BİLİŞİM SUÇLARI VE BİLGİ GÜVENLİĞİ

Transkript

1 BİLİŞİM SUÇLARI VE BİLGİ GÜVENLİĞİ Bilal ŞEN Emniyet Müdürü Tarih boyunca yaşanan her yeni çağ ve süreç, insanlara sunduğu imkan ve kolaylıklarla birlikte bir çok sorunu da beraberinde getirmiştir. Örneğin dünyamız özellikle 20. yüzyıl başlarında endüstrileşen ülkelerin neden olduğu çevre felaketleri yüzünden ağır bedeller ödemiş ve günümüzde de ödemeye devam etmektedir. Diğer taraftan endüstri çağının ortaya çıkardığı gelir eşitsizliği gibi birçok sosyal sorun da hala günümüzde etkisini sürdürmektedir. Bilgi ve iletişim çağı ise, hız, işlem kolaylığı, işlem süreçlerinin kısalması, mekana bağımlı iş üretme zorunluluğunun kalkması ve maliyetlerin düşmesi gibi onlarca faydayı insanoğlunun kullanıma sunmaktadır. Bilişim teknolojisinin ortaya çıkması ve süreç içerisinde ucuzlaması, eski yöntemlerle gerçekleştirilen birçok hizmetin kurumsal veya bireysel kullanıcıya internet aracılığıyla verilebilmesi, çok değerli ve hayati verinin dijitalleştirilmesi ve bu sayede elektronik bir hizmet üretilmesi imkânını doğurmuştur. Ancak, bilgi çağı da insanlara sunduğu sayısız faydalar ile birlikte birçok risk ve sorunu beraberinde getirmiştir. Bu çalışmada, farklı uzmanlık alanları tarafından onlarcası tespit edilebilecek olan risk ve zararlardan, bilgi ve iletişim çağının korkulu rüyası olan bilişim suçları ele alınacaktır. Bilişim teknolojileri üretilir ve geliştirilirken ana hedef, umulan iletişimin sağlanması idi ve teknolojinin kriminojenik, suç yaratıcı yönü öngörülmemişti (Aydın, 1992). Ancak süreç içerisinde, bilişim teknolojisi olmadığı takdirde işlenme imkânı olmayan suçlar, sistemlerin veya sistemleri kuran, işleten kişilerin zaaf ve açıklarını kullanarak işlenmeye başlandı. Bilişim teknolojisiyle üretilen hizmetlerin, oluşturulan teknik ve hukuki kurallar haricinde özel teknikler kullanılarak, hak sahibi olmayan kişilerin eline geçmesi veya bahse konu tekniklerin mağdurun maddi manevi zararına sebebiyet vermesi sürecine en kısa tabiriyle bilişim suçu denilmektedir. Bilişim suçları, sadece bilişim teknolojisi kullanıcılarını 73 TEMMUZ - AĞUSTOS - EYLÜL 2011

2 Bilişim Suçları ve Bilgi Güvenliği Tarih boyunca yaşanan her yeni çağ ve süreç, insanlara sunduğu imkan ve kolaylıklarla birlikte bir çok sorunu da beraberinde getirmiştir. Örneğin dünyamız özellikle 20. yüzyıl başlarında endüstrileşen ülkelerin neden olduğu çevre felaketleri yüzünden ağır bedeller ödemiş ve günümüzde de ödemeye devam etmektedir. Diğer taraftan endüstri çağının ortaya çıkardığı gelir eşitsizliği gibi birçok sosyal sorun da hala günümüzde etkisini sürdürmektedir. Bilgi ve iletişim çağı ise, hız, işlem kolaylığı, işlem süreçlerinin kısalması, mekana bağımlı iş üretme zorunluluğunun kalkması ve maliyetlerin düşmesi gibi onlarca faydayı insanoğlunun kullanıma sunmaktadır. Bilişim teknolojisinin ortaya çıkması ve süreç içerisinde ucuzlaması, eski yöntemlerle gerçekleştirilen birçok hizmetin kurumsal veya bireysel kullanıcıya internet aracılığıyla verilebilmesi, çok değerli ve hayati verinin dijitalleştirilmesi ve bu sayede elektronik bir hizmet üretilmesi imkânını doğurmuştur. Ancak, bilgi çağı da insanlara sunduğu sayısız faydalar ile birlikte birçok risk ve sorunu beraberinde getirmiştir. Bu çalışmada, farklı uzmanlık alanları tarafından onlarcası tespit edilebilecek olan risk ve zararlardan, bilgi ve iletişim çağının korkulu rüyası olan bilişim suçları ele alınacaktır. Bilişim teknolojileri üretilir ve geliştirilirken ana hedef, umulan iletişimin sağlanması idi ve teknolojinin kriminojenik, suç yaratıcı yönü öngörülmemişti (Aydın, 1992). Ancak süreç içerisinde, bilişim teknolojisi olmadığı takdirde işlenme imkânı olmayan suçlar, sistemlerin veya sistemleri kuran, işleten kişilerin zaaf ve açıklarını kullanarak işlenmeye başlandı. Bilişim teknolojisiyle üretilen hizmetlerin, oluşturulan teknik ve hukuki kurallar haricinde özel teknikler kullanılarak, hak sahibi olmayan kişilerin eline geçmesi veya bahse konu