INTERNET SALDIRILARI SONRASINDA YAPILMASI GEREKENLER
1.Giriş 2
2.Hacking Nedir? 3
2.1.Sistem hakkında bilgi toplanması 3
2.2.Sisteme girilmesi 4
2.3.Suçu ağırlaştıran haller 4
3.Hacking Nasıl Yapılır? 5
4.Saldırı sonrası neler yapılmalı : 7
4.1.Teknik prosedür 7
4.2.Hukuki işlemler 10
5.Network ve sunuculara yapılan saldırıların yaptırımları 11
6.Sonuç 12
7.Yararlanılan Kaynaklar 13
INTERNET SALDIRILARI SONRASINDA YAPILMASI GEREKENLER
Giriş
Bir network’ün ya da sunucuların olası saldırılara karşı korunması için alınması gereken önlemler ne kadar önemliyse saldırı sonrası yapılması gerekenler de bir o kadar önemlidir. Bilindiği üzere tüm çalışmalar sistemi koruma altına almak için yapılır. Ama unutulmamalıdır ki her sistemin daha önce düşünülmemiş bir çok açığı olabilir. Bu sebeple saldırı öncesi için çalışmalar yapıldığı gibi, saldırı sonrasında da yapılması gerekenlerin önceden belirlenmiş olması gerekir.
Saldırı sonrasında yapılması gereken teknik işlemlerin yanında hukuki bazı işlemlerin de zaman kaybetmeden yapılması gerekir. Olay, hemen savcılığa iletilerek, olayı gerçekleştirenler hakkında yasal işleme başlanılması sağlanmalı ve özellikle de hazırlık soruşturmasında güvenlik kuvvetlerine ve adli makamlara yardımcı olacak deliller hızla toplanarak bu makamlara teslim edilmelidir.
Uygulamada sunucuları veya networkleri saldırıya uğrayan kurumlar genellikle teknik işlemleri hızla ve titizlikle yapmakta, ancak olayın hukuki boyutunu ihmal etmektedirler. Bu ihmalin, bazıları haklı, bazıları yanlış bilgilenmeden kaynaklanan çeşitli nedenleri vardır. Bu nedenlerden en önemlisi, suçlunun yakalanabileceğine ve yakalansa bile yeterli ceza alabileceğine inanmamak, bu konudaki yasaların yetersiz olduğunu düşünmektir. Bir diğer neden, izlenecek prosedürün yavaşlığından ve karmaşıklığından, bürokratik işlemlerin zorluğundan kaynaklanan şikayetlerdir. Bu nedenlerle saldırıyı gerçekleştirenlerden şikayetçi olunmaması, kendilerini hacker olarak tanımlayan ve bu suçları işlemeyi alışkanlık haline getirmiş olan kişilerin cezalandırılmamasına yol açmakta ve bu kişileri suç işlenmesi konusunda cesaretlendirmekte, suç oranının artmasına neden olmaktadır. Sunucu ve Network ’lerine yapılan saldırılar nedeniyle pekçok kurum zaman ve para kaybına uğramakta, resmi kurumların ve eğitim kurumlarının verdikleri hizmetler aksamaktadır.
Oysa Türk Ceza Kanunu (T.C.K.) son değişikliklerle bilişim suçlarını oldukça ayrıntılı bir biçimde tanımlamış, yeterli yaptırımlar öngörmüştür. Kaldı ki, bu eylemler T.C.K.’nda suç olarak tanımlanmasalar da, özel hukuk açısından uğranılan zarar genel hükümler çerçevesinde giderilebilir. Suçluların emniyet kuvvetlerince yakalanmasının, her ilin polis teşkilatında bilişim suçları için ayrı bir birim ve yeterli teknik personel bulunmadığı için çoğu zaman mümkün olmadığı doğrudur. Ancak bu sorun da uzman kişilerden yardım alınarak aşılabilir. Bu nedenle bu tür saldırılarda suçluların yakalanmasında ve olayın takibinde hukukçulara olduğu kadar bilgi işlem sorumlularına da görev düşmektedir.
Sunuculara ve networklere saldırılar için T.C.K., kırmak ve girmek terimlerini kullanmıştır. Öğretide ve uygulamada ise genellikle hacking ve cracking terimleri kullanılmakta, bu terimlerin Türkçe karşılıkları kullanılmamaktadır.
Bu çalışmada öncelikle bu kavramlar teknik ve hukuki yönden incelenecek, daha sonra ise üniversitemizin yaşamış olduğu bir tecrübeden yola çıkılarak sunucu veya network saldırılarından sonra izlenmesi gereken teknik ve hukuki prosedür anlatılacaktır. Bahsedilen olay hala yargı önünde olduğundan, olayla ilgili hukuki yorumda bulunulmayacaktır.
Hacking Nedir?
