Worm’ların ve DDoS Ataklarının Hukuki İncelemesi
Copyright, Av.Ali Osman Özdilek, Montreal, Ocak 2003
24 Ocak Cuma günü her akşam olduğu gibi İnternet’e girdiğimde browserım bir türlü sayfaları açamadı. Oysa kullandığım ISS nin bağlantılarında hiç yavaşlama olmazdı. Bir terslik olduğunu anladım ve düzenli olarak ziyaret ettiğim güvenlik sitelerinden birine zor da olsa ulaşmayı başardım ve bu yavaşlamanın sebebini öğrendim.ın Ulusal Altyapı Sistemi Koruma Merkezi ( FBI’s National Infrastructure Protection Center ) web sitesinde ( www.nipc.gov ) benzer bir uyarı yayınladı. Bu uyarıda ayrıca NIPC tarafından geliştirilen, sistem yöneticilerinin Trinoo ve TFN’yi inceleyebilmeleri amacıyla kullanabilecekleri ücretsiz bir yazılım da yer alıyordu.
NIPC yazılımı yüklemeyi düşünen herkesi, yazılımı kendi sistemlerinde çalıştırmaları ve herhangi bir DDoS hazırlığına ilişkin kanıtı yerel FBI bürolarına veya NIPC’nin kendisine rapor etmeleri için de teşvik etti. NIPC ayrıca Birleşik Devletler’in en büyük finansal kurluşlarına hizmet veren Global Güvenirlilik Şirketi tarafından işletilen Finansal Hizmetler Bilgi Paylaşım ve Analiz Merkezi’nden yaklaşan tehlikeye ilişkin ayrıntılı uyarılar aldı. Associated Press’e göre, elektronik posta ile yapılan acil alarmlar Yahoo!’nun saldırıya uğramasından en az dört gün önce başladı.
7 Çubat Pazartesi günü Yahoo! ilk darbeyi aldı. Yahoo! internet üzerindeki en iyi performansa sahip sitelerden biriydi. Bir internet performans analiz servisi olan Keynote Sysytems’e göre Yahoo! normalde %99.3’lük bir erişim oranına sahipti. Fakat şiddetli DDoS saldırısı boyunca Yahoo! portalı 3 saat boyunca neredeyse erişilemez hale geldi. Bu zaman aralığındaki erişim oranı sadece %0 ile 10 arasındaydı.
New York’taki Wit Capital Group’tan Jordan E. Rohan Yahoo!’nun erişilemediği süre boyunca 100 milyon gibi çok sayıda sayfa görüntüsünü kaybetmiş olabileceğini ve muhtemel reklam ve elektronik ticaret gelirleri kaybının yaklaşık olarak 500.000 dolar olduğunu belirtti.
8 Şubat Salı günü ise Buy.com, eBay, CNN ve Amazon.com da saldırıya uğradılar. Her ne kadar Buy.com hiç kapanmadıysa da %9.4 erişim oranında kaldı. e.Bay ise saatler boyunca erişilemez hale geldi. 4.45 ve 5.30 saatleri arasında CNN’in normal kullanıcı akışının %5’inden daha azı siteye ulaşabildi. Amazon.com ise saat 5.00’dan 5.30’a kadar saldırıya maruz kaldı. Saldırı boyunca Amazon.com’un ana sayfasına ulaşmak yaklaşık 5 dakika kadar sürüyordu.
Bunlardan başka diğer bir çok web sitesi de saldırıdan payını aldılar. Bu saldırının ardından yoğun bir tartışma ve karmaşa başladı. Bu saldırıyı kim, nasıl, niçin yapmıştı, DDoS neydi? Zombilerin ayı arkasında bunun gibi pek çok soruyla birlikte büyük maddi kayıplar bıraktı. Bu günlerde IRC ye de bir DDoS saldırısı yapılıyor hatta birçok IRC sunucusunun kapanması gündemde. Aşağıda zombilerin ve DDoS ataklarının ne olduğunu okuyacaksınız.
b. DDoS ( Distributed Denial of Service ) Atakları ve Zombi Nedir?
DDoS saldırılarının amacı hedef sistemi işlemez hale getirmektir. Bazı DDoS atakları hedef sistemi iflas ettirmek için tasarlanmışken diğer bazıları da hedef sistemi meşgul edip normal işleyişini yavaşlatmak için tasarlanmıştır.
Bir DDoS atağında saldırgan, onlarca hatta yüzlerce sunucuyu kontrol altında tutabilir ve bütün bu sistemlerin saldırı gücünü tek bir hedefe yönlendirebilir.
