Bilisim Suclulari Kimlerdir?

BeyForuM · 10-04-2010, 03:21

BİLİŞİM SUÇLULARI KİMLERDİR?

Bilişim suçları farklı kaynaklarda farklı şekillerde tanımlandığı gibi, bilişim suçlarını işleyen bilgisayar korsanları da farklı şekillerde tanımlanmıştır. Bilişim suçları çok çeşitli olduğu gibi bilgisayar korsanı olarak nitelendirdiğimiz grupta çok geniştir ve kendi içerisinde bir çok kavramı barındırmaktadır. Bu kavramlar birbirine çok karıştırılmaktadır ve özellikle medya bu konuda çok yanlış haberler yayınlayarak izleyicileri yanlış bilgilendirmektedir. Bilişim suçlarıyla mücadele de güvenlik güçleri profesyonel olarak davranmak zorundadır ve bu kavramları uluslararası literatürde geçen şekliyle öğrenmelidir. Genel olarak “Çağımızın Sanal Ortamdaki Korsanları” olarak nitelendirdiğimiz kişiler; Hacker, Cracker, Phreaker, Lamer, Script Kiddie, Newbie ve Hactivist’tir.

Hacker, Etik Hacker ve Cracker

Hacker ve Cracker kavramları farklı anlamlarda olmasına rağmen iki kavram birbiri içerisine girmiş bulunmaktadır. Genel olarak bir bilgisayar sistemine izinsiz girme “hacking” ve bu işi yapana da “Hacker” denir. “Cracker” ise lisanslı bir yazılımı kıran ve lisansız olarak kullanılmasını sağlayan kişilerdir.

Hackerlar kültür ve bilgi düzeyi oldukça yüksek olan, en az bir işletim sisteminin yapısını tam olarak bilen programcılık deneyimleri yüksek ve konusunda ileri eğitimler alarak uzun yıllarını bu işe adamış kişilerdir. İletişim sistemleri bu kişilerin uzmanlık alanlarına girdiğinden, esas amaçları bu sistemleri daha güvenli bir hale getirebilmek ve açıklarını keşfetmeye çalışmaktır. Asla ama asla kasıtlı olarak bir zarar verme eyleminde bulunmazlar. Test amacıyla yaptıkları iş bir “Cracker” gibi sistemi kırmaya çalışmaktır. Ama Cracker lar gibi amaç içeriden bir şeyler çalmak veya zarar vermek değil onlardan önce savunma *****izmalarını kontrol altına almaya çalışmaktır. Hacker terimi som zamanlarda özellikle medyada “Beyaz Hacker” ve “Siyah Hacker” olarak ikiye ayrılmaktadır. Burada kastedilen durum Beyaz Hackerlar için Hacker, Siyah Hackerlar için ise Cracker dır. Hacker ve Cracker

arasındaki fark birisinin yapıcı diğerinin yıkıcı olmasıdır denilebilir. Kesin olarak kabul etmemiz gereken bir şey varsa o da her ikisinin de teknolojinin ilerlemesini hızlandırmalarıdır.

Hacker, bir bilgisayara, yazılımına veya güvenlik sistemine erişmek için yazılım ve donanımlar geliştiren ve modifiye eden kişidir. Yüksek yetenekli bilgisayar programcısıdır. Sahip olduğu yüksek donanım ve yazılım bilgisiyle sistemleri çökerten kişidir.

Konuyla ilgili olarak karşımıza çıkan güncel bir kavram da “etik hacker” dır. Etik Hacker (iyi niyetli hacker) dediğimiz kişiler bilişim teknolojilerindeki bilgi, beceri, birikim ve deneyimlerini kötü amaçlı saldırılara karşı koymak amacıyla kullanan bir nevi güvenlik uzmanlarıdır. Bu kişiler;

Kendi sistemlerinin zayıflıklarını tespit edebilir ve güvenliğini sağlayabilirler. Güvenlik sistemleri hakkında bilgi ve tecrübeye sahiptirler. Kendi ağlarına yapılan saldırılara karşı nasıl defans yapılacağı konusunda yol gösterirler. Davetsiz misafirler için güvenlik sisteminin hangi adımlarının atılması gerektiğini bilirler. Bilgisayar sistemlerinin zayıflıklarını tespit edip bunları raporlayan ve bu zayıflıkların giderilmesi hakkında dizayn ve uygulama alanında uzmandırlar. Güvenlik sistemleri hakkında tecrübeye ve en son bilgilere sahiptirler. Kendi ağlarına, sistemlerine yapılan saldırılara karsı nasıl korunabileceklerini bilirler. Davetsiz misafirlerin güvenlik sistemleri üzerinde neler yapabileceklerini bilirler.

Phreaker

Phreaker’lar bazı kaynaklarda ilk bilişim suçluları olarak geçmektedir. Dolayısıyla Hacker ve Cracker kavramından daha önce ortaya çıkmış bir kavramdır. “Phreaking”, phreakerların yaptığı işlemin adıdır ve İngilizce freak, phone ve free kelimelerinde oluşmuştur. Phreaking mavi kutu denilen bir cihaz sayesinde bedava telefon görüşmesi yapma işlemiydi.

Phreaking hackerlar arasında yarı-saygınlık kazanan bir eylem olarak kabul edilmektedir. Phreaking entelektüel bir oyun olması ve bir tür keşif yapma formu olması açısından taktir kazanırken, servislere verdiği ciddi zararlar nedeniyle hoş karşılanmamıştır.

Lamer

Hacker olmaya özenen ancak yetenek bazında yetersiz kişilerdir. İnternette belli başlı sitelerden veya dokümanlardan öğrendikleri üç beş numarayı ezberleyip, nedenini nasılını bilmeden, bu işleri yapıp, hava atmaya çalışırlar. Bilgi bazında da, ezbere bildikleri hariç olmak üzere yetersizlerdir. Programlama veya scripting bilgileri yok denecek kadar azdır. varsa bile güvenlik mantığına sahip olmadıkları için, güvenlik alanında program geliştiremezler. Genellikle, konuştuklarında bilgi seviyeleri herkes tarafından anlaşılır. Amaçları eğlenmek, hayranlık uyandırmak veya ün gibi kavramlardır. Yaptıkları her işi ellerinden geldiğince herkes önünde yapmaya çalışırlar ve insanlara işin bitmiş halini sunarlar, nasıl yaptıklarını ise anlatamazlar. Saygı duyulmak isterler.

Scipt Kiddie

Hacker olmamalarına rağmen en tehlikeli ve en çok korkulması gereken kişiler bunlardır. Script Kiddieler de lamerler gibi hackerlara özenirler, fakat lamerlerin aksine bir miktar bilgi sahibidirler. Script kiddie’ler çoğunlukla sistemlere / kişilere saldırmaya, hasar vermeye ve ele geçirdikleri bilgileri kötü amaçlarla kullanmaya çalışırlar. Onlar için bir güvenlik sistemini delmek araç değil, amaçtır. Hacker dünyasının anarşistleri olarak tanımlanabilirler. Ev kullanıcılarına yapılan basit saldırıların sorumluları genelde script kiddie’lerdir.

PC’nizde dosyalarınızı kurcalamak ve şifrelerinizi çalmak onlar için bir eğlence kaynağıdır. Script kiddie’ler internette kolayca bulunabilen çeşitli hazır programları ve araçları kullanırlar. Başkaları tarafından yazılmış, bir şeyin nasıl yapılacağını adım adım anlatan dokümanları okur ve uygularlar. Kullandıkları programların nasıl çalıştığını bilmezler ve teknik dokümanları anlayamazlar. Ellerindeki programları kullanarak olabildiğince fazla bilgisayara zarar vermeye çalışırlar. “X’i hack’ledim” diyerek arkadaşlarına hava atmak

dışında gerçek bir amaçları yoktur. Script kiddie’ler çoğunlukla bilgisayara meraklı lise öğrencileridir. Hacker imajı yaratarak popüler olmayı amaçlarlar. 0 nedenle kendilerini hacker olarak tanımlar ve bununla övünürler.

Newbie

Script Kiddy lerden bir adım daha yukarıda olan kişiler için çıkarılmış bir kelimedir. Bu kişiler artık bazı şeyleri aşmış ve öğrenmeyi hedeflemiş zararsız kişilerdir. Newbie İngilizce bir kelime olup okula yeni başlayanlar için (özellikle de askeri okullarda) “new boy (yeni çocuk)” kavramından türemiştir ve ilk olarak Usenet’lerde kendini gösteren becerikli kişiler için kullanılmıştır.

Hacktivist

Toplumsal veya politik bir sorunu dile getirmek amacıyla hacking eylemlerinde bulunan kişilerdir. Amaçları, kendilerine göre “kötü” veya “yanlış” olan bir şeyi duyurmak ve ilgililere mesaj vermektir. Unutulmamalıdır ki amaç ne olursa olsun, bir bilgisayar sistemine izinsiz erişim sağlamak suçtur ve bu tür etkinlikler desteklenmemelidir. Hacker ve activist (eylemci) kelimelerinin birleşmesiyle oluşmuş bir deyimdir. Hacking işini siyasi amaçlar için yapan kimsedir

“ADANALI HACKER” ÖRNEĞİ

“Adanalı Hacker” olarak medya tarafından adlandırılan Atilla Ekinci 21 yaşında, çiftçi bir ailenin oğludur ve Adana’da yaşamaktadır. Liseyi bitirdikten sonra üniversite sınavını kazanamayınca internet kafelere takılmaya başlar. İnternet kafelerde hacker lıkla ilgilenir. İnternette diab10 takma ismini kullanan Fas asıllı ancak Rusya’da yaşayan Farid Essebar ile tanışır. 18 yaşındaki Farid Essabar Zotob, Mytob ve Rtob başta olmak üzere bu wormların 20 tane varyasyonunu yazan hacker dır. Atilla Ekinci, Farid Essabar dan aldığı bu wormları 116 ülkeye yaymıştır. Ankara'da sorgulanan lise muzunu Atilla E., virüs yaratmayı ilk olarak internet kafelerde öğrendiğini ve Faslı korsanla da internette tanıştığını belirtmiştir. Ayrıca yine Ankara'da ortaya çıkarılan bir sahte kredi kartı şebekesi operasyonunda da adının geçtiği saptanan Atilla EKİNCİ’nin konuyla ilgili olarak banka hesapları da incelemeye alınmıştır. Atilla EKİNCİ’nin bir hacker olduğunu söylemeyiz ama onun için “dünya çapında bir bilgisayar korsanı” ifadesini kullanabiliriz.

Atilla EKİNCİ’nin yaydığı wormdan başta Microsoft ve CNN, Associated Press, ABC, The New York Times, ABD News gibi büyük Amerikan medya kuruluşları ve Boeing Australia, Disney ve San Fransisco hava alanını başta olmak üzere bir çok şirket etkilenmiştir. Zotob sayesinde Atilla EKİNCİ bu firmalardaki bir çok çalışanın kredi kartı bilgilerine ulaşabilmiştir. Ayrıca bazı bankaların internet sitelerine girerek müşteri hesapları üzerinde oynama yaptığı ve para transferi yaptığı da iddia edilmektedir. Bazı kaynaklarda ise zotob wormunu yazdırmak için Farid ESSABAR’a Atilla EKİNCİ’nin para vermiş olabileceği de belirtilmektedir. “Adanalı Hacker” davası hem dünya medyasında hem de ulusal medyada büyük yankı bulmuştur.

Olayın bir özeti olarak turk.internet.com’un 29.08.2005 tarihli makalesine göz atmak yerinde olacaktır. Makale aynen şu şekilde;

Zotob'un Yazarı Yoğun Bir Yaz Geçirmiş

SophosLabs'dan alınan bilgiye göre, geçen hafta Zotob kurtçuğu ile ilgili olarak tutuklanan biri Fas'lı diğeri Türk, 2 programcıdan bir tanesinin en az 20 kurtçuk daha yazmış olabileceği düşünülüyor.