Hacking, izinsiz olarak bir sisteme girmek, zarar vermek ya da bir takım bilgileri izinsiz olarak almaktır. Ancak bu tanımın doğruluğu da yine tartışma konusudur. Hacker kelimesi sözlükte “bilgisayar korsanı, Belirli bilgileri edinme, tahrip etme ya da değiştirme niyeti olsun ya da olmasın yasadışı yollarla bilgisayar sistemine giren kişi” olarak tanımlanmıştır.(Akademik Bilişim Sözlüğü) Bir diğer görüşe göre ise, sisteme izinsiz olarak sadece girilmesi hacking, verilere ve sisteme zarar verilmesi ise cracking olarak tanımlanmaktadır.(Özdilek, A.O., s. 166)
Sistem hakkında bilgi toplanması
Bir sisteme izinsiz olarak girmek o sisteme bir saldırıdır. Bilindiği gibi bir sisteme girmenin ilk aşaması o sistem hakkında bilgi toplamaktır. Dolayısıyla her bilgi toplama evresi (başarıyla devam etmesi halinde) sisteme girme teşebbüsüne kadar ilerleyebilir. Bu sebeple bir sistem hakkında bilgi toplamak dahi şüphe ile yaklaşılması gereken bir durum olmalıdır.
T.C.K.’nda bilişim suçlarını tanımlayan 525. maddenin a, b ve c bentlerinde:
1- Sistemde yer alan ve sır teşkil eden bilgiyi, hukuka aykırı olarak elde edip öğrenmek,
2- Başkasına zarar vermek için sistemde bulunan bilgileri kullanmak, nakletmek, çoğaltmak,
3- Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadı ile sistemi ve unsurlarını tahrip etmek, değiştirmek, silmek, sistemin işlemesine engel olmak,yanlış biçimde işlemesini sağlamak,
4- Sistemi kullanarak kendisi veya başkası lehine hukuka aykırı yarar sağlamak, dolandırıcılık,
5- Sistemi kullanarak sahtecilik yapmak,
bilişim suçu olarak tanımlanmıştır.
Ceza hukukunun en temel prensiplerinden birisi “kanunsuz suç ve ceza olmaz” prensibidir. Bu prensip uyarınca bir eylemin suç sayılabilmesi için kanunda tanımlanmış olması gerekir. Sistem hakkında bilgi toplamak T.C.K.’nun ilgili maddelerinde bilişim suçları arasında sayılan fiillerden değildir. Bu nedenle, suça hazırlık sayılabilecek bu tür eylemler T.C.K. kapsamında suç sayılmazlar. Ancak bu tür eylemlerin de sistemdeki bilgileri ele geçirme sonucunu doğurdukları için 525. maddenin a bendindeki suçu oluşturacağını savunanlar da vardır.(Özdilek,A.O., 2003,s. 5)
Sisteme girilmesi
Sistem hakkında bilgi toplamanın bir sonraki aşaması olan sisteme girmek fiilinin de suç oluşturup oluşturmayacağı konusunda çeşitli görüşler vardır. Çeşitli ülkelerin yasalarına bakıldığında da bu konuda çok farklı düzenlemeler getirildiği görülmektedir. Örneğin Avustralya, Danimarka, İngiltere, Yunanistan ve ABD’nin pek çok eyaletinde, sisteme izinsiz girmek suç olarak kabul edilmiştir. Almanya, Norveç ve Danimarka’da ancak sistemdeki verinin gizli bilgi olarak kabul edildiği durumlarda sisteme girilmesi suç sayılmış, Kanada, Fransa, İsrail, Yeni Zelanda ve İskoçya yasaları ise eylemin suç sayılması için kötü niyetle gerçekleştirilmiş olması şartını aramıştır. İspanya ve A.B.D.’nin bazı eyaletlerinde de, sadece verinin ele geçirilmesi, zarar görmesi veya silinmesi durumunda yapılan eylemin suç olacağı kabul edilmiştir.( Sieber, 1998) Avrupa Konseyi Siber Suç Sözleşmesi’nde “Her bir taraf devlet bir bilgisayar sisteminin tamamı veya herhangi bir bölümüne haksız ve kasıtlı olarak erişilmesini suç kapsamına almak için gerekli kanuni düzenlemeyi yapmalı, gerekli önlemleri almalıdır. Taraf devlet bu suçun oluşması için erişimin güvenlik önlemleri ihlal etmek ya da bilgisayar sistemine bağlı diğer bir bilgisayar sistemi aracılığıyla bilgisayar verisini almak ya da başka kötü niyetlerle kullanmak şartına bağlayabilir.” ifadesi kullanılmıştır.
Türk hukuk sistemindeki durum incelendiğinde T.C.K.’nun 525. maddesinin a bendi “Bilgileri otomatik olarak işleme tabi tutmuş bir sistemden, programları, verileri veya diğer herhangi bir unsuru hukuka aykırı olarak ele geçiren kimseye ...
Bilgileri otomatik işleme tabi tutmuş bir sistemde yer alan bir programı, verileri veya diğer herhangi bir unsuru başkasına zarar vermek üzere kullanan, nakleden veya çoğaltan kimseye ...” ifadesini kullanmıştır. Maddede, “bilgileri otomatik işleme tabi tutmuş sistem” ifadesinin kullanılmasının nedeni madde ile bilişim alanındaki tüm suçların düzenlemek istenmesidir. ATM makineleri, decoderler, dijital iletişim araçları da bu madde kapsamında değerlendirilecektir.