Zombiler
DDos atağı düzenleyen kişi kimliğini ele vermemek için atakları “zombi” adı verilen bilgisayarlar üzerinden yapar. Böylece aynı anda bir çok bilgisayarın hedefe saldırmasını sağlar ve kimliğini gizler. Zombiler saldırgan tarafından ele geçirilen sistemlere yerleştirilirler. Ele geçirilen sisteme yerleştirilen zombiler kendi bünyesindeki daemonlar vasıtasıyla belirli bir porttan gelecek olan DDoS isteklerini gerçekleştirirler. Yani aslında zombi bilgisayarlar tamamen masum bilgisayarlardır. Sahiplerinin bilgisayarlarının zombi haline getirildiğinden haberleri yoktur. Zombi olarak genellikle ISS ve üniversite bilgisayarları tercih edilmektedir. Zombiler, bilgisayarlara uzaktan kontrol (remote) imkanı vererek, bu bilgisayarlar üzerinden istedikleri server'a çok sayıda veri göndererek hedefi işlemez hale getirmektedir.
Düşmanın kendisini gizleyebilmesini olanaklı kılan şey, HTTP, DNS gibi anonim Internet servislerinde, sitelerin IP numaralarını doğrulayacak bir denetim mekanizmasının (authentication) bulunmamasıdır. Bunun yanısıra yine aynı sebepten ötürü düşman atakta kullanacağı trafiği zombiler üzerinden kurban siteye yönlendirebilmektedir. IP-spoofing olarak adlandırılan bu aldatma tekniğinde saldırganın yaptığı şey gönderdiği IP paketlerine kendi gerçek IP numarasını koymamak, yerine göre ya var olmayan bir IP numarasını ya da kurban sitenin numarasını koymaktır.
IP Spoofing aslında bir güvenlik önlemi olarak yaratılmıştır. IP Spoofing’in suç oluşturup oluşturmayacağı her olayın somut şartları altında incelenmelidir. Eğer spoof yapan kişi bunu sisteminin güvenliği için yaptığını ispatlayabiliyorsa eylemi hukuka aykırı olmayacaktır. Eğer ispatlayamıyorsa spoof yapan kişinin bununla neyi amaçladığına bakılmalıdır. Eğer konusu suç teşkil eden eylemler yapıyor, örneğin konumuzdaki gibi DDoS atakları yapıyorsa spoof yapan kişinin bunu suç yolunda elverişli bir araç olarak kullandığı kabul edilerek IP Spoofing’in hukuka aykırı olduğu söylenebilecektir. DDoS ataklarını bir şemayla göstermek gerekirse;
Saldırgan bir üniversite
ağına veya basit bir ağa zorla giriyor.
1
Saldırgan kendisi onları ortaya çıkarana kadar
hareketsiz kalan zombi bilgisayarlara bir program kuruyor
2
Saldırgan uzaktaki bir siteden saldırıyı başlattığında zombiler kurbanın sunucusundan yeniden yöneltilen, ağ üzerindeki diğer bilgisayarlara trafik yaratıyorlar.
3
Sunucu taleplerle öyle boğuluyor ki kullanıcılar kurbanın web sitesine erişemiyor.
4
Kullanıcı Kullanıcı
(Meşgul) (Meşgul)
|
----------> ----------> --kurban sunucu-->
|
Kullanıcı (Meşgul) Kullanıcı (Meşgul)
c. Hukuki Durum :
DDoS ataklarının teknik işleyişini böylece gördükten sonra artık bunların Türk Ceza Kanunu’nda düzenlenen bilişim suçları kapsamına gireceğini söylemekte tereddüt edilmemelidir. Yukarıda wormlar için geçerli olacağını söylediğimiz TCK m.525 burada da geçerli olacaktır. Maddeyi tekrarlamak gerekirse;
Madde 525/b - (Ek : 6/6/1991 - 3756/22 md.)
Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadıyla,bilgileri otomatik işleme tabi tutmuş bir sistemi veya verileri veya diğerherhangi bir unsuru kısmen veya tamamen tahrip eden veya değiştiren veya silen veya sistemin işlemesine engel olan veya yanlış biçimde işlemesini sağlayan kimseye iki yıldan altı yıla kadar hapis ve ………. liradan ……… liraya kadar ağır para cezası verilir.
Suçu incelerken suçun oluşabilmesi için geçilmesi gereken teknik aşamalar da göz önüne alınmalıdır. Çünkü tek bir mağdura karşı yapılan tek bir eylem yoktur. Failin ilk eylemi herhangi bir kullanıcının bilgisayarını zombi bilgisayar haline getirmektir. Bunun için de bu bilgisayara yetkisiz giriş yaparak amacını gerçekleştirebileceği programı bu bilgisayara kurar. Böylece artık dilediği zaman bu bilgisayarın kendi yüklediği program sayesinde belirli bir fonksiyonu yerine getirmesini sağlar yani sistemin işleyişini değiştirir.
Fail bundan sonra zombi bilgisayarlara bir emir vererek hedef sunucuya çok yoğun biçimde talep göndermeye başlar. Bunun sonucunda bu yükü kaldıramayan sunucu ya çöker ya da işleyişi yavaşlar. Fail bu hareketiyle sistemin işleyişine engel olmaktadır. Bu saydığımız iki fiil de maddede açıkça düzenlenmiştir.