SophosLabs araştırmacıları Ağustosta yayılmaya başlayan virüsü Farid Essebar'ın yazdığını düşünüyorlar 18 yaşındaki Fas'lı Essebar ve 21 yaşındaki Türk Atilla Ekici, perşembe günü kendi ülkelerinde yakalandıktan sonra Zotob ve Mytob virüsünü yazmak ve yaymakla suçlandılar

Zotob, çok hızlı yayılan bir virüs olarak dikkati çekti. Ağustos'un hemen başında, Microsoft'un yayınladığı yamanın arkasından yaypılmaya başlayan virüs Windows Plug-and-Play açığını kullanıyordu. Virüsün özellikle ABC, CNN, The Associated Press ve The New

York Times, gibi medya şirketlerini vurması dikkatleri çekti.

Sophos, FBO'ın "Diabl0" ismini kullandığını bildirdiği Essebar'ın Zotob-A kurtçuğu içine kendini tanıtan bu işareti bıraktığını bildiriyor.

Sophos'a göre, virüs yazıcılarının kodlarının içine mesaj bıraktıkları görülüyor ama tanıtıcı işaret bırakmalarını normal olmayan bir durum. Ancak daha ilginç açıklamaya göre, Sophos araştırmacıları, Mydoom-BG ve Mytob kurtçuğu'nun da dahil olduğu 20'den fazla başka virüsün içinde de "Diabl0" adının yer aldığını tespit etmişler. Sophos'dan Graham Cluley şöyle diyor

Demek ki, Zotob'un yazan kimse, Mytob kaynak kodlarına da erişebiliyormuş. Mytob virüsünün bu yılın virüs patlamasında önemli bir yeri var. Bu nedenle de gelecek çeşitlerinin geliştirmesini ve yayılmasını önleyecek her şey, her bilgi çok önemli" İçinde "Diabl0" işareti taşıyan virüslerden 6 tanesi, en çok yayılan 10 virüs listesi içinde yer alıyor. Sophos'a göre, yayılan tüm virüslerin % 54'ü de bunlar. Cluley ekliyor

Eğitimsiz bir göz, Mytob ile Zotob'u farklı sanabilir. Biri mail yoluyla yayılıyor. Diğeri Microsoft'un bir güvenlik açığını kullanıyor. Ama tecrübeli bir virüs analisti benzerlikleri hemen farkediyor"

Öncelikle Zotob wormunu ve varyosyanlarını anlattıktan sonra Atilla EKİNCİ’nin neler yaptığını, neden suçlu bulunduğunu ve nasıl yakalandığını anlatacağız.

Zotob ve Botnetler

Öncelikle şunu belirtmek gerekir, Zotob bir wormdur, yani solucandır. Son yılların en popüler virüs benzeri programı olan Worms yada Türkçe’siyle kurtçuklar/solucanlar, virüslere oldukça benzer özelliklere sahip oldukları için virüslerle karıştırılmaktadır. Birçok yerde de virüs olarak anılmaktalar. Virüslerle olan temel farkları yayılmak için bulaşmak zorunda oldukları bir dosyaya (konak) ihtiyaç duymamalarıdır. Bunlar bir anlamda bulaşmadan kopyalanma yoluyla çoğalırlar, yayılırlar. Yayılmak için ağları kullanırlar. Bu ağ (Network), kurumsal bir ağ (LAN/WAN) olabileceği gibi internet ya da İntranet olabilmektedir. Bu nedenle wormlardan bahsedilirken çoğu zaman “ağ solucanları” da denmektedir.

Genel olarak zotob solucanı Windows 95, 98, ME, NT, 2000, 2003 ve XP platformlarındaki güvenlik açıklarını kullanarak Ayrıca bu yetkiyi ele geçiren saldırgan bir taraftan da solucanı buradan ağ üzerinde veya internetten yayabilmektedir bulaştığı bilgisayarların korsanlar tarafından uzaktan erişilmesine neden olmaktadır.

Zotob solucanı 14 Ağustos 2005 tarihinden önce W32.IRCBot olarak bilinmekteydi. Windows 95/98/ME/NT4/XP sitemlerde sistem çalışırken uzaktan erişilerek bulaştırılamamaktadır ancak Windows 2000 sistemlerde bu durum söz konusu olabilmektedir. Enfekte olduğu dosyalardaki enfekte büyüklüğü 22,528 byte dır. Zotob TCP 445, 8080 ve 33333 portlarını kullanmaktadır. Zotob kendisini botzor.exe olarak, Windows 95/98/Me sistemlerde C:\Windows\System dizini içine, Windows NT/2000 sitemlerde C:\Windows\System32 dizinin içine, Windows XP sitemlerde ise C:\Windows\System32 dizininin içine kopyalamaktadır. Kayıt Defterinde ise; HKEY_LOCAK_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run ve HKEY_LOCAK_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices içine “WINDOWS SYSTEM” = “botzor.exe” değeri ile ve HKEY_LOCAK_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess de “Start” = “4” değeri ile kendini kaydetmektedir. Uzaktan erişim için IRC (Internet Relay Chat)

sunucusuna [...............]http://]...............[REMOVED] adresinden TCP 8080 portunu kullanarak bağlanmaktadır. Ayrıca bulaştığı sistemlerde 33333 TCP portunu kullanarak bir de FTP sunucu açabilmektedir. Solucan ağdaki mevcut IP leri tarayarak diğer bilgisayarlara da bulaşmaktadır. Yine sistem dizinine 2pac.txt dosyasını kopyalayarak bir FTP programcığı çalıştırmaktadır ve böylece başka bir FTP sunucuya bağlanmasını sağlayarak oradan solucanın bir kopyası niteliğinde olan haha.exe dosyasını sistem dizini altına kopyalamaktadır.

Zotob yapı olarak worm yapısına sahiptir. Zotob Microsoft işletim sistemi yüklü olan makinelerde var olan “tak ve kullan” (plug and play) açığını kullanarak bilgisayarlara sızma yoluyla bulaşırlar. Daha sonra bilgisayarda güvenlik amaçlı kurulu olan yazılımlar var ise bu yazılımları kapatır ve bu programların otomatik güncellemelerini engeller. Bu sayede, anti-virüs programları ve güvenlik programları kendilerini güncelleyemediği ve olağan şekilde çalışamamağı için virüsün varlığından haberdar olamazlar.

ZOTOB solucanı bir kopyasını Windows sistem dosyasının içine botzor.exe adıyla kopyaladıktan sonra sistemin “host” dosyasını değiştirerek, enfekte olan bilgisayarın internet üzerinden yardım almasına engel olur. Ayrıca botzor.exe dosyası sayesinde IRC sohbet protokolü aracılığıyla Internet’e bağlanıp bulaşmış olduğu makineyi kötü niyetli kişilerin sömürüsüne bırakmakta ve bulaştığı bilgisayarların güvenlik ve anti virüs sitelerine ulaşmasını da engellemektedir.

Zotob, Windows 2000 tabanlı sistemleri tehdit eden ve Microsoft Güvenlik Bülteni MS05-039 tarafından giderilen güvenlik sorunundan yararlanan bir solucandır. Bu solucan ve türevleri kötü amaçlı bir yazılım yükler ve ardından bulaşabileceği başka bilgisayarlar arar. Zotob’un yirmiye yakın varyasyonu olduğu söylense de şimdiye kadar karşılaşılan türevleri şunlardır; W32.Zotob.A, W32.Zotob.B, W32.Zotob.C, W32.Zotob.D, W32.Zotob.E, W32.Zotob.F, W32.Zotob.G, W32.Zotob.H, W32.Zotob.I, W32.Zotob.J@mm, W32.Zotob.K, W32.Zotob.L, Bobax.O, Esbot.A, Rbot.MA, Rbot.MB, Rbot.MC.

Zotob botnetler sayesinde çalışır, yayılır ve kullanılır. Bu nedenle Zotob’un çalışma şeklini anlamak için öncelikle botnetler hakkında bilgi sahibi olmak gerekir. Bot kavram robot kavramından türemiştir ve isminden de anlaşılacağı gibi kendi başına hareket edebilen makineleri ifade etmektedir. Diğer bir deyişle de kendi kendine komut beklemeden çalışabilen yazılımları ifade eder ve botnetler IRC (Internet Relay Chat) sunucularda kullanılarak kötü amaçlarla uzaktan erişim sağlamak için kullanılır.

Botnetlerin diğer bir kullanım alanı da DDOS Atak (Distrubuted Denial of Service Attack) denilen saldırılardır. DDOS Atakları DOS ataklarının birden fazla bilgisayar tarafından yapılmasıdır. Daha önce de bahsettiğimiz gibi burada söz konusu olan bilgisayar korsanları tarafından sisteme fazla yükleme yapılarak sistem kaynaklarının kapasitesinin doldurulması ve sistemin çalışamaz hale gelmesidir. Genellikle ISP (Internet Service Provider) yani Internet sağlayıcı sistemlere karşı yapılır. Burada sisteme çok sayıda karşılıksız paket gönderilir ve buna cevap vermeye çalışan sistem aşırı trafikten dolayı tıkanır ve muhtemelen yeniden başlatılmak zorunda kalır. İşte bu yeniden başlatma sürecinde saldırganlar harekete geçer ve bir anlık zayıflıktan faydalanarak amacına ulaşmaya çalışır. DDOS saldırılarının daha etkili yapılabilmesi için birden çok bilgisayar aynı anda kullanılması gerekmektedir. Bu bilgisayarlara “zombi” denilmektedir. Yine saldırgan DDOS saldırısı yapmadan önce zombi bilgisayarlar elde etmeye çalışır ve bu bilgisayarları sahibinin istemi dışında kendi amaçları doğrultusunda kullanır. İşte yine bu noktada botnetler devreye girmektedir. Zombi olarak kullanılacak bilgisayarlar botnetler sayesinde ele geçirilir ve uzaktan yönetilerek DOS saldırıları için kullanılırlar.

Ayrıca botnetler kullanılarak web sitelerine saldırılabilmekte ve kredi kartı bilgileri çalınabilmektedir. Hollanda’da üç kişinin gözaltına alındığı bir dava da saldırganlar botnetler aracılığıyla yüz binlerce kişiye spam mail göndermişlerdir. Bu maillerde olta (phising) taktiği kullanılmıştır ve ABD Federal Ticaret Komisyonu’ndan gelen mailler taklit edilmiştir. Yani bu mailler ABD Federal Ticaret Komisyonu’ndan gelen maillermiş gibi gözükmektedir ve buna inanan kurbanlar (oltaya takılanlar) bu maile cevap vererek kişisel bilgiler saldırganlara yollamışlardır. Bu yolla kullanılan zombi bilgisayarlara da Spam Zombi denilmektedir.

IRC (Internet Relay Chat) sadece kişilerin bir araya toplanıp konuştukları iletişim ağları konumundan çıkıp Bilgisayarların kontrollerinin sağlandığı ortam olarak ön plana çıkmaya başlamıştır. Bot, genel olarak IRC ortamlarında kullanılan bir terimdir. Bot, kendisine tanımlanan komutları belirli bir çerçevede gerçekleştiren bir programdır. Böylece IRC ortamındaki kanallar, botlar vasıtasıyla kontrolü sağlanır. Son zamanlarda Bot kavramı daha çok saldırı amaçlı kullanılan sistemler için kullanılmaya başlanmıştır. Bu tür bilgisayarların çoğunluğunu internet kullanıcılarına ait sistemler oluşturmaktadır. Bir internet kullanıcısının sisteminde kurulu olan Windows işletim sisteminde güncel yamalar kurulu değil ise bu sistemin uzaktan kontrolü kaçınılmaz olur. Uzaktan kontrolü sağlayıp, belirli bir IRC ağına bağlanıp bir kanalda toplanmasını sağlayan çeşitli tehlikeli uygulamalar vardır. Bu tür tehlikeli progr*****ların çoğu güncel sistem açıklarını bünyesinde bulundurur ve tarama modu ile IP (Internet Protocol) adreslerine göre tarama gerçekleştirirler.