Maddede sistemdeki verilerin, programların ve diğer herhangi bir unsurun hukuka aykırı olarak ele geçirilmesinin suç teşkil edeceğinden bahsedilmiştir. Sisteme girilmesi ile bilgilere erişilmiş olacağından, sisteme girilmesinin suç oluşturduğu anlaşılmaktadır. Öğretide sisteme girilmesinin suç olarak düzenlenmemesi gerektiğini savunanlar olduğu gibi, (Özdilek, A.,O., İnternet ve Hukuk, 2002, s. 168) karşı görüşte de olanlar vardır. Bu ikinci görüşe göre, hacking eylemi, sistem güvenliklerinin gelişmesi için gerekli ve yararlıdır. Dolayısıyla suç teşkil etmemelidir (Sınar, Hasan, İnternet ve Ceza Hukuku,81-83)
Suçu ağırlaştıran haller
T.C.K. madde 525, b ve c bentlerinde ise suçun ağırlaştırıcı sebepleri sayılmıştır. Bu sebepler:
-
Verileri veya diğer herhangi bir unsuru kısmen veya tamamen tahrip etmek veya değiştirmek veya silmek veya sistemin işlemesine engel olmak veya yanlış biçimde işlemesini sağlamak ve (Madde 525 b)
-
Hukuk alanında delil olarak kullanılmak maksadıyla sahte bir belgeyi oluşturmak için sisteme verileri veya diğer unsurları yerleştirmek veya var olan verileri, diğer unsurları bozmaktır. (Madde 525 c)
Görüldüğü üzere T.C.K.’nu, hacker – cracker ayrımını kabul etmektedir. Kanun sisteme girilmesini suç olarak kabul etmekte, sisteme ve verilere zarar verilmesini ve bu yolla çıkar sağlanmasını ise ağırlaştırıcı sebep olarak saymaktadır.
Hacking Nasıl Yapılır?
İnternet camiasında bu konuda bir yargı vardır ki hacker ’lar özel kişilerdir. Çok iyi bilgisayar bilgileri vardır. Ve onların gözlerinden bilgisayar kodları akar gider. Ancak durum böyle olsaydı Hacking nasıl yapılır sorusuna kimsenin cevap verememesi gerekirdi. Oysa ben şimdi size kısmen de olsa bu sorunun cevabını vermeye çalışacağım. Yine de onları fazla kızdırmamak gerek
Aslında internet’te yapılabilecek aktivitelerin en kolaylarındandır hacking. Zira insanlar o kadar ilgi göstermişlerdir ki bu konuya, basit bir arama işlemi sonucunda istemediğiniz kadar doküman ve program bulabilirsiniz. Genellikle Hack ’lenen sistemler bir çok kullanıcının hizmet aldığı sunuculardır (Web veya posta sunucuları gibi). Şimdi bir kaç hacking örneği verelim; ancak burada amaç, hacking işleminin nasıl yapıldığını ilan etmek olmayacağı için olabildiğince basit örnekler verilmeye çalışılacaktır:
Örnek 1 :
Bu örnekte sunucu bilgisayarda tanımlı olan bir kullanıcı adını ve o kullanıcının parolasını bulmaya çalışacağız. Bunun için çeşitli parola olasılıklarını denemek için yazılmış bir programa ve bu şifre olasılıklarının depolandığı bir veri tabanına ihtiyacımız olacak. Veri tabanı lafı bu işin ciddi bir iş olduğu izlenimi yaratmasın sizlerde. Sadece bir kaç text dosyası. Bu dosyaların içlerinde bulunan olasılıkları, hem kullanıcı adları, hem de parola için denersek bu işlem çok fazla zaman alacaktır. Bu sebeple sistemdeki parolasını öğrenmek istediğimiz kullanıcıların listesini de bir şekilde öğrenmemiz gerekecek. Gerek kullanıcıların listesini almak, gerekse bu kullanıcıların parolalarını tespit etmek için bilinen en iyi huylu (Hacking için kullanılsın diye üretilmemiş olan) program olan “LanGuard Network Scanner” programını kullanmış olalım.
Öncelikle programımıza, parola bilgisini öğrenmek istediğimiz bilgisayarın da içerisinde bulunduğu bir adres aralığı girerek, o aralıktaki bilgisayarları listelemesini isteyeceğiz. Daha sonra hedefimiz olan bilgisayara farenin sağ tuşuyla tıklayarak açılan menü ’den “Dictionary attack” seçeneğini seçeceğiz. Program bizden bir parola veri tabanı isteyecektir. Daha önceden bilgisayarımıza kaydetmiş olduğumuz text dosyasını göstererek işlemi başlatacağız. Bu sayede Languard Network Scanner, text dosyası içerisindeki tüm parola olasılıklarını, tespit etmiş olduğu kullanıcılar üzerinde deneyecektir. Ve sonuç ekrana yazılacaktır. Tabi ki bu işlemin başarılı olması, text dosyasının ne kadar zengin olduğuna da bağlı.
Eğer saldırının gerçekleştirildiği sistem sadece parola korumalı bir sistemse, yani hem kullanıcı adı hem parola istemiyorsa zaten işlem çok daha kolay olacak ve kısa bir zaman alacaktır. (Windows 95/98 gibi...) Program herhangi bir veri tabanı istemeksizin parola olasılıklarını belirli bir algoritma yardımıyla üreterek sınayacak ve şifre kırılacaktır. Bu durumdan hiç bahsetmiyorum bile.