Suçun oluşabilmesi için sunucuyu işletenin bundan maddi olarak bir zarar görmesi gerekmez. Sunucularının kapasitesi yüksek olup ta bu eyleme maruz kalan bir işleten bu eylemden dolayı hiçbir zarara uğramasa bile fail hakkında suç duyurusunda bulunabilir. Kanunda geçen “yarar” teriminin illa ki maddi bir yarar olması gerekmez. Failin bundan elde ettiği haz duygusu da manevi yarar olarak değerlendirilmelidir. Kaldı ki sonuç bölümünde de belirteceğimiz gibi failin bu eylemi hangi saiklerle ve ne gibi yararlar umarak yaptığını tespit etmek zordur.
Bu suç ancak kastla işlenebilir. Suç teşebbüse elverişlidir. Zombi bilgisayar kullanıcılarının durumu farketmesi ile bilgisayarlarını kapatmaları, sunucuyu işletenin güvenlik biriminin durumu başından farkedip gerekli tedbirleri alması gibi durumlarda suç teşebbüs derecesinde kalabilir. Teşebbüsün türü somut olayın şartlarına göre değerlendirilmelidir. Burada zombi bilgisayar kullanıcılarına cezai bir sorumluluk yükletmek mümkün değildir meğer ki saldırganla işbirliği yaptıkları tespit edilmiş olsun.
Netice zombi bilgisayarlardan sunucuya taleplerin yöneltilmeye başlamasıyla birlikte gerçekleşmiş olur. Suçun işlendiği yer olarak hedef sunucunu bulunduğu yer kabul edilmelidir.
d. Sonuç :
Bu saldırıların niçin yapıldığını tespit etmek gerçekten çok güçtür. Bir çok saik bu saldırıların yapılmasında rol oynayabilir. Akla ilk gelen sebepler şunlardır:
İnternet’i özgür ve saf bir alan olarak kabul eden kişiler tarafından İnternet’in ticarileştirilmesine karşı bir mücadele ve protesto amaçlı olabilir.
Copyright, Av.Ali Osman Özdilek, Montreal, Ocak 2003
24 Ocak Cuma günü her akşam olduğu gibi İnternet’e girdiğimde browserım bir türlü sayfaları açamadı. Oysa kullandığım ISS nin bağlantılarında hiç yavaşlama olmazdı. Bir terslik olduğunu anladım ve düzenli olarak ziyaret ettiğim güvenlik sitelerinden birine zor da olsa ulaşmayı başardım ve bu yavaşlamanın sebebini öğrendim.ın Ulusal Altyapı Sistemi Koruma Merkezi ( FBI’s National Infrastructure Protection Center ) web sitesinde ( www.nipc.gov ) benzer bir uyarı yayınladı. Bu uyarıda ayrıca NIPC tarafından geliştirilen, sistem yöneticilerinin Trinoo ve TFN’yi inceleyebilmeleri amacıyla kullanabilecekleri ücretsiz bir yazılım da yer alıyordu.
NIPC yazılımı yüklemeyi düşünen herkesi, yazılımı kendi sistemlerinde çalıştırmaları ve herhangi bir DDoS hazırlığına ilişkin kanıtı yerel FBI bürolarına veya NIPC’nin kendisine rapor etmeleri için de teşvik etti. NIPC ayrıca Birleşik Devletler’in en büyük finansal kurluşlarına hizmet veren Global Güvenirlilik Şirketi tarafından işletilen Finansal Hizmetler Bilgi Paylaşım ve Analiz Merkezi’nden yaklaşan tehlikeye ilişkin ayrıntılı uyarılar aldı. Associated Press’e göre, elektronik posta ile yapılan acil alarmlar Yahoo!’nun saldırıya uğramasından en az dört gün önce başladı.
7 Çubat Pazartesi günü Yahoo! ilk darbeyi aldı. Yahoo! internet üzerindeki en iyi performansa sahip sitelerden biriydi. Bir internet performans analiz servisi olan Keynote Sysytems’e göre Yahoo! normalde %99.3’lük bir erişim oranına sahipti. Fakat şiddetli DDoS saldırısı boyunca Yahoo! portalı 3 saat boyunca neredeyse erişilemez hale geldi. Bu zaman aralığındaki erişim oranı sadece %0 ile 10 arasındaydı.
New York’taki Wit Capital Group’tan Jordan E. Rohan Yahoo!’nun erişilemediği süre boyunca 100 milyon gibi çok sayıda sayfa görüntüsünü kaybetmiş olabileceğini ve muhtemel reklam ve elektronik ticaret gelirleri kaybının yaklaşık olarak 500.000 dolar olduğunu belirtti.
8 Şubat Salı günü ise Buy.com, eBay, CNN ve Amazon.com da saldırıya uğradılar. Her ne kadar Buy.com hiç kapanmadıysa da %9.4 erişim oranında kaldı. e.Bay ise saatler boyunca erişilemez hale geldi. 4.45 ve 5.30 saatleri arasında CNN’in normal kullanıcı akışının %5’inden daha azı siteye ulaşabildi. Amazon.com ise saat 5.00’dan 5.30’a kadar saldırıya maruz kaldı. Saldırı boyunca Amazon.com’un ana sayfasına ulaşmak yaklaşık 5 dakika kadar sürüyordu.