Zotob’un çalışma prensibi kısaca şöyledir. Öncelikle solucanın sahibi bir IRC sunucu kiralar ve oradan da hem kurtçuğu yayar hem de solucanın gönderdiği bilgiler burada toplanır ve sunucuyu kiralayan ve kişi bu bilgileri yine uzaktaki makinesinden bağlanarak elde eder. Ancak daha önce de belirttiğimiz gibi bu sunucunun solucanı yayabilmesi için botnetlere ihtiyacı vardır. Aynı zamanda enfekte olmuş ağlardan bütün bilgisayarları hedef alan Zotob bilgisayarların sürekli olarak kapanmasına ve sistemin yeniden yüklenmesine sebep oluyor. İşte Atilla EKİNCİ’nin suç olarak kabul edilen eylemi bu şekilde gerçekleşmiştir. Binlerce kişinin kredi kartı bilgilerine bu solucan sayesinde ulaşabilmiştir.

OPERASYON SÜRECİ

Zotob solucanın 116 ülkeye yayıldığını ve büyük ABD şirketlerini de etkilediğini söylemiştik. İşte Microsoft zotob un en büyük mağdurlarından biri haline gelince Microsoft’un güvenlik timi dünya çapında araştırma başlattı. Zotob solucanının Türkiye’den yayıldığını tespit eden Microsoft ekibi ilk olarak Türk Birimleriyle iletişime geçti. Ancak Atilla EKİNCİ bu davadan önce de Emniyet Genel Müdürlüğü tarafından takip ediliyordu.

Atilla EKİNCİ ve Farid ESSABAR tespit edildikten sonra geniş çaplı araştırma sürecine girildi. Karşılıklı yazışmalar ve bilgi paylaşımı sonucu Atilla EKİNCİ’nin ve Farid ESSABAR’ın adresleri tespit edilmeye çalışılmıştır. Ancak bu başlangıçta hiç de kolay olmamıştır çünkü Atilla EKİNCİ saldırı yapacağı zaman ya da solucanı kullanacağı zaman hiçbir şekilde evindeki bilgisayarı kullanmamıştır ve dolayısıyla IP adresinden adres tespiti yapılamamıştır. Atilla EKİNCİ’nin adresini Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı Personeli çok pratik bir şekilde öğrenmiştir. Microsoft ekibinin gözünde kaçan bir ayrıntı KOM Daire Başkanlığı personeli tarafından çok iyi fark edilmiş ve etkili bir sonuç alınmıştır. Bu ayrıntı, Atilla EKİNCİ’nin zotob solucanını yaymak ve uzaktan erişim sağlamak için kulandığı IRC sunucuyu kiralamak için verdiği [url=mailto:thecoder@hotmail.com">thecoder@hotmail. com[/url] mail adresidir. Atilla EKİNCİ bu mail hesabında gerçek ikametgah adresini kullanmıştır ve Hotmail bir Microsoft firması olduğu için bu mail ile bütün adres bilgileri onların elindedir. İşte bunun farkına varan KOM Daire Başkanlığı personeli Microsoft’a bunu iletmiştir ve Microsoft hem Atilla EKİNCİ’nin mail bilgilerini hem de Farid ESSABAR ile yaptığı bütün yazışmaların bir kopyasını KOM Daire Başkanlığı’na göndermiştir. KOM Daire Başkanlığı personeli acemi bilgisayar korsanlarının hep bu hataya düştüğünü belirtmektedir.

Bu arada FBI (Federal Bureau of Investigation – Fedaral Soruşturma Bürosu) da davayı takip etmekteydi. Çünkü zotob solucanı sadece bilgi çalmakla kalmıyor sistemlere de çok ciddi zararlar veriyordu ve ABD için öyle bir tehdit oluşturdu ki ülkeye giren uçaklardaki yolcuları görüntülemek için kullanılan sistemler dahi bozuldu. FBI’da bu tür siber suçlarla ilgili görevleri CAT (Cyber Action Team) Timi yürütmektedir.

Microsoft ile yapılan bu yazışmalar Türk Makamlarının harekete geçmesi ve soruşturma başlatması için yeterli değildir çünkü Microsoft özel bir şirket statüsündedir ve Türk Makamları’na resmi olarak suç ihbarı yapabilecek tek uluslar arası kurum İnterpol’dür. Bu nedenle Microsoft ve FBI İntepol’e başvurmuşlardır ve İnterpol aracılığıyla uluslararası bir soruşturma yapılmaya başlanmıştır.

Bu yazışmalardan sonra Atilla EKİNCİ on iki gün boyunca takibe alınmıştır. Bu takip sonucu evinde yakalanmış ve bilgisayarına el koyulmuştur. Atilla EKİNCİ’nin bilgisayarında yapılan incelemeler sonucu; yetkisiz erişim sonucu elde edildiği tahmin edilen e-mail adresleri ve bu e-mail adreslerine ait şifreler, Zotob solucanını yazdığı bilinen Fas’ın Rabat kentinde yakalaması yapılan Diabl0 takma isimli şahıs adına açılmış dosya transfer hesapları ve şifreleri, Zotob solucanının yayılması için gerekli olan internet (IP) adresleri, Internet sitelerine ait kullanıcı adları ve giriş şifreleri ile şahsın bu sitelerden belirli paralar aldığına dair kendisi tafından not amaçlı tutulduğu düşünülen bilgiler, Paul ismi kullanılarak codermaster.com alan adına ait satın alma ve kullanım bilgileri, Zotob bilgisayar virüsünün yayıldığı düşünülen 62.193.235.133 IP numaralı internet adresine ait kullanıcı adı ve şifre, Zotob solucanına maruz kalan bilgisayarları uzaktan yönetmekte kullanılan komutlar ile çok sayıda internet sunucularına ait kullanıcı adı ve şifreler tespit edilmiştir.

Adana’da yakalandıktan sonra Ankara'ya götürülen ve emniyetteki sorgusu tamamlanan Atilla EKİNCİ, 29 Ağustos 2005’de Ankara Adalet Sarayı'na getirildi. Atilla EKİNCİ, Suçüstü Savcılığı'ndaki sorgusunun ardından "interaktif dolandırıcılık yapma" suçlamasıyla sevk edildiği Nöbetçi Ankara 10. Sulh Ceza Mahkemesi'nce tutuklandı. Ulucanlar ceza evinde bir süre kalan Atilla EKİNCİ daha sonra yargılanması tutuksuz olarak devam etmek üzere serbest bırakılmıştır.

OPERASYONUN YANKILARI

Operasyon için FBI CAT timi özel bir uçakla Türkiye’ye gelmiştir. Gelme amaçları operasyona aktif olarak katılmaktı ancak bu tür bir uygulama ülkemiz açısından mümkün değildir. Çünkü ülkemiz polisiye anlamda FBI’ın birlikte operasyon yaptığı diğer ülkeler gibi yetersiz değil tam tersine FBI yetkililerini bile şaşırtacak derecede kendini geliştirmiştir. Nitekim bu operasyon sonucu günlerce Türk Polisine teşekkür etmişleridir. Ama Fas’taki operasyonda FBI ajanları aktif olarak görev almışlardır.

Ayrıca zotob operasyonu tüm dünya basınında yankı bulmuştur ve şimdiye kadar dünya çapında adı duyulan ilk bilgisayar korsanı Atilla EKİNCİ olmuştur. Ülkemizde de bilişim suçları ve hacking insanların ilgisini çekmiştir ancak bu hem olumlu hem de olumsuz etkiler yapmıştır. Bilgisayar kullanıcıları güvenliğin ne kadar hassas ve önemli bir konu olduğunun farkına varırken, suçlular da bunu yeni bir suç tekniği olarak algılamışlardır. Özellikle mafya tipi yapılanmış organize suç örgütleri bunu kendileri içim bir finansman kaynağı olarak görmekteler. Atilla EKİNCİ ceza evinde bulunduğu sürede bir çok tehditle karşılaşmıştır. Diğer adi suçlular Atilla EKİNCİ’den hacking tekniklerini öğretmelerini istemiştir. Hatta ne kadar para kazandığını sormuşlar ve kendileri de bu yollarla para kazanmak istediklerini söylemişlerdir.

MİCROSOFT’TAN TEŞEKKÜR

Yapılan operasyon sonucunda Microsoft Türk Makamlarına ve FBI yetkililerine kendi resmi sitesinde teşekkür etmiştir. Bu teşekkür tüm dünya tarafında takip edilmiştir. Microsoft EMEA Bölge Müdürlüğü, Türk ve Fas Emniyet Teşkilatları ile FBI'ın Zotob, Rbot ve Mytob adlı zararlı bilgisayar yazılımlarını dağıttıkları iddia edilen kişilerin hızlı bir şekilde yakalamasını memnuniyet verici olarak nitelendirerek, operasyonu gerçekleştiren kurumlara teşekkür etti.

Microsoft'tan yapılan yazılı açıklamada, kuruluşun, Zotob, Rbot ve Mytob solucanlarının dağıtıcılarını arama çalışmalarında ABD ve dünya üzerindeki diğer emniyet teşkilatlarına araştırma ve teknik destek sağladığı kaydedildi. Açıklamada, Fas'ta Rabat ve Türkiye'de Ankara ve Adana'da güvenlik güçlerinin yaptığı operasyonlarla, solucanların ilk ortaya çıkış tarihi olan 13 Ağustos'tan 12 gün sonra, solucanları dağıttığı iddia edilen kişilerin yakalandığı aktarıldı. Microsoft'un Yazılım Güvenlik Vakaları Yanıt Süreci'nin bir parçası olan İnternet Suçları Araştırma Takımı'nın, araştırma sürecinde emniyet teşkilatlarının iki solucan dağıtımını hızla takip etmesine yardımcı olduğu ifade edilen açıklamada, Microsoft'un, konuyla ilgili olarak FBI'a teknik bilgi ve analitik destek sağladığı, FBI'ın da bu bilgileri Fas ve Türk güvenlik güçleriyle paylaştığı belirtildi.

Microsoft Ortadoğu ve Afrika Hukuk Direktörü Laurent Masson, şirketin küresel ölçekte emniyet güçleriyle devam eden işbirliği kapsamında, Zotob, Rbot ve Mytob gibi kötü niyetli kodlar yayınlandığında, bilgilerin kısa süre içinde emniyet güçleriyle paylaşıldığı ve bu durumun onlara siber suçluların kimliklerinin tespiti ve yakalanmasında yardımcı olduğunu kaydetti. Masson, Zotob, Rbot ve Mytob solucanlarının dağıtıcısı oldukları iddia edilen kişilerin kısa süre içinde bulunup göz altına aldıkları için adı geçen emniyet birimlerini kutladı. Masson, açıklamada şunları kaydetti; ''Bu tutuklama bize kamu ve özel sektör işbirliğinin değerini gösteriyor. Bu sonucun alınmasında emniyet güçleri tarafından sergilenen birinci sınıf araştırma çalışması ile onlara gece gündüz durmaksızın araştırma ve teknik destek sağlayan Microsoft bünyesindeki Internet Suç Araştırmaları Takımı'nın işbirliği büyük önem taşıyor. Elde ettiğimiz bu sonuç bizlere siber suçluların kimliklerinin tespit edilebileceğini açıkça gösteriyor'' Microsoft Türkiye Genel Müdürü Çağlayan Arkan da, siber suçlara karşı verilen mücadele için önemli bir adım atıldığını ifade ederek, bu başarının, günümüzde niteliği değişebilen suç çeşitlerine karşı yasa uygulayıcılarının gösterdiği kararlılığın bir ifadesi olduğunu belirterek, Türk polisinin çok kısa sayılabilecek bir süre içinde sonuç elde etmesini memnuniyetle karşıladıklarını kaydetti.

Microsoft'tan yapılan yazılı açıklamada, kuruluşun, Zotob, Rbot ve Mytob solucanlarının dağıtıcılarını arama çalışmalarında ABD ve dünya üzerindeki diğer emniyet teşkilatlarına araştırma ve teknik destek sağladığı kaydedildi. Açıklamada, Fas'ta Rabat ve Türkiye'de Ankara ve Adana'da güvenlik güçlerinin yaptığı operasyonlarla, solucanların ilk ortaya çıkış tarihi olan 13 Ağustos'tan 12 gün sonra, solucanları dağıttığı iddia edilen kişilerin yakalandığı aktarıldı. Microsoft'un Yazılım Güvenlik Vakaları Yanıt Süreci'nin bir parçası olan İnternet Suçları Araştırma Takımı'nın, araştırma sürecinde emniyet teşkilatlarının iki solucan dağıtımını hızla takip etmesine yardımcı olduğu ifade edilen açıklamada, Microsoft'un, konuyla ilgili olarak FBI'a teknik bilgi ve analitik destek sağladığı, FBI'ın da bu bilgileri Fas ve Türk güvenlik güçleriyle paylaştığı belirtildi.