Örnek 2 :
İkinci olarak anlatmaya çalışacağım örnek ise bir trojan örneği olacak. Bu terim Truva Atı kavramından gelmektedir. Bilindiği gibi Truva Atı bir türlü alınamamış bir şehri alabilmek için iyi niyet sembolü gibi gösterilerek hediye edilen bir at heykelidir. Ancak atın içerisinde askerler gizlidir. Gece şehirde herkes uyuduktan sonra “hediye” içerisine gizlenmiş olan askerler Truva Atının içerisinden çıkarak şehrin kapılarını kendi asker arkadaşlarına açmışlardır ve savaşarak alınamayan şehir, bir yalancı hediye sayesinde alınmıştır.
Bilgisayar dünyasında ise trojan olarak bilinen programlar, amacı gizlenmiş kötü niyetli sisteminizin kapılarını açan programlardır. Siz bambaşka bir amaçla bu programı bilgisayarınıza kabul eder, ya da bambaşka bir amaçla çalıştırırsınız ancak sonuçları sizin planladığınızdan çok farklı olur. Şimdi Unix sistemler için kullanılabilecek bir trojan yazalım:
#!/bin/sh
/bin/ls
{crontab tanımları}
rm –rf /
Bu shell script’e “ls” adını verip, bir user olarak kendi home directory’mize kaydediyoruz. Ve executable (çalıştırma) hakkı veriyoruz. Eğer günün birinde root olan kişi bizim home directory’mize girerse ve dosyalarımızı görmek için “ls” komutunu kullanırsa gerçek “ls” komutu yerine bizim script’imiz çalışacaktır. Tabi bunun için bir şart daha var. İşte root açısından güvenlik açığı oluşturan durumlardan birisi de bu şarttır. Root, bir komut çalıştırmak istediğinde, sistem root için tanımlanmış olan $PATH değişkenine bakacak ve orada belirtilen dizinlere giderek “ls” komutunu arayacaktır. Eğer root için tanımlı olan $PATH değişkeni “.:” ibaresiyle başlıyorsa, root bir komut çalıştırdığında önce bulunduğu dizine bakılacak, orada bu komut bulunamazsa diğer alternatifleri deneyecektir. Biz tabi root’un $PATH değişkeninin “.:” ile başladığını varsayıyoruz.
Şimdi bu güvenlik açığının var olduğunu düşünerek script’imizi inceleyelim;
Önce birinci satır işleme konulacak. Birinci satır gerçek “ls” komutunu çağırıyor. Root ‘un truva atımızı bir hediye olarak kabul etmesini sağlayacağız. Dosyalar listelenecek ve root durumu anlamayacak. Sonra ikinci satır çalışacak ve gece 00:00 ‘da çalışmak üzere “rm –rf /” komutu işleme alınacak. Gece 00:00 olduğunda “rm –rf /” komutu çalışacak ve tüm diski silecektir. Windows’ta diski format’lamak gibi bir durum.
Aslında root bu işi gece 00:00 da diskindeki verilerin silinmesi için yapmadı. O sadece o dizindeki dosyaları listelemek istedi. Ancak o dizinde bulunan “ls” isimli bir trojan bu niyeti farklı kullandı. Gerçekte böyle bir trojan hiçbir zaman amacına ulaşamaz. Zira ne root, $PATH değişkenini “.:” ile başlatır, ne de listelediği dosyalar arasında “ls” isimli bir dosya daha olduğu gözünden kaçacaktır. Root ‘un işi bu tür haylazlıkları sezinlemek
root ‘un $PATH değişkeni ;
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/root/bin
Şeklinde olabilir...
Bu konuda farklı bir çok önemli örnek verilebilir. Ancak biz saldırının yapıldığı tarafta olduğumuzu farz edelim ve saldırı sonrasında neler yapmalıyız buna bakalım:
Saldırı sonrası neler yapılmalı : Teknik prosedür
Öncelikle şanslı olmalıyız. Zira yapılması gerekenler sıralandıktan sonra, bu gerçek nasıl olsa ortaya çıkacak; şimdiden itiraf etmenin bir zararı yok diye düşünüyoruz.
İşe başından başlayalım ve olabilecek genel olasılıkları düşünelim: Hacker kişi bizim sistemimize bir şekilde girmişse öncelikle sistemimiz ile bağlantı kurmuş demektir. Bunun için kendisi de, ya direk olarak bağlı olduğumuz network’e girmiş yada internet’e bağlanmış demektir. Bunun için bir IP(Internet Protocol) adresi almış olmalı. Bu adresi ya bir DHCP (Dynamic Host Configuration Protocol) sunucusundan almış olabilir ya da static IP yapılandırması yapmıştır. Her durumda da kendisinden sonraki ilk HOP olan aktif network cihazına MAC (Media Access Control) adresini vermesi gerekir. Daha sonra HOP, HOP, bize kadar ulaşmıştır. Dolayısıyla saldırının yapıldığı bilgisayarda söz konusu bağlantı ile ilgili log bilgisi olacaktır. İp adresleri dymanic olabileceği için kişinin IP adresi değişebilir, ancak o anda o IP adresini sadece bir kişi kullanmıştır. Bu, network ’ün (ve dolayısıyla internet’in de) çalışma pensibi açısından garanti altındadır. Dolayısıyla IP dymanic olsa bile, o zaman diliminde kimin kullandığı tespit edilebilir.
