30 Mart 2017

E-ticaret Sitelerine DDOS Saldırıları ve DDOS’un Hukuki Açılımı

DDOS SaldırısıSiber güvenlik, internetin hayatımızın en içine girmesiyle herkesi ilgilendiren bir konu haline geldi. Gerçek kişiler, tüzel kişiler, devletler, uluslar arası örgütler… Herkes siber dünyada kendini güvende hissetmeye çalışıyor.

Peki ya siz, e-ticaret yapan ya da e-ticarete ilgi duyan insanlar? Kendinizi ne kadar güvende hissediyorsunuz? Bu sorunun tedirgin edici cevaplarını duyar gibiyim. Bu nedenle, e-ticaret şirketleri için siber güvenlik tehditlerinden biri olan DDOS saldırılarını ve bu saldırıların hukuki boyutlarını anlatıp, bireylerin ve e-ticaret şirketlerinin alabileceği önlemlerden bahsedeceğim.

Teknik Olarak DDOS Saldırıları

DDOS’un açılımı “Distributed Denial Of Service”dir. Bu saldırı internet üzerinden çok sayıda bilgisayar kullanılarak gerçekleşir. Bu bilgisayarlar istemci bilgisayar; yani bilgiye erişim yetkileri sunucu tarafından belirlenmiş, müşteri bilgisayardır ve bir web sayfasını ziyaret etmesiyle bilgisayar istemci bilgisayar haline gelir. DDOS saldırısında birçok istemci bilgisayar bir web sayfasını aynı anda ziyaret ederek, sunucu bilgisayarın kapasitesini aşmasını sağlar ve web sayfasına ulaşılamaz hale getirir.

Eminim bu yazıyı okuyanların geneli, üniversite sınavlarının sonuçlarını öğrenmek için dakikalar, belki saatlerce bilgisayar başında ÖSYM sitesine yoğunluktan girebilmek için beklemiştir. Bu örnekle DDOS saldırısının ne olduğu kolayca anlaşılabilir. Sınav sabahı ÖSYM sitesine girmek isteyen milyonlarca kişi ÖSYM’nin sunucularının kapasitesini aşmasına sebep olarak, sınav sonuç sayfalarını ulaşılamaz hale getirir. DDOS saldırılarında da amaç bunu gerçekleştirmektir.

DDOS saldırılarını gerçekleştiren istemci bilgisayarların hepsi gerçekten hedef sunucuyu çökertme niyetine sahip olmayabilir ki genelde bu durum söz konusudur. Kötü amaçlı yazılımlarla virüs bulaştırılan bilgisayarlar zombi bilgisayar haline getirilebilir. Belki de şu anda bilgisayarlarınız kötü niyetli kişilerin oyuncağı olmuştur bile! Bu bilgisayarları zombi haline getirmek için, phishing (yemleme) epostalar, güncellenmemiş yazılımlar, sosyal medya siteleri, donanım araçları ve daha birçok yaratıcı yöntem kullanılmakta. Bu yöntemler kullanılarak dev botnetler, tabiri caizse zombi bilgisayar orduları kurulmaktadır. Bu bilgisayarlar artık gerçek sahiplerinin yanı sıra, kötü niyetli kişilerin de emrine girmiştir. Bu kişiler bu bilgisayarlara komut vererek, gerçek sahibinin haberi dahi olmadan aynı web sitesine aynı anda ziyareti sağlar. Geçmişte yaşanan örneklere WordPress sitelerine tahmini 90.000 IP ile yapılan saldırıyı[1] ya da Dmitry Olegovich Zubakha ve Sergey Viktorovich Logashov isimli hackerların 2008 yılında Amazon, eBay ve Priceline gibi sitelere yapılan DDOS saldırılarıyla 28.000 kredi kartı bilgisini ele geçirmelerini örnek verebiliriz.[2]