Bunlardan başka diğer bir çok web sitesi de saldırıdan payını aldılar. Bu saldırının ardından yoğun bir tartışma ve karmaşa başladı. Bu saldırıyı kim, nasıl, niçin yapmıştı, DDoS neydi? Zombilerin ayı arkasında bunun gibi pek çok soruyla birlikte büyük maddi kayıplar bıraktı. Bu günlerde IRC ye de bir DDoS saldırısı yapılıyor hatta birçok IRC sunucusunun kapanması gündemde. Aşağıda zombilerin ve DDoS ataklarının ne olduğunu okuyacaksınız.
b. DDoS ( Distributed Denial of Service ) Atakları ve Zombi Nedir?
DDoS saldırılarının amacı hedef sistemi işlemez hale getirmektir. Bazı DDoS atakları hedef sistemi iflas ettirmek için tasarlanmışken diğer bazıları da hedef sistemi meşgul edip normal işleyişini yavaşlatmak için tasarlanmıştır.
Bir DDoS atağında saldırgan, onlarca hatta yüzlerce sunucuyu kontrol altında tutabilir ve bütün bu sistemlerin saldırı gücünü tek bir hedefe yönlendirebilir.
Zombiler
DDos atağı düzenleyen kişi kimliğini ele vermemek için atakları “zombi” adı verilen bilgisayarlar üzerinden yapar. Böylece aynı anda bir çok bilgisayarın hedefe saldırmasını sağlar ve kimliğini gizler. Zombiler saldırgan tarafından ele geçirilen sistemlere yerleştirilirler. Ele geçirilen sisteme yerleştirilen zombiler kendi bünyesindeki daemonlar vasıtasıyla belirli bir porttan gelecek olan DDoS isteklerini gerçekleştirirler. Yani aslında zombi bilgisayarlar tamamen masum bilgisayarlardır. Sahiplerinin bilgisayarlarının zombi haline getirildiğinden haberleri yoktur. Zombi olarak genellikle ISS ve üniversite bilgisayarları tercih edilmektedir. Zombiler, bilgisayarlara uzaktan kontrol (remote) imkanı vererek, bu bilgisayarlar üzerinden istedikleri server'a çok sayıda veri göndererek hedefi işlemez hale getirmektedir.
Düşmanın kendisini gizleyebilmesini olanaklı kılan şey, HTTP, DNS gibi anonim Internet servislerinde, sitelerin IP numaralarını doğrulayacak bir denetim mekanizmasının (authentication) bulunmamasıdır. Bunun yanısıra yine aynı sebepten ötürü düşman atakta kullanacağı trafiği zombiler üzerinden kurban siteye yönlendirebilmektedir. IP-spoofing olarak adlandırılan bu aldatma tekniğinde saldırganın yaptığı şey gönderdiği IP paketlerine kendi gerçek IP numarasını koymamak, yerine göre ya var olmayan bir IP numarasını ya da kurban sitenin numarasını koymaktır.
IP Spoofing aslında bir güvenlik önlemi olarak yaratılmıştır. IP Spoofing’in suç oluşturup oluşturmayacağı her olayın somut şartları altında incelenmelidir. Eğer spoof yapan kişi bunu sisteminin güvenliği için yaptığını ispatlayabiliyorsa eylemi hukuka aykırı olmayacaktır. Eğer ispatlayamıyorsa spoof yapan kişinin bununla neyi amaçladığına bakılmalıdır. Eğer konusu suç teşkil eden eylemler yapıyor, örneğin konumuzdaki gibi DDoS atakları yapıyorsa spoof yapan kişinin bunu suç yolunda elverişli bir araç olarak kullandığı kabul edilerek IP Spoofing’in hukuka aykırı olduğu söylenebilecektir. DDoS ataklarını bir şemayla göstermek gerekirse;
Saldırgan bir üniversite
ağına veya basit bir ağa zorla giriyor.
1
Saldırgan kendisi onları ortaya çıkarana kadar
hareketsiz kalan zombi bilgisayarlara bir program kuruyor
2
Saldırgan uzaktaki bir siteden saldırıyı başlattığında zombiler kurbanın sunucusundan yeniden yöneltilen, ağ üzerindeki diğer bilgisayarlara trafik yaratıyorlar.
3
Sunucu taleplerle öyle boğuluyor ki kullanıcılar kurbanın web sitesine erişemiyor.
4
Kullanıcı Kullanıcı
(Meşgul) (Meşgul)
|
----------> ----------> --kurban sunucu-->
|
Kullanıcı (Meşgul) Kullanıcı (Meşgul)
c. Hukuki Durum :
DDoS ataklarının teknik işleyişini böylece gördükten sonra artık bunların Türk Ceza Kanunu’nda düzenlenen bilişim suçları kapsamına gireceğini söylemekte tereddüt edilmemelidir. Yukarıda wormlar için geçerli olacağını söylediğimiz TCK m.525 burada da geçerli olacaktır. Maddeyi tekrarlamak gerekirse;
Madde 525/b - (Ek : 6/6/1991 - 3756/22 md.)
Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadıyla,bilgileri otomatik işleme tabi tutmuş bir sistemi veya verileri veya diğerherhangi bir unsuru kısmen veya tamamen tahrip eden veya değiştiren veya silen veya sistemin işlemesine engel olan veya yanlış biçimde işlemesini sağlayan kimseye iki yıldan altı yıla kadar hapis ve ………. liradan ……… liraya kadar ağır para cezası verilir.
Suçu incelerken suçun oluşabilmesi için geçilmesi gereken teknik aşamalar da göz önüne alınmalıdır. Çünkü tek bir mağdura karşı yapılan tek bir eylem yoktur. Failin ilk eylemi herhangi bir kullanıcının bilgisayarını zombi bilgisayar haline getirmektir. Bunun için de bu bilgisayara yetkisiz giriş yaparak amacını gerçekleştirebileceği programı bu bilgisayara kurar. Böylece artık dilediği zaman bu bilgisayarın kendi yüklediği program sayesinde belirli bir fonksiyonu yerine getirmesini sağlar yani sistemin işleyişini değiştirir.
Fail bundan sonra zombi bilgisayarlara bir emir vererek hedef sunucuya çok yoğun biçimde talep göndermeye başlar. Bunun sonucunda bu yükü kaldıramayan sunucu ya çöker ya da işleyişi yavaşlar. Fail bu hareketiyle sistemin işleyişine engel olmaktadır. Bu saydığımız iki fiil de maddede açıkça düzenlenmiştir.
Suçun oluşabilmesi için sunucuyu işletenin bundan maddi olarak bir zarar görmesi gerekmez. Sunucularının kapasitesi yüksek olup ta bu eyleme maruz kalan bir işleten bu eylemden dolayı hiçbir zarara uğramasa bile fail hakkında suç duyurusunda bulunabilir. Kanunda geçen “yarar” teriminin illa ki maddi bir yarar olması gerekmez. Failin bundan elde ettiği haz duygusu da manevi yarar olarak değerlendirilmelidir. Kaldı ki sonuç bölümünde de belirteceğimiz gibi failin bu eylemi hangi saiklerle ve ne gibi yararlar umarak yaptığını tespit etmek zordur.
Bu suç ancak kastla işlenebilir. Suç teşebbüse elverişlidir. Zombi bilgisayar kullanıcılarının durumu farketmesi ile bilgisayarlarını kapatmaları, sunucuyu işletenin güvenlik biriminin durumu başından farkedip gerekli tedbirleri alması gibi durumlarda suç teşebbüs derecesinde kalabilir. Teşebbüsün türü somut olayın şartlarına göre değerlendirilmelidir. Burada zombi bilgisayar kullanıcılarına cezai bir sorumluluk yükletmek mümkün değildir meğer ki saldırganla işbirliği yaptıkları tespit edilmiş olsun.
Netice zombi bilgisayarlardan sunucuya taleplerin yöneltilmeye başlamasıyla birlikte gerçekleşmiş olur. Suçun işlendiği yer olarak hedef sunucunu bulunduğu yer kabul edilmelidir.
d. Sonuç :
Bu saldırıların niçin yapıldığını tespit etmek gerçekten çok güçtür. Bir çok saik bu saldırıların yapılmasında rol oynayabilir. Akla ilk gelen sebepler şunlardır:
İnternet’i özgür ve saf bir alan olarak kabul eden kişiler tarafından İnternet’in ticarileştirilmesine karşı bir mücadele ve protesto amaçlı olabilir.
Birkaç gündür tüm dünyada benim gibi milyonlarca internet kullanıcısı aynı sorunu yaşadı. Aynı anda başka bir haber daha gözüme ilişti. DalNet’e de DDoS atakları yapılması sebeiyle DalNet’in kapanması gündeme gelmişti. İçimden kurtlarla zombiler yine saldırdı diye geçirdim.
Nedir bu kurtlarla zombiler, nasıl çalışırlar, neyi amaçlarlar, zararları nelerdir ve bu eylemler karşısında hukukun durumu nedir?
Kurtlar veya Solucanlar :
a) Genel Olarak:
İnternete yapılan büyük saldırının sorumlusunun bir Microsoft ürünündeki açığı kullanan worm olduğu anlaşıldı. Bu saldırı sebebiyle internet erişimi yavaşlarken internet üzerinden verilen bir çok hizmet te durma noktasına geldi. Wormlar da virüsler gibi kötü amaçlı kodlarla yazılmış programlardır.
Kaydedilen ilk worm, yaratıcısının adıyla anılan “Morris Wormu”dur. 1988 yılında Cornell’de bilgisayar yüksek lisans öğrencisi olan Robert Tappan Morris kendi kendini kopyalayabilen 99 satır koddan oluşan bir program yazdı ve bunu İnternet’e enjekte etti. Kod kısa sürede yayıldı. Ne yaptığının farkına varan Morris Harvard’daki bir arkadaşını arayarak ne yapacağını sordu. Ama artık geç kalmıştı. Üniversitelerin, askeri kuruluşların vs. bilgisayarlarına kod çoktan bulaşmıştı.