Kendi sunucumuzdaki log’ları kontrol edip istenmeyen bağlantıyı tespit ettikten sonra, bu bağlantının yapıldığı zamanı da göz önünde bulundurarak, nasıl ki o kişi bize HOP, HOP, erişti ise bizde o kişiye adım adım gitmeliyiz. Bu aşamada bazı durumlarda hack’ lendiğimizden haberdar olma süremiz önem kazanabilir. Zira bir takım aktif network cihazlardan üzerlerindeki bilgileri log’lamasını istememiş olabiliriz. Ve adımları takip etme konusunda sorun yaşayabiliriz.
Hedef bilgisayara ulaştığımızda önem kazanan durum ise o bilgisayarın MAC adresi bilgisi olacaktır. Zira IP adresleri değişebilse bile MAC adresi bilgisi o bilgisayara has ve tamamiyle eşsiz bir adrestir. Bu bilgiye eriştiğimizde IEEE Web sayfasından (http://standards.ieee.org/regauth/oui/index.shtml) bu bağlantı biriminin hangi firma tarafından üretildiğini dahi bulabilirsiniz. Ancak bu yoldan gitmek sonuca ulaşmamızı sağlama konusunda pek işe yaramayacaktır.
Şimdi gelelim neden şanslı olmamız gerekiyor sorusunun cevabına? :
Eğer sistemimize giren kötü niyetli kişi bu konuda gerçekten uzman bir kişi ise, öncelikle MAC adresini değiştirecektir. Evet mac adresi bilgisi donanımın ROM (read only memory) ‘unda kayıtlı olabilir. O donanımı kırmadığımız sürece yok edemeyebiliriz ama en nihayetinde işletim sistemi bu bilgiyi RAM ’ına çağırıp kullanmaktadır ve tabi ki işletim sisteminden ROM ‘dan okuduğu MAC bilgisi yerine farklı bilgiyi kullanması istenebilir. Öncelikle Hacker kişi bu tür bir önlem almamış olmalıdır.
Şanslı olmamızı gerektiren bir başka durum ise sistemimize girmiş olan kişinin bunu yaparken proxy benzeri noktalar kullanmamış olmasıdır. Ya da bir başkasının bilgisayarını hack ‘leyerek o bilgisayarı bir atlama noktası olarak kullanmış da olabilir. Hatta bu tür atlama noktalarının birkaç tanesini birden de kullanmış olması olasılığıdır. Böyle bir durumda her defasında hacker’ı bulduğumuzu düşünerek aslında bir başka kurbanı bulmuş oluruz. Eğer log tutma konusunda kaygısı olmayan noktalarsa bu HOP lar, o zaman işimiz daha da zorlaşacaktır.
Olasılıklar çok fazla olacağı için lafı daha fazla uzatmayıp dilerseniz ‘canlı’ bir örnek üzerinden bakalım konuya: Biz; İstanbul Üniversitesi olarak;
02/01/2004 Günü:
-
Saat 10:05 http://bilisim.istanbul.edu.tr web sitesinin hack ‘lendiğimizi anladık
-
Saat 10:30 Bilişim Ofisi Web Server ‘ının logları incelenmeye başlandı (Bilişim Web Server’ı kayıtlarına göre 19/12/2003 tarihinden 31/12/2003 tarihine kadar password attack yapılmış.)
-
Saat 11:45 Password Attack yapan iki IP adresi tespit edildi.
-
Saat 11:55 IP adreslerinin Avcılar Kampüsü’ne ait olmasından dolayı Avcılar Kampüsü DHCP Server ‘ının loglarına bakıldı
-
Saat 12:30 Gerekli tüm bilgilerin elde edilmesiyle avcılar kampüsüne gitmek için yola çıkıldı.
-
Saat 13:10 Avcılar Kampüsüne ulaşıldı ve bağlantıların yapıldığı aktif network cihazları kontrol edildi.
-
Saat 14:30 IP adreslerinin Avcılar Öğreci Yurtlarına ait olmasından dolayı yurt müdürü eşliğinde yurtlardaki bilgisayarlar kontrol edildi.
-
Saat 15:00 İlk girilen odada şüphelenilen IP adreslerinden birisi bulundu. (Bu arada diğer bilgisayar saklanmış ve hafta sonu yurt’tan çıkartılmıştı)
-
Saat 18:00 Avcılar Kampüsünden iki şüpheli HDD (Hard Disk Drive) ile bilişim ofisine dönüldü.
03/01/2004
-
Saat 10:00 HDD ‘lerden birisine, silinmiş olan verileri kurtarmak için Data-Recovery uygulandı ve saldırı için kullanılmış olan tüm veriler elde edildi.
Tüm bu veriler ışığında saldırının password attack yöntemiyle iç network’ten yapıldığı, bunun için parola data-base ’i kullanıldığı tespit edildi. Ayrıca bu HDD ’den silinmiş olan dosyalar arasında; Sub Seven programı, Turk Trojan Programı, Siaen Programı ve basından da tanıdığımız Hacker grubunun web sitesinin bir kopyası bulundu. Bu web sitesinin ftp hesabına ait bilgilere ulaştığımızda ise diğer üyeler tarafından şifre bilgileri değiştirilmişti. Sanırım yakalanan, otomatik olarak gruptan atılıyor. Bu da onların kuralı
Bu süreç boyunca hacker grubundan gelen e-mail ’ler de aslında kendilerine ulaşmamız için birer iz oluşturmuştu. İlk atılan e-mail ‘ler free olarak alınmış e-mail adreslerinden gelirken sonradan fake-mail web siteleri kullanılarak mail göndermeye başladılar. İlk gelen e-mail ‘lerin ileti kaynakları kontrol edilerek mail göndermek için kullandıkları bilgisayarların IP adresleri tespit edilmişti. Ancak bu IP adreslerinin iz sürmek için kullanılmasına artık gerek kalmamıştı.
