adresi Dönüştürme Kurulumlarında Bağlantı Kaydı Girdilerini Azaltmaya Yönelik Belirlemeci Adres Eşleme“dir.

Bu standart taslağı çoğu CGNAT cihazı üreticisi tarafından uygulanan bir tekniği anlatmakta ve matematiksel formüle dökmektedir. Bu belgede anlatıldığı şekliyle, CGNAT tekniği kullanılan uygulamalarda abone kendisine verilen “genel port” aralığı ile kayıt altına alınır.

Bu port atamalarının mümkün olduğu kadar az sayıda olması en büyük miktarda aboneyi İnternet’e bağlamak için önemlidir.

CGNAT Sistemi Nasıl Çalışır?

CGNAT tekniği hakkında en önemli yayın 7422 numaralı “Deterministic Address Mapping to Reduce Logging in Carrier-Grade NAT Deployments”[10] başlıklı bir standart taslağı öneri metnidir.

Türkçesi: “Geniş Ölçekli Ağ Adresi Dönüştürme Kurulumlarında Bağlantı Kaydı Girdilerini Azaltmaya Yönelik Belirlemeci Adres Eşleme“dir.

Bu standart taslağı çoğu CGNAT cihazı üreticisi tarafından uygulanan bir tekniği anlatmakta ve matematiksel formüle dökmektedir.

Bu belgede anlatıldığı şekliyle, CGNAT tekniği kullanılan uygulamalarda abone kendisine verilen “genel port” aralığı ile kayıt altına alınır.

CGNAT kurulumlarında dolaşımda olan bilgiler içerisinde telefon numarası, IMSI, IMEI, baz istasyonu gibi bilgiler bulunmaz. CGNAT sistemi işlevleri, daha önce de ayrıntılandırıldığı üzere, sadece IP adresleri ve port bilgileriyle ilgilidir.

BTK’ya operatörlerden aktarılarak depolanan ve talep sonucunda BTK’dan gelen ve CGNAT kaydı diye görünen kayıtlar abone veritabanı, yönlendirici yönetim sistemleri ve diğer sistemlerin ürettiği bilgilerle eşleştirilerek oluşturulur.

Geniş Ölçekli Ağ Adresi Dönüştürme Tekniği ve 5651 Sayılı Yasa

5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”un 2. Maddesinde şu tanımlar yapılmaktadır:

d) Erişim: Bir internet ortamına bağlanarak kullanım olanağı kazanılmasını,”

e) Erişim sağlayıcı: Kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü gerçek veya tüzel kişileri,”

g) İnternet ortamı: Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortamı,”

j) Trafik bilgisi: İnternet ortamında gerçekleştirilen her türlü erişime ilişkin olarak taraflar, zaman, süre, yararlanılan hizmetin türü, aktarılan veri miktarı ve bağlantı noktaları gibi değerleri,”

Yine aynı kanunun erişim sağlayıcının yükümlülüklerini düzenleyen 6. maddesinin b bendinde:

b) Sağladığı hizmetlere ilişkin, yönetmelikte belirtilen trafik bilgilerini altı aydan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.” denilmektedir.

Bu alıntılanan hususlar göz önüne alındığında erişim sağlayıcının kişisel veya kurumsal bilgisayar sistemleri dışında kalan alana yapılan erişimleri 6 aydan az ve 2 yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlü olduğu açıktır.

Geniş Ölçekli Ağ Adresi Dönüştürme kullanılan durumda binlerce abonenin erişimi aynı İnternet IP adresinden yapılıyormuş gibi görüneceği için, sadece yönlendiricinin dış bacağından İnternet’e yapılan bağlantıların kayıt altına alınmasının ve sadece dış bacaktan alınan kayıtların bağlantının kurulduğuna dair kesin bilgi olarak kullanılmasının yanıltıcı olacağı açıktır.

Bu yanıltıcı durumun bertaraf edilmesi için abone tarafından, yönlendiricinin iç bacağına yapılan ve İnternet’e yönlendirilen bağlantı isteklerinin hangi IP adresi ve porta yapıldığının kayıt altına alınması, gerçekte hangi abonenin hangi tarihte hangi servise erişim kurduğunun tespit edilebilmesi için şarttır.

Ancak daha önce de belirtildiği gibi;

  1. CGNAT kurulumlarında dolaşımda olan bilgiler içerisinde telefon numarası, IMSI, IMEI, baz istasyonu gibi bilgiler bulunmaz.

  2. CGNAT sistemi işlevleri, daha önce de ayrıntılandırıldığı üzere, sadece IP adresleri ve port bilgileriyle ilgilidir.

Bu nedenle CGNAT sistemi kayıtlarının 5651 sayılı yasaya uyması ve bağlantı kurulan sistemde tutulan kayıtlarla kıyaslanmadan tek başına tutarlılık sağlaması ve kurulan bağlantının ayrıntılarının tespit edilmesi için kullanılması mümkün değildir.

Bağlantı kurularak servis alınan sistemde tutulması gereken kayıtların en önemlisi, bağlantı kuran sistemin genel port bilgisidir.

Bu bilginin yayın servisi sağlayan sistemlerde kayıt altına alınması alışılagelmiş bir uygulama değildir.

Bir CGNAT Sisteminin Doğru Çalışması İçin Uyulması Gereken Kurallar

Bir CGNAT sisteminin doğru çalışması, abonelerin kesintisiz bağlantı kurabilmesi ve kurulan bağlantıların kayıtlarının doğru tutulabilmesi için 3 önemli kurala uyulması gereklidir.

