Av. Serhat Koç,Bilgi Teknolojileri,Bilişim Suçları,Tüketici Hakları 03/09/2010 12:41

Tehditin gerçek kaynağı anti virüs yazılımları olabilir mi?

Sorun anti virüs yazılımlarında mı bizde mi?

Son dönemde okuduğum bir haberle aklımda son yıllarda oluşmaya başlayan bazı şüpheler tekrardan güçlü soru işaretlerine dönüştü. Bilinen bir anti virüs yazılım şirketinin yaptığı bir araştırmaya göre: dünyada en çok çevrimiçi saldırıya maruz kalan ülkeler listesi açığa çıkartılmış ve tabi ki şaşırtmayan bir gerçek olarak Türkiye’de listede en üst sırada.

Bilgisayar ve yazılım güvenliği firması AVG’nin yaptığı araştırma ülkemizin aslında internet ortamında ne kadar tehlikeli olduğunu gözler önüne sermiş ve ülkemiz dünyada en çok çevrimiçi saldırıya maruz kalan ülke olarak bildirilmiş. Bu araştırmayla birlikte, AVG’nin Türkiye’deki her 10 müşterisinden 1′inin yıl içinde çevrimiçi saldırıya uğradığı kayda geçmiş oldu. Türkiye’yi 14′te 1 ile Rusya, daha sonra ise Ermenistan, Azerbaycan ve Bangladeş’in takip ettiği listeye göre sıralamada İngiltere 63′de 1, ABD 48′de 1 ile alt sıralarda yer alırken dünyanın en güvenli ülkesi 404′te 1 ile Japonya olmuş.

Peki bu haber bende hangi soruların tekrar oluşmasına neden oldu? Türkiye’de güvenlik yazılımlarına gereken değeri vermediğimiz mi yoksa anti virüs yazılımlarının bizlere gereken önemi vermediği mi? Tabi ki madalyonun diğer yüzü olan ikinci soru benim kafamda yer etti.

Bunun üzerine kimse bu konuda bir şey yapmıyor mu diye araştırırken, anti virüs yazılımları konusundaki hukuki problemlerle ilgili olarak T.C. Sanayi Ve Ticaret Bakanlığı Tüketicinin Ve Rekabetin Korunması Genel Müdürlüğü’ne ve Bilgi Teknolojileri Ve İletişim Kurumu Bilgi Teknolojileri Ve Koordinasyon Dairesi Başkanlığı’na bu hususta başvurup dilekçeler yollayan; bu konuda yoğun bir çaba içerisinde bulunan bir Türk firmasıyla karşılaştım. Yaptıkları başvuruları oldukça olumlu buldum ve tabi ki bunların dışında tüketici dernekleri ve diğer hukuksal alanlarda da bazı çalışmalar yürütmek gerektiğini düşündüm. Bu anlamda sizlerle kendilerinin gerçekleştirdiği başvuruların özüne değinerek bu konuyu biraz olsun açıklamak ve kamuoyunda bir tartışma ortamının oluşmasını sağlamayı düşündüm.

Çok farklı yöntemlerle bilgisayar zararlılarına karşı programlar ve genel anlamda güvenlik yazılımları geliştiren ve geliştirdiği ürünlere tüketici haklarını gözeterek garanti veren bahsettiğim şirketin aksine ülkemizde satılan çoğu yabancı kaynaklı anti virüs yazılımları garanti vermiyorlar ve aslında kanunlarla çelişiyorlar. İskenderun’da kurulu Arf Teknoloji’nin genel koordinatörü Erkan Demirkan da benim gibi düşünüyor olsa gerek ki; BTK ve Sanayi Bakanlığı’na başvurmuş.

Aslına bakarsanız, bilgisayar yazılımlarının ülkemize yasadışı olarak girdiğini bile söyleyebiliriz. Ülkemize giren her şey -ister ticari amaçlı isterse de bireysel kullanımlı bir ürün olsun- Gümrük Tarife İstatistik Pozisyonu (G.T.İ.P) numarası sahibidir. Ülkemiz gümrüklerden geçerken vergisi alınan her şeyin adının görülebileceği açık bir liste bile çevrimiçi olarak bulunmaktadır, ancak İlginçtir ki bilgisayar yazılımları bu listede yoktur.