Tüm gerçekler ortaya çıktığında bu işi yapan kişiler olay hakkında bir çok bilgiyi vermek durumunda kaldılar. Olayı neden yaptıkları, nasıl çalıştıkları ve gurubun diğer üyeleri. İşimiz diğer insanları yakalamak olmadığından bilişim ofisinin web sayfasının hack ‘lenmesi olayında rol almamış ancak daha önceki (Telekom web sayfası, İç İşleri Bakanlığı web sayfası gibi) hacking olaylarında rol oynamış olan kişiler halen kimliklerinin gizliliğini korumaya devam etmektedirler. Umarız bu konuya gereken önemi vermekte ülke olarak daha fazla geç kalmayız. Yapılanların peşine düşmemek en büyük güvensizlik ortamını yaratmakta ve insanları hacking konusuyla daha ilgili hale getirmektedir. Bu konuya gereken ilginin gösterilmesi için, google’da yaptığım bir arama işleminde bulduğum basit iki çarpıcı sonucu eklemeden geçemeyeceğim:
Birincisi yemek tarifi verir gibi başlıyor.
Hacking için gereken programlar:
-
Cracker Jack 1.14: Password cracker
-
Dictionary Maker: Dic. Yapıcı
-
CuteFTP : Password dosyasını almak için
-
Exploitler: Sistemlerin arkakapıları için
|
İkincisi bu işin ne kadar basite indirgendiğini görmek için;
::Başlangıç::
İlk yapmanız gereken pkunzip veya baska bir dekompres programı edinmek. İnternet ‘ten veya BBS (Bulletin Board System)`lerden download ettiğiniz dosyaların hemen hemen hepsi zip`lidir. Zip `li dosya sıkıştırılmış dosya anlamındadır. Zip`li dosyaların uzantısı ".zip" dir.
| Hukuki işlemler
Network ’lere veya sunucu ’lara saldırma suçu, “kovuşturması şikayete bağlı” suçtur. Yani bu suçtan dolayı devletin harekete geçmesi için suçtan zarar gören kişinin şikayette bulunması gerekir. Kovuşturması şikayete bağlı suçlarda şikayet altı ay içerisinde yazılı veya sözlü olarak savcılığa, zabıta makam ve memurlarına veya sulh hakimlerine yapılabilir. Zarar gören bir tüzel kişi ise tüzel kişi adına hareket etme yetkisine sahip organlar veya onların atayacakları vekiller şikayet edebilirler. (Yenisey, F., s. 108-111)
Şikayet hakkı ancak suçtan zarar gören kişi tarafından veya zarar gören bir kurumsa, kurumun yetkilisi tarafından kullanılabilir. Uygulamada, özellikle büyük ölçekli işletme ve kurumlarda, yetkililerin sözlü şikayette bulunmak için resmi makamlar önüne gitmeleri veya şikayet dilekçesinin yetkililerce imzalanması vakit alabilmektedir. İnternet üzerinden Network ’lere veya sunuculara yapılan saldırılarda ise delillerin sağlıklı bir şekilde toplanması açısından birkaç saat bile çok önemli olduğundan, çok hızlı hareket edilmesi gerekmektedir. Bu nedenle kurum yetkililerinin imzasının alınmasının gecikebileceği durumlarda, şikayetten önce ihbar hakkı kullanılabilir. Suçun duyurulması anlamına gelen ihbar, Anayasa’nın 74. maddesiyle düzenlenmiş, anayasal bir haktır. Şikayetten farklı olarak, ihbarda, ihbar edenin olaydan zarar gören olmasına gerek yoktur. Bu nedenle sunucu veya Network ’e saldırının gerçekleştiği öğrenildiğinde herhangi birisi ihbarda bulunabilir. Bu şekilde olay vakit kaybedilmeden adli makamlara veya kolluk kuvvetlerine iletilmiş olacaktır. İhbar hiçbir şekile bağlı değildir, sözlü veya yazılı olarak yapılabilir. Uygulamada ihbarların çoğu doğrudan doğruya polise yapılmaktadır. İhbar bir emniyet merkezine giderek yapılabileceği gibi, dışarıdaki bir polis memuruna da yapılabilir. (Yenisey, F., s. 105-108) Ancak özellikle bilişim suçlarında, ihbarın savcılığa veya böyle bir birim varsa il emniyet teşkilatının bilişim suçları birimine iletilmesi soruşturmayı hızlandıracaktır.
Olay adli makamlara iletildikten sonra bu makamlarca kolluk kuvvetlerine iletilecek ve konuyla ilgili soruşturma başlatılacaktır. Bu aşamada şikayetçinin yapması gereken, şikayetiyle birlikte delillerini savcılığa iletmektir. Bu deliller özellikle loglar, eğer ilgili web sitesinde sanıkça yapılan bir değişiklik varsa veya site saldırı nedeniyle çökmüşse bunu kanıtlayacak çıktılar, varsa ilgili sabit diskler ve benzeri delillerdir.