Kural 1: CGNAT Sıkıştırma Oranı: Özel IP – Genel IP Eşleştirmesi

Örneğin;

  1. Genel IP aralığı ağ tanımlamasının 176.219.160.0 ve alt ağ maskesinin 22 (176.219.160.0/22) olduğu bir durum ele alalım.

    Dış bacak yapılandıryla tanımlanabilecek genel IP adresi sayısı 2(32-22) = 210 = 1024 (bin yirmi dört) olarak hesaplanır.

  1. Özel IP adresleri 10.116.0.0 ila 10.254.0.0 aralığında tanımlıdır.

    Bu durumda için ağ maskesini 8 olursa; iç bacak yapılandırmasıyla tanımlanabilecek özel IP adresi sayısı 2(32-8) = 224 = 16.777.216 (on altı milyon yedi yüz yetmiş yedi bin iki yüz on altı) olarak hesaplanır.

    Bu adreslerin 2 adedi özel kullanım için ayrılmış adresler olduklarından (kabaca 0 ve 255 ile bitenler) 16.777.214 (on altı milyon yedi yüz yetmiş yedi bin iki yüz on dört) adet makineye IP adresi verilebilir.

RFC7422 sayfa 8’deki bilgiye göre “dinamik adres havuzu çarpanı” 2 kabul edilirse toplam sıkıştırma oranı 1.048.576 (bir milyon kırk sekiz bin beş yüz yetmiş altı) olarak hesaplanır.

RFC7422 Sayfa 8

Özel IP başına atanabilen port sayısı ise 2 x (65536-1024) / 16777214 = 0,0038452153 olarak hesaplanır.

Yapılan bu hesapla kurulu olan CGNAT sisteminin tanımlanabilen tüm özel IP’ler abonelere atandığı durumda atanacak genel port sayısnın 1’den küçük olması nedeniyle abonelerin İnternette kurdukları bağlantıların kayıt altına alınmasında sorunlarla karşılaşılabileceği tespit edilmektedir.

Bu durumda CGNAT cihazlarının yanlış yapılandırıldığından bahsedilebilir.

Bu cihazlardan elde edilmiş olan abone kayıtları büyük oranda hataya sahip olacaktır.

Kural 2: Genel Port Kayıtları Doğru Olarak Kaydedilmelidir

RFC7422’de anlatıldığı üzere, CGNAT tekniği kullanılan uygulamalarda abone kendisine verilen ” genel port” aralığı ile kayıt altına alınır.

Örneğin incelenen birden fazla dökümde binlerce kaydın “Genel IP” ve “Genel Port” bilgilerinin boş olduğu görülmektedir.

Yukarıda karşılaşılan bu durum kullanılan CGNAT sisteminden elde edilen verinin noksan olduğu bir sistem hatasına işarettir.

Bu durum CGNAT cihazlarının yanlış yapılandırılmasıyla ilgili bir bulgudur ve bu cihazlardan elde edilmiş olan abone kayıtları görüldüğü üzere çok büyük oranda hataya sahiptir.

Kural 3: Genel Port Aralıklarının Yapılandırılması

RFC7422’de anlatıldığı üzere, CGNAT tekniği kullanılan uygulamalarda abone kendisine verilen ” genel port” aralığı ile kayıt altına alınır.

Örneğin; incelenen bir dökümde karşılaşılan önemli durum aboneye verilen aynı genel IP’ye ayrılan port numaralarıyla ilgilidir ve aboneye ayrıldığı gözüken genel port aralıkları çok büyüktür.

Örneğin ardışıl iki kayıt arasında 10/10/2014 15:38:46’da atanan genel port 61183, 1 saniye sonra atanan genel port 4979’dur.

Her genel IP başına kullanılabilecek port sayısı daha önce belirtildiği üzere

65534 – 1024 = 64510

olarak hesaplanmaktadır.

Bir CGNAT sisteminin sağlıklı çalışarak aboneleri kayıt altına alması için 64510 adet portun özel IP’ye sahip abonelere ihtiyaçlarına uygun olarak sağlanabilmesi gereklidir.

Yukarıda atandığı gözüken port aralıkları 64510 sayısına bölündüğünde port başına düşen abone sayısı elde edilir:

64510 / (61183 – 4979) = 64510 / 56204= 1,14778

Bu durumda görülen port başına düşen abone sayıları CGNAT sisteminin işleyişiyle amaçlanan abonelerin kayıt altına alınması ilkesine uymamaktadır.

Bu durum da CGNAT cihazlarının yanlış yapılandırılmasıyla ilgili bir bulgudur ve bu cihazlardan elde edilmiş olan abone kayıtları görüldüğü üzere çok büyük oranda hataya sahiptir.

Karşılaşılan bu durumun incelenen dökümlere yayıldığı görülmektedir.

Bu durum birbirinden farklı abonelerin trafik kayıtlarının birbirine karışmasıyla sonuçlandığı düşünülmektedir.

1 Protokol

2 Internet Protocol

3 1 sayısından 2 sayısının en çok 8. derece katına (28) kadar (1~255) (İng: octet)

4 Örnek: 212.54.78.45, 168.14.58.92

5 Network Address Translation (NAT)

6 Carrier Grade NAT (CGN)

7 Large Scale NAT (LSN)

Yorumlar

comments

Yorum Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorum onaylama sistemi etkin; yorumunuzun yayınlanması biraz zaman alabilir.

Translate »

T. Koray Peksayar Blog is Stephen Fry proof thanks to caching by WP Super Cache