Microsoft Ortadoğu ve Afrika Hukuk Direktörü Laurent Masson, şirketin küresel ölçekte emniyet güçleriyle devam eden işbirliği kapsamında, Zotob, Rbot ve Mytob gibi kötü niyetli kodlar yayınlandığında, bilgilerin kısa süre içinde emniyet güçleriyle paylaşıldığı ve bu durumun onlara siber suçluların kimliklerinin tespiti ve yakalanmasında yardımcı olduğunu kaydetti. Masson, Zotob, Rbot ve Mytob solucanlarının dağıtıcısı oldukları iddia edilen kişilerin kısa süre içinde bulunup göz altına aldıkları için adı geçen emniyet birimlerini kutladı. Masson, açıklamada şunları kaydetti; ''Bu tutuklama bize kamu ve özel sektör işbirliğinin değerini gösteriyor. Bu sonucun alınmasında emniyet güçleri tarafından sergilenen birinci sınıf araştırma çalışması ile onlara gece gündüz durmaksızın araştırma ve teknik destek sağlayan Microsoft bünyesindeki Internet Suç Araştırmaları Takımı'nın işbirliği büyük önem taşıyor. Elde ettiğimiz bu sonuç bizlere siber suçluların kimliklerinin tespit edilebileceğini açıkça gösteriyor'' Microsoft Türkiye Genel Müdürü Çağlayan Arkan da, siber suçlara karşı verilen mücadele için önemli bir adım atıldığını ifade ederek, bu başarının, günümüzde niteliği değişebilen suç çeşitlerine karşı yasa uygulayıcılarının gösterdiği kararlılığın bir ifadesi olduğunu belirterek, Türk polisinin çok kısa sayılabilecek bir süre içinde sonuç elde etmesini memnuniyetle karşıladıklarını kaydetti.

---BİLİŞİM AĞI HİZMETLERİNİN DÜZENLENMESİ VE BİLİŞİM SUÇLARI HAKKINDA KANUN TASARISI ÇERÇEVESİNDE OPERASYONUN DEĞERLENDİRİLMESİ

“Adanalı Hacker” operasyonu uluslar arası bir operasyon olduğu için belli konularda daha etkili mücadele etmek için ulusal kanunlar yetersiz gibi görünmektedir. Ancak operasyonun Türkiye ayağını yeni kanun tasarısı açısından ilgili maddeler çerçevesinde değerlendirebiliriz.

İlk olarak “Toplu kullanım sağlayıcıların hakkında uygulanacak esaslar” ı düzenleyen 12. madde’nin 2. fıkrasında yer alan “Toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür” ibaresi ile Atilla Ekinci’nin sık sık gittiği internet kafenin işletmecileri tarafından solucanı yaydığı ve solucanın topladığı bilgilere ulaştığı yurt dışındaki IRC sunuculara, ulaşması engellenebilirdi.

İnternet kafelerinin işletmecileri tarafından bu gerçekleştirilmediği takdirde. “Erişim sağlayıcıların yükümlülükleri” nin düzenlendiği 9. maddenin gerekçesi incelendiğinde “internet servis sağlayıcılarının” genel olarak hizmet verdikleri müşterilerinin hukuka aykırı veri transferlerini kontrol etme ve gerekli önlemleri alma yükümlüğü yoktur ancak hukuka aykırı durum kendilerine resmi kurumlarca bildirildikten sonra internet kafenin internet erişimi engellenebilirdi.

Toplu kullanım sağlayıcılar yani “internet kafeler” özellikle mali kazanç amacıyla işlenen bilişim suçlularının ana üssüdür diyebiliriz. Çünkü dijital ayak izlerini kaybettirmek isteyen bilişim suçluları için başı boş varoşlarda kurulan ve denetlenemeyen internet kafeler bulunmaz bir nimettir diyebiliriz.

Türk Ceza Kanunu’nun mevcut 244. maddesi “Bilişim Sistemini Engelleme, Bozma. Verileri Yok Etme veya Değiştirme Suçu” ‘ne göre yargılanan Atilla Ekinci aynı suç için yeni bilişim suçları kanun tasarısına göre 15. madde de düzenlenen “Bilişim Sistemine Girme ve Veri Elde Etme” ve 16. maddede düzenlenen “Verilere, Programların Bütünlüğüne veya Sistemin Çalışmasına Müdahale” suçlarında yargılanacaktı diyebiliriz.

17. maddeyi incelediğimizde ciddi bir yenilikle karşılaşıyoruz. Bu maddede düzenlenen “Hukuka Aykırı Donanım veya Program” başlığı altında belirtilen bilişim suçu işlemek amacıyla bazı program ve donanımları üreten, uyarlayan, ithal eden, satan, sağlayan, dağıtan, tanıtan kişiler için cezai yaptırım getirilmiştir. Dolayısıyla Atilla Ekinci “Zotob” ve varyasyonları yüzünden bu maddeden de yargılanabilirdi.

Şimdiye kadar bu şekilde bu düzenleme olmadığı için bu maddeyi çok ayrıntılı bir şekilde incelemek ve değerlendirmek gerekir. Hukuka aykırı program ve donanım bulundurma suçunda “amaç” dikkate alınacaktır çünkü başta bir çok şirketin güvenlik uzmanı olmak üzere bilgi güvenliği ile ilgilenen her bilişimci de bu tür programlar ve donanımlar mevcuttur. Hatta birçok programcı kendi teknik seviyesini ölçmek için dahi bu tür programlar geliştirmektedir veya da güvenlik uzmanları şirketlerinin ağ ve sistemlerinin güvenlik altyapısını ölçebilmek için bu tip programlar üretmektedir. Günümüzde de bir çok bilişim suçlusu başlangıçta iyi niyetle hazırlanmış bu tür programları kullanmaktadır. Nitekim bir bilişim saldırısının basamaklarını incelediğimizde saldırganın gerek donanımsal gerekse yazılımsal olarak bulabildiği bütün kaynakları kullandığını görmekteyiz.

Atilla Ekini yeni kanun tasarısına göre elde ettiği kredi kartı ve hesap bilgilerini kendisi için ve ya bir başkası için yarar sağlamak amacıyla kullansaydı 19. maddede düzenlenen “Bilişim Ortamında Yarar Sağlamak” suçundan yargılanabilirdi. Maddenin gerekçesini incelediğimizde bu maddenin uygulanabilmesi için Türk Ceza Kanunu’nun 157 ve devamı maddelerinde düzenlenen dolandırıcılık hükümleri veya diğer kanunlarla düzenlenen suçlar kaps***** girmeyen haksız kazanç sağlama eylemimin gerçekleşmiş olması gerektiğini görüyoruz.

Suçun soruşturma aşamasında yeni kanun tasarısına göre 29. madde “İçeriğe Erişimin Engellenmesi” özellikle önsoruşturmayı yapan ve son soruşturmada savcının yardımcısı konumunda olan kolluk kuvvetleri yani polis ve jandarma açısından yarar sağlayacak bir maddedir. Bilişim suçlarıyla daha etkili mücadele edebilmek için fonksiyonellik kazandıran bu madde özellikle gecikmesinde sakınca bulunan hallerde faydalı olabilecektir.

---SONUÇ VE ÖNERİLER

Bilişim suçları artık hayatımıza girmiştir ve bazen gerçekleştirilesi çok da zor olmayan eylemler sonuçları açısından geniş kitlelere çok önemli zararlar verebilmektedir. Bu nedenle bilişim suçları da diğer suçlar gibi gerçekten ciddiye alınmalı ve etkin bir şekilde mücadele edilebilmesi için gereken önlemler göz ardı edilmemelidir. Aksi takdirde gün geçtikçe artan bilgisayar korsanlarına karşı savunma yapmak imkansız hale gelebilir.

“Adanalı Hacker” örneğin de gördüğümüz gibi bilişim suçlarıyla mücadele etmek bazen sanıldığından çok daha zor olabilmekte ve hatta uluslar arası işbirliği gerektirebilmektedir. Bu nedenle her ülke kendi içinde bilişim suçlarıyla mücadele edecek kurumlarını yerleştirmeli ve bu alanda ihtiyaç duyacağı teknik ve polisiye açıdan yeterli personeli yetiştirmelidir. Ayrıca bütün suçlarda olduğu gibi bu suçlarda da vatandaş destekli mücadele kaçınılmazdır dolayısıyla vatandaşlar da bu konuda bilinçlendirilmeli ve işbirliği içinde hareket edilmelidir.

Şüphesiz ki bilişim suçlarıyla etkili mücadelenin en önemli sacayağı “Hukuki Düzenlemeler” dir. Nitekim atılan her adım bu hukuki düzenlemeler çerçevesinde yapılmaktadır. Dolayısıyla günümüz koşullarını göre hazırlanmış, teknolojik ve ekonomik ölçüleri dikkate alan, hukuki boşlukları dolduran ve bir taraftan suçla mücadele eden kolluk kuvvetlerine yeterli desteği verdiği gibi diğer taraftan da kişi haklarını da koruyan bir yasal düzenleme şüphesiz çok yararlı olacaktır. Genel olarak bakıldığında yeni kanun tasarısı, Türk Ceza Kanunu’nda mevcut olan ve “Bilişim Alanında Suçlar” başlığı altında düzenlenen 243, 244, 245 ve 246. maddeler göre çok daha geniş düzenlemeler getirerek daha etkili olacağı sinyallerini vermektedir. Uygulamaya geçildiğinde başarısı ve eksiklikleri daha net görülecektir. Bunlar da bilahare çıkarılacak yönetmelikler de diğer kanuni düzenlemeler ile aşılabilirse başarı kaçınılmaz olacaktır.

KAYNAKÇA

Akçam, Bahadır, (1999), “Suçla Mücadele Edenler İçin İnternet”, Ankara, SFN Matbaacılık

Bahtiyar, Ziya, (2003), “Virüsler ve Güvenlik”, İstanbul, Pusula Yayınları

Dülger, Murat Volkan, “Yeni Türk Ceza Kanunu’nda Bilişim Suçları ve Bu Suçlarla Mücadelede Alınması Gereken Önlemler”, Bildiri, 2.Polis Bilişim Sempozyumu, Ankara-Sheraton, 14-15 Nisan 2005

Güven, Mehmet, (2004), “İnternette Güvenlik ve Hacker Cracker Meselesi”, Ankara, Grafik Yayınları

Karabal, Mustafa ve Bekir Peker, Musa Karakaya, Ali Savran, (2004), “Bilişim Suçları ve İnternet”, Barışın Köprüsü İnternet, Konya, Akademilenyum Yayınları,

Kiremitçi, Ali ve Taylan Tekin, “Bilişim Suçları ve Etkin Mücadele Yöntemleri”, Poster Bildiri, 2.Polis Bilişim Sempozyumu, Ankara-Sheraton, 14-15 Nisan 2005,

Kurt, Levent, (2005) “Bilişim Suçları ve Türk Ceza Kanunundaki Uygulaması”, TODAİE Yüksek Lisans Tezi, Ankara

Şumlu, Selim, “Hacker Dünyası”, PC Net Nisan 2006,

Tavukçuoğlu, Cengiz, (2004), “Bilişim Terimleri Sözlüğü”, Ankara, Asil Yayınları

Yıldız, Murat, “Hacker Yöntemleri”, BYTE Nisan 2006,

Yılmaz, Davut, (2005), “HACKING Bilişim Korsanlığı ve Korunma Yöntemleri”, İstanbul, Hayat Yayınları

Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı 2004 Raporu, Ankara 2005, Devran Matbaacılık

Kaçakçılık ve Organize Suçlarla Mücadele Kitabı, (2006), TADOC, Ankara

Siber Terörizm Dersi Notları, 2005-2006 Polis Akademisi, Ders Görevlisi: Dr. Süleyman ÖZEREN