Şikayet veya ihbar sonucu öğrenilen maddi olayların araştırılması, savcıya ve polise ait bir yükümlülüktür. Uygulamada savcı, kolluk kuvvetlerine olayın araştırılması ve delil toplanması için talimat vermektedir. Ancak bilişim suçlarında, delillerin çok kısa sürede kaybolması riski vardır. Bu nedenle bu suçların araştırılmasında gecikme, delillerin kaybolması tehlikesini doğurur. Ceza Usulü Muhakemeleri Kanunu 66. maddesinin 2. fıkrasında, gecikmede tehlike olan durumlarda savcının bilirkişi tayin edebileceği belirtilmiştir. Bilirkişi, çözümü özel ve teknik bir bilgiyi gerektiren hallerde, olayın izi, parçası durumunda olan delilleri değerlendirmek, bunlara bir anlam vermek amacıyla görevlendirilen kişidir. Bilirkişi, ya resmi bir bilirkişilik kurumu, ya da konuyla ilgili teknik bilgi sahibi bir uzmandır.(Yenisey, F., s.100) Saldırıya uğramış web sitesinin inceleneceği zamana kadar bu şekilde, düzeltilmeden bekletilmesi mümkün olmayacağından uygulamada savcıdan hemen bir bilirkişi tayin etmesi talep edilerek olay tespit ettirilmelidir.
Bilirkişi savcılıkça tespit edilecektir. Uygulamada bilişim suçlarında genellikle üniversitelerin ilgili birimlerinden öğretim üyeleri veya konuyla ilgili mesleklerin meslek birliklerinden kişiler bilirkişi olarak atanmaktadırlar.
Konuya ilişkin yeterli delil toplandığında, savcı dava açılıp açılmayacağına karar verecek; ya dava açacak, ya da bu konuda dava açılmasına gerek olmadığına kanaat getirirse takipsizlik kararı verecektir.
Savcının takipsizlik kararı vermesi durumunda bu karara itiraz edilebilir. Bu itiraz en yakın Ağır Ceza hakimliği’ne yapılmalıdır.
Dava açılması durumunda, açılan dava kurum avukatlarınca takip edilerek sonuçlandırılacaktır. Dava aşamasında yeni deliller elde edilirse bu deliller mahkemeye sunulabilir. Bu aşamada davaya bakan hakim gerekli görürse kurum çalışanlarını veya diğer ilgilileri ifadelerine başvurmak üzere davet edebilir. Bu davete cevap vererek ifade vermek zorunludur. Hakim gerekli görürse tekrar bilirkişi incelemesi de yaptırabilir.
Dava sonuçlandıktan sonra verilen karar uygulamaya konulacak, eğer bir cezaya hükmedilmişse, bu cezanın uygulanması safhasına geçilecektir.
Olayımızda, üniversitemiz sunucusuna yapılan saldırıyı düzenleyen üniversitemizin öğrencisi olduğundan, hakkında ayrıca disiplin soruşturması da başlatılmıştır. Çalışmamızın hazırlandığı bu dönemde soruşturma devam etmektedir.
Network ve sunuculara yapılan saldırıların yaptırımları
Yukarıda bahsedildiği gibi, T.C.K. madde 525-a sisteme girmek fiilini düzenlemiş ve bu suçu işleyenlerin bir yıldan üç yıla kadar hapis cezası ve .... TL’den …. TL’ye kadar para cezası ile cezalandırılacağı hükmünü getirmiştir.(Para cezaları katsayıları değişmektedir.) Sistemde yer alan bir programı, verileri veya diğer herhangi bir unsuru başkasına zarar vermek üzere kullanan, nakleden veya çoğaltan kimseye de aynı ceza verilecektir.
Maddenin b bendinde ağırlaştırıcı nedenler sayılmıştır. Buna göre “Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadıyla,bilgileri otomatik işleme tabi tutmuş bir sistemi veya verileri veya diğer herhangi bir unsuru kısmen veya tamamen tahrip eden veya değiştiren veya silen veya sistemin işlemesine engel olan veya yanlış biçimde işlemesini sağlayan kimseye iki yıldan altı yıla kadar hapis ve beşmilyon liradan ellimilyon liraya kadar ağır para cezası verilir.” Sunucudaki bilgileri silmek, değiştirmek, örneğin bir bankanın sunucusuna girerek hesabını değiştirmek, üniversitenin sunucusuna girerek notları değiştirmek, bir web sitesinde farklı bir içerik yayınlamak, ağın işlemesini engellemek, gibi eylemler bu madde kapsamına girecek ve belirtilen yaptırım uygulanacaktır.
Maddenin c bendi bu şekilde delil elde etme fiilini -örneğin nüfus veya tapu kayıtlarını değiştirerek- düzenlemiştir. Bu maddeye göre “Hukuk alanında delil olarak kullanılmak maksadıyla sahte bir belgeyi oluşturmak için bilgileri otomatik olarak işleme tabi tutan bir sisteme,verileri veya diğer unsurları yerleştiren veya var olan verileri,diğer unsurları tahrif eden kimseye bir yıldan üç yıla kadar,tahrif edilmiş olanları bilerek kullananlara altı aydan iki yıla kadar hapis cezası verilir.”