Türkiye’de bir yazılım üreticisi %40’lara kadar varan vergi öderken yabancılar sadece %18 KDV ödemektedirler ve bunu da tüketiciden (vatandaştan) alıp devlete vermektedirler. Yani bir diğer deyişle, kazançlarından eksilen bir şey olmamaktadır. Aslında gördüğümüz kadarıyla bu konular 2006 yılından beri kobi ve gümrük forumlarında olmak üzere internette tartışılmaktadır. Öyle ki bu görünen haliyle ülkemizde yıllardan beri kaçak program satıldığı düşünülebilir.

Anti virüs yazılımlarının manipüle edilebilir olması ve bu tür yazılımlarda bulunan açıklardan dolayı tüm dünyadaki kişi ve kurumların verilerinin rahatlıkla istenilen bilgisayara kopyalanıp depolanabileceği de komplo teorisi olmaktan çok uzakta ve belki de internet dünyasında karşılaşabileceğimiz en acı gerçekler kategorisindedir. Artık bu konuda ülkemizde gerekli otoritelerin ve merkezlerin uyanması ve eyleme geçmesi gerekmektedir. Sistemleri yüzlerce açık barındırmakta olan anti virüs yazılımlarının aslında dünyadaki hiçbir devlet kurumundan da tam güvenilirlik raporu ya da bu anlamda bir belge alamayacağı ortadadır.

Daha bir kaç gün önce, BlackBerry firması birkaç tane mesajı kendi sunucularında tuttuğu için dünyada kıyamet koptu ve hatta yankıları Türkiye’ye kadar ulaştı. Av. M. Gökhan Ahi’ye NTV canlı yayınında bazı AB ülkelerindeki gibi bizde de bu türden cihazların kamu kurumlarında yasaklanıp yasaklanamayacağı bile soruldu. Aslına bakılacak olursa anti virüs programlarının üreticileri ise neredeyse tüm dünyadaki bilgisayarlara hakim durumdadırlar. Kendi sunucularından istedikleri IP’ye ulaşmaları zaten mümkün durumdadır. Örneğin bir anti virüs yazılım firması Maliye Bakanlığı’na ait bilgisayarlara güncelleme yaparken o kurumu, kullanıcı adı eğer gizli ise zaten IP adresinden tespit edebilmektedir. Firmanın kendisi bunu yapmasa bile o anti virüs yazılımını açıklarından dolayı kolaylıkla manipüle eden kişi rahatlıkla yapabilecek ve o tespit ettiği IP’ye istediği veriyi yollayabilecek, istediği dosyayı kontrol edebilecek ve tabi ki de istediklerini de silebilecek ya da kendi kontrolündeki bilgisayarlarına kopyalayabilecektir.

İşte tam bu noktada akla gelen başka bir konu ise kimlik bilgilerinin çalınması hususudur. Bu konuyla ilgili bir yargılama süreci de halen devam etmektedir. Bu anlamda kimlik verilerini barındıran site ve sistemler üzerinden işlenen suçlara baktığımızda aklımıza şu soru gelmektedir: bu sistemlerde hangi anti virüs yazılımları kullanılmaktaydı? Bu sistemden veri çalanlar kadar, çalınmasına ses çıkaramayan anti virüs yazılımlarının da suçlu olduğunu düşünmek çok mu akıl dışı olacaktır? Bunun karşılığında maddi\manevi menfaat elde edebileceklerini düşünmek hayalcilik midir? Sistemlerde bu şekilde açık oluşturup/bırakıp daha sonra manipüle edilebilir kıldıklarını düşünmek komplo teorisyenliği midir?