tekniklerin mağdurun maddi manevi zararına sebebiyet vermesi sürecine en kısa tabiriyle bilişim suçu denilmektedir. Bilişim suçları, sadece bilişim teknolojisi kullanıcılarını değil, bu teknolojileri doğrudan kullanmasa da, bu teknolojilerin sunduğu imkânlardan istifade eden bir çok insanı, en azından sunulan hizmetlerin kolaylıklarından yararlanmalarına engel olarak mağdur etmektedir (Gerçeker, 2008). Bilişim suçları, son zamanlarda üzerinde çok konuşulan ve bilişim teknolojisinin getirdiği risklerin daha net görülmeye başlandığı bir suç türüdür. Sıklıkla yeni bir suç ve geleceğin suçu ifadeleriyle tanımlanmaya çalışılan bu eylemler hakkında terim birliği henüz oluşmamıştır. Akademisyenler, uygulayıcılar ve vatandaşlar arasında bahse konu eylemler, bilişim suçları, internet suçları, dijital suçlar, bilgisayar suçları, bilgisayar aracılığıyla işlenen suçlar, adli bilişim, siber suçlar gibi onlarca farklı tabirle isimlendirilmeye çalışılmaktadır. Gerçekte, bilişim teknolojisini kullanarak eskiden de karşılaşılan 74 TEMMUZ - AĞUSTOS - EYLÜL 2011

3 Bilal ŞEN suç türlerinin bilişim araçlarının kullanılarak işlenmesini bilişim araçlarıyla işlenen suçlar, bilişim teknolojisinden önce var olmayan ve öznesi bilişim teknolojisi olan diğer taraftan saldırının bizatihi bilgisayarları hedef aldığı suç türlerinin ise, bilişim suçları olarak adlandırılması uygun olacaktır. Tanımımıza göre hacking, sistemi durdurma, bilişim sistemini farklı şekilde çalışmaya zorlama gibi suç türleri, bilgisayarlardan öncesinde bu suçları işlemeye imkan olmadığı için yeni bir suç türü olarak nitelendirilmelidir. Ancak bilgisayardan öncesinde de var olan, kumar, dolandırıcılık, sahtecilik, taciz, çocuk pornografisi görüntülerini yayma, mahremiyeti ihlal gibi suç türlerinin günümüzde bilişim sistemleriyle işlenmesiyle suçun işlenme yöntemi ve aracı değişmiştir. Burada suç aynıdır, klasik veya bilişim yöntemiyle suçun işlenmesi sonrasında ortaya çıkan sonuç, zarar aynıdır fakat, eylemin yöntemi (modus operandi) değişmiştir. Bu çalışmada kavram bütünlüğü oluşması ve kamuoyundaki yaygın kullanımla uyum sağlaması açısından, bilişim suçları da, bilişim araçlarıyla işlenen suçlar da bilişim suçları olarak ele alınacaktır. Bilişim Suçlarının Kısa Tarihi Teknoloji bağlantılı suçlar, bilgisayarların yaygınlaşmaya başladığı 1980 li yıllarda değil, henüz bilgisayarların emeklemekte olduğu ve ancak dört işlemi yapabildikleri 1960 lı yıllarda başlamıştır. Tasarlamaktan çok kazara başlayan bu süreç bilgisayarlarla değil, ücretsiz telefon görüşmesi yapmakla başlamıştır. İlk zamanlarda herhangi bir numarayı ücretsiz olarak arama kabiliyeti gelişmiş ve telefon santralinin boşlukları tespit edilerek istenilen her numara, ileride phreaking adını alacak olan yöntemle meraklı gençler tarafından aranabilir hale gelmişti lı yıllarda Ülkemizle birlikte dünyanın birçok bölgesinde bilişim teknolojisinin yaygınlaşmasıyla, vatandaşlar bilişim suçları kavramıyla tanıştı. O dönemlerde bilişim suçları bireysel olarak, iyi eğitim görmüş, genç, hatta çocuk denilebilecek yaşlardaki kişiler tarafından işleniyordu. Bu yıllarda meydana gelen fiil veya fiiller, tek bir birey tarafından gerçekleştiriliyor ve bilgisayar suçu işleyen kişiler, toplumlar tarafından zeki, üstün yetenekli, hatta dahi olarak tanımlanıyor ve iltifata mahzar tutuluyorlardı ve 1990ların sonlarına kadar bilişim suçunun suçun motivasyonu, ego idi. Gençlerin o dönemki tek amacı kendilerinin ve yeteneklerinin diğer insanlar tarafından fark edilmesini sağlamaktı yılında bu makalenin yazarının da bir bölümüne tanık olduğu bir olayda, fail bir bankanın yeni geliştirilmekte olan internet bankacılığı sistemindeki bir açığı fark edip sisteme sızmış ve kendisiyle hiçbir bağı bulunmayan bir müşterinin hesabından 1 TL yi yine kendisiyle hiçbir çıkar ilişkisi bulunmayan başka bir kişinin hesabına aktarmış ve bu işlem sonrasında bankanın bilişim sistemine kendi imzası olarak isimlendirebileceğimiz takma adını (nick name) bırakmıştı. Örnekte