Maddenin d bendi ise bu fiillerin bir meslek icrası sırasında veya bu icra dolayısıyla işlenmesi durumunu düzenlemiştir. (örneğin; bir banka memurunun bankanın sunucusundaki verileri değiştirmesi veya bir üniversite çalışanının okul kayıtlarını değiştirmesi) Bu durumda yukarıda sayılan cezalardan olaya uygun olanının yanında, meslekten veya kamu hizmetinden yasaklama cezası da verilir.
Sonuç
Internet yolu ile işlenen suçlarda, teknik nedenlerle, olayı gerçekleştirenlerin tespitinin çok zor hatta kimi durumlarda imkansız olduğu doğrudur. Bu zorluklar da sunucularına veya Network ’lerine bu şekilde saldırı düzenlenen kurum ve kuruluşların genellikle hukuki yollarla haklarını aramaktan vazgeçmelerine neden olmaktadır. Hatta Yargıtay bir kararında internet yoluyla hakaret, site değiştirilmesi, yasak yayın, vb gibi olaylarda doğan davaların mahkemelerde görülmemesi gerektiği sonucuna varmıştır. Kararın gerekçesi, yargı kararlarının uygulanabilir olması gerektiği halde bu şekilde işlenen suçlarla ilgili mahkeme kararlarının yurt dışındaki servis sağlayıcıya veya sunucuya ulaşılamadığından ve ulaşılabildiği durumlarda da ilgili sunucunun kapatılması için gerekli yasal düzenleme olmadığından uygulanamadığı, bu durumun da yargı kararlarına olan güveni sarstığıdır (Yargıtay 4.H.D., 8.2.2001 tarih,2001/755-1157 sayılı karar). Karar yoğun biçimde eleştirilmiştir. Kanaatimizce de verilecek kararın uygulanamaz olması nedeniyle konuyu yargı önüne getirmekten vazgeçmek yerine, yargı organın verdiği kararı uygulatmanın yollarının aranması daha uygun olacaktır. Kaldı ki verilen karar her durumda uygulanamaz olmayacaktır da.
Uygulamada internet yolu ile işlenen suçların kovuşturulması konusunda en yoğun şekilde çalışan yetkililerden birisi olan, İstanbul Basın Savcısı Sn. Cevat Özel, bir makalesinde konuyla ilgili önerilerini “… internet ortamında haksız fiil işleyen kişilerin kimlik ve adres bilgilerine, şikayet edilen yayınların içeriğine adli makamların ulaşmasını temin edici hükümler getirilmeli, bu bağlamda servis sağlayıcı şirketlere bu bilgileri bir müddet saklama ve adli makamların talebi halinde verme mükellefiyeti yüklenmelidir. Delillendirmeyi, faile ulaşmayı, diğer bir deyişle fiil ile fail arasındaki irtibatı sağlayıcı hükümler getirilmediği takdirde, dünyanın en iyi yasası da kabul edilse sonuca ulaşmanın mümkün olamayacağı gerçeği gözden uzak tutulmamalıdır. Verilerin internet ortamında uzun süre saklanmasının güçlüğü ve büyük mali külfet getireceği dikkate alınarak bu süre ile şikayet ve dava zamanaşımı süreleri kısa tutulabilir.” biçiminde dile getirmiştir (Özel, 2000).
Sunuculara ve Network ’lere internet üzerinden yapılan saldırılar karşısında şu veya bu nedenlerle sessiz kalınması bu saldırıları kamuoyunun gözünde haklı ve hatta sevimli hale getirmekte ve saldırıları gerçekleştirenlere yeni saldırılar için cesaret vermektedir. Burada Network yöneticilerine ve bilgi işlem sorumlularına bir takım görevler düşmektedir.İlk olarak saldırıları engelleyecek tedbirler almalıdırlar. Bu tedbirlere rağmen saldırının gerçekleşmesi ihtimalini düşünerek, gerçekleştiğinde, sorumluları tespit etmek için gerekli teknik önlemleri almalıdırlar.(ör. log tutma benzeri önlemler) Ayrıca sorumluların tespiti ve cezalandırılması için adli makamlara mutlaka başvurmalı ve gerektiğinde bu makamlarla işbirliği içinde çalışmalıdırlar.
Yararlanılan Kaynaklar
-
Türk Ceza Kanunu
-
Ceza Muhakemeleri Usul Kanunu
-
Özdilek, Ali Osman, 2003, Port Tarayıcıları Kullanmak Hukuka Aykırı mıdır?, Montreal
-
Özdilek, Ali Osman, 2002, İnternet ve Hukuk, İstanbul, Papatya Yayıncılık
-
Özel, Cevat, 2000 Bilişim – İnternet Suçları,
-
Sieber,Ulrich, 1998, Legal Aspects of Computer-Related Crime in the Information Society – COMCRIME-Study – http://europa.eu.int/ISPO/legal/en/comcrime/sieber.html
-
Sınar, 2001,Hasan, İnternet ve Ceza Hukuku, İstanbul, Beta Yayınları
-
Yenisey, Feridun, 1993, Hazırlık Soruşturması ve Polis, İstanbul, Beta Yayınları
-
Akademik Bilişim Sözlüğü http://www.metu.edu.tr/cgi-bin/sozluk/sozluk
Dostları ilə paylaş: |