Witwiser’ı geliştiren OBBS adlı firmanın kurucusu Zafer Şen, Erdoğan’ın damadı Selçuk Bayraktar’ın kardeşi Haluk Bayraktar’ın yönetim kurulu başkanı olduğu SAHA İstanbul’da yönetim kurulu üyesi. Yani yine iktidar sahipleriyle, hatta saltanat ailesiyle doğrudan ilişkisi olan biri. Yani, kimsenin kullanmadığı ve İTÜ öğrencilerine dayatılan bu programı geliştirenleri biraz araştırdıktan sonra altından yine yandaş kurumları ihya etme arayışı çıkıyor.
Pandemi dönemindeki karantina koşullarında birçok alanda değişiklik yapılması ve bu koşullara ayak uydurulması gerekti. Ofis çalışanları evden çalışmaya geçti, bir süre restoranlar, kafeler, barlar kapalı kaldı, eğitim çevrimiçi olarak verilmeye başlandı… Uygulamaların birçoğu beraberinde sorunlar da getirdi. Ücretsiz izin adı altında gizli işsizlik arttı, evden çalışma ile fazla mesailer olağan hale geldi, kısa çalışma ödeneğiyle işçiler pandemi koşullarında hayatta kalmaya çalıştı, hala da çalışıyor. Çevrimiçi eğitimlerin içeriği ve uygulanış biçimi ise, yazının da genelden özele (İTÜ-Witwiser gündemi) olarak inceleyeceği, tartışmaların bir diğer önemli noktası oldu.
Covid-19’un etkileri öncelikle Çin’de daha sonradan ise Avrupa’da görüldü. Buna rağmen ülkemizde ne MEB özelinde ne de üniversiteler arasında herhangi bir altyapı hazırlığı yapılmadı. Virüs buraya geldikten sonra okullar tatil edildi, bir süre sonra da hazırlıksız bir şekilde apar topar çevrimiçi eğitimlere geçildi. MEB televizyon aracılığı ile de eğitimlerini sürdürürken üniversiteler çoğunlukla ‘Zoom’ isimli video konferans uygulamasını tercih etti. Kameraların açık olması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil etmesi sebebiyle zorunlu tutulamayacak olmasına rağmen birçok üniversitede bu uygulamanın gerçekleştiği örnekler gördük. Aynı zamanda bazı öğretim üyelerinin kadın öğrencilere yönelik cinsiyetçi söylemleri gibi skandallar da yaşandı.1“Gazi Üniversitesi Fen Fakültesi Dekanı Orhan Acar İstifa Etti: ‘Kızların Resimlerini de Görüyoruz Böylece Çaktırma’ Demişti” Birgün, 13 Mayıs 2020, Kaynak: https://www.birgun.net/haber/gazi-universitesi-fen-fakultesi-dekani-orhan-acar-istifa-etti-kizlarin-resimlerini-de-goruyoruz-boylece-caktirma-demisti-300733
Üniversite öğrencileri derslerine çalışmanın yanı sıra uygulamada yapılan yanlışlarla ve haksızlıklarla mücadele etmek zorunda kaldı. Her ne kadar pandemi döneminde bir araya gelmek ve fiziksel olarak tepki koymak mümkün olmamış olsa da, öğrenciler daha çok sosyal medyadan örgütlenerek tepkilerini dile getirdiler. Çevrimiçi eğitimin verimi tartışma konusuyken üstüne bir de öğrencilerin uygulama hatalarıyla ve öğrenci düşmanı politikalarla mücadele etmiş olması da tepkinin kitleselleşmesini sağladı. Birçok üniversitede dayanışma ağları kuruldu. Bu dayanışma ağlarının bazıları önceden kurulmuş olsa da pandemiyle birlikte birçoğu kitleselleşti. Çevrimiçi eğitim süresince devam eden bu tepkiler final dönemlerinde en yüksek noktasına ulaştı ve bir süre gündemden hiç düşmedi. Özellikle İTÜ’de yaşananlar ise durumun vahametini görmek adına önemli bir örnek olacaktır.
Peki İTÜ’de Neler Yaşandı?