Wormlar ve diğer kötü amaçlı kodlar ( özellikle virüsler ) arasındaki birinci fark bunların çoğalma ve yayılma için kullandıkları metodlardan kaynaklanmaktadır. Standart bir bilgisayar virüsü bir sisteme girdiği zaman bir sistem dosyasını veya ulaşabildiği bir dosyayı gelecekte herhangi bir zamanda kullanılmak üzere değiştirir. Bu değiştirme genellikle virüs bilgisayarın neresinde olursa olsun aktif hale getirilebileceği bir komutun dosyaya eklenmesiyle olur. Virüsler ile wormlar arasındaki yapılacak karşılaştırmada dikkat edilecek en önemli nokta, kullanıcı tarafından virüs aktif hale getirilinceye kadar virüsün bilgisayarda hareketsiz kalmasıdır. Yani değiştirilen dosya çağırılıncaya kadar virüs hareketsiz kalır.
Oysa worm bu açıdan bakıldığında çok daha güçlüdür. Bir worm bilgisayara girdiği zaman eğer yapabilirse bulaşabileceği internet alanlarını arayan bir programı başlatır. Bir wormun yüklediği bu programın başlayabilmesi için herhangi bir kullanıcının yardımına ihtiyacı yoktur. Dahası worm İnternet üzerinde gezer ve kendini ekleyebileceği yeni kurban bilgisayarlar arar. Worm çalışması için kullanıcının bir hareketine ihtiyaç duymadığı gibi yayılmak için de herhangi bir harekete ihtiyaç duymaz.
Morris worm’u Unix sistemlerdeki iki fonksiyondaki açıkları kullanarak yayılmıştı; sendmail ve finger fonksiyonları...Bu arada worm’un yayılmasını önlemek için uzmanlar yoğun bir çalışma içindeydiler. En sonunda worm’un internete salınmasından yaklaşık 12 saat sonra Berkeley Üniversitesi’nden bir ekip worm’un yayılmasını engelleyecek bir adım attı. Bu arada internete bağlı birçok sistemin bağlantısı yöneticileri tarafından kesildi. Morris wormundan ülke çapında yaklaşık 60.000 bilgisayar etkilendi. Bu rakamın o gün için ifade ettiği rakamı bir düşünün.
b) Hukuki Yönden :
Virüsler ve wormlar gibi kötü amaçlı olarak yazılmış kodlar hukukun çeşitli alanlarının inceleme sahasına girmekte ama özellikle de ceza hukuku içerisinde incelenmektedir. Bu kodların verdikleri zararlar sebebiyle zarar gören kişiler tazminat vb gibi taleplere yönelik çeşitli hukuk davalarını açabileceklerdir.
Bu kodların ceza hukukunda incelenmesinde öncelikle sorulması gereken soru; sırf kötü amaçlı bir kodun yazılmış olmasının yazarı için cezai sorumluluk doğurup doğurmayacağı sorusudur.
Dünyanın çeşitli ülkelerinde bu kodlardan zarar gören devletler ve şirketler bunları kaynağında kurutabilmek için bu kodların yazımının suç olarak kabul edilmesini istemektedirler. Bu son olaylardan sonra belki de yasalara bu yönde hükümlerin koyulması yönünde baskı artacaktır.
Kanımca sırf bu kodların yazımının suç olmaması gerekir. Kötü amaçlı kod tanımının çok iyi yapılması gerekir. Bir ABD yüksek mahkemesi kararında bilgisayar kodlarının ve dolayısıyla kötü amaçlı kod olduğu iddia edilen kodların yasalar tarafından korunduğu belirtilmiş ve “kötü amaçlı” teriminin sağlam bir tanımlamasının olmadığı da belirtilmiştir.
Sırf kötü amaçlı kod yazmak hukuki açıdan ancak saik olarak kabul edilebilir. Ceza hukukunda saiklerin suç teşkil etmeyeceği kabul edilegelen bir ilke olmuştur. Burada tartışılması gereken bir başka husus ise virüs kodu yazmanın bir tehlike suçu oluşturup oluşturmayacağıdır.
Kanımca sırf kötü amaçlı bir kodun yazımı bir tehlike suçu meydana getirmez. Bir tehlike suçundan bahsedebilmek için objektif olarak bir hareketin yapılması ve bu hareketin sonucunda ceza hukuku açısından bir netice meydana gelme ihtimalinin kuvvetli olması gerekir. Yukarıda da belirttiğimiz gibi sırf kod yazımı bir saikten öte anlam ifade etmemelidir.
Fakat yazılan bu kodun sonuçlarını doğurmaya elverişli bir halde sunulması örneğin halen görüldüğü gibi bir hack web sitesinde kullanılmaya elverişli şekilde yer alması durumunda artık bir tehlike suçunun varlığından söz edilebilecektir. Çünkü virüs kodları artık bir saik olmaktan çıkmış ve suç yolunda elverişli bir araç haline dönüşmüştür.
