Av. M. Gökhan Ahi,Bilişim Suçları 19/06/2011 13:22

Anonymous ve siber ataklara hukuksal bir yaklaşım

Av.M.Gökhan Ahi

Anonymous ve siber ataklara hukuksal bir yaklaşım

Geçtiğimiz günlerde, kim oldukları bilinmeyen (hatta bilinmesini istemeyen) Anonymous ile Telekomünikasyon İletişim Başkanlığı olarak bilinen TİB’in mücadelesi vardı. (Bkz. Anonymous Nedir, Ne Değildir?)

Bir kesim, olayı millileştirerek hatta milli mücadeleye benzeterek destek verenleri vatan haini ilan ederken, bir kesim de Anonymous’a dolaylı ya da dolaysız yazıyla veya yazılım yüklereyek destek verdi. Anonymous’un verdiği tarih ve saatten önce, atağa destek olacak bazı kişilerin IP adreslerinin yayınlanması Türkiye’den katılımı azaltınca ve TİB de atak anında yurtdışından erişimi kesince protesto amaçlı atak tam olarak hedefe ulaşamamış oldu. Ancak, verilmek istenen mesaj zaten yerine ulaşmıştı. Anonymous’un bu eylemini kişisel olarak benimsememek ve desteklememekle birlikte, protesto olarak TİB’e yönelen DDOS atağının suç olup olmayacağını hukuken tartışmaya açmak isterim.

DDOS nedir?
Her web sitesinin belirli bir kapasitesi vardır. Örneğin bir web sitesinde aynı anda 2 bin kişinin girebileceği bir kapasite vardır. Eğer bu siteye aynı anda 10 bin kişi girmeye kalkarsa, bir de sürekli siteye girmek için komut yollarsa bu siteye ulaşılması mümkün olmaz. Örneğin sınav sonuçları açıklandığı zaman ÖSYM’nin sitesine ulaşılamamasının da sebebi budur. Kapasitesi düşük olan siteye aynı anda 100 bin kişi girmeye çalışınca ÖSYM’nin de sitesine ulaşılamaz. Anonymous eylemcilerinin yaptığı iş de bundan başka bir şey değildir. Herkesin bilgisayar başında tek tek F5 (yenile) tuşuna basmakla uğraşması yerine bu işi otomatize eden bir yazılım kullanılması sadece işi kolaylaştırmak amacı taşır. DDOS ataklarında, web sitesine, sunuculara veya verilere herhangi bir zarar verilmesi söz konusu değildir. Zira, DDOS atağı sadece o siteye kapasitesinin üzerinde binlerce kişi tarafından giriş yapmaktan ve servisin aksamasını sağlamaktan başka bir şey değildir.

Bazı durumlarda, kötü niyetli kişiler, binlerce bilgisayara, sahibinden habersiz olarak trojan yazılımı yerleştirerek o bilgisayarları istenildiğinde kullanmak üzere çalışan bir “zombi bilgisayar” haline getirebilir. Bu tür kötü niyetli kişiler, trojan yazılımları aracılığıyla binlerce kullanıcının haberi olmaksızın onların bilgisayarlarından bir hedefe DDOS atakları yapabilmektedir. Hedef web sitesine aynı anda binlerce giriş talebi gelince, o web sitesi atak durana kadar işlemez hale gelebilecektir.

Zombi kullanarak yapılan DDOS atakları ile gönüllü yapılan DDOS ataklarının birbirinden farkları şudur: Birisinde binlerce gönüllü hedef bir web sitesine istekleri ve amaçları doğrultusunda giriş yapmaya çalışır, diğerinde ise bilgisayar kullanıcısının haberi olmadan ve fark etmeden o bilgisayardan kötü niyetli kişilerin belirlediği hedef web sitesine sürekli giriş yapılmaktadır.

DDOS suç mudur?
DDOS atakları, yoğunluk yaratarak o siteye başkaları tarafından erişimi zorlaştırmaktır ve engellemektir. Türk Ceza Kanunu’nun 244. Maddesinde “bir bilişim sisteminin işleyişini engellemek” suç olarak kabul edilmiş ve yaptırımı 1-5 yıl arası hapis cezası olarak düzenlenmiştir. DDOS atakları da bu madde kapsamına girebilmektedir. Eğer hedef site, bir kamu kuruluşunun web sitesi ise DDOS atakları yapmanın cezası yarı oranında artırılmaktadır.

Uygulamada, DDOS atakları şeklindeki suça sıkça rastlanmaktadır. Bugün bir çok ticari kuruluş, rakip firmaların web sitelerine, taşeronlarla para karşılığı DDOS atakları düzenlemektedir. Aynı zamanda haksız rekabet suçu oluşturan bu durum, web sitesinin işleyişini engellemesi dolayısıyla da bir bilişim suçu olarak kabul edilmektedir.
Örgütlü bir potesto eylemi ile suç olan DDOS ataklarını birbirinden ayırmak gerekiyor. Bir çok kişinin protesto amaçlı olarak, (ve de belirli şartlar altında) hedef olarak belirlenen sitelere aynı anda giriş yapmaya çalışması, kanaatimce suç olarak değerlendirilemez. Zira, bu tip bir eylemin amacı ve yöntemi bilinen zarar verme amaçlı DDOS ataklarından farklıdır. Yukarıda da belirttiğim gibi, bir çok kişi gönüllü ve istekli olarak, otomatize eden yazılım da kullanarak aynı web sitesine giriş yapmaya çalışmaktadır. Hatta, Anonymos’un organize ettiği 9 Haziran 2011 günü saat 18’deki atağına, binlerce kullanıcı da acaba TİB’in sitesine ulaşılabiliyor mu diye bakarak bir nevi örtülü olarak DDOS atağına katılmış oldular. Şimdi birileri örgütlenerek, şu tarih şu saatte hep birlikte şu web sitesine giriş yapıyoruz deselerdi, aynı şekilde hedef web sitesine erişim sekteye uğrayacaktı. Bu eylem, Taksim’de aynı anda 10 bin kişinin rastgele gezmesinden veya meydanda yere yatarak bir süre beklemesinden farklı değildir. Bu sebeple, buradaki eylemin suç olduğunu iddia etmek fazlaca zorlama olacaktır.

O halde, örgütlü bir protesto için yapılan DDOS ataklarının Türk Ceza Kanunu’nda tanımı yapılan suçtan sayılmaması için bir takım şartların aranması da zorunludur.

1- Örgütlü bir eylemin sadece protesto amacı taşıması gerekir. Yani herhangi bir zarar verme veya 3. Kişilerin önemli ihtiyaçlarını kesintiye uğratma amacı taşımamalıdır. Bir eylemden dolayı kamu malına zarar verilmesi asla düşünülemez. Zira, Anonymous eyleminde, TİB’in sitesine mesai saatinin dışında üç saat süreyle atak yapılmış gözüküyor. Eğer ulaşım, sağlık ve başka temel ihtiyaçların karşılanması amaçlı web sitelerine yapılmış ataklar olsaydı, protesto eylemi amacını oldukça aşmış olacaktı.

2- Örgütlü bir protesto eyleminin barışçıl ve uzlaşmacı olması gerekir. Eylemlerde hedef ve amaç, verilmek istenen mesajın muhataba ve basın aracılığıyla kamuoyuna ulaşmasıdır. Ancak verilen mesajlar, insanları birbirine düşürecek, ayrımcılık yapacak, kişileri ve kurumları küçük düşürecek nitelikte olmamalıdır. Anonymous, herhangi bir kişiye ve kuruma yönelmeden sadece sansüre gidebilecek uygulamalara dikkat çekmek amacıyla, empati kurabilsinler diye TİB’in sitesine bir müddet sansür uygulamaya çalışmıştır.

3- Örgütlü protesto eylemi ölçülü ve dengeli olmalıdır. Bu olayı örnek olarak alırsak, TİB’in sitesine yönelen atakların uzun süreli ve yoğun etkili olmaması gerekir. Nitekim, günboyu sürecek ve gereğinden fazla etkili olacak bir atak da amacından sapmış olacaktır. Anonymous’un organize ettiği eylem, 3 saat kadar belli bir ölçüde etkili olmuştur. Yetkililerce, kamu malına zarar verilmiş veya verilere müdahalede bulunulmuş olduğu rapor edilmemiştir.

4- Örgütlü bir protesto eyleminin dikkat çekmesi ve mesajını ulaştırması için önceden kamuoyuna ve yetkililere haber verilmesi gerekir. Anonymous atak öncesi açıklamasında tarih, saat ve hedef vermiştir.
Tüm bu koşullar bir arada bulunduğu takdirde, bir suçtan bahsedilemez. Zira, ceza hukuku amaca (saike) önem vermiştir ve bir eylemin suç olup olmadığının mahkemede tartışılmasına olanak sağlamıştır.

Zaten, İnsan Hakları Evrensel Beyannamesi, Avrupa İnsan Hakları Sözleşmesi ve Anayasa’mız da meşru amaçlarla örgütlenme ve protesto etme hakkını açıkça tanımlamıştır. Bu belgeler, fikir ve ifade özgürlüğünü tanımlamış ve sınırlarını çizmiştir. Protesto etme hakkı, bu belgelerde açıkça yazmasa bile fikir ifade özgürlüğünün doğal bir uzantısı sayılmaktadır. Protesto, ister devletlere isterse kurumlara isterse de sivil kişi ve kurumlara yönelsin, hiçbir şekilde barışçıl olmaktan uzaklaşmamalıdır.

Anonymous olayında protesto edilen şey, BTK’nın 22 Ağustos’ta uygulamaya koyacağı internet filtresi uygulamasıdır. Çünkü bugüne kadarki uygulamalar, iyiniyetli gibi gözüken filtre uygulamasının aslında sansüre ve oto sansüre yol açacağı endişesidir. Bu endişenin duyulması da gayet normal görülmelidir. Zira, filtre uygulamasının ne şekilde, ne derecede ve hangi prosedürle işletileceğine dair kamuoyuna yeterli ve tatmin edici bir bilgi ne yazık ki hâlâ verilememiştir. Ücretsiz ve yaygın olarak herkese verilebilecek filtre yazılımları varken, BTK’nın genel bir filtre konusunda ısrar etmesi her zaman bu konudaki endişeleri artırmaya yetecektir.

TİB’in bu atakla ilgili olarak suç duyurusunda bulunması gayet olağandır. Çünkü görevi ve yapısı gereği suç duyurusunda bulunmak zorundadır. Ancak, ne olursa olsun gerek TİB’in gerekse de üst makamı olan BTK’nın bu kadar eleştiriye ve protestoya bir şekilde kulak vermeleri gerekir. Kamu kurumlarının görevlerinden birisi de taleplere ve eleştirilere cevap vermek, kamuoyunun beklentilerini almak ve istekleri değerlendirmektir. Ancak organik bağı olan bu iki kurum, ne yazık ki iletişim ve iletişim stratejisi konusunda fazlaca düz mantık içindeler. Herhangi bir sitenin mahkemece kapatılmasında bile kamuoyunun bunu TİB kaynaklı zannetmesi, TİB’in tamamen iletişime kapalı olmasından kaynaklanıyor. Halbuki, yerinde ve gerekçesiyle yapılmış basın açıklamaları kadar internetin aktörlerinin de fikrinin sorulmuş olması, tüm yanlış anlamaların önüne geçebilecektir. 40 bin kişilik protesto yürüyüşünü görmezden gelmek ve sürekli “isteyen istediği paketi seçer” şeklindeki dayatmacı açıklamalar, bu iki kurum hakkındaki sansürcü etiketini kolay kolay değiştirmeyecektir. Dolayısıyla, kimse bu filtre işinin peşini kolay kolay bırakmayacaktır.

Tags:

7 Comments

  • ddos guvenlik riski olusturmaz denmis vefakat en basit ornek olarak aklima gelen firewall’un yasadigi yogun trafik ve kapasite asimi sebebi ile kendini bypass etmesi durumunda olusacak guvenlik riskleridir. ki bu ornekler fazlasi ile cogaltilabilir. haliyle ddos guvenlik riski teskil etmez cok gecerli bir arguman degil.

    bunun disinda hukuki yorum olarak boyle hareketlerin suc teskil etmeyecegi belirtilmis fakat kamusal enstrumanin calisirliginin engellenmesi soz konusu ve bu kamusal enstrumanin haiz oldugu yapabilirlikler veya sundugu servisler konusunda kimsenin fikri yok.

    haliyle boyle bir saldiri gerceklestirildiginde (protesto/saldiri arasinda da ciddi bir ayrim vardir) hangi servislerin hizmetinin durduruldugu, kamusal enstruman uzerinden nasil bir zarara sebep olunduguna dair vizyona sahip olunmadan “bu bir protestodur” demek cok mumkun gozukmuyor.

    sonuc olarak servisin aksamasina ve zarara sebep olundugu noktada hukuk makamlari varolan konjonkturde “suc teskil ediyor” diyeceklerdir ve organize sekilde gerceklestirilen calismanin hukuki yaptirimlari olacaktir.

    goz onunde bulundurulmasinda fayda var.

  • Merhaba,
    Gecen gun TV’de yaptiginiz canhira$ bir $ekilde “cehalete” karsi savasinizdan sonra, yalniz olmadigimizi bir daha anladik. Bu yazinizlada “hukuksuzlugu” ve ulkemizde dezenformasyonun geldigi boyutu bir defa daha acmi$, kanitlami$siniz.. Biz yalniz olmadigimiz gibi sizde yalniz degilsiniz..
    Sizin gibi “adalete” gercekten inanan insanlarin cogalmasi dilegiyle..
    Saygi ve sevgiler..

  • Gökhan Bey verdiğiniz bilgiler için teşekkür ederim.

  • Anonymous’un yaptığı bilişim yasalarına göre suçtur.Yanlış bilgi vermeyin lütfen

  • Önemli olan suç işlemek değil, intikam almakta değil. Önemli olan sadece ve sadece özgürlük. Özgürlük, bireysel aydınlanmayı ve medeniyetlerin gelişimini hızlandırır. Ne kadar özgürüz AKP ile din ile milliyetçilik ile. Sansür çocuklarımızı bizden cahil yapıyorsa, ABD’de bile ilk defa çocuklar ebeveynlerinden eğitimsiz kalmışsa, dünya tersine gidiyor demektir. Unutmayın cehaletin yaptırdıklarını, o günlere mi dönmek istiyorsunuz.

  • garlabgufa

    @inİSt Anonymous’un yaptığı yasalarımıza göre suç gibi görülebilir ama bu sadece ülkemizde bilişimin fazla gelişmemiş olması ve dolayısıylada yasaların bu yuzden cok yuzeysel olmasından kaynaklanıyorum. ben bı hukukcu degılım ama eğer bi memur veya işçi maaşı için veya baska bir isteği için grev yada protesto edebiliyorsa bu insanlarında yaptığı buna benzemektedir. sanal ortamdaki bi konudan rahatsızlıgını protesto etmek isteyen birinin yine bunu sanal ortamda yapması bence doğal. yazıdada belirtildiği gibi eğer bu bir protestodan cok başkasının haklarını gasp etmez onu zarara uğratmaksa buna suç diyebiliriz. Anonymous’un yaptığı saldırılarda karşı tarafı zarara uğratmak gibi bi niyet yok sadece dikkat çekmeye çalışıyorlar.
    Yazı için teşekkürler…

Leave a reply

required

required

optional


  •  
writing about my best friend persuasive essay online pay someone to do my essay write online for money business letter writing services