2019-2020 eğitim öğretim yılını İTÜ öğrencileri mücadeleyle karşıladı. Pandemi öncesinde; 1500 öğrencinin barındığı Vadi yurdunun yemekhanesi kapandı, kampüs içerisindeki diğer yemekhanelerin porsiyonları düşürüldü, özel işletmelerde fahiş fiyat zamları yapıldı, bunlara tepki gösteren öğrenciler ise önce güvenlik şiddetine maruz kaldı, daha sonra okul yönetimi tarafından öğrencilere soruşturmalar açıldı ve uzaklaştırmalar verildi. Gelişmelerin hepsine öğrenciler tarafından kitlesel tepki verildi, boykotlar yapıldı ve İTÜ biriken bu tepkiyle, boykot devam ederken, pandemi sürecine girdi.
Karantina Koşullarında Eğitim Nasıl Gerçekleşti?
Zoom isimli video konferans sistemi ile derslere devam edildi. Öğretim üyelerinin tercihiyle kamera ve mikrofon açık veya kapalı bir şekilde verilen bu derslerde, ilk olarak diğer üniversitelerden de yükselen seslerle birlikte kameranın ve mikrofonun açık tutulmasına karşı duruldu. Tabii bu süreçte kendine ait bilgisayarı, mikrofonu, kamerası olmayan, aktif bir internet bağlantısı bulunmayan öğrenciler düşünülmedi. Dolayısıyla eğitimde eşitlik ilkesi tekrar tartışmaya açılmış oldu. Bu hususta oluşan haklı tepkiyi anlayabilmek adına TMMOB İstanbul İl Koordinasyon Kurulu (İKK) tarafından yayımlanan pandemi sürecinde üniversite öğrencilerinin durumu araştırmalarına bakmakta fayda var.
TMMOB İstanbul İKK’nın araştırmaya dair açıklamasında şu ifadelere yer veriliyor:
“(…) İstanbul merkezli olmak üzere 57 farklı üniversiteden 525 öğrenci katılmıştır. Öğrencilerimize, eğitim gördükleri okullar, bölümler, internete erişim kaynakları, bu kaynaklara erişip erişemedikleri, kendilerine ait bilgisayar veya akıllı telefonlarının olup olmadığı sorulmuştur.
“Anket sonuçlarına göre, her 10 öğrencimizden 3’nün yeterli teknolojik altyapıya sahip olmadığı ve eğitime erişim sorunları yaşadığı görülmüştür. Ankete katılan her 10 öğrencimizden 1’nin kendine ait bilgisayarı yoktur ve akıllı cihazları yeterli donanıma sahip değildir.”2TMMOB İstanbul İl Koordinasyon Kurulu, “Covid*19 Salgını Dönemi Üniversite Öğrencileri Uzaktan Eğitim Durum Değerlendirmesi”, 16 Mayıs 2020, Kaynak: https://www.tmmob.org.tr/icerik/tmmob-istanbul-ikk-covid-19-salgini-donemi-universite-ogrencileri-uzaktan-egitim-durum
Üniversiteler tarafından ekonomik durumu kötü olan öğrencilere yönelik bir çalışma yapılmadı, öğrencilerin karantina koşullarında sorunlarını çözmesi beklendi. Bu sorunlar dersler devam ederken yönetim tarafından bir şekilde geçiştirilse de asıl tepki sınav döneminde açığa çıktı.
Final Dönemi Üniversiteler ve İTÜ
Final döneminde üniversiteler farklı sınav sistemleri denediler. Bu kararlar karantina dönemi göz önünde bulundurularak öğrencilerin mağdur edilmemesi gözetilerek öğrenci talepleri doğrultusunda alınmalıydı. Peki, öyle mi oldu?