Aslında tüm fotoğrafa uzaktan bakıldığında: tüm dünya gündemini sarsacak bir mesele ile karşı karşıya olduğumuzu düşünmekteyim. Bugüne kadar aslında pek çok ağ güvenliği uzmanı bu tür yazılımların açıklarla ve arka kapılarla dolu olduğunu ifade etti. Ancak hiç kimse anti virüs yazılımlarının açıklarını ve bunları kapatmanın yollarını öğretebileceğini ve devletler için aslında en büyük sanal tehditlerden birinin anti virüs yazılımlarının bizzat kendileri olduğunu kesin bir dille açıklamadı. Tabi bu tür bir açıklamanın gelmesi halinde, eminiz ki birçok firma, kullandıkları anti virüs yazılımlarını üretip satan firmalara karşı yargı yoluna başvurarak haklarını arayacaklardır. Birileri işin teknik boyutunu açıkladıkça bu yazılım devlerinin sorunlarının daha da büyüyeceği de bir diğer gerçektir.

İthal edilerek ülkemizde satışı yapılan hemen tüm anti virüs yazılımları internet sitelerinde ve tanıtımlarında imza karşılaştırma yöntemini kullandıklarını iddia etmektedirler. İmza karşılaştırma yöntemi ile bilgisayar zararlılarını tespit edip müdahale ettiklerini iddia eden bu yazılımlar imzası yıllar öncesinden çıkarılmış zararlıları durduramamaktadırlar. Günümüzde en sıradan bilgisayar zararlısı bile imzasını ve kodlarını değiştirebilecek düzeyde yazılmakta ve anti virüs yazılımlarını atlatabilmektedir. Anti virüs yazılım firmaları, kullanıcılarını bu şekilde tehlikeye atan bir durum karşısında teknik destek hizmeti dahi vermemektedirler ki bunun Türkiye Cumhuriyeti kanunlarının ihlali olduğu açıktır.

Bu durumda asli işi olan tanımlanmış bilgisayar zararlısını tespit edemeyerek ayıplı ürün durumuna düşen bu yazılımların ayıbının giderilmesi konusunda da ithalatçıları, üreticileri ve temsilcilikleri bir çalışma yürütmemektedir. Buna en güncel örnekler Sality ve Conficker zararlısıdır. Ülkemizdeki en yaygın tehditler de bu zararlılardır. Bu zararlıların sebep olduğu maddi zarar, iş gücü kaybı ve bilgi kaybı telafisi imkânsıza yakın miktarlardadır. Kullanıcıların bilgisayarlarını dışarıdan gelecek zararlı yazılım tehditlerine karşı koruyacaklarını ifade eden reklam ve tanıtımlar yapan bu yazılım şirketleri, zararlı yazılım lisanslı bir bilgisayara girdiğinde işgücü ve bilgi kaybına sebep olduğunda bu durumdan kullanıcıyı kurtarmak için hiçbir önlem ve teknik destek sunmamaktadırlar. Bu da bu şekildeki bir yazılım ürününün esasen 4077 sayılı Tüketicinin Korunması Kanununun dördüncü maddesine göre, üreticisinin veya ithalatçısının iddia ettiği hizmeti tüketiciye sunmadığı için “Ayıplı Mal” statüsüne girmesine neden olmaktadır.

Reklamlarında ve tanıtımlarında söyledikleri ve vaat ettikleri işlevi yerine getiremeyen bu yazılımlar çok büyük bir güvenlik açığını da beraberlerinde getirmektedirler. Kullanıcıları, sürekli güncelleme beklemek zorunda bırakarak zaman aşımından kullanıcıyı mağdur etmektedirler.Ayrıca burada 4703 sayılı Ürünlere İlişkin Teknik Mevzuatın Hazırlanması ve Uygulanmasına Dair Kanun hükümlerinin de uygulanması gerekmektedir.