de görüleceği üzere, 80 ve 90 lı yıllarda amaç kendisine veya başkasına menfaat sağlamak değil, sadece yapabildiğini ispatlamak, diğer ifadeyle gövde gösterişiydi. Bilinmezin peşine düşmüş olan bu kişiler, 2000 li yılların başından itibaren, bilişim sistemlerindeki veya sistemleri yönetenlerin ihmalleri sonucunda oluşan zaafları tespit ederek, normalde hakları olmayan çeşitli imkanlara (para, hizmet, bilgi) erişebilme yetilerini, kendi menfaatleri için kullanmaya başladılar. Bu dönemde motivasyon unsuru egodan, maddi menfaate dönüşmüştür (Licauco, 2009). Süreç içerisinde zamanla bir endüstri haline gelen bilişim suçluluğunda, planlanan saldırıların tümünü gerçekleştirmek için bir kişinin bilgisi, becerisi ve zamanı yeterli gelmemeye başlamış ve suçlar birden fazla kişiyle güç birliği yapılarak işlenir hale gelmiştir. Yirmi birinci yüzyıl, organize suç listesine yeni bir suç türünün eklenmesiyle başlamış ve bilişim suçları organize bir suç türü haline dönüşmüştür (Williams, 2002). Çünkü teknoloji daha fazla gelişmiş ve saldırıların türleri ve yapılanmaları daha komplike bir şekil almıştır. Komplike siber saldırıları gerçekleştirebilmek ve daha da önemlisi devamlılığı sağlayabilmek için, bir kişinin teknik bilgisi ve insan gücü kapasitesi yeterli olmamaktadır. Teknoloji Bağlantılı Suçlar En genel adıyla bilgi iletişim teknolojileri olarak ifade edebileceğimiz günümüz teknolojilerini, suç açısından dört ana başlıkta incelemek mümkündür (Morris, 2004). 1. Bilişim teknolojileri suçlular için bir iletişim aracı, 2. Bilişim teknolojisi bir suçu işleme aracı, 3. Suçun hedefi, 4. Suça ilişkin verileri saklama cihazı (Cross, 2008) 75 TEMMUZ - AĞUSTOS - EYLÜL 2011

4 Bilişim Suçları ve Bilgi Güvenliği Bilişim Teknolojileri Suçlular İçin Bir İletişim Aracı: Günümüz legal dünyası gibi, suçlular da iletişimlerini bilişim teknolojilerini kullanarak gerçekleştirmektedirler. Bilişim teknolojisinin buradaki rolü, bir kişiyi öldürmek üzere suç ortağıyla buluşmak için buluşma yerine giderken kullanılan bir taksiden farklı değildir. Burada teknoloji veya araç aslına uygun kullanılmaktadır. Önemli husus kullanıcıların suçlu olması durumudur. Bilişim Teknolojisi Bir Suçu İşleme Aracı: Klasik suçlar adını verdiğimiz eskinin birçok suçu, günümüzde kolaylık, hız, etki, yaygınlık, getiri ve yüksek başarı oranı gibi avantajları nedeniyle bilişim teknolojilerinin bir araç olarak kullanılması suretiyle işlenmektedir. Eskiden de var olan bu tür suçlarda yukarıda ifade edildiği üzere suçu işlerken kullanılan araç değişmiştir. Eski zamanlarda sahte bir evrak üretmek için günlerce uğraşıp dikkatli ve mahir bir el sayesinde bir sahte kimlik üretilebilirken, günümüzde bu durum tarayıcılar, resim düzenleme yazılımları ve renkli yazıcılar sayesinde daha kolay, ekonomik ve başarılı bir şekilde gerçekleştirilebilmektedir. Suçun Hedefi: Bilgisayarlar öncesinde var olmayan ve suçun öznesi ve hedefi olan hacking ve servis dışı bırakma türü saldırılar yeni suç türleri ve gerçek bilişim suçlarıdır. Burada bilgisayarlar araç olmaktan çıkmıştır. Çünkü benzer bir zarar veya saldırıyı bilgisayar olmadan başka yöntemlerle meydana getirmek mümkün değildir. Suça İlişkin Verileri Saklama Cihazı: Bilişim teknolojileri, veri saklama yetenekleri sayesinde bir bilinmezi veya suçu aydınlatacak verileri saklayabilmektedirler. Bu veriler bilişim suçlarına ilişkin veriler olabileceği gibi, klasik suçlara ilişkin verileri de olabilmektedir. Bir cinayeti aydınlatacak verilerin şüpheliye ait bir elektronik veri saklama cihazında bulunması, bir teröristin nereye bomba koyacağına ilişkin çizdiği krokilerin bir bilgisayarda bulunması bunlara örnektir. Yukarıda izahı yapılan bilişim suçu kavramı çerçevesinde onlarca farklı isim ve yöntemle bilişim suçlarını listelemek mümkündür. Ancak bu şekilde bir listeleme, bilişim suçlarının dinamik, modüler yapısı ve birbirine dönüştürülebilirliği nedeniyle mutlak ve değişmez bir tespit olmayacaktır. Bugün ifade edilen suç işleme yöntemleri, yarın