Hukukumuzdaki durum nedir?
Mevzuatımızda kötü amaçlı kod yazma ve bunu yaymaya ilişkin açık bir hüküm bulunmamaktadır. Kötü amaçlı kodlarla bir bilgisayar sistemine zarar verme doktrinde genelllikle “sistem ve unsurlarına yönelik nas-ı ızrar suçu” olarak adlandırılmaktadır.
Morris worm’unda da belirttiğim gibi kötü amaçlı kodlar gerçekten de çok büyük maddi zararlara yol açmaktadır. Bir örnek daha vermek gerekirse “Loveletter” veya “I Love You” isimli virüs yaklaşık olarak 55 milyon bilgisayara ulaşmış ve bunların 2.5-3 milyonuna bulaşmıştır. Hesaplanan zarar ise 8-9 milyar dolar gibi bir rakamdır. Fakat nas-ı ızrar suçu denilirken kötü amaçlı kodların verdikleri bu maddi zararlar değil, bulaştığı sistem ve unsurlarına verdikleri zararlar kastedilmektedir.
Fakat bu suçu nas-ı ızrar suçu olarak tanımlamak bu suçun niteliğini ve kapsamını açıklamaya yetmez. Çünkü virüsler daha çok bir sistemde mevcut programlara zarar verirler. Bir bilgisayar sisteminin standart olarak belirlenen fonksiyonlarını kendisine yükletilen şekilde yerine getirmesine engel olurlar. Bilgisayar programlarını fiziki anlamda bir mal saymaya imkan yoktur. Örneğin bir DOS işletim sistemi deyince DOS’un kayıtlı olduğu harddisk değil DOS’un kaynak kodları anlaşılır. Bu da fiziki anlamda bir mal değildir. Kanımca bu suça “sistem ve unsurlarına yönelik kötü amaçlı kod saldırısı suçu” denilmesi daha yerinde olur.
Hukukumuzda TCK m.525/b.1 ile kötü amaçlı kod kullanarak bilgisayar sistemine zarar verme suçunu karşılayabilecek bir hüküm getirilmiştir. Maddeye göre:
Madde 525/b - (Ek : 6/6/1991 - 3756/22 md.)
Başkasına zarar vermek veya kendisine veya başkasına yarar sağlamak maksadıyla,bilgileri otomatik işleme tabi tutmuş
bir sistemi veya verileri veya diğerherhangi bir unsuru kısmen veya tamamen tahrip eden veya değiştiren veya silen veya
sistemin işlemesine engel olan veya yanlış biçimde işlemesini sağlayan kimseye iki yıldan altı yıla kadar hapis ve ……….
liradan ……… liraya kadar ağır para cezası verilir.
Kanunun saydığı tahrip etmek, değiştirmek, silmek, sistemin işlemesine engel olmak ve yanlış işlemesini sağlamak fiillerinin tamamı kötü amaçlı kodlar kullanılarak yapılabilir. Bu suç ancak kastla işlenebilir. Buradaki kast özel kasttır. Bu özel kast da yukarıda sayılan fiillerle başkasına zarar vermek veya kendisine veya başkasına yarar sağlamaktır.
c. Sonuç :
Yazımızın konusu oluşturan wormlar gibi kötü amaçlı kodların sayısı, çeşitliliği ve tahrip güçleri her geçen gün artmaktadır. Yukarıda belirttiğimiz bazı rakamlar gerçekten çok büyük rakamlardır. Kötü amaçlı kodlar bu güce internet sayesinde ulaşmışlardır. Denetimsiz bir ortam bu tip kodları yayanlar için bulunmaz bir ortamdır. Bunların sadece ekonomiyi değil, sağlık ve eğitim hizmetlerini, ulusal güvenliği vs. tehdit eden geniş etkileri karşısında İnternet’te sonsuz özgürlük çığlıkları atmayı bırakıp özellikle ISS’ler ve diğer Internet hizmeti veren kurluşlara ilişkin teknik standartlar ve kötü amaçlı kodlara ilişkin özel bir düzenleme getirmek şart olmaktadır.
Zombiler :
Konunun başında da belirttiğim gibi İnternet geçtiğimiz günlerde büyük bir saldırıya uğradı. Bu saldırı ise bilgisayar ve güvenlik dünyasında “Zombi” adı verilen bilgisayarlar kullanılarak DDoS atakları ile yapıldı. Burada öncelikle çok uzak olmayan ve büyük bir etki yapan bir DDoS saldırısından bahsedeceğim.
a. Zombilerin Ayı: Şubat 2000
Şubat 2000’de Yahoo!, eBay, Amazon.com gibi internet simgelerini ve diğerlerini sarsan çok güçlü The Distributed Denial of Service ( DDoS ) atakları yapıldı.