Bazı üniversiteler öğrencilerden gelecek tepkilerden de çekinerek öğrenci taleplerine saygı göstermek zorunda kaldılar. Bu üniversitelerden bazıları çözümü; pass-fail sistemine geçmekte bazıları seçmeli pass-fail sistemine geçmekte buldu. Pass-Fail sistemi, öğrencilerin sınav sonuçlarına göre, talep etmesi halinde geçer not aldıkları derslerin harf notu yerine “BL/PASS/S(satisfactory)”; başarısız oldukları derslerin harf notu yerine ise “BZ/FAIL/U(unsatisfactory)” notlarını tercih edebilecekleri bir sistemdir. Pass-Fail sisteminde öğrencilerin not ortalaması değişmez. Seçmeli pass-fail sistemi ise öğrencilerin notlandırma sistemini kendileri seçebilecekleri bir sistemdir. Ortalamasını yükseltmek isteyen öğrencilerin harf notunu tercih edebileceği bir sistemdir ve bu sisteme göre hiçbir öğrenci mağdur olmaz.
Ancak İTÜ yönetimi bunların ikisini de tercih etmedi. İTÜ öğrencileri zaten kaynayan kazan içerisinde girdikleri pandemi döneminde, mağdur olmamak için de ayrıca mücadele ettiler. İlk olarak seçmeli pass-fail sistemi için İTÜ içerisinde büyük bir kamuoyu oluştu. Daha sonra zorunlu kamera ve mikrofon açma ile ilgili öğrenciler yine harekete geçtiler. Bunun sonucunda Kişisel Verileri Koruma Kurumu tarafından İTÜ Rektörlüğü’ne bir yazı iletildi ve kamera-mikrofon açma zorunluluğu kaldırıldı. Ancak yine de havuz derslerinde ve bazı öğretim görevlilerin zorlamasıyla bölüm derslerinde kaldırılan bu zorunluluk fiilen uygulandı. Yine de öğrenciler bu mücadeleyle haklarının farkında olarak sınavlarına girdiler. Tüm bu tartışmaların geçtiği dönemde İTÜ Rektörlüğü, Witwiser isimli bir eklenti ile final sınavlarının yapılacağını bildirdi. Peki, kimsenin bilmediği bu Witwiser nasıl bir program ve bu program nereden çıktı?
Witwiser
Witwiser programı daha önce kimsenin kullanmadığı, bilmediği dolayısıyla kaynak bulmakta da zorlandığımız bir eklentidir. Finaller başladığı gün apar topar gündeme gelmiş ve zorunlu tutulmuştur. O halde bu yangından mal kaçırır gibi kabul edilen ve bir akademisyenin 3-4 milyon TL para verildiğini söylediği eklentiyi hangi firma geliştirdi?
Daha önce hiçbir yerde kullanılmamış, yeni geliştirilmiş olan Witwiser programı OBBS isimli firma tarafından geliştirilmiştir. Biraz daha araştırdığımız zaman OBBS firmasının kurucusu olarak Zafer Şen isimli iş adamıyla karşılaştık. Zafer Şen’in yer aldığı kurumları araştırdığımızda ise tanıdık bir isme rastladık.
Zafer Şen, Erdoğan’ın damadı Selçuk Bayraktar’ın kardeşi Haluk Bayraktar’ın yönetim kurulu başkanı olduğu SAHA İstanbul’da yönetim kurulu üyesi. Yani yine iktidar sahipleriyle, hatta saltanat ailesiyle doğrudan ilişkisi olan biri. Yani, kimsenin kullanmadığı ve İTÜ öğrencilerine dayatılan bu programı geliştirenleri biraz araştırdıktan sonra altından yine yandaş kurumları ihya etme arayışı çıkıyor.
Gelelim Witwiser isimli uygulamanın özelliklerine, eklenti daha önceden kullanılmadığı için kaynak bulmak zor, elimizde ise yalnız bir vaka var, biz de bu vakayı analiz edeceğiz.
Uygulama zorunlu tutulduğunda ilk göze çarpan Kişisel Verileri Koruma Kurumu tarafından uyarı almış olan İTÜ Rektörlüğü’nün kamera ve mikrofon kullanımını bu uygulama eliyle yine devreye sokmuş olması oldu. Çünkü eğer kamera ve/veya mikrofonunuz yoksa uygulama tarafından sınava alınmıyorsunuz. Peki, mağduriyet bununla mı sınırlı? Tabii ki hayır. Bu eklentiyi yüklemeye çalışan öğrenciler aşağıdaki gibi bir uyarıyla karşılaşıyor.