bir dönüşüm geçirip farklı bir isim ve yöntem olarak karşımıza çıkabilmektedir. Araştırmalar göstermektedir ki, bilişim suçu sorumlularının büyük bir çoğunluğu güvenlikli, kale misal sistemlere değil, güvenlikli sistem ile iletişimde olan korunmasız olan kullanıcıyı hedef almaktadırlar. Bir örnek ile açıklayacak olursak, kullanıcıyı hedef alma durumu, mini bir süvari birliğiyle önünde onlarca bekçi köpeği ve nöbetçi bulunan bir kaleye saldırmak yerine, penceresi çiviyle tutturulmuş, kapısında orta büyüklükte bir asma kilit takılı bulunan bir gecekonduya saldırarak, içerisindeki eşyaları talan yetinmek ile eşdeğer bir durumdur. Çünkü kullanıcı, zayıf halkadır ve çoğu zaman bilinçsizdir. Bu nedenle de saldırganların hedefidir. Bilinçsiz kullanıcılar saldırganların doğrudan hedefi olduğu gibi, zaman zaman başkalarını zarara uğratmak için bilişim suçlusunun aracı veya gündelik ifadeyle oyuncağı olabilmektedir. Bu kavramdan anlatılmak isteneni daha iyi izah etmek için BotNet kavramına değinmek faydalı olacaktır. BotNet (Robot Ağı) Günümüzün en riskli bilişim suçlarından olan Bot- Net kavramı, ülkelerin, devletlerin, şirketlerin, ekonomilerin güvenliğini tehdit eder hale gelmiştir. BotNet kelimesi robot ve network (ağ) kavramının kısaltılmasından oluşturulmuştur. BotNet veya robot ağı, zararlı yazılım (ülkemizdeki yaygın ifadesiyle virüs) bulaşmış bilgisayarların, zararlı yazılımı yöneten kişi tarafından kontrol edilmesiyle, çok sayıda köle haline gelmiş bilgisayarların tek kişi veya grup tarafından yönetilmesidir. BotNet lerin yaygın çalışma mantığını ve suçta nasıl kullanıldığını izah etmek konunun daha iyi anlaşılmasına imkan sağlayacaktır. Onlarca yayma yöntemi olmasına rağmen yaygın olarak, saldırgan (botherder veya bot çobanı) zararlı yazılımı (büyük ihtimalle bir solucan) bir web sitesine veya bir IRC (internet relay chat) sunucusuna yükleyerek yazılımın yayılmasını ve yönetimini sağlar. Kendi bilgisayarına bu zararlı yazılım yüklenen kişinin bilgisayarı, solucanı yöneten bot çobanının emrine girer ve bilgisayarın sahibi bilgisayarda ne yapma hakkına sahipse saldırgan da aynı imkana sahip olur. Genellikle solucanlar kendilerini mağdurun kontak listesindekilere gönderir veya diğer çeşitli yöntemlerle yayılma sürecine katkıda bulunurlar. Günümüzde, bu şekilde infekte olan bilgisayarlardan oluşan binler, hatta milyonlarca büyüklüğe ulaşan bot orduları görülebil- 76 TEMMUZ - AĞUSTOS - EYLÜL 2011

5 Bilal ŞEN mektedir. Botnetler ile phishing, sahte reklam, sahte hit, bilgi çalma, illegal barındırma gibi onlarca farklı suç işlenebilmesine rağmen en yaygın olarak büyük sorunlara sebebiyet veren dağıtık servis dışı bırakma (DDOS distirubuted denial service attack) için kullanılmaktadır. Bu saldırının nasıl meydana geldiğini izah etmek için biraz teknik detaya girmek gerekmektedir. Bir siteye aynı anda kaç kişinin bağlanabileceğini bant genişliği belirlemektedir. Bant genişliği ne kadar büyürse aynı anda bağlanabilme sayısı ve veri iletişim hızı o kadar artar. Bant genişliğinin artırılması ise servis sağlayıcılara ödenecek ciddi miktarlarda maliyete sebebiyet vermektedir. Herhangi bir kullanıcı, bir web sitesinin adresini bir kez ziyaret edip, elini sürekli F5 tuşuna basılı tuttuğu takdirde, kullanıcının bilgisayarı bu siteye ardı ardına erişim talepleri göndererek sitenin yenilenmesini talep etmektedir. Aslında bu uygulama siteye erişim hatlarından birisinin sürekli meşgul edilmesine sebebiyet vermektedir. Bot çobanı, köle bilgisayarlarına beş satır koddan oluşan küçük bir yazılım aracılığıyla, bu bilgisayarlar üzerinden bir web sitesi adresine veya IP adresine sürekli olarak yenile (refresh) talebi gönderebilmektedirler. BotNet yöneticisi, bu şekilde tüm köle bilgisayarlar üzerinden aynı anda aynı siteye yaptığı saldırı bot çokluğu ve botların bant genişliği ile doğru orantılı olarak hatlarının meşgul ve erişilemez hale gelmesine sebebiyet vermektedir. Dünyanın çok farklı yerlerinde köleleri bulunan bir korsanın yaptığı bu tarz bir saldırı, saldırının çok farklı noktalardan gelmesi nedeniyle dağıtık servis dışı bırakma saldırısı olarak tanımlanmaktadır. Sanal Haraç bağlantılık bir bant genişliğine sahip olan bir elektronik ticaret sitesine adetlik bir bot ordusuyla yapılacak bir saldırı, siteyi çökertmese bile tüm erişim hatlarının meşgul olmasına ve kimsenin bu siteye erişememesine sebebiyet verecektir. Hukukumuzda yağma suçunu ifade eden bu eylem günlük kullanımda sanal haraç olarak ifade edilmekte ve ifade edildiği bu şekilde gerçekleştirilmektedir. 