Falcon nedir? Nasıl Çalışır?

7753

ByLock, ilk duyulmaya başladığı günlerden itibaren medyada yalan/yanlış bilgilerle tanıtıldı, uygulamanın aslında ne olduğunu anlatacak uzmanlara fırsat verilmezken bazıları da doğruları bildiği halde sustu. O zamanlar yaratılan algı operasyonu o kadar başarılı oldu ki, bugün bile bazı hakim ve savcılar hala ByLock’un İnternetten indirilemeyeceğine ve uygulamaya 1 dolarların üzerinde yer alan seri numaralarının şifre olarak kullanılması ile girilebileceğine inanıyor. Diğer taraftan, FETÖ’nün ByLock’u kendilerine ait olmayan, herkesin indirebileceği masumane bir uygulama olarak gösterme çabaları da yoğun çalışmalarımız ve bulgularımızla boşa çıktı. ByLock konusunu daha sonra tekrar ele almak üzere bir kenara bırakıp, bu günlerde FETÖ’nün yeni kriptolu haberleşme uygulaması olarak lanse edilen Falcon’a -yeni algı operasyonları başlamadan- bakalım.

Falcon isimli uygulamanın adına basında ilk olarak 9 Şubat 2018 tarihli haberlerde rastlıyoruz. Habere göre, Adıyaman’daki bir operasyonda Fethullah Gülen videoları izlerken yakalanan bir kişinin, örgütün güncel olarak kullandığı Falcon adlı gizli mesajlaşma uygulaması yüklü telefonu ele geçirilmişti. 14 ve 19 Mart 2018 tarihli AA kaynakli haberlerde ise Falcon mesaj içeriklerinin deşifre edildiğini okuduk. Son zamanlarda Emniyet tarafından yazılan inceleme raporlarında ise Falcon uygulama izlerinin de (com.cryp.falcon) aranmaya başladığını görüyoruz, yani hali hazırda FETÖ ile Falcon ilişkilendirilmiş durumda görünüyor.

Screenshot_1521568373Uygulamanın geliştiricisi, isminin sahte olduğunu düşündüğüm June Moskal, Falcon’un kriptolu bir yazışma uygulaması olduğunu, Google’un bulut mesajlaşma servisi üzerinden çalıştığı ve mesajların 256 bit AES şifreleme ile iletilip alındığını, uygulama sunucusuna direkt bağlanılmadığından kendilerinin dahi kullanıcı bilgilerinin bilemeyeceğini yazmış. Kaynak kodlarına bakıldığında uygulama için yazılanlar doğru ve tutarlı gibi görünüyor. İlk olarak 21 Ağustos 2015 tarihinde piyasaya çıkan uygulamanın, son ve güncel sürümünün tarihi 24 Ağustos 2016. Sadece İngilizce dilinde geliştirilmiş uygulama 2.3 ve üzeri tüm Android tabanlı telefonlarda çalışabiliyor. Sesli görüşme ve dosya gönderme özellikleri bulunmayan uygulamanın Apple iOS veya başka işletim sistemleri için bir sürümü bulunmuyor. Ücretsiz olarak bazı Android mağazalarından indirmek mümkün fakat uygulama ilginç bir şekilde Google Play dahil büyük mağazalara yüklenmemiş ve reklamsız, yani geliştiricinin şimdilik ticari bir kaygısı yok görünüyor. Uygulamayı bugüne kadar kaç kişinin indirip kullandığına dair bir fikrimiz de yok.