DDOS saldırıları faillerinin yakalanmasının güç olması ve büyük ölçüde önlenemez olmaları sebebiyle kötü niyetli kişilerce oldukça kullanılan bir saldırı tipi haline gelmiştir. Dev botnetler oluşturarak bunlarla saldırı yapan ve gerçek ya da tüzel kişiler için para karşılığı DDOS saldırıları düzenleyen kişiler mevcuttur. Özellikle eticaret sitelerinin sattıkları ürünler için büyük kampanyalar hazırladıkları, işbirlikleri kurguladıkları, cirolarının yıl içinde en yüksek olma ihtimalini öngördükleri yılbaşı, sevgililer günü, anneler günü vb. özel günlerde rakipleri tarafından bu saldırıya maruz kaldıkları ve hukuki anlamda bir suçun mağduru oldukları görülmektedir. Ben de yazımın devamı bu senaryo üzerine şekillendireceğim.

Hukuki Olarak DDOS Saldırıları

DDOS Önlemler
Bu fiilin hukuki boyutuna değinirsek; Türk Ceza Kanunu’nda bilişim suçları kapsamında düzenlenen madde 244’ü incelememiz gerekir. TCK 244. Maddenin 1. ve 4. Fıkralarına bakacak olursak;

“Sistemi engelleme, bozma, verileri yok etme veya değiştirme

(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.

(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur.”

demektedir. Bu maddelerde 4. fıkra doktrinde 1. ve 2. fıkraların ağırlatıcı sebepler olduğunu savunan bir görüş olsa da ben 4. fıkranın ayrı bir suç tipi olduğu kanaatindeyim. Yazımda bir eticaret firmasının işleyişinin başka bir eticaret firması ya da diğer kötü niyetli kişilerin haksız çıkar sağlamak suretiyle DDOS saldırısıyla engellediği ihtimali üzerinde durduğum için 4. fıkradaki suç tipini ayrıntılandıracağım.

Bu suçla korunan hukuki değer Dülger’e göre “kişinin malvarlığı değeri olabileceği gibi manevi bir hakkı da olabilir.” Ben de bu görüşe katılmaktayım.[3]

Başka bir suç oluşturmaması halinde “bir bilişim sistemini engellemek suretiyle kendisi veya başkası yararına haksız çıkar sağlamada” maddi unsurları inceleyecek olursak;

Doktrinde her ne kadar bu suçun seçimlik ve bağlı hareketli bir suç olduğu belirtilmekteyse de, TCK’nın 244 (4) maddesinde ilk fıkraya atıf yapıldığından serbest hareketli bir suç olmaktadır. [4] Suçun faili herhangi bir şekilde bilişim sistemini engelleyip kendisi ya da başkasının yararına çıkar sağlayarak suç tipine uygun davranmış ve suçu meydana getirmiş olur. 1. fıkradaki “engelleme” konusunda uzlaşılmış bir tanım bulunmamakla birlikte “engelleme, sistemin işleyişinin dışarıdan gelmekte olan veya programlanmış olması nedeniyle süregelen bir dış müdahaleden dolayı veri işlem faaliyetinin sistem tarafından yerine getirilmemesidir[5]”, diyebiliriz.

DDOS saldırılarında yukarıda çalışma sistemini anlattığım üzere suç tipinde tanımlandığı üzere dışarıdan gelen müdahale sonucu e-ticaret şirketinin sunucularında veri işlem faaliyetinin kesilmesi söz konusudur. DDOS saldırısıyla bilişim sisteminin işleyişini engellemek suretiyle kendisi veya başkası adına haksız çıkar sağlanması gerekmektedir. Botnet ağı olan bir kişi, saldırıları gerçekleştirerek, durdurması karşılığında e-ticaret firmasından bedel isteyebilir ya da e-ticaret şirketinin rakip firmalarının çıkar sağlaması için saldırı gerçekleştirebilir.

Suçun faili herkes olabilir. Önemle belirtmek gerekir ki yalnızca bu saldırıyı yapan kişi suç işlemiş olmaz. Aynı zamanda bu kişiye ücret karşılığı rakibine saldırı yaptıran e-ticaret firması da “azmettiren” sıfatıyla suç işlemiş olur ve TCK m 38/1 gereği aynı cezaya hükmolunur.