3 gün boyunca elektronik ticaret sitesine DDOS saldırısı yapan bir botherder, 3 gün sonra aynı saldırının devam etmemesi karşılığında ciddi miktarlarda para talep etmektedir. Gelir kapısının erişilemez olmasından mağdur olan site sahibi ise zaman zaman bu zorbalara haraç ödeyebildiği bilinen bir gerçekken çoğu zaman failler polis teşkilatlarının işbirlikleri sayesinde tespit edilmekte ve adalete hesap vermektedirler. Bilindiği üzere Estonya eski Sovyet Sosyalist Cumhuriyetler Birliği üyesi bir devletti. S.S.C.B. nden ayrılmasının akabinde, kısa zamanda Avrupa Birliği üyesi ve devamında ise NATO üyesi oldu. 1,5 milyondan az nüfusu bulunan Estonya, kısa bir süre içerisinde hızlı gelişmesini ülke içerisinde sayısallaşmasını (dijital alt yapı ve elektronik verilerin oluşturulması) tamamlamasıyla da devam ettirdi. Estonya yönetimi, Rusya etkisinin psikolojik etkisini silmek için, 77 TEMMUZ - AĞUSTOS - EYLÜL 2011

6 Bilişim Suçları ve Bilgi Güvenliği eski Sovyet rejiminden kalan kızıl orduyu temsil eden meçhul asker heykelini başkent Tallin in merkezinden alarak çeşitli belediye düzenlemeleri bahanesiyle şehir dışında bir yere taşıdı (Rayn, 2007). Bu gelişme akabinde Estonya da yüzde 30 oranında bulunan Rus asıllı vatandaşlar sokaklarda gösterilere başladılar. Benzer protestolar Rusya nın çeşitli şehirlerinde de yaşanmaya başladı. Bu gelişmelerin devamında, özel sektörü ve kamu kurumlarıyla tamamen e-devlet ve e-iş uygulamalarına geçmiş olan Estonya ya, dünyanın birçok yerinden (toplamda 40 ülke) ancak özellikle Rusya dan 27 Nisan 2007 tarihinde DDOS saldırıları başladı (Jones, 2008). Zaman zaman duraklayan sonra tekrar başlayan saldırılar ülkeyi kilitlenme noktasına getirdi. Bankalar ve ATM ler çalışamaz hale geldi. Bilişim teknolojisiyle otomasyon halinde çalışan devlet daireleri, haftalarca hizmet üretemedi. Estonya Meclisi de bahse konu saldırıdan nasibini aldı. Şehir içi trafik sinyalizasyonu bile tek merkezden yönetilebilen Estonya da trafik ışıkları da bu saldırının mağduru oldu ve trafik keşmekeşleri ortaya çıktı. Ancak, sebebinin ne olduğu bilinmemekle birlikte saldırıların Estonya nın hava trafiğini hedef almadığı görüldü. Bu saldırılar kısa bir süre sonra Estonya Başbakanı ve mevcut hükümetin koltuğunu sallamaya başladı. Estonya asıllı Estonya vatandaşları Rusya ın bu saldırısını engelleyemediği ve devlet özel sektör iş yapamaz hale geldiği için mağdur olduklarını ifade ederek, sokaklarda hükümetin istifasını istemeyen gösterilere başladı. Bu gelişme üzerine Estonya Savunma Bakanı Jaak Aaviksoo, NATO üyesi ülkelere yönelik bir bildiriyle bahse konu saldırının bir savaş sebebi olduğunu ve NATO üyesi olan Estonya ya yapılan bu saldırı karşısında NATO yu göreve çağırdı. Bu çağrı akabinde NATO gerçekten de yardıma geldi ancak, bu yardım NATO nun daha önceki müdahalelerinde olduğu gibi tanklar ve uçaksavarlar ile olmadı. NATO nun yardımı internet servis sağlayıcıları ve bilişim uzmanlarıyla gerçekleşti. NATO uzmanları servis sağlayıcılarının desteğiyle sorunu geçici olarak çözdü. Bu çalışma akabinde Estonya da yapılan soruşturma sonucunda Rus asıllı bir Estonya vatandaşı tutuklandı. Benzer bir saldırı 2008 yılında Rusya Gürcistan çatışması sırasında Gürcistan ı hedef alacak şeklinde başlamış ancak Gürcistan ın sayısallaşması düşük olduğundan saldırılar Gürcistan Devlet Başkanının sitesinin hacklenmesi gibi birkaç hack işleminden öteye gitmemiştir. Görüleceği üzere, basit gibi gözüken