Falcon’u indirip çalıştırdığımızda tamamen güvenlik ve gizliliğe önem verildiğini görüyoruz. Sisteme kayıt ekranında, bir Pin numarası ve en az 8 karakterli bir şifre belirlenmesi zorunlu. Bu Pin numarası, uygulama 3 dakika kullanılmadığında aktif oluyor ve Pin numarası girilmeden uygulama ekranına geri dönülemiyor. En az 8 haneli olarak belirlenen şifre ise uygulamanın ilk açılışında, yarım saat uygulamadan uzak kalındığında ve mesajları veritabanında şifrelemek için anahtar kelime olarak kullanılıyor. Kayıt işlemi sırasında takma bir isim, e-posta adresi, telefon numarası veya herhangi kişisel bir bilgi sorulmuyor ve kayıt sonucunda 6 haneli rakamdan oluşan bir kullanıcı numarası (User ID) oluşturuluyor. Yazışma yapacağınız kişiyi de listenize eklemek için kendisinin kullanıcı numarasını bilmeniz gerekiyor. Bu yönleriyle ByLock’a çok benzeyen Falcon’da, eklenilen kullanıcı (arkadaş) numaralarına istenilen isim verilebiliyor. Ayrıca yazışma yapılacak kişiyi ekleme aşamasında opsiyonel olarak ek bir güvenlik önlemi daha geliştirilmiş. Kullanıcı kodu bilinen kişi eklenirken iki kişinin kendi aralarında (mesela sözlü olarak) belirledikleri bir doğrulama şifresi daha yaratılabiliyor, eğer karşıdaki kişi bu şifreyi bilmiyorsa listeye eklenip yazışma yapılamıyor, Diffie-Helman anahtar değişimi olarak bilinen bu yöntem kullanıldığında, yabancı kişilerin gerçek kişi gibi davranıp yazışma yapabilmesi neredeyse imkansız. Güvenlik önlemleri bunlarla da sınırlı değil. Sahte Şifre (fake password) özelliği aktif edilip sahte bir şifre oluşturulabiliyor. Bu sahte şifre ile uygulama açıldığında telefonda saklanan tüm mesajlar bir daha geri getirilemeyecek şekilde siliniyor. Bu nedenle artık şifresini kendi rızası ile söyleyenlere de itimat etmemek gerekecek. Aşağıdaki fotoğraf galerisinde, uygulamayı test ederken aldığım ekran görüntülerini bulabilirsiniz.

Kullanıcı gizliliği ve güvenliğe bu derece önem verildiği gibi uygulamanın altyapısında da aynı özen gösterilmiş. Yaptığım incelemede, Falcon uygulamasının sadece 443 numaralı port üzerinden Google’ın IP’leri ile (benim testimde 216.58.206.164) haberleştiğini anlıyoruz. Google firması, mesajlaşma hizmetlerinin (Google Cloud Messaging) IP adreslerini yayımlamadığı için, Falcon Google IP bloğundaki (AS15169) herhangi bir Google IP’si ile iletişim içinde olabilecektir. Tüm mesajlaşmaların yine Google’ın bildirim (notification) servisleri aracılığı ile yapıldığını anlıyoruz. Uygulamanın ByLock’tan en büyük farkı kullanıcılar arasındaki kayıtları tuttuğu herhangi bir sunucusu olmaması. Aslında ByLock kaynak kodlarında da bu altyapı vardı fakat kullanılmamış idi, FETÖ bu servisleri kullanmak yerine yazışmaları önce ABD sonra Litvanya’da kiraladıkları sunucularda tutup veriyi elinde bulundurmayı ve dolayısı ile tüm kullanıcıların mesajlarını okumayı tercih etmişti. Tüm mesajların tutulduğu bir sunucu olmadığı için, artık ByLock’daki gibi tüm veriyi ele geçirme söz konusu olamayacak. Aynı zamanda IP’ler Google’a ait olduğu ve bu IP’ler üzerinden çok sayıda farklı uygulama çalıştığından BTK trafik verisi ile de Falcon kullanıcılarını tespit etmek mümkün değil. Dahası, tüm iletişim SSL üzerinden yapıldığından Türkiye’deki İnternet servis sağlayıcıları da örneğin bir MITM kurulumu ile içeriklere ulaşamayacak.

encrypted
Falcon uygulamasına girişte (login) oluşan trafiğin metin görünümü.

Peki telefon ele geçirildiğinde şifrelenmiş Falcon yazışmaları çözülebilir mi? Sorunun yanıtını bulmak için, iki telefona Falcon uygulaması kurarak Ahmet ve Mehmet adını verdiğim 2 kişiyi yazıştırıp, bu mesajlara dışarıdan ulaşabilir miyiz diye bir bakalım.