1 Şubat 2000 günü aylık olarak yayınlanan “Computer Security Alert” dergisinde bu saldırıların başlayabileceğine ilişkin bazı ipuçlarının olduğu belirtiliyordu. Bundan önce de 18 Kasım 1999’da Carnegie Mellon’s Computer Emergency Response Team ( CERT ) tarafından erişim kazanmak için bilinen açıkları kullanan kişiler tarafından masum sunucular üzerine kurulan iki DDoS aracı; Trinoo ve Tribe Flood Network’e dikkat çeken bir CERT olay notu yayınlandı ( CERT Olay notu IN-99-07 ).
30 Aralık 1999’da FBI’
“İnternet Borsası”nda güvenlik konusunda, İnternet’in güvenli bir alan olmadığı fikrinden çıkar umanlar kendi hisselerinin değerini yükseltmeye çalışıyor olabilirler.
Şu ana kadar yaşanmış olmasa da bir haraç alma girişimiyle bağlantılı olabilir. Örneğin birisi çıkıp “bakın Yahoo!’ya ne oldu. Eğer şu hesaba şu kadar para yatırmazsanız sizin de elektronik ticaret yaptığınız sitelerinizin başına aynısı hatta daha kötüsü gelebilir” diyebilir.
Yalnızca zarar verme amaçlı bir vandalizm eylemi olabilir.
İnternetin kendisine sunduğu araçları ellerinde bir güç olarak hisseden ve kendini büyük olarak ispatlamak isteyen çocuklar veya gençler olabilir.
Nedeni ne olursa olsun etkileri o kadar yıkıcı olmuştur ki 9 Şubat 2000 tarihinde hacker’lar dahi bir açıklama yapmak zorunluluğu hissetmişlerdir. “2600: The Hacker Quorterly ( www.2600.com )” bir bildiri yayınladı. Bu bildiride şöyle diyorlardı :
“DDoS saldırıları tarafından saldırılan ve etkisiz hale getirilen web siteleri için üzgünüz. Gerçekten üzgünüz. Fakat onların veya herhangi birinin suçu hacker’ların üzerine atmasına izin veremeyiz. Şimdiye dek işbirlikçi medya hacker’ları suçlayarak ve bir sonraki adımda da bu işin arkasında kimin olduğu konusunda hiçbir fikirlerinin olmadığını itiraf ederek bu hikayeyi aktarırken taraflı davrandılar. Bir programı işletme becerisi ( gereken sadece bu ) herhangi bir hack’leme becerisi gerektirmediğinden bu işin arkasında hacker’ların olduğunu iddia etmek, bu işin amaçları ve buna katılan kişiler hakkındaki taraflı kanıların göstergesidir.
Bu, tasarruflarını elektronik ticarette kaybeden birilerinin işi olabilir veya belki de komünistlerin işidir. Bu işin arkasinda ABD’nin kendisi bile olabilir. Neticede bireysel özgürlüklerin daha fazla kısıtlanmasıyla ve hacker imajının daha fazla karalanmasıyla kime daha iyi hizmet ediliyor?”
Şimdi bu son saldırılardan sonra yine saldırıya uğrayanlar finansal kayıplarını açıklayacaklar ve emin olabilirsiniz ki bu rakamlar milyon dolarlar ile ölçülecektir. Bilgi çağını yakalama savaşındaki ülkemizde bu tür eylemlere seyirci kalmak yeni dünya eknomik düzeninde ülkemize bir yer edindirme çabalarını da baltalayacaktır. Bu sebeple bu tür eylemlerin şimdiye dek dış ülkelerdeki büyük işletmlere zarar vermesini baz alarak olanlara göz yummak ve gelecek felaketlere hazırlanmamak basiretsizlik olacaktır.
Bu son saldırılar da göstermiştir ki artık internete ilişkin özel bir yasal düzenlemenin zamanı gelmiştir ( her ne kadar mevcut yasalarla sorunlar bir ölçüde karşılanabiliyorsa da...). Özellikle bilgi güvenliğinin sağlanmasına ilişkin acil bir yasal düzenlemeye ihtiyaç vardır. Gelişmiş ülkelerin birçoğunda bu tür yasalarla veriler hukuki korunma altına alınmıştır.
Bu saldırıların verdiği diğer bir ders ise sistem yöneticilerinin ve dolayısıyla sunucuları işletenlerin maalesef bu tür eylemlerin gerçekleştirilmesine prim verdikleridir. Microsoft aylar önce güvenlik yamasını yayınlamasına rağmen ( mesela ben bu yamayı çıktığında bireysel bir kullanıcı olmama rağmen bilgisayarıma yüklemiştim.) bunu sistemlerine dahil etmemeleridir. Bu sebeple yapılacak yasal düzenlemelerde internette veri güvenliğine ilişkin teknik standartlar belirlenmeli ve işletmelerin bunları yerine getirmesi zorunlu kılınmalıdır. Örneğin internet işletmeleri için çıkarılacak bir ruhsat düzenlemesinde güvenlik standartlarını sağlamak ön koşul olarak koyulmalıdır. Böylece olaylar daha başından engellenecek ve hukukun önüne artık kangren haline gelmiş problemler getirilmeyecektir.
Av.Ali Osman Özdilek
30.01.2003, Montreal
Hiç yorum yok:
Yorum Gönder