Anti virüs yazılımlarının hemen hemen tamamı reklamlarında, tanıtımlarında ve internet sitelerinde birçok birincilik ve en iyi güvenlik yazılımı ödülleri aldıklarını iddia etmektedirler. İlginçtir ki ülkemizde satışı yapılan hemen hemen tüm anti virüs yazılımları aynı ödülleri aynı “tarafsız” olduğu iddia edilen yerlerden almışlardır. Diğer bir soru ise: ülkemizde hangi kurumların bu ödülleri veren kuruluşları tanımakta olduğu hususudur. Bu ödülleri veren kurumları Sanayi Bakanlığı tanımamakta mıdır ve bu ödül üzerinden reklam aldatmacası(?) yasalarımıza uygun mudur? İnternet sitelerinde ve yazılım kutularında, aldıkları ödüller vb. işaretlerin kim veya kimler tarafından verildiği, bu yolla reklam olarak kullandıkları “en iyi anti virüs ödülü” “bir numara” vb. tüketiciyi yanıltmaya yönelik işaretlerin Sanayi ve Ticaret Bakanlığı’nca da onaylanması gerekmektedir. Çünkü ülkemizde satışı yapılan neredeyse tüm anti virüs programları aynı reklamları ve işaretleri kullanarak birinci ve en iyi seçildiklerini belirtmektedirler. Bu ödülleri veren kurumların doğru yerler olduğunu düşünsek bile aynı yıl içerisinde kaç tane anti virüs birinci seçilebilir ki? Tüketiciyi “ayıplı mal” “güvenli olmayan mal” ve reklam hileleri ile kandırılmasının açıklayıcı belgelerinin olması gerekmektedir.

Ayrıca diğer çok önemli bir nokta ise: güncelleme adı altında birçok anti virüs yazılımının dünyanın birçok yerinde bilgisayarlara yanlış veri yollayarak işgücü ve bilgi kaybına sebep olmuş olmalarıdır. Bunun ülkemizdeki takipçisi hangi kurumumuzdur? Bu yazılımlar kontrolsüz olarak ülkemizi tehdit etmektedir. Bu konuda kanun maddelerimiz yeterince açık ve nettir. “Güvenli Olmayan Mallar” güvenliklerini ispat ettikten sonra satışa sunulmak zorunda olduğunu düşünmekteyiz.

Ülkemizde anti virüs ve benzeri programlar garanti kapsamına alınmamaktadır. Ancak ülkemizde satışı yapılan güvenlik yazılımlarının EULA olarak adlandırılan son kullanıcı sözleşmeleri genelde hep yabancı dilde yayınlanmaktadır. Tüketici, sözleşmede ne yazdığını tam olarak kavrayamamakla birlikte satın aldığı ürünlerden ne şekilde faydalanacağını da bilememektedir. Aynı sorun söz konusu ürünlerin ülkemizde bayiliğini, temsilciliğini veya ithalatını yapan firmaların internet sitelerinde de yaşanmaktadır. Tüketici kendi dilinde bir sözleşme elde edememekte veya aldığı üründen ne şekilde faydalanacağını tam olarak bilememektedir.

Anti virüs yazılımları ve benzer programların tamamı, test, beta sürüm, örnek, numune vb. söylemlerle kendi internet sitelerinden tüketicilere özendirme amaçlı programlarını internetten indirilerek kullanımını sağlamaktadırlar. 1 ay, 3 ay, 6 ay ve 1 yıl ücretsiz lisans numarası göndermektedirler. Parasını ödeyerek lisans satın alan insanlar bu durumda kandırılmış olmaktadırlar. Ayrıca ücretsiz dağıtılmış olsa dahi virüslerden etkilenmiş tüketicilere teknik destek de verilmemektedir. Test, beta sürüm, örnek veya numune olarak adlandırılan bu programların ücretlilerle arasında bir fark olup olmadığı da tam açık olmayan noktalardan biridir. Zaten ücretli olanlarında bile tüketicilere teknik destek verilmediği gibi, internet sitelerinde ve reklamlarında iddia ettikleri korumayı gerçekleştiremeyerek “Ayıplı Mal” ve “Güvenli Olmayan Mal” sınıfında olan bu anti virüs programları, ücretsizlerini dağıtarak parasıyla hizmet alan insanları bir anlamda kandırmakta ve ürünü de daha fazla tutarsız hale getirerek tüketiciye karşı haksızlıklarına devam etmektedirler diye düşünmeden edemiyoruz.