Uygulamanın kullandığı plain.db ve enc.db isimlerindeki 2 SQLite veritabanı dosyası /data/com.cryp.falcon/databases dizini altında saklanıyor. Plain.db veritabanına baktığımda her mesajın ayrı ayrı şifrelendiğini ve AES256 ile birlikte en az bir şifreleme algoritmasının daha kullanıldığını anlıyoruz. En basit mesaj dahi şifrelenerek, 196 karakter uzunluğundaki karmaşık metinde saklanıyor.

Plain.Db veritabanı içinde saklanan mesajlar.
Plain.Db veritabanı içinde saklanan mesajlar.

Enc.db adlı veritabanı dosyası ise şifreli fakat şifresi kullanıcının Falcon’da hesap oluşturken yarattığı şifre. Şifreyi ben koyduğum için dosyayı kolaylıkla açabildim ve içerisinde tüm bilgilerin okunabilir şekilde saklandığını gözlemledim.

falconmsg1
Enc.Db veritabanı dosyasının şifre ile açıldıktan sonraki görünümü

Sonuçta, eğer Falcon uygulamasının şifresi şüpheliden öğrenilememiş ise, Falcon içeriklerini kırmanın en mantıklı yolu enc.db isimli veritabanı dosyasına yapılacak sözlük (dictionary) ve kaba kuvvet (brute force) atakları gibi görünüyor. Diğer bir ifade ile, Falcon uygulamasında kullanılan şifre karmaşıklaştıkça ve karakter sayısı arttıkça şifreyi makul bir sürede kırma olasılığı imkansıza doğru gidiyor. Örneğin, kullandığım 9 karakterli şifreyi tüm büyük/küçük harf ve rakam kombinasyonları ile saniyede 1.5 milyon olasılık deneyebilen çok güçlü bir bilgisayarda kırmaya kalkışsaydım, şifrenin çözülmesi 200bin yıldan fazla sürecekti. Aynı bilgisayarda, sadece minimum 8 haneli şifreyi kullanıp 26 adet küçük harf kombinasyonlarının denenmesi halinde bile şifre ortalama 5,000 yılda kırılabilir. Çok şanslıysak, kullanıcı şifreyi sadece rakamlardan ve 8 haneli olarak oluşturdu ise (veya kullanıcı şifre olarak sözlükte geçen bir kelimeyi seçti ise) şifre 1 gün gibi kısa bir süre içerisinde kırılabilecektir. Yani, Falcon uygulamasının şifresi bilinmiyorsa ve kullanıcı güçlü bir şifre kullandı ise mesaj içeriklerine makul bir sürede ulaşılamayacaktır.

Özet olarak, Falcon adlı haberleşme uygulaması, tıpkı ByLock gibi, amacını bilmeyenin kolay kolay indirip kullanabileceği bir uygulama gibi görünmüyor.  Uygulamayı geliştiren kişinin sahte isim kullandığını düşünmekle birlikte, Falcon’un FETÖ ilişkili kişiler tarafından geliştirildiğine dair herhangi bir bulguya rastlamadım. Bununla birlikte Falcon’un tam FETÖ yapısında bir örgütün kullanımı için geliştirildiğini söyleyebiliyorum. ByLock ile kıyaslanamayacak kadar güvenli olan uygulama, telefon ele geçirilip şifreler kırılsa dahi -ki imkansıza yakın bir ihtimal- deşifre olan veri sadece ilgili kullanıcıya ve/veya bağlı bulunduğu grupta yazılmış bilgilerle sınırlı kalacaktır. Falcon’un FETÖ dahil herhangi bir örgüt açısından dezavantajı ise, ByLock’ta olduğu gibi kullanıcıların tüm mesajlarının okuyamayacak olması. Dolayısı ile, eğer bu uygulama FETÖ tarafından kullanıyor olsa dahi, ByLock’un ilk 5 ayında olduğu gibi sadece örgütün tepe kadrosunun haberleşmesi amacı ile kullanılacağını ve tabana yayılmayacağını düşünüyorum.