Bilişim Suçları Kurs Notları, Mart 2006, Polis Akademisi Bilgi İşlem Merkezi

10-04-2010, 03:21	#1 (permalink)
BeyForuM Owner Üye Numarası: 1 Üyelik tarihi: Jun 2009 Mesaj Sayısı: 6,031	Bilisim Suclulari Kimlerdir? BİLİŞİM SUÇLULARI KİMLERDİR? Bilişim suçları farklı kaynaklarda farklı şekillerde tanımlandığı gibi, bilişim suçlarını işleyen bilgisayar korsanları da farklı şekillerde tanımlanmıştır. Bilişim suçları çok çeşitli olduğu gibi bilgisayar korsanı olarak nitelendirdiğimiz grupta çok geniştir ve kendi içerisinde bir çok kavramı barındırmaktadır. Bu kavramlar birbirine çok karıştırılmaktadır ve özellikle medya bu konuda çok yanlış haberler yayınlayarak izleyicileri yanlış bilgilendirmektedir. Bilişim suçlarıyla mücadele de güvenlik güçleri profesyonel olarak davranmak zorundadır ve bu kavramları uluslararası literatürde geçen şekliyle öğrenmelidir. Genel olarak “Çağımızın Sanal Ortamdaki Korsanları” olarak nitelendirdiğimiz kişiler; Hacker, Cracker, Phreaker, Lamer, Script Kiddie, Newbie ve Hactivist’tir. Hacker, Etik Hacker ve Cracker Hacker ve Cracker kavramları farklı anlamlarda olmasına rağmen iki kavram birbiri içerisine girmiş bulunmaktadır. Genel olarak bir bilgisayar sistemine izinsiz girme “hacking” ve bu işi yapana da “Hacker” denir. “Cracker” ise lisanslı bir yazılımı kıran ve lisansız olarak kullanılmasını sağlayan kişilerdir. Hackerlar kültür ve bilgi düzeyi oldukça yüksek olan, en az bir işletim sisteminin yapısını tam olarak bilen programcılık deneyimleri yüksek ve konusunda ileri eğitimler alarak uzun yıllarını bu işe adamış kişilerdir. İletişim sistemleri bu kişilerin uzmanlık alanlarına girdiğinden, esas amaçları bu sistemleri daha güvenli bir hale getirebilmek ve açıklarını keşfetmeye çalışmaktır. Asla ama asla kasıtlı olarak bir zarar verme eyleminde bulunmazlar. Test amacıyla yaptıkları iş bir “Cracker” gibi sistemi kırmaya çalışmaktır. Ama Cracker lar gibi amaç içeriden bir şeyler çalmak veya zarar vermek değil onlardan önce savunma ***izmalarını kontrol altına almaya çalışmaktır. Hacker terimi som zamanlarda özellikle medyada “Beyaz Hacker” ve “Siyah Hacker” olarak ikiye ayrılmaktadır. Burada kastedilen durum Beyaz Hackerlar için Hacker, Siyah Hackerlar için ise Cracker dır. Hacker ve Cracker arasındaki fark birisinin yapıcı diğerinin yıkıcı olmasıdır denilebilir. Kesin olarak kabul etmemiz gereken bir şey varsa o da her ikisinin de teknolojinin ilerlemesini hızlandırmalarıdır. Hacker, bir bilgisayara, yazılımına veya güvenlik sistemine erişmek için yazılım ve donanımlar geliştiren ve modifiye eden kişidir. Yüksek yetenekli bilgisayar programcısıdır. Sahip olduğu yüksek donanım ve yazılım bilgisiyle sistemleri çökerten kişidir. Konuyla ilgili olarak karşımıza çıkan güncel bir kavram da “etik hacker” dır. Etik Hacker (iyi niyetli hacker) dediğimiz kişiler bilişim teknolojilerindeki bilgi, beceri, birikim ve deneyimlerini kötü amaçlı saldırılara karşı koymak amacıyla kullanan bir nevi güvenlik uzmanlarıdır. Bu kişiler; Kendi sistemlerinin zayıflıklarını tespit edebilir ve güvenliğini sağlayabilirler. Güvenlik sistemleri hakkında bilgi ve tecrübeye sahiptirler. Kendi ağlarına yapılan saldırılara karşı nasıl defans yapılacağı konusunda yol gösterirler. Davetsiz misafirler için güvenlik sisteminin hangi adımlarının atılması gerektiğini bilirler. Bilgisayar sistemlerinin zayıflıklarını tespit edip bunları raporlayan ve bu zayıflıkların giderilmesi hakkında dizayn ve uygulama alanında uzmandırlar. Güvenlik sistemleri hakkında tecrübeye ve en son bilgilere sahiptirler. Kendi ağlarına, sistemlerine yapılan saldırılara karsı nasıl korunabileceklerini bilirler. Davetsiz misafirlerin güvenlik sistemleri üzerinde neler yapabileceklerini bilirler. Phreaker Phreaker’lar bazı kaynaklarda ilk bilişim suçluları olarak geçmektedir. Dolayısıyla Hacker ve Cracker kavramından daha önce ortaya çıkmış bir kavramdır. “Phreaking”, phreakerların yaptığı işlemin adıdır ve İngilizce freak, phone ve free kelimelerinde oluşmuştur. Phreaking mavi kutu denilen bir cihaz sayesinde bedava telefon görüşmesi yapma işlemiydi. Phreaking hackerlar arasında yarı-saygınlık kazanan bir eylem olarak kabul edilmektedir. Phreaking entelektüel bir oyun olması ve bir tür keşif yapma formu olması açısından taktir kazanırken, servislere verdiği ciddi zararlar nedeniyle hoş karşılanmamıştır. Lamer Hacker olmaya özenen ancak yetenek bazında yetersiz kişilerdir. İnternette belli başlı sitelerden veya dokümanlardan öğrendikleri üç beş numarayı ezberleyip, nedenini nasılını bilmeden, bu işleri yapıp, hava atmaya çalışırlar. Bilgi bazında da, ezbere bildikleri hariç olmak üzere yetersizlerdir. Programlama veya scripting bilgileri yok denecek kadar azdır. varsa bile güvenlik mantığına sahip olmadıkları için, güvenlik alanında program geliştiremezler. Genellikle, konuştuklarında bilgi seviyeleri herkes tarafından anlaşılır. Amaçları eğlenmek, hayranlık uyandırmak veya ün gibi kavramlardır. Yaptıkları her işi ellerinden geldiğince herkes önünde yapmaya çalışırlar ve insanlara işin bitmiş halini sunarlar, nasıl yaptıklarını ise anlatamazlar. Saygı duyulmak isterler. Scipt Kiddie Hacker olmamalarına rağmen en tehlikeli ve en çok korkulması gereken kişiler bunlardır. Script Kiddieler de lamerler gibi hackerlara özenirler, fakat lamerlerin aksine bir miktar bilgi sahibidirler. Script kiddie’ler çoğunlukla sistemlere / kişilere saldırmaya, hasar vermeye ve ele geçirdikleri bilgileri kötü amaçlarla kullanmaya çalışırlar. Onlar için bir güvenlik sistemini delmek araç değil, amaçtır. Hacker dünyasının anarşistleri olarak tanımlanabilirler. Ev kullanıcılarına yapılan basit saldırıların sorumluları genelde script kiddie’lerdir. PC’nizde dosyalarınızı kurcalamak ve şifrelerinizi çalmak onlar için bir eğlence kaynağıdır. Script kiddie’ler internette kolayca bulunabilen çeşitli hazır programları ve araçları kullanırlar. Başkaları tarafından yazılmış, bir şeyin nasıl yapılacağını adım adım anlatan dokümanları okur ve uygularlar. Kullandıkları programların nasıl çalıştığını bilmezler ve teknik dokümanları anlayamazlar. Ellerindeki programları kullanarak olabildiğince fazla bilgisayara zarar vermeye çalışırlar. “X’i hack’ledim” diyerek arkadaşlarına hava atmak dışında gerçek bir amaçları yoktur. Script kiddie’ler çoğunlukla bilgisayara meraklı lise öğrencileridir. Hacker imajı yaratarak popüler olmayı amaçlarlar. 0 nedenle kendilerini hacker olarak tanımlar ve bununla övünürler. Newbie Script Kiddy lerden bir adım daha yukarıda olan kişiler için çıkarılmış bir kelimedir. Bu kişiler artık bazı şeyleri aşmış ve öğrenmeyi hedeflemiş zararsız kişilerdir. Newbie İngilizce bir kelime olup okula yeni başlayanlar için (özellikle de askeri okullarda) “new boy (yeni çocuk)” kavramından türemiştir ve ilk olarak Usenet’lerde kendini gösteren becerikli kişiler için kullanılmıştır. Hacktivist Toplumsal veya politik bir sorunu dile getirmek amacıyla hacking eylemlerinde bulunan kişilerdir. Amaçları, kendilerine göre “kötü” veya “yanlış” olan bir şeyi duyurmak ve ilgililere mesaj vermektir. Unutulmamalıdır ki amaç ne olursa olsun, bir bilgisayar sistemine izinsiz erişim sağlamak suçtur ve bu tür etkinlikler desteklenmemelidir. Hacker ve activist (eylemci) kelimelerinin birleşmesiyle oluşmuş bir deyimdir. Hacking işini siyasi amaçlar için yapan kimsedir “ADANALI HACKER” ÖRNEĞİ “Adanalı Hacker” olarak medya tarafından adlandırılan Atilla Ekinci 21 yaşında, çiftçi bir ailenin oğludur ve Adana’da yaşamaktadır. Liseyi bitirdikten sonra üniversite sınavını kazanamayınca internet kafelere takılmaya başlar. İnternet kafelerde hacker lıkla ilgilenir. İnternette diab10 takma ismini kullanan Fas asıllı ancak Rusya’da yaşayan Farid Essebar ile tanışır. 18 yaşındaki Farid Essabar Zotob, Mytob ve Rtob başta olmak üzere bu wormların 20 tane varyasyonunu yazan hacker dır. Atilla Ekinci, Farid Essabar dan aldığı bu wormları 116 ülkeye yaymıştır. Ankara'da sorgulanan lise muzunu Atilla E., virüs yaratmayı ilk olarak internet kafelerde öğrendiğini ve Faslı korsanla da internette tanıştığını belirtmiştir. Ayrıca yine Ankara'da ortaya çıkarılan bir sahte kredi kartı şebekesi operasyonunda da adının geçtiği saptanan Atilla EKİNCİ’nin konuyla ilgili olarak banka hesapları da incelemeye alınmıştır. Atilla EKİNCİ’nin bir hacker olduğunu söylemeyiz ama onun için “dünya çapında bir bilgisayar korsanı” ifadesini kullanabiliriz. Atilla EKİNCİ’nin yaydığı wormdan başta Microsoft ve CNN, Associated Press, ABC, The New York Times, ABD News gibi büyük Amerikan medya kuruluşları ve Boeing Australia, Disney ve San Fransisco hava alanını başta olmak üzere bir çok şirket etkilenmiştir. Zotob sayesinde Atilla EKİNCİ bu firmalardaki bir çok çalışanın kredi kartı bilgilerine ulaşabilmiştir. Ayrıca bazı bankaların internet sitelerine girerek müşteri hesapları üzerinde oynama yaptığı ve para transferi yaptığı da iddia edilmektedir. Bazı kaynaklarda ise zotob wormunu yazdırmak için Farid ESSABAR’a Atilla EKİNCİ’nin para vermiş olabileceği de belirtilmektedir. “Adanalı Hacker” davası hem dünya medyasında hem de ulusal medyada büyük yankı bulmuştur. Olayın bir özeti olarak turk.internet.com’un 29.08.2005 tarihli makalesine göz atmak yerinde olacaktır. Makale aynen şu şekilde; Zotob'un Yazarı Yoğun Bir Yaz Geçirmiş SophosLabs'dan alınan bilgiye göre, geçen hafta Zotob kurtçuğu ile ilgili olarak tutuklanan biri Fas'lı diğeri Türk, 2 programcıdan bir tanesinin en az 20 kurtçuk daha yazmış olabileceği düşünülüyor. SophosLabs araştırmacıları