Bu sorunların karşısında tüketici şu konular hakkında bilgi sahibi olması gerekmektedir; anti virüs ve benzer programların ithalatçılarının, bayilerinin veya temsilcilerinin hangi bilgisayarı nasıl koruduklarını Türkçe sözleşmelerle bildirerek tüketiciyi aydınlatması, anti virüs ve benzer programların kullanıcıya hangi virüslere karşı etkin koruma yaptıklarını bildirmeleri gerekmekte ki kullanıcı kanuni haklarını arayabilmeli. Anti virüs ve benzer programlar senelik lisans karşılığında ücretlendirilmektedir. Kullanıcı her ne şekilde virüslerden zarar görürse, tüketiciyi virüslere karşı koruduğunu iddia eden anti virüs firmasının üreticisi, bayisi veya temsilcisi, belli bir süre içerisinde tüketiciyi karşılaştığı zarardan kurtarmalı ve aldığı lisans ücretinin karşılığında bu hizmeti ücretsiz olarak vermeli. Aksi halde tüketiciye parasını iade etmelidir. Tüketiciye ücretli olan ve ücretsiz dağıtılan Anti virüslerin işlevleri ve aralarındaki farklar hakkında detaylı bilgi verilmelidir. Bedelini ödeyerek anti virüs satın alan insanların ne tür hizmet satın aldıklarını bilmek haklarıdır.

Bu türden yazılımlar incelendiğinde, Tüketicinin Korunması Kanunu’nun birçok maddesine muhalefet edildiği, kanunlarımıza aykırı şekilde reklam ve tanıtım yapıldığı, ürünü ithal edenlerin ve satışını ülkemizde gerçekleştirenlerin iddia ettiğinin aksine bu gibi ürünlerin işlevlerini eksik ve tüketicinin bilgisayarında tehdit oluşturacak şekilde gerçekleştirdiği görülecektir. Eksik hizmet vererek zarar görmesine neden oldukları tüketicinin bilgisayarının korunması için de teknik hizmet sunulmamaktadır. Tüketiciyi bu mağduriyetten kurtarmak, bilgisayar sistemini kullanılır ve virüslerden arındırılmış ortama geri getirmekte, ürünü satan, ithal eden veya bayiliğini yapan kişinin sorumluluğunda olması gerektiği açıktır.

Son dönemde gündeme düşen bir habere göre ise: Çin yabancı şirketler tarafından geliştirilen güvenlik yazılımlarının kullanımına yasak getirerek tartışılan kararlarına bir yenisini daha eklemeye hazırlanıyor. Kritik altyapıları koruyan güvenlik yazılımlarını tamamen yerlileştirmeyi amaçlayan Çin yönetimi, özellikle büyük şirketlere müfettişler göndererek güvenlik yazılımlarını değiştirmeye zorluyor. Başta Cisco, Symantec, Juniper Networks, Trend Micro, Mc Afee olmak üzere dev şirketleri zor durumda bırakan bu kararının yanı sıra Çin hükümeti’nin son birkaç yıldır yerli şirketlere yönelik ciddi bir pozitif ayrımcılık da uyguladığı da biliniyor.