sayfa yenileme (refresh) talebi ülkeleri savaşın ucuna kadar getirebilmektedir. Estonya örneğinde de görüleceği üzere, bu tür saldırıları soruşturabilmek veya önleyebilmek için tek bir ülkenin imkânları çoğu zaman yeterli olmamaktadır. Bilişim Güvenliği Bilişim suçları konusunda bu makale örneğindeki gibi yazı, eğitim ve bilgilendirmeler sonrasında izleyicilerde bilgi güvenliğini artırma konusundaki duyarlılığın arttığı görülmektedir. Bu bahisle makalemizin bu aşamasında bilgi güvenliği konusundaki temel hususlara yer vermek faydalı olacaktır. Malum olduğu üzere güvenlik varılacak bir hedef değil bir yolculuk, bir süreçtir. Diğer tüm güvenlik alanlarında olduğu gibi bilişim güvenliği de, kesinlikle tamamlanan ve bir yerde sonlanan bir işlem değil, devamlılık arz etmesi gereken bir süreçtir. Öte yandan mutlak güvenliğin, insan unsurunun içinde yer aldığı 78 TEMMUZ - AĞUSTOS - EYLÜL 2011

7 Bilal ŞEN hiçbir kavram için geçerli olamayacağı bilinen bir gerçektir. Ancak tavsiye edilen önlemler ve bilinçli kullanma ile karşılaşılabilecek birçok riski azaltmak ve riskten korunmak mümkündür. Bilgi güvenliği sağlamak için teknik bilgi içeren yoğun emek, zaman ve kaynak gerekmektedir. Bilgi güvenliği anlamında alınabilecek tedbir, önlemler ve işlemlerin tümünü tek bir çalışma altında toplayabilmek için binlerce sayfalık bir metin oluşturmak gereklidir. Diğer taraftan böyle bir çalışmayı yazmaya başlanılan tarih ile çalışmanın bitirildiği tarih arasındaki sürede, ilk sayfalarda yazılan birçok güvenlik tedbiri her gün sıkla yenilenen teknoloji nedeniyle geçerliliğini yitirecektir. Olaya, soruna, eyleme, donanıma, yazılıma, kişiye göre özetle bağlam a göre değişen güvenlik tedbirleri konusundaki en önemli aşama farkındalıktır. Güvenlik tedbirlerinin öneminin farkında olan ve birçok farklı platformda onlarcası yer alan tedbirleri uygulayan bireysel kullanıcılar, %90 gibi bilişim sektöründe çok yüksek sayılabilecek bir oranda kendilerini güvende hissedebilirler. Bilgi güvenliğinde temel amaç, hiç saldırıya hedef olmamak olsa bile ulaşılması çok güç bir hedeftir. Ancak temel güvenlik önlemleri sayesinde hedef küçülterek, birçok saldırıdan sakınmak veya maruz kalınan saldırıdan minimum zarar ile kurtulmaktır. Bilişim Güvenliğinde Farkındalık En önemli ve ilk benimsenmesi gereken husus; bilgisayarın ve internetin sadece gençlerin kullandığı, oyun oynayıp sohbet ettiği bir eğlence aracı olmaktan çıkıp sosyal, hukuki, ekonomi, eğitim, haberleşme, bilgi edinme, seçme ve seçilme gibi birçok hayati kavramı doğrudan ve aracısız etkileyen, devlet yönetimlerini dahi sarsabilen, rejim değişikliklerinde önemli etki ve güce sahip bir iletişim, etkileşim alt yapısı olduğunu fark etmektir. Bu açıdan bakarak yaygın tabiri ile internetin sanal olduğunu kabul etmek imkânsızdır. İnternet, insan kadar gerçek ve etkileri, kurum ve insanları en uç nokta olan iflas veya ölüme 1 kadar götürebilecek bir 21. yüzyıl platformudur. 1 James Clay in anlattığına göre ABD nin Kaliforniya eyaletinde bilgisayarla bir cinayet işlenmiştir. Kurban, bir hastanede tedavi gören bir hastadır. Katil, bilgisayar yoluyla hastanenin sistemine girer ve kurbana verilen ilaçların listesini tespit eder. Değiştirilen listeyle kurbanı öldürecek ilaçlar ve dozajlar sisteme kaydedilir. Sistemdeki ilaç türüne göre yapılan enjeksiyon sonrasında hasta anında ölür. Kaynak: html Farkındalık konusunu internet bankacılığı örneğiyle ele aldığımızda, yıllarca bireyin yıllarca elde edilen tüm birikimlerin, evde saklamaktan daha güvenli olduğu için bankaya yatırıldığını, diğer taraftan internet bankacılığı şifrelerinin para kasasını açabilen bir anahtar olduğunun fark edilmesi gereklidir. Maalesef edinilen tecrübeler göstermektedir ki, günümüz insanı, internet bankacılığının kuruş kuruş kazandığı parasının kasa kilidi olduğu gerçeğini hala görmemiştir. Birikimlerimizin saklandığı eski dönemin o ağır ve hantal çelik kasaların anahtarı, bugün kullanıcı adı ve şifreler haline dönüşmüştür. Buradaki temel