Ağustosta yayılmaya başlayan virüsü Farid Essebar'ın yazdığını düşünüyorlar 18 yaşındaki Fas'lı Essebar ve 21 yaşındaki Türk Atilla Ekici, perşembe günü kendi ülkelerinde yakalandıktan sonra Zotob ve Mytob virüsünü yazmak ve yaymakla suçlandılar Zotob, çok hızlı yayılan bir virüs olarak dikkati çekti. Ağustos'un hemen başında, Microsoft'un yayınladığı yamanın arkasından yaypılmaya başlayan virüs Windows Plug-and-Play açığını kullanıyordu. Virüsün özellikle ABC, CNN, The Associated Press ve The New York Times, gibi medya şirketlerini vurması dikkatleri çekti. Sophos, FBO'ın "Diabl0" ismini kullandığını bildirdiği Essebar'ın Zotob-A kurtçuğu içine kendini tanıtan bu işareti bıraktığını bildiriyor. Sophos'a göre, virüs yazıcılarının kodlarının içine mesaj bıraktıkları görülüyor ama tanıtıcı işaret bırakmalarını normal olmayan bir durum. Ancak daha ilginç açıklamaya göre, Sophos araştırmacıları, Mydoom-BG ve Mytob kurtçuğu'nun da dahil olduğu 20'den fazla başka virüsün içinde de "Diabl0" adının yer aldığını tespit etmişler. Sophos'dan Graham Cluley şöyle diyor Demek ki, Zotob'un yazan kimse, Mytob kaynak kodlarına da erişebiliyormuş. Mytob virüsünün bu yılın virüs patlamasında önemli bir yeri var. Bu nedenle de gelecek çeşitlerinin geliştirmesini ve yayılmasını önleyecek her şey, her bilgi çok önemli" İçinde "Diabl0" işareti taşıyan virüslerden 6 tanesi, en çok yayılan 10 virüs listesi içinde yer alıyor. Sophos'a göre, yayılan tüm virüslerin % 54'ü de bunlar. Cluley ekliyor Eğitimsiz bir göz, Mytob ile Zotob'u farklı sanabilir. Biri mail yoluyla yayılıyor. Diğeri Microsoft'un bir güvenlik açığını kullanıyor. Ama tecrübeli bir virüs analisti benzerlikleri hemen farkediyor" Öncelikle Zotob wormunu ve varyosyanlarını anlattıktan sonra Atilla EKİNCİ’nin neler yaptığını, neden suçlu bulunduğunu ve nasıl yakalandığını anlatacağız. Zotob ve Botnetler Öncelikle şunu belirtmek gerekir, Zotob bir wormdur, yani solucandır. Son yılların en popüler virüs benzeri programı olan Worms yada Türkçe’siyle kurtçuklar/solucanlar, virüslere oldukça benzer özelliklere sahip oldukları için virüslerle karıştırılmaktadır. Birçok yerde de virüs olarak anılmaktalar. Virüslerle olan temel farkları yayılmak için bulaşmak zorunda oldukları bir dosyaya (konak) ihtiyaç duymamalarıdır. Bunlar bir anlamda bulaşmadan kopyalanma yoluyla çoğalırlar, yayılırlar. Yayılmak için ağları kullanırlar. Bu ağ (Network), kurumsal bir ağ (LAN/WAN) olabileceği gibi internet ya da İntranet olabilmektedir. Bu nedenle wormlardan bahsedilirken çoğu zaman “ağ solucanları” da denmektedir. Genel olarak zotob solucanı Windows 95, 98, ME, NT, 2000, 2003 ve XP platformlarındaki güvenlik açıklarını kullanarak Ayrıca bu yetkiyi ele geçiren saldırgan bir taraftan da solucanı buradan ağ üzerinde veya internetten yayabilmektedir bulaştığı bilgisayarların korsanlar tarafından uzaktan erişilmesine neden olmaktadır. Zotob solucanı 14 Ağustos 2005 tarihinden önce W32.IRCBot olarak bilinmekteydi. Windows 95/98/ME/NT4/XP sitemlerde sistem çalışırken uzaktan erişilerek bulaştırılamamaktadır ancak Windows 2000 sistemlerde bu durum söz konusu olabilmektedir. Enfekte olduğu dosyalardaki enfekte büyüklüğü 22,528 byte dır. Zotob TCP 445, 8080 ve 33333 portlarını kullanmaktadır. Zotob kendisini botzor.exe olarak, Windows 95/98/Me sistemlerde C:\Windows\System dizini içine, Windows NT/2000 sitemlerde C:\Windows\System32 dizinin içine, Windows XP sitemlerde ise C:\Windows\System32 dizininin içine kopyalamaktadır. Kayıt Defterinde ise; HKEY_LOCAK_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run ve HKEY_LOCAK_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices içine “WINDOWS SYSTEM” = “botzor.exe” değeri ile ve HKEY_LOCAK_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess de “Start” = “4” değeri ile kendini kaydetmektedir. Uzaktan erişim için IRC (Internet Relay Chat) sunucusuna [...............]http://]...............[REMOVED] adresinden TCP 8080 portunu kullanarak bağlanmaktadır. Ayrıca bulaştığı sistemlerde 33333 TCP portunu kullanarak bir de FTP sunucu açabilmektedir. Solucan ağdaki mevcut IP leri tarayarak diğer bilgisayarlara da bulaşmaktadır. Yine sistem dizinine 2pac.txt dosyasını kopyalayarak bir FTP programcığı çalıştırmaktadır ve böylece başka bir FTP sunucuya bağlanmasını sağlayarak oradan solucanın bir kopyası niteliğinde olan haha.exe dosyasını sistem dizini altına kopyalamaktadır. Zotob yapı olarak worm yapısına sahiptir. Zotob Microsoft işletim sistemi yüklü olan makinelerde var olan “tak ve kullan” (plug and play) açığını kullanarak bilgisayarlara sızma yoluyla bulaşırlar. Daha sonra bilgisayarda güvenlik amaçlı kurulu olan yazılımlar var ise bu yazılımları kapatır ve bu programların otomatik güncellemelerini engeller. Bu sayede, anti-virüs programları ve güvenlik programları kendilerini güncelleyemediği ve olağan şekilde çalışamamağı için virüsün varlığından haberdar olamazlar. ZOTOB solucanı bir kopyasını Windows sistem dosyasının içine botzor.exe adıyla kopyaladıktan sonra sistemin “host” dosyasını değiştirerek, enfekte olan bilgisayarın internet üzerinden yardım almasına engel olur. Ayrıca botzor.exe dosyası sayesinde IRC sohbet protokolü aracılığıyla Internet’e bağlanıp bulaşmış olduğu makineyi kötü niyetli kişilerin sömürüsüne bırakmakta ve bulaştığı bilgisayarların güvenlik ve anti virüs sitelerine ulaşmasını da engellemektedir. Zotob, Windows 2000 tabanlı sistemleri tehdit eden ve Microsoft Güvenlik Bülteni MS05-039 tarafından giderilen güvenlik sorunundan yararlanan bir solucandır. Bu solucan ve türevleri kötü amaçlı bir yazılım yükler ve ardından bulaşabileceği başka bilgisayarlar arar. Zotob’un yirmiye yakın varyasyonu olduğu söylense de şimdiye kadar karşılaşılan türevleri şunlardır; W32.Zotob.A, W32.Zotob.B, W32.Zotob.C, W32.Zotob.D, W32.Zotob.E, W32.Zotob.F, W32.Zotob.G, W32.Zotob.H, W32.Zotob.I, W32.Zotob.J@mm, W32.Zotob.K, W32.Zotob.L, Bobax.O, Esbot.A, Rbot.MA, Rbot.MB, Rbot.MC. Zotob botnetler sayesinde çalışır, yayılır ve kullanılır. Bu nedenle Zotob’un çalışma şeklini anlamak için öncelikle botnetler hakkında bilgi sahibi olmak gerekir. Bot kavram robot kavramından türemiştir ve isminden de anlaşılacağı gibi kendi başına hareket edebilen makineleri ifade etmektedir. Diğer bir deyişle de kendi kendine komut beklemeden çalışabilen yazılımları ifade eder ve botnetler IRC (Internet Relay Chat) sunucularda kullanılarak kötü amaçlarla uzaktan erişim sağlamak için kullanılır. Botnetlerin diğer bir kullanım alanı da DDOS Atak (Distrubuted Denial of Service Attack) denilen saldırılardır. DDOS Atakları DOS ataklarının birden fazla bilgisayar tarafından yapılmasıdır. Daha önce de bahsettiğimiz gibi burada söz konusu olan bilgisayar korsanları tarafından sisteme fazla yükleme yapılarak sistem kaynaklarının kapasitesinin doldurulması ve sistemin çalışamaz hale gelmesidir. Genellikle ISP (Internet Service Provider) yani Internet sağlayıcı sistemlere karşı yapılır. Burada sisteme çok sayıda karşılıksız paket gönderilir ve buna cevap vermeye çalışan sistem aşırı trafikten dolayı tıkanır ve muhtemelen yeniden başlatılmak zorunda kalır. İşte bu yeniden başlatma sürecinde saldırganlar harekete geçer ve bir anlık zayıflıktan faydalanarak amacına ulaşmaya çalışır. DDOS saldırılarının daha etkili yapılabilmesi için birden çok bilgisayar aynı anda kullanılması gerekmektedir. Bu bilgisayarlara “zombi” denilmektedir. Yine saldırgan DDOS saldırısı yapmadan önce zombi bilgisayarlar elde etmeye çalışır ve bu bilgisayarları sahibinin istemi dışında kendi amaçları doğrultusunda kullanır. İşte yine bu noktada botnetler devreye girmektedir. Zombi olarak kullanılacak bilgisayarlar botnetler sayesinde ele geçirilir ve uzaktan yönetilerek DOS saldırıları için kullanılırlar. Ayrıca botnetler kullanılarak web sitelerine saldırılabilmekte ve kredi kartı bilgileri çalınabilmektedir. Hollanda’da üç kişinin gözaltına alındığı bir dava da saldırganlar botnetler aracılığıyla yüz binlerce kişiye spam mail göndermişlerdir. Bu maillerde olta (phising) taktiği kullanılmıştır ve ABD Federal Ticaret Komisyonu’ndan gelen mailler taklit edilmiştir. Yani bu mailler ABD Federal Ticaret Komisyonu’ndan gelen maillermiş gibi gözükmektedir ve buna inanan kurbanlar (oltaya takılanlar) bu maile cevap vererek kişisel bilgiler saldırganlara yollamışlardır. Bu yolla kullanılan zombi bilgisayarlara da Spam Zombi denilmektedir. IRC (Internet Relay Chat) sadece kişilerin bir araya toplanıp konuştukları iletişim ağları konumundan çıkıp Bilgisayarların kontrollerinin sağlandığı ortam olarak ön plana çıkmaya başlamıştır. Bot, genel olarak IRC ortamlarında kullanılan bir terimdir. Bot, kendisine tanımlanan komutları belirli bir çerçevede gerçekleştiren bir programdır. Böylece IRC ortamındaki kanallar, botlar vasıtasıyla kontrolü sağlanır. Son zamanlarda Bot kavramı daha çok saldırı amaçlı kullanılan sistemler için kullanılmaya başlanmıştır. Bu tür bilgisayarların çoğunluğunu internet kullanıcılarına ait sistemler oluşturmaktadır. Bir internet kullanıcısının sisteminde kurulu olan Windows işletim sisteminde güncel yamalar kurulu değil ise bu sistemin uzaktan kontrolü kaçınılmaz olur. Uzaktan kontrolü sağlayıp, belirli bir IRC ağına bağlanıp bir kanalda toplanmasını sağlayan çeşitli tehlikeli uygulamalar vardır. Bu tür tehlikeli progr*ların çoğu güncel sistem açıklarını bünyesinde bulundurur ve tarama modu ile IP (Internet Protocol) adreslerine göre tarama gerçekleştirirler. Zotob’un çalışma prensibi kısaca şöyledir. Öncelikle solucanın