Uzantının istediği ve İTÜ öğrencilerinin kabul etmek zorunda kaldığı ‘izinler’ virüs yazılımlarının genel olarak ele geçirmeye çalıştığı bilgilerle birebir aynı. Zararlı yazılım olan virüsler genel olarak kullanıcının haberi olmadan istenmeyen değişiklikleri yaparak işleyişi bozan, verilerin veya sistemlerin tahribatını hedefleyen ya da yetkisiz erişim elde etmeyi amaçlayan siber suçlular tarafından yazılmış tehlikeli yazılımlar olarak tanımlanmaktadır. Bu tanıma baktığımız zaman, Witwiser programını öğrencilerin rızası olmadan onların verilerine erişen bir yazılım, yani ‘zararlı yazılım’ olarak tanımlamak yanlış olmaz. İTÜ yönetimi eklentiyi savunurken sürekli eklentinin dosya sistemine erişimi olmadığı üzerinde durdu ancak verileri depolaması için dosya sistemine erişmesine de gerek yoktur.
Witwiser yazılımı; internette kullandığınız sosyal medya şifreleriniz, IP adresiniz, internet alış verişinde kullandığınız kredi kartı bilgileriniz gibi birçok kişisel verinizi depolama, değiştirme gibi haklara sahiptir. Sorunlardan bir diğeri ise bu verilerin yurt dışında depolanması. Kiminle, nereyle ve nasıl paylaşıldığı ise bilinmiyor. Konuyla ilgili de İTÜ Bilgi İşlem Daire Başkanı Cüneyd Tantuğ resmi Twitter hesabından Kişisel Verilerin Korunması Kanunu’nun 9. maddesindeki “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz” ibaresine atıfla ‘Açık rızanız yoksa sınava girmeyebilirsiniz’ şeklinde açıklama yaptı.3https://twitter.com/cuneydtantug/status/1277722146131894272
Bir diğer husus da bütün verilerin depolandığı bir sistemde, bu bilgilerin başkaları (başka zararlı yazılımlar ile) tarafından da ele geçirilmesini mümkün olmasıdır. Diyelim ki, eklentiyi geliştiren firma taahhüt ettiği gibi verileri sadece rektörlük ile paylaşacaklar (Bu da KVKK’ya aykırı). Fakat verilerin ele geçirilmesi halinde ne olacak?
Witwiser yazılımının javascript kodlarını inceledik:
Altı çizili olan ‘eval’ komutu yazılımla ilgilenenlere tanıdık gelecektir ve çoğu yazılımcı tarafından tam anlamıyla güvensiz olarak nitelendirilir. Eval, stringi koda çevirir ve dışarıdan alınan bir değeri kod şeklinde çalıştırır. Bu özelliği, uygulamayı yazan için büyük kolaylık sağlıyor olsa da tehlikedir. Çünkü bu fonksiyona herkese açık bir yerden değer alırsanız her türlü kod parçası çalıştırılabileceği için yüksek seviye güvenlik açığı oluşmuş olacaktır. Saldırgan wget komutu ile içeriye shell atabilir. Kullanmak zorunda olsak bile kullanıcıdan gelen veri eval komutuna eklenmemelidir. Dizeyi alıp doğrudan kodu çalıştırmaya yarayan bu komut, herhangi birinin uygulamada rastgele kod yürütmesine izin verir:
“Eval, geçtiği kodu arayanın ayrıcalıklarıyla yürüten tehlikeli bir fonksiyondur. Eval öğesini kötü niyetli bir taraftan etkilenebilecek bir dize ile çalıştırırsanız, kullanıcının makinesinde web sayfanızın / uzantınızın izinleriyle kötü amaçlı kod çalıştırmanız gerekebilir. Daha da önemlisi, bir üçüncü taraf kodu eval () öğesinin çağrıldığı kapsamı görebilir ve bu da benzer fonksiyonun duyarlı olmadığı olası saldırılara yol açabilir.”4https://developer.mozilla.org/tr/docs/Web/JavaScript/Reference/Global_Objects/eval#Do_not_ever_use_eval!