fark; eski para kasalarını kullanmak için özel bir eğitim ve bilgi birikimi gerekmezken, internet bankacılığı için ciddi bir güvenlik algılamasına ve güvenlik önlemleri bilgisine ihtiyaç duyulmaktadır. Güvenlik tedbirlerini can sıkıcı engeller olarak görüp hayat sigortası olmadığını anlamayanlar mağdur adayı olarak sırasını beklemektedir. Bilgi Güvenliği Aşamaları Bilgisayar yoluyla gerçekleştirilen iletişim alanında, dört önemli güvenlik aşaması bulunmaktadır. Bu güvenlik noktalarını bağlantı güvenliği, bilgisayar güvenliği, uygulama güvenliği ve güvenli tutum olarak sıralamak mümkündür. Sırasıyla bu güvenlik aşamalarının detaylarını inceleyelim. 1. Bağlantı Güvenliği Güvenli bir internet yolculuğu için, kullanıcıyı internete bağlayan, erişim hizmeti veren nokta (bağlantı) çok önemlidir. Çünkü diğer tüm güvenlik şartları yerine getirilse bile otoyola bağlanan tali yol, suçluların kontrolündeyse otoyola güvenli bir şekilde çıkmaktan söz edemeyiz. Aynı şekilde internet bağlantı noktamız güvenli değilse tüm internet yolculuğumuz risk altında olacaktır. 79 TEMMUZ - AĞUSTOS - EYLÜL 2011

8 Bilişim Suçları ve Bilgi Güvenliği Örneğin bir şirketin promosyon amaçlı olarak onlarca internete bağlı olan bilgisayarı, kamuya açık yerlerde hizmet kullanıma olarak sunduğunu varsayalım. Bu sistemde bir adet sunucu bilgisayar (interneti diğer bilgisayarlara dağıtan yönetici bilgisayar) internete bağlanıyor ve dahili ağ (network) ile diğer bilgisayarlara interneti paylaştırıyor olsun. Hizmete sunulan bilgisayarların tek tek bilişim güvenliği anlamında ele alındığında, güvenli bilgisayarlardan oluşsa bile, sistemin internet bağlantı konfigürasyonu, internet sunucusunun kendisi üzerinden internete bağlanan bilgisayarlardan geçen tüm verinin izlenmesine veya kaydedilmesine imkân sağlayacak şekilde yapılandırılmış olabilir. Dolayısıyla bu bilgisayarları kullanan tüm kullanıcıların, şifre, kullanıcı adı, yaptıkları tüm iletişim sistemi kuran ve çalıştıran kişiler görebilir demektir. Benzer örnek kamuya açık kablosuz ağlar içinde geçerlidir. Kamuya açık kablosuz bir internet bağlantısına kendi güvenli bilgisayarımızla bağlanmamız da riski sona erdirmeyecektir. Yukarıdaki örnekten de görüleceği üzere bağlantı güvenli bilişim güvenliğinde en önemli aşamalardan birisidir ve bağlantı güvenliği konusunda bilinç düzeyi artırılmalı ve bilgi güncelliği sağlanmalıdır. 2. Bilgisayar Güvenliği Güvenli internet erişiminin ikinci önemli hususu, internete bağlanırken kullandığımız bilgisayar veya bilgisayar benzeri cihazlardır. Kullanıcı bilgisayarındaki güvenlik kavramı, belki de en çok vakit alacak ve kullanıcıyı en çok zorlayacak olan husustur. Bilgisayarı kullanmayı öğrenmek kadar çaba gerektirebilecek olan bilgisayar güvenliliği kuralları, internette bilgisayar aracılığıyla gerçekleştirilebilen işlem türlerinin sayısının çokluğu uyarınca, çeşitlilik göstermektedir. Ayrıca bu kurallar güncel gelişmelere göre sürekli yenilenmedikçe faydalı olmayacaktır. Dolayısıyla bir kez değil sürekli olarak bilgisayar güvenliği kurallarını takip etmeli ve yeni gelişmelere göre gerekli tedbirleri uygulamalıdır. Güvenliliği sağlamak için çok fazla etkeni kontrol etmek ve sonucunda ise yine bilgisayarın güvenliğinden %100 emin olamamak hususu da oldukça çelişkili bir olgudur ancak sayısal dünyada bu gerçeği kabul etmek bilinçli kullanıcı olmanın ilk kuralıdır. İşletim sitemi güncellemeleri, antivirüs güncellemeleri, bireysel firewallar, bilgisayarı yönetici (admin) 80 TEMMUZ - AĞUSTOS - EYLÜL 2011