sahibi bir IRC sunucu kiralar ve oradan da hem kurtçuğu yayar hem de solucanın gönderdiği bilgiler burada toplanır ve sunucuyu kiralayan ve kişi bu bilgileri yine uzaktaki makinesinden bağlanarak elde eder. Ancak daha önce de belirttiğimiz gibi bu sunucunun solucanı yayabilmesi için botnetlere ihtiyacı vardır. Aynı zamanda enfekte olmuş ağlardan bütün bilgisayarları hedef alan Zotob bilgisayarların sürekli olarak kapanmasına ve sistemin yeniden yüklenmesine sebep oluyor. İşte Atilla EKİNCİ’nin suç olarak kabul edilen eylemi bu şekilde gerçekleşmiştir. Binlerce kişinin kredi kartı bilgilerine bu solucan sayesinde ulaşabilmiştir. OPERASYON SÜRECİ Zotob solucanın 116 ülkeye yayıldığını ve büyük ABD şirketlerini de etkilediğini söylemiştik. İşte Microsoft zotob un en büyük mağdurlarından biri haline gelince Microsoft’un güvenlik timi dünya çapında araştırma başlattı. Zotob solucanının Türkiye’den yayıldığını tespit eden Microsoft ekibi ilk olarak Türk Birimleriyle iletişime geçti. Ancak Atilla EKİNCİ bu davadan önce de Emniyet Genel Müdürlüğü tarafından takip ediliyordu. Atilla EKİNCİ ve Farid ESSABAR tespit edildikten sonra geniş çaplı araştırma sürecine girildi. Karşılıklı yazışmalar ve bilgi paylaşımı sonucu Atilla EKİNCİ’nin ve Farid ESSABAR’ın adresleri tespit edilmeye çalışılmıştır. Ancak bu başlangıçta hiç de kolay olmamıştır çünkü Atilla EKİNCİ saldırı yapacağı zaman ya da solucanı kullanacağı zaman hiçbir şekilde evindeki bilgisayarı kullanmamıştır ve dolayısıyla IP adresinden adres tespiti yapılamamıştır. Atilla EKİNCİ’nin adresini Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı Personeli çok pratik bir şekilde öğrenmiştir. Microsoft ekibinin gözünde kaçan bir ayrıntı KOM Daire Başkanlığı personeli tarafından çok iyi fark edilmiş ve etkili bir sonuç alınmıştır. Bu ayrıntı, Atilla EKİNCİ’nin zotob solucanını yaymak ve uzaktan erişim sağlamak için kulandığı IRC sunucuyu kiralamak için verdiği [url=mailto:thecoder@hotmail.com">thecoder@hotmail. com[/url] mail adresidir. Atilla EKİNCİ bu mail hesabında gerçek ikametgah adresini kullanmıştır ve Hotmail bir Microsoft firması olduğu için bu mail ile bütün adres bilgileri onların elindedir. İşte bunun farkına varan KOM Daire Başkanlığı personeli Microsoft’a bunu iletmiştir ve Microsoft hem Atilla EKİNCİ’nin mail bilgilerini hem de Farid ESSABAR ile yaptığı bütün yazışmaların bir kopyasını KOM Daire Başkanlığı’na göndermiştir. KOM Daire Başkanlığı personeli acemi bilgisayar korsanlarının hep bu hataya düştüğünü belirtmektedir. Bu arada FBI (Federal Bureau of Investigation – Fedaral Soruşturma Bürosu) da davayı takip etmekteydi. Çünkü zotob solucanı sadece bilgi çalmakla kalmıyor sistemlere de çok ciddi zararlar veriyordu ve ABD için öyle bir tehdit oluşturdu ki ülkeye giren uçaklardaki yolcuları görüntülemek için kullanılan sistemler dahi bozuldu. FBI’da bu tür siber suçlarla ilgili görevleri CAT (Cyber Action Team) Timi yürütmektedir. Microsoft ile yapılan bu yazışmalar Türk Makamlarının harekete geçmesi ve soruşturma başlatması için yeterli değildir çünkü Microsoft özel bir şirket statüsündedir ve Türk Makamları’na resmi olarak suç ihbarı yapabilecek tek uluslar arası kurum İnterpol’dür. Bu nedenle Microsoft ve FBI İntepol’e başvurmuşlardır ve İnterpol aracılığıyla uluslararası bir soruşturma yapılmaya başlanmıştır. Bu yazışmalardan sonra Atilla EKİNCİ on iki gün boyunca takibe alınmıştır. Bu takip sonucu evinde yakalanmış ve bilgisayarına el koyulmuştur. Atilla EKİNCİ’nin bilgisayarında yapılan incelemeler sonucu; yetkisiz erişim sonucu elde edildiği tahmin edilen e-mail adresleri ve bu e-mail adreslerine ait şifreler, Zotob solucanını yazdığı bilinen Fas’ın Rabat kentinde yakalaması yapılan Diabl0 takma isimli şahıs adına açılmış dosya transfer hesapları ve şifreleri, Zotob solucanının yayılması için gerekli olan internet (IP) adresleri, Internet sitelerine ait kullanıcı adları ve giriş şifreleri ile şahsın bu sitelerden belirli paralar aldığına dair kendisi tafından not amaçlı tutulduğu düşünülen bilgiler, Paul ismi kullanılarak codermaster.com alan adına ait satın alma ve kullanım bilgileri, Zotob bilgisayar virüsünün yayıldığı düşünülen 62.193.235.133 IP numaralı internet adresine ait kullanıcı adı ve şifre, Zotob solucanına maruz kalan bilgisayarları uzaktan yönetmekte kullanılan komutlar ile çok sayıda internet sunucularına ait kullanıcı adı ve şifreler tespit edilmiştir. Adana’da yakalandıktan sonra Ankara'ya götürülen ve emniyetteki sorgusu tamamlanan Atilla EKİNCİ, 29 Ağustos 2005’de Ankara Adalet Sarayı'na getirildi. Atilla EKİNCİ, Suçüstü Savcılığı'ndaki sorgusunun ardından "interaktif dolandırıcılık yapma" suçlamasıyla sevk edildiği Nöbetçi Ankara 10. Sulh Ceza Mahkemesi'nce tutuklandı. Ulucanlar ceza evinde bir süre kalan Atilla EKİNCİ daha sonra yargılanması tutuksuz olarak devam etmek üzere serbest bırakılmıştır. OPERASYONUN YANKILARI Operasyon için FBI CAT timi özel bir uçakla Türkiye’ye gelmiştir. Gelme amaçları operasyona aktif olarak katılmaktı ancak bu tür bir uygulama ülkemiz açısından mümkün değildir. Çünkü ülkemiz polisiye anlamda FBI’ın birlikte operasyon yaptığı diğer ülkeler gibi yetersiz değil tam tersine FBI yetkililerini bile şaşırtacak derecede kendini geliştirmiştir. Nitekim bu operasyon sonucu günlerce Türk Polisine teşekkür etmişleridir. Ama Fas’taki operasyonda FBI ajanları aktif olarak görev almışlardır. Ayrıca zotob operasyonu tüm dünya basınında yankı bulmuştur ve şimdiye kadar dünya çapında adı duyulan ilk bilgisayar korsanı Atilla EKİNCİ olmuştur. Ülkemizde de bilişim suçları ve hacking insanların ilgisini çekmiştir ancak bu hem olumlu hem de olumsuz etkiler yapmıştır. Bilgisayar kullanıcıları güvenliğin ne kadar hassas ve önemli bir konu olduğunun farkına varırken, suçlular da bunu yeni bir suç tekniği olarak algılamışlardır. Özellikle mafya tipi yapılanmış organize suç örgütleri bunu kendileri içim bir finansman kaynağı olarak görmekteler. Atilla EKİNCİ ceza evinde bulunduğu sürede bir çok tehditle karşılaşmıştır. Diğer adi suçlular Atilla EKİNCİ’den hacking tekniklerini öğretmelerini istemiştir. Hatta ne kadar para kazandığını sormuşlar ve kendileri de bu yollarla para kazanmak istediklerini söylemişlerdir. MİCROSOFT’TAN TEŞEKKÜR Yapılan operasyon sonucunda Microsoft Türk Makamlarına ve FBI yetkililerine kendi resmi sitesinde teşekkür etmiştir. Bu teşekkür tüm dünya tarafında takip edilmiştir. Microsoft EMEA Bölge Müdürlüğü, Türk ve Fas Emniyet Teşkilatları ile FBI'ın Zotob, Rbot ve Mytob adlı zararlı bilgisayar yazılımlarını dağıttıkları iddia edilen kişilerin hızlı bir şekilde yakalamasını memnuniyet verici olarak nitelendirerek, operasyonu gerçekleştiren kurumlara teşekkür etti. Microsoft'tan yapılan yazılı açıklamada, kuruluşun, Zotob, Rbot ve Mytob solucanlarının dağıtıcılarını arama çalışmalarında ABD ve dünya üzerindeki diğer emniyet teşkilatlarına araştırma ve teknik destek sağladığı kaydedildi. Açıklamada, Fas'ta Rabat ve Türkiye'de Ankara ve Adana'da güvenlik güçlerinin yaptığı operasyonlarla, solucanların ilk ortaya çıkış tarihi olan 13 Ağustos'tan 12 gün sonra, solucanları dağıttığı iddia edilen kişilerin yakalandığı aktarıldı. Microsoft'un Yazılım Güvenlik Vakaları Yanıt Süreci'nin bir parçası olan İnternet Suçları Araştırma Takımı'nın, araştırma sürecinde emniyet teşkilatlarının iki solucan dağıtımını hızla takip etmesine yardımcı olduğu ifade edilen açıklamada, Microsoft'un, konuyla ilgili olarak FBI'a teknik bilgi ve analitik destek sağladığı, FBI'ın da bu bilgileri Fas ve Türk güvenlik güçleriyle paylaştığı belirtildi. Microsoft Ortadoğu ve Afrika Hukuk Direktörü Laurent Masson, şirketin küresel ölçekte emniyet güçleriyle devam eden işbirliği kapsamında, Zotob, Rbot ve Mytob gibi kötü niyetli kodlar yayınlandığında, bilgilerin kısa süre içinde emniyet güçleriyle paylaşıldığı ve bu durumun onlara siber suçluların kimliklerinin tespiti ve yakalanmasında yardımcı olduğunu kaydetti. Masson, Zotob, Rbot ve Mytob solucanlarının dağıtıcısı oldukları iddia edilen kişilerin kısa süre içinde bulunup göz altına aldıkları için adı geçen emniyet birimlerini kutladı. Masson, açıklamada şunları kaydetti; ''Bu tutuklama bize kamu ve özel sektör işbirliğinin değerini gösteriyor. Bu sonucun alınmasında emniyet güçleri tarafından sergilenen birinci sınıf araştırma çalışması ile onlara gece gündüz durmaksızın araştırma ve teknik destek sağlayan Microsoft bünyesindeki Internet Suç Araştırmaları Takımı'nın işbirliği büyük önem taşıyor. Elde ettiğimiz bu sonuç bizlere siber suçluların kimliklerinin tespit edilebileceğini açıkça gösteriyor'' Microsoft Türkiye Genel Müdürü Çağlayan Arkan da, siber suçlara karşı verilen mücadele için önemli bir adım atıldığını ifade ederek, bu başarının, günümüzde niteliği değişebilen suç çeşitlerine karşı yasa uygulayıcılarının gösterdiği kararlılığın bir ifadesi olduğunu belirterek, Türk polisinin çok kısa sayılabilecek bir süre içinde sonuç elde etmesini memnuniyetle karşıladıklarını kaydetti. Microsoft'tan yapılan yazılı açıklamada, kuruluşun, Zotob, Rbot ve Mytob solucanlarının dağıtıcılarını arama çalışmalarında ABD ve dünya üzerindeki diğer emniyet teşkilatlarına araştırma ve teknik destek sağladığı kaydedildi. Açıklamada, Fas'ta Rabat ve Türkiye'de Ankara ve Adana'da güvenlik güçlerinin yaptığı operasyonlarla, solucanların ilk ortaya çıkış tarihi olan 13 Ağustos'tan 12 gün sonra, solucanları dağıttığı iddia edilen kişilerin yakalandığı aktarıldı. Microsoft'un Yazılım Güvenlik Vakaları Yanıt Süreci'nin bir