Yazının başında bahsettiğimiz Sanayi Bakanlığı’na yapılan başvuruya verilen cevabı da aktaralım yazımız sona ererken: “Şikayet konusu ürünleri üreten firmaların unvan ve adresleri belirtilmemiştir. Bu firmaların unvan ve adresleri ile tüketiciyi aldatmaya yönelik reklam ve ilanlarının yayımlandığı mecraların da Bakanlığımıza bildirilmesi durumunda başvurunuzun Reklam açısından değerlendirilmesi mümkündür. Söz konusu ürünler ticari olarak kullanılıyorsa veya faturası ticari firma adına ise 4077 sayılı Kanun kapsamında herhangi bir işlem yapılamayacağından, genel hükümler çerçevesinde Yargıya başvurmanız, faturalar adınıza ise ve ticari amaçlı kullanım söz konusu değilse aşağıda belirtildiği gibi hareket etmeniz gerekmektedir. 2010 yılı için değeri 938,75-TL ve üzerindeki uyuşmazlıklarda Tüketici Sorunları Hakem Heyetine başvurulabileceği gibi doğrudan Tüketici Mahkemesine de başvurulabilir. Bu değer ve üzerindeki uyuşmazlıklar için Hakem Heyetinin vereceği karar bağlayıcı olmayıp delil niteliği taşıdığından, taraflarca benimsenmemesi halinde yine Tüketici Mahkemesine başvurulması gerekecektir. Bu nedenle, ikamet ettiğiniz veya uyuşmazlık konusu mal ya da hizmeti aldığınız yerde bulunan bu mercilere fatura, satış fişi, sözleşme vb. belgeler ile birlikte müracaat etmeniz gerekmektedir.”

Görünen odur ki: anti virüs yazılımları olası bir felakette de sorumluluk almamaktadırlar, kanunen yapmaları gereken teknik desteği bile kullanıcılarına sunmamaktadırlar. Kanunlarımızın bu ürünler içinde uygulanması konusunda nasıl bir çalışma yapılması gerektiği konusunu konunun uzmanlarına bırakmakla beraber bu konuda önce bir tüketici ardından bir bilişim hukukçusu olarak internet kullanıcılarının ve ilgili devlet kurumlarımızın bilgilendirilmesi ve yürürlükteki kanunlarımızın acilen herkese eşit biçimde uygulanması için buradaki tespitlerimiz kamuoyuna sitemiz aracılığıyla paylaşılmaktadır.

30.08.2010
Av. Serhat Koç
Salacak

Tags:

4 Comments

  • Yazınız güzel ve üzerinde düşünülmesi gereken gerçekler içeriyor ama yine de bu bir komplo teorisi.
    Bahsettiğiniz tehlikeler ve şüpheler sadece bizim ülkemiz için değil bütün dünya için geçerli. Bizde tehditin yüksek olmasının temel nedenleri ise başta kullanıcı bilinçsizliği ve hemen hemen her yazılımın kaçak kullanılıyor olmasıdır.
    Bizim ülkemizde acaba kaç kişi para vererek antivirüs yazılımı satın almaktadır önce bunu araştırmalısınız.
    Selamlar..

  • Önemli bir ayrıntıya dikkat çekmişsiniz. Değerli yazı için teşekkür ediyorum. Yasalara göre destek vermeyen bu ithal yazılımların tehdit anında veya bir siber saldırı anında nasıl davranacağı da merak konusudur? Örneğin X ülkesi tarafından üretilen ve ülkemize satılan bir antivirüs markası Türkiye’nin o X ülkesi ile ülkeler arası büyük sorunlar yaşaması halinde bu firmanın antivirüs yazılımının davranış biçimi “yumuşak güç” olarak karşımıza çıkacak mıdır? Bu da komplo teorisi olarak gelebilir. Ancak PKK tarafından İskenderun’da yapılan saldırı sırasında Heronların görüntü vermediği basına yansımıştır.

  • Bilgisayar bilen birisi için bu yazılanlara komplo teorisi denmesi anlamsız. Oldukça mantıklı bir görüş. Ancak garanti veren virüs savar sistemine bir örnek verilmesi güzel olurdu. Ya da e-posta ma atarsanız sitesini incelemek isterim. Ayrıca bu konuda açığı bulabilecek işgücü var mıdır o da ayrı b ir konu.

  • sorunuzun cevabi bedava antivirus adi altinda bir suru forumlarda crackli antiviriusler ve keygenleri var. aslinda bunlar birere virus. ve ülkemizde cok kisi bu sekilde kullaniyor. yapilmasi gereken orjinal antivirus programi satin almak.

Leave a reply

required

required

optional


Trackbacks

  •  
i need help on my homework writing paper online order cv online order cv online custom writing term papers people who do homework remotely