Eklenti eval komutu kullanılmadan da pekâlâ yazılabilirdi. Kısaca, eval komutunun kullanılması yazılımın güvensizliğini gösterir. Buradan da İTÜ öğrencilerinin verilerinin güvenliği hakkındaki kaygıların gerçekliği açığa çıkar.5https://stackoverflow.com/questions/37155270/content-security-policy-csp-safe-usage-of-unsafe-eval
Aynı zamanda OBBS şirketinin yüz tanıma, yüz sahteciliği vb. ile ilgili çalışmaları ve makaleleri de aynı dönemde yayınlandı. İTÜ öğrencilerinin kobay olarak kullanıldığı bu sistemdeki açıkları daha net görmüş olacaklarını da tahmin edebiliriz. Artık öğrencilerin verilerinin nasıl ve ne şekilde kullanılacağı, kime, nereye gönderileceği ise yine önemini koruyan sorular olarak kalacak. Bu kadar soru işareti olan bir sistemin öğrencilere dayatılması ise İTÜ yönetiminin amacını sorgulatmaya devam edecektir.
Peki, yukarıdaki bilgilerden sonra bahsi geçen verilerin güvenliği ile ilgili kim garanti verebilir? Cevap, kimse.
Maalesef alınan veriler depolandığı yerin insafına ve güvenliğine kalmış durumda ki bunları da bekleyemeyeceğimizi önceki başlıklarda açıkladık. Bu verileri geri döndürmekse mümkün değil. Önümüzdeki süreçte; hem bu verilerin hesabını sormak hem de başka öğrencilerin verilerinin depolanmasını engellemek için öğrencilerin bu konuda bilgilendirilmesi ve mücadele etmesi şart olacak. Umarım yazının içeriği ile bu konuda yardımcı olabilmişizdir.
Son olarak;
Tüm bunlar yetmezmiş gibi bahsi geçen uygulama tüm gereklilikleri karşılansa dahi sorun çıkartmaya devam etti. Birçok öğrenciyi sınava almadı. Öyle ki KIM101 kodlu 1273 öğrencinin katıldığı bir havuz dersinde 806 öğrenci farklı şekillerde mağdur edildi. Bu mağduriyet farklı derslerde de farklı şekillerde devam etti.
KVKK’ya tamamen aykırı olan bu zararlı yazılım gündeme geldiği günden itibaren 8 gün boyunca İTÜ öğrencileri, her gün ayrı tag ile twitterda gündemin üst sıralarında seslerini duyurmaya çalıştı. Hukukçulardan da büyük destek alan öğrencileri, İTÜ Rektörlüğü yine dinlemedi. İlerleyen süreçte, eğer çevrimiçi eğitimler devam ederse, yine aynı uygulamanın kullanıp kullanılmayacağı ise öğrencilerin mücadeleleri ile belli olacak.
Notlar:
[1] “Gazi Üniversitesi Fen Fakültesi Dekanı Orhan Acar İstifa Etti: ‘Kızların Resimlerini de Görüyoruz Böylece Çaktırma’ Demişti” Birgün, 13 Mayıs 2020, Kaynak: https://www.birgun.net/haber/gazi-universitesi-fen-fakultesi-dekani-orhan-acar-istifa-etti-kizlarin-resimlerini-de-goruyoruz-boylece-caktirma-demisti-300733
[2] TMMOB İstanbul İl Koordinasyon Kurulu, “Covid*19 Salgını Dönemi Üniversite Öğrencileri Uzaktan Eğitim Durum Değerlendirmesi”, 16 Mayıs 2020, Kaynak: https://www.tmmob.org.tr/icerik/tmmob-istanbul-ikk-covid-19-salgini-donemi-universite-ogrencileri-uzaktan-egitim-durum
[3] https://twitter.com/cuneydtantug/status/1277722146131894272
[5] https://stackoverflow.com/questions/37155270/content-security-policy-csp-safe-usage-of-unsafe-eval