9 Bilal ŞEN haklarıyla kullanmama gibi temel güvenlik tedbirlerini öğrenmek ve süreç içerinde güncel kalmak faydalı değil mecburidir. 3. Uygulama Güvenliği Kullanıcı bağlantı ve bilgisayar güvenliğini sağladığı bir ortamda sohbet etmek, oyun oynamak veya dosya alışverişinde bulunmak için kullandığı yazılımlarında güvenlik uyarılarını dikkate almalıdır. Uygulama güvenliği bir taraftan bilgisayarın temel işletim sistemi ve tarayıcısı haricindeki sonradan kurulan yazılımların güvenliğini sağlama çabası olmakla birlikte ayrıca kullanılan hizmet ve ürünlerin sunduğu güvenlik imkanları konusunda da bilgi sahibi olmak faydalı olacaktır. Örneğin internet bankacılığı kullanımında havale ve EFTlerin sadece tanımlı hesaplara gönderilebilecek şekilde ayarlanması, gönderilerin üst limitlerinin belirlenmesi, IP sınırlaması, işlem zamanı sınırlaması gibi onlarcası bulunan güvenlik hizmetleri de mağduriyet önleyici hususlardandır. 4. İnsan Unsuru Bilgisayar güvenliği temel şartlarından birisi riskleri azaltmak ve zarar oluşmadan önlemek olmalıdır. Her ne kadar evde veya işyerindeki bilgisayara fiziki olarak erişebilecek diğer kişiler tarafından zarar verilmeyeceği düşünülüyorsa da bu varsayımın yanlışlığını edinilen tecrübeler ve toplanan istatistikler göstermektedir. Evde kullanılan bilgisayara diğer aile bireylerinin virüs benzeri yazılımları bilerek yükleyeceğini düşünmek tam anlamıyla bir paranoyadır. Ancak diğer aile bireylerinin bilmeden bilgisayara verebileceği zararlar sıklıkla karşılaşılan bir durumdur. Özellikle bilinçsiz fakat meraklı genç veya çocuk yaştaki aile üyeleri bu alanda büyük risk oluşturmaktadır. Ebeveynlerin gösterdiği güvenlik reflekslerini gösteremeyecek fakat onlarla aynı platformunu kullanan her çocuk, bilgisayarın güvenli iletişimi için bir risk oluşturmaktadır. Bu riski azaltmanın yollarından birisi aile bireylerinin bilgisayarı yönetici (admin) haklarıyla kullanmalarını engelleyerek sınırlı kullanıcı hesabıyla kullanmalarını sağlamak ve yönetici şifresini kimseyle paylaşmamaktır. Sınırlı kullanıcıyla açılan bilgisayarda yeni bir yazılım yükleme, sistem ayarlarında değişiklik yapma gibi işlemler mümkün olmayacaktır. Bu ise ebeveynler bilgisayar başında değilken diğer kullanıcıların bilgisayarda arızaya sebebiyet verebilecek, bilgisayarı 81 TEMMUZ - AĞUSTOS - EYLÜL 2011

10 Veritabanında Düzenlilik Denetimi yoracak, sistem kaynaklarının verimini düşürecek daha da önemlisi bilgisayar güvenliğini riske sokacak faaliyetlerin büyük bölümünü engelleyecektir. En sağlıklı kullanıcı yönetimi modelinde bilgisayarı kullanacak her kişiye kendi adıyla sınırlı bir hesap açmak olacaktır. Bu hesapla açılan bilgisayarda diğer kullanıcılar bilgisayar çalışmasına doğrudan müdahale eden eylemler hariç, doküman okuma yazma, internette gezinme, bir program çalıştırma (yükleme değil), oyun oynama, film izleme, müzik dinleme gibi tüm işlemleri yapabileceklerdir. Yüzlerce güvenlik tedbirinden sadece bir tane örnek verilen bilgisayar güvenliği konusundaki diğer güvenlik önlemlerinin öğrenilerek uygulanması mağduriyet oluşumunu büyük oranda engelleyecektir. Görüleceği üzere kullanıcıyı dünyaya bağlayan ve birçok hayati işlemin aracısı olan bilgisayar ve internet aynı zamanda ciddi bir mağduriyet ve sorun kaynağı da olabilmektedir. Güvenliğe yapılacak zihinsel yatırım olan bilinçlenme ile, %100 olmasa bile çok büyük ölçüde güvenli bir iletişim yolculuğunu sürdürmek mümkündür. İnternet kullanıcısı ya güvenlik tedbirlerini öğrenip uygulamaya vakit ayırarak bilişim suçlarından sakınma konusunda yatırım yapacak veya mağdur olduktan sonra bu tedbirlerin önemini kavrayacaktır. Makalemizin amacı da sadece mağdurların güvenlik farkındalığında olması değil mağdur olmayanlarında riski hemen görmeleridir. KAYNAKÇA Emin D. Aydın, Bilişim Suçları ve Hukukuna Giriş, Doruk Yayınları, 1992, Ankara, s.14 Hasan Gerçeker, Yargıtay Bilişim Hukuku Konferansı Açılış Konuşması, Ekim 2008, Yargıtay Başkanlığı Yayınları, s.2 Jovan Ananiev, Strasko Stojanovski, Nationalistic competition over Internet: Legal Regulation and Social Impact, Glocal Inside Social Media Jaime Raphael Licauco; Opinion: Philippine Cybercrime Bill, Wherefore Art Thou?, August 10, 2009 infosecphils.wordpress.com Micheal Cross, Scene of the Cyber Crime, Syngress Publishing Inc., 2008 s.2-3 Phil Williams, Organized Crime and Cybercrime: Synergies, Trends, Response, Sheridan Morris, The future of netcrime now: Part 2 responses, Aralık TEMMUZ - AĞUSTOS - EYLÜL 2011