parçası olan İnternet Suçları Araştırma Takımı'nın, araştırma sürecinde emniyet teşkilatlarının iki solucan dağıtımını hızla takip etmesine yardımcı olduğu ifade edilen açıklamada, Microsoft'un, konuyla ilgili olarak FBI'a teknik bilgi ve analitik destek sağladığı, FBI'ın da bu bilgileri Fas ve Türk güvenlik güçleriyle paylaştığı belirtildi. Microsoft Ortadoğu ve Afrika Hukuk Direktörü Laurent Masson, şirketin küresel ölçekte emniyet güçleriyle devam eden işbirliği kapsamında, Zotob, Rbot ve Mytob gibi kötü niyetli kodlar yayınlandığında, bilgilerin kısa süre içinde emniyet güçleriyle paylaşıldığı ve bu durumun onlara siber suçluların kimliklerinin tespiti ve yakalanmasında yardımcı olduğunu kaydetti. Masson, Zotob, Rbot ve Mytob solucanlarının dağıtıcısı oldukları iddia edilen kişilerin kısa süre içinde bulunup göz altına aldıkları için adı geçen emniyet birimlerini kutladı. Masson, açıklamada şunları kaydetti; ''Bu tutuklama bize kamu ve özel sektör işbirliğinin değerini gösteriyor. Bu sonucun alınmasında emniyet güçleri tarafından sergilenen birinci sınıf araştırma çalışması ile onlara gece gündüz durmaksızın araştırma ve teknik destek sağlayan Microsoft bünyesindeki Internet Suç Araştırmaları Takımı'nın işbirliği büyük önem taşıyor. Elde ettiğimiz bu sonuç bizlere siber suçluların kimliklerinin tespit edilebileceğini açıkça gösteriyor'' Microsoft Türkiye Genel Müdürü Çağlayan Arkan da, siber suçlara karşı verilen mücadele için önemli bir adım atıldığını ifade ederek, bu başarının, günümüzde niteliği değişebilen suç çeşitlerine karşı yasa uygulayıcılarının gösterdiği kararlılığın bir ifadesi olduğunu belirterek, Türk polisinin çok kısa sayılabilecek bir süre içinde sonuç elde etmesini memnuniyetle karşıladıklarını kaydetti. ---BİLİŞİM AĞI HİZMETLERİNİN DÜZENLENMESİ VE BİLİŞİM SUÇLARI HAKKINDA KANUN TASARISI ÇERÇEVESİNDE OPERASYONUN DEĞERLENDİRİLMESİ “Adanalı Hacker” operasyonu uluslar arası bir operasyon olduğu için belli konularda daha etkili mücadele etmek için ulusal kanunlar yetersiz gibi görünmektedir. Ancak operasyonun Türkiye ayağını yeni kanun tasarısı açısından ilgili maddeler çerçevesinde değerlendirebiliriz. İlk olarak “Toplu kullanım sağlayıcıların hakkında uygulanacak esaslar” ı düzenleyen 12. madde’nin 2. fıkrasında yer alan “Toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür” ibaresi ile Atilla Ekinci’nin sık sık gittiği internet kafenin işletmecileri tarafından solucanı yaydığı ve solucanın topladığı bilgilere ulaştığı yurt dışındaki IRC sunuculara, ulaşması engellenebilirdi. İnternet kafelerinin işletmecileri tarafından bu gerçekleştirilmediği takdirde. “Erişim sağlayıcıların yükümlülükleri” nin düzenlendiği 9. maddenin gerekçesi incelendiğinde “internet servis sağlayıcılarının” genel olarak hizmet verdikleri müşterilerinin hukuka aykırı veri transferlerini kontrol etme ve gerekli önlemleri alma yükümlüğü yoktur ancak hukuka aykırı durum kendilerine resmi kurumlarca bildirildikten sonra internet kafenin internet erişimi engellenebilirdi. Toplu kullanım sağlayıcılar yani “internet kafeler” özellikle mali kazanç amacıyla işlenen bilişim suçlularının ana üssüdür diyebiliriz. Çünkü dijital ayak izlerini kaybettirmek isteyen bilişim suçluları için başı boş varoşlarda kurulan ve denetlenemeyen internet kafeler bulunmaz bir nimettir diyebiliriz. Türk Ceza Kanunu’nun mevcut 244. maddesi “Bilişim Sistemini Engelleme, Bozma. Verileri Yok Etme veya Değiştirme Suçu” ‘ne göre yargılanan Atilla Ekinci aynı suç için yeni bilişim suçları kanun tasarısına göre 15. madde de düzenlenen “Bilişim Sistemine Girme ve Veri Elde Etme” ve 16. maddede düzenlenen “Verilere, Programların Bütünlüğüne veya Sistemin Çalışmasına Müdahale” suçlarında yargılanacaktı diyebiliriz. 17. maddeyi incelediğimizde ciddi bir yenilikle karşılaşıyoruz. Bu maddede düzenlenen “Hukuka Aykırı Donanım veya Program” başlığı altında belirtilen bilişim suçu işlemek amacıyla bazı program ve donanımları üreten, uyarlayan, ithal eden, satan, sağlayan, dağıtan, tanıtan kişiler için cezai yaptırım getirilmiştir. Dolayısıyla Atilla Ekinci “Zotob” ve varyasyonları yüzünden bu maddeden de yargılanabilirdi. Şimdiye kadar bu şekilde bu düzenleme olmadığı için bu maddeyi çok ayrıntılı bir şekilde incelemek ve değerlendirmek gerekir. Hukuka aykırı program ve donanım bulundurma suçunda “amaç” dikkate alınacaktır çünkü başta bir çok şirketin güvenlik uzmanı olmak üzere bilgi güvenliği ile ilgilenen her bilişimci de bu tür programlar ve donanımlar mevcuttur. Hatta birçok programcı kendi teknik seviyesini ölçmek için dahi bu tür programlar geliştirmektedir veya da güvenlik uzmanları şirketlerinin ağ ve sistemlerinin güvenlik altyapısını ölçebilmek için bu tip programlar üretmektedir. Günümüzde de bir çok bilişim suçlusu başlangıçta iyi niyetle hazırlanmış bu tür programları kullanmaktadır. Nitekim bir bilişim saldırısının basamaklarını incelediğimizde saldırganın gerek donanımsal gerekse yazılımsal olarak bulabildiği bütün kaynakları kullandığını görmekteyiz. Atilla Ekini yeni kanun tasarısına göre elde ettiği kredi kartı ve hesap bilgilerini kendisi için ve ya bir başkası için yarar sağlamak amacıyla kullansaydı 19. maddede düzenlenen “Bilişim Ortamında Yarar Sağlamak” suçundan yargılanabilirdi. Maddenin gerekçesini incelediğimizde bu maddenin uygulanabilmesi için Türk Ceza Kanunu’nun 157 ve devamı maddelerinde düzenlenen dolandırıcılık hükümleri veya diğer kanunlarla düzenlenen suçlar kaps*** girmeyen haksız kazanç sağlama eylemimin gerçekleşmiş olması gerektiğini görüyoruz. Suçun soruşturma aşamasında yeni kanun tasarısına göre 29. madde “İçeriğe Erişimin Engellenmesi” özellikle önsoruşturmayı yapan ve son soruşturmada savcının yardımcısı konumunda olan kolluk kuvvetleri yani polis ve jandarma açısından yarar sağlayacak bir maddedir. Bilişim suçlarıyla daha etkili mücadele edebilmek için fonksiyonellik kazandıran bu madde özellikle gecikmesinde sakınca bulunan hallerde faydalı olabilecektir. ---SONUÇ VE ÖNERİLER Bilişim suçları artık hayatımıza girmiştir ve bazen gerçekleştirilesi çok da zor olmayan eylemler sonuçları açısından geniş kitlelere çok önemli zararlar verebilmektedir. Bu nedenle bilişim suçları da diğer suçlar gibi gerçekten ciddiye alınmalı ve etkin bir şekilde mücadele edilebilmesi için gereken önlemler göz ardı edilmemelidir. Aksi takdirde gün geçtikçe artan bilgisayar korsanlarına karşı savunma yapmak imkansız hale gelebilir. “Adanalı Hacker” örneğin de gördüğümüz gibi bilişim suçlarıyla mücadele etmek bazen sanıldığından çok daha zor olabilmekte ve hatta uluslar arası işbirliği gerektirebilmektedir. Bu nedenle her ülke kendi içinde bilişim suçlarıyla mücadele edecek kurumlarını yerleştirmeli ve bu alanda ihtiyaç duyacağı teknik ve polisiye açıdan yeterli personeli yetiştirmelidir. Ayrıca bütün suçlarda olduğu gibi bu suçlarda da vatandaş destekli mücadele kaçınılmazdır dolayısıyla vatandaşlar da bu konuda bilinçlendirilmeli ve işbirliği içinde hareket edilmelidir. Şüphesiz ki bilişim suçlarıyla etkili mücadelenin en önemli sacayağı “Hukuki Düzenlemeler” dir. Nitekim atılan her adım bu hukuki düzenlemeler çerçevesinde yapılmaktadır. Dolayısıyla günümüz koşullarını göre hazırlanmış, teknolojik ve ekonomik ölçüleri dikkate alan, hukuki boşlukları dolduran ve bir taraftan suçla mücadele eden kolluk kuvvetlerine yeterli desteği verdiği gibi diğer taraftan da kişi haklarını da koruyan bir yasal düzenleme şüphesiz çok yararlı olacaktır. Genel olarak bakıldığında yeni kanun tasarısı, Türk Ceza Kanunu’nda mevcut olan ve “Bilişim Alanında Suçlar” başlığı altında düzenlenen 243, 244, 245 ve 246. maddeler göre çok daha geniş düzenlemeler getirerek daha etkili olacağı sinyallerini vermektedir. Uygulamaya geçildiğinde başarısı ve eksiklikleri daha net görülecektir. Bunlar da bilahare çıkarılacak yönetmelikler de diğer kanuni düzenlemeler ile aşılabilirse başarı kaçınılmaz olacaktır. KAYNAKÇA Akçam, Bahadır, (1999), “Suçla Mücadele Edenler İçin İnternet”, Ankara, SFN Matbaacılık Bahtiyar, Ziya, (2003), “Virüsler ve Güvenlik”, İstanbul, Pusula Yayınları Dülger, Murat Volkan, “Yeni Türk Ceza Kanunu’nda Bilişim Suçları ve Bu Suçlarla Mücadelede Alınması Gereken Önlemler”, Bildiri, 2.Polis Bilişim Sempozyumu, Ankara-Sheraton, 14-15 Nisan 2005 Güven, Mehmet, (2004), “İnternette Güvenlik ve Hacker Cracker Meselesi”, Ankara, Grafik Yayınları Karabal, Mustafa ve Bekir Peker, Musa Karakaya, Ali Savran, (2004), “Bilişim Suçları ve İnternet”, Barışın Köprüsü İnternet, Konya, Akademilenyum Yayınları, Kiremitçi, Ali ve Taylan Tekin, “Bilişim Suçları ve Etkin Mücadele Yöntemleri”, Poster Bildiri, 2.Polis Bilişim Sempozyumu, Ankara-Sheraton, 14-15 Nisan 2005, Kurt, Levent, (2005) “Bilişim Suçları ve Türk Ceza Kanunundaki Uygulaması”, TODAİE Yüksek Lisans Tezi, Ankara Şumlu, Selim, “Hacker Dünyası”, PC Net Nisan 2006, Tavukçuoğlu, Cengiz, (2004), “Bilişim Terimleri Sözlüğü”, Ankara, Asil Yayınları Yıldız, Murat, “Hacker Yöntemleri”, BYTE Nisan 2006, Yılmaz, Davut, (2005), “HACKING Bilişim Korsanlığı ve Korunma Yöntemleri”, İstanbul, Hayat Yayınları Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı 2004 Raporu, Ankara 2005, Devran Matbaacılık Kaçakçılık ve Organize Suçlarla Mücadele Kitabı, (2006), TADOC, Ankara Siber Terörizm Dersi Notları, 2005-2006 Polis Akademisi, Ders Görevlisi: Dr. Süleyman ÖZEREN Bilişim Suçları Kurs Notları, Mart 2006, Polis Akademisi Bilgi İşlem Merkezi Bu konu yada mesaj "www.beyforum.net" sitesine aittir.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç