|  |  |  |  | 

General Topics Hacking News Latest Vulnerabilities Laws and Regulations

DDOS Suç mu Değil mi?

img-responsive

[GTranslate]

Son senelerin en popüler konularından biri haline gelen Hack (Aslında Hack değildir ama medya ısrarla bu şekilde adlandırmaktan zevk alıyor) olaylarının aslında hack olmadığı bana soracak olursanız saldırı bile olmadığı (teoride ve yetersiz kanun maddeleri nedeni ile) saldırılardan söz etmek istiyorum.

Öncelikle manşetlere baktığımız veya tv den haberlere göz attığımızda hepimizin ( artık simit satan vatadanşaımız bile biliyor o derece) Anonymous grubunun saldırı ve eylemlerini görüyoruz. Haberlerin özeti şu şekilde “Anonymous XXX Kurumuna saldırdı ve sistemi hackledi, anonymous sitelere erişimi kapadı, XX Hack grubu devlet sitesi yyy devre dışı bıraktı” gibi…

TCK’ya göre :

Türk Ceza Kanunu’nun 244. Maddesinde “bir bilişim sisteminin işleyişini engellemek” suç olarak kabul edilmiş ve yaptırımı 1-5 yıl arası hapis cezası olarak düzenlenmiştir.”

DDOS atakları da bu madde kapsamına girebilmektedir. Eğer hedef site, bir kamu kuruluşunun web sitesi ise DDOS atakları yapmanın cezası yarı oranında artırılmaktadır.

şeklinde bu eylemin suç kapsamında değerlendirilmesi gerektiği açıkça belitilmiş olsa da kafa karıştıran bir durum söz konusudur.

Öncelikle web ve internet teknolojisini sadece iletişim ve bilgi almak amacı ile  kullananlar için değişik ve basit bir tanımlama yapalım:

WEB SITESI : Mahallenize su veren büyük bir su deposu olarak düşünün.
KABLOLAR : Evinize su deposundan gelen su boruları diyelim.
BİLGİSAYAR : Evinizdeki ana su girişi, saat vb cihazlar.
BROWSER : Çeşmeleriniz.

Şimdi diyelimki siz ve sizin gibi tüm mahalle bir saatliğine ne olduğunu bilmeden deli gibi tüm çeşmelerinizi sonuna kadar açtınız, su saatleriniz deli gibi dönüyor ama herşey yasal yani sonuçta yasa dışı birşey yapmıyorsunuz, 1000 hane çeşmelerini açtı oluk olu sular akıyor…Ne olur? Büyük ihtimalle ya boruları patlatırsınız yada ana şebekedeki tüm suyu tüketir ve geri kalan herkesi susuz bırakırsınız…Kimse de size niye çeşmeni açıyorsun kardeşim diyemez değil mi?

İşte bu olayın bilgisayarcası DDOS ataktır (Distributed Denial of Service Attack – Dağıtık Servis Dışı Bırakma Saldırısı). Yani herkes bilinçi veya bilinçsiz bir biçimde bir web sitesine giriş yapmaya çalışır ise o site kaynaklarını tüketene kadar hizmet verecek daha sonra kaynakları bittiği noktada hiçkimseye hizmet veremeyecektir.

Peki bunun neresi suç? TCK’ya göre siz siteye erişimi engellediniz. Ama siz ne yaptınız ki?  Sadece web sitesine girmeyi denediniz o kadar yani herhangi bir su borusuna delik açmadınız yada su borusunu tıkamadınız ama suçlusunuz neticede kaynağa erişimi engellediniz.

O zaman birde şu açıdan bakalım, 1 ocak 2012 itibari ile 80 milyon insan Milli Piyango sitesine giremedi! Neden? Çünkü kaynakları tükendi ve DDOS’a maruz kaldı… O zaman ne yazık ki bu kanuna göre hepimiz suçluyuz çünkü maddeye göre sisteme erişimi engelledik 🙂

Aynı şekilde ÖSYM sitesi de servis dışı kalmıştı ne yazık ki tüm öğrenciler veileleri ısrarla bu siteye girmeye çalışarak sistemi servis dışı bıraktıkları için suçlular…

Şimdi başka bir konuyu ele alalım ve bağlayalım….

Eminimki aranızdan en az birinizin şifreleri hacklendiği için savcılığa suç duyurusunda bulundunuz ve size gelen cevap hemen hemen şu şekilde oldu :

Sayın ….,

Yapılan incelemlerde şifrenizin kırıldığı fakat saldırganın şifreniz ile sisteme bir süre giriş yaptığı halde içeride yeteri kadar kalmadığı , herhangi bir dosya silmediği vb.. nedenleri dolayısı ile saldırgan tabir edilen kişi hakkında herhangi bir takip başlatılamayacağı anlaşılmıştır…deniliyor.

Yani Birilerinin sizin şifrenizi öğrenmesi, çalması veya kırması suç değil, hatta o şifre ile sisteme girmesi bile suç değil giriş yapıp içeride kalması ve bişeyler karıştırması da gerekiyor 🙂

Şimdi bu kadar faal olan bir saldırgan bu kadar iş beceriyor ve suçlu olmuyor ama DDOS saldırı yaptığı iddiası ile birileri hakkında hapis istemiyle dava açılabiliyor ? Üstelik sisteme erişmemiş, içeride kalmamış, sunucuya kod atmamış bir belge çalmamış sadece çeşmeyi fazla açık bırakmış 🙂

Yazımdan sakın DDOS yapanları savunduğum veya başka bir sonuç çıkarılmasın benim anlatmak istediğim kanunların çook çoook yetersiz olduğu ve işletim sistemleri yazılımlar gibi her tarafında açıklar barındırdığı..

DDOS elbette bu kadar masum bir olay değil, genellikle Zombi tabir edilen ele geçirilmiş sitemler üzerine yüklenen yazılımlar ile ve yine genellikle bir veya birkaç kişi ile kontrol edilen zararlı yazılımlar ile yapılan bir eylem. Fakat isterseniz bir siteye herhangi bir şekilde örgütlenip sadece giriş yapıp, durmadan f5 tuşuna basarakta aynı şeyi yapmış olursunuz, tek fark bunu sizin yerinize o kurulan programların aldıkları adrese aynı anda yenileme işlemini gerçekleştirmeleri.

Uzun lafın kısası umarım kısa zamanda yasalardaki yeni düzenlemeler ile bu tür paradoxlar giderilir…

ddos-suc-mu-degil-mi

ABOUT THE AUTHOR

Application Security , Information and Software Security Specialist Ethical Hacker and Pentester

6 Comments

  1. volkan yurtoglu

    Merhaba Murat Bey
    Yakın zamanda izmir’e taşındım.Kamu ya yeni atandım uzun zamandır özel sektorde Bilgi Güvenliği Uzmanı olarak çalıştım. halen izmir’de ikamet ediyorsanız tanışmak isterim.

    Saygılarımla
    Volkan Yurtoğlu

  2. nokta

    Birisinden DDOS saldırısı alıyorsak ne yapmalıyız ? 3 gündür internetim yok bu yüzden. Irkçılık (!) yaptığımdan dolayı güyya saldırıyormuş.Herif kafasına göre mazeret te bulmuş.Bi b** yapamıyorum bilgisayarımla şimdi.Patates lafının neresi ırkçılığa giriyor anlamış değilim. (yürü git patates beyinli salak) dediğimden dolayıymış…

    • asf

      Modeminin fişini çek savcılığa suç duyurusunda bulun sonra bırak o uğraşsın

  3. Name

    peki normal bir komut istemi (windows için cmd, linux için terminal gibi) kullanarakbir siteye ping atmak suç mu? Eğer suç ise bu sistemlerin yapımcıları nasıl sistemlerine bu özelliği ekleyebiliyorlar? Ayrıca DDoS saldırısı yaparsak ama yaptığımız saldırı başarısız olursa (yani sisteme herhangi bir zarar gelmesse) gene de bunu denediğimiz için suçlu bulunur muyuz? Ve son olarak kullanmasak bile DDoS saldırısı yapmaya yarayan programlar indirmek suç mudur? (Yanlış anlaşılma olmasın böyle bir saldırı girişiminde hiç bulunmadım sadece merak ettim.)

    • By Ömer Türk Siber Güvenlik

      güzel kardeşim ah şu youtubdaki lamerlar yokmu ah…. cmd windowsun konsoludur…. ordki amaç siteye ping atarak gönderim ve alım hızını tespit etmektir belkde yotubda bebe 20 30 tane cmd açıyo sınırsız ping aıyo sonra site i f5 yapıyo açılmayıncada bunula gururlanıyo 😀 ORDAKİ OLAY TAMAMEN kendi internetinin kasmasıdır o anda başka bi kullanıcı rahatlıkla o siteye giriyo zaten 😀 asıl ddos saldırısı şunlardır…. güçlü bi internetin warsa bunu şu programlarla yaparsın anonumus external atack , dos atack,, ben bunları önermem iyi bi saldırı yapııyım diyosan kendi bilgisayarını kullanayacaksın bi botnet ağı oluşturcaksın 😀 yani bi virüs kodluycaksın kodladığın virüsle herkesin pc sinin isedğiğin isteye ddos attırabilirsin yani düşün yaptığın virüsü 500 kişiye yediriyosun ve o 500 kişiyle birlikte falanca sitesine defalarca ping atıyosun ( sonuç ) adamın hosting den aldığı güzelim hizmetin trafikini bitiriyorun ( yani makale yazarının dediği gibi SU TANKERİNİ BOŞALTTIN EVLAT ) bu trafik haftalık yenilenir 😀 ama bir haftaya kadar sitenin trafiği biter bence bu suç dan çok kull hakkı 🙁

POST YOUR COMMENTS