Suçun mağduru failin müdahalede bulunarak haksız çıkar sağladığı bilişim sisteminin yahut verinin hak sahibidir.[6] Hak sahipliğinden kasıt bilişim sistemi üzerinde ayni hakka ya da şahsi hakka sahip olmak suretiyle suçtan doğrudan zarar gören kişidir. Doktrinde tüzel kişilerin mağdur olamayacağı, yalnızca suçtan zarar gören olabileceği yönünden görüşler bulunmakla birlikte, kanaatimce tüzel kişiler de suçun mağduru olabilir. [7] Bu durumda DDOS saldırısına maruz kalan e-ticaret şirketinin tüzel kişiliği bizzat suçun mağduru olmaktadır. Bir diğer önemli husus ise bu suçun gerçekleşmesi için mağdurun zarar görmüş olması gerekmez. Maddenin 4. fıkrasında düzenlenen suç tipinde failin kendisi ya da başkası adına haksız çıkar sağlamak için bir bilişim sisteminin DDOS saldırısı ile işleyişini engellemesi yeterli olacak, bu saldırıdan (her ne kadar zarar kaçınılmaz olsa da) mağdurun zarar görmesi gerekmeyecektir.

Özetlemek gerekirse; e-ticaret sitenize DDOS saldırısı yapıldığında mevcut bilişim sisteminizin işleyişi engellenmektedir. Bu saldırıyı yapan kişiler herhangi bir haksız çıkar gütmeyebilir. Bu TCK 244/1 kapsamında değerlendirilir. Benim değerlendirdiğim husus ise, bu saldırıyı yapanların, saldırı yapma suretiyle kendileri ya da başkaları için haksız çıkar sağlamalarıdır. Bu durumda bu kişiler suç işlemiş olur ve suçun soruşturulup kovuşturulması halinde failler hakkında 1 yıldan 5 yıla kadar cezaya hükmolunur.

DDOS Saldırılarına Karşı Alınabilecek Önlemler

DDOS Hack SaldırısıYukarıda da bahsettiğim gibi DDOS saldırılarına karşı önlem almak ve zararı önlemeye çalışmak oldukça zordur; ancak böyle bir saldırıya maruz kalındığında hazin bir şekilde sunucu bilgisayarın fişini çekmemek için hem e-ticaret şirketi olarak hem gerçek kişi olarak önceden ve sırasında alabileceğiniz bir takım önlemler vardır.

Öncelikle kişisel bilgisayarlarını zombi bilgisayar olmaktan koruyarak önlem almaya başlayabilirsiniz.

1. Bunun için öncelikle tanımadığınız kişilerden gelen, spam olduğunu hissettiğiniz mailleri açmayın. Burada “açmayın” kelimesine özellikle dikkat çekmek istiyorum. Çünkü bazen phishing maili açmak bilgisayarınıza virüsün bulaşması için yeterli olabiliyor.

2. İkinci olarak; arkadaşlarınızın maillerinde de doğal olmayan bir şeyler hissediyorsanız, şüpheyle yaklaşın. Bunun için maili açmadan önce; diğer iletişim kanallarıyla arkadaşınızla iletişime geçerek size mail atıp atmadığını sorabilirsiniz.

3. Bir diğer husus ise; bilgisayarınıza mutlaka bir antivirüs programı kurun ve belli aralıklarla güncelleyin. Güncellemeniz önemli; çünkü antivirüs programları hafızalarında sizin kurduğunuz güne kadar mevcut olan virüsleri tanımlar. O tarihten sonra oluşturulmuş virüsleri tanımayacak ve bu kendisinden genç virüslerin bilgisayarınıza girişine sessiz kalacaktır.

4. Kullandığınız yazılımların muhakkak en güncel sürümünü kullanın. Siyah şapkalı (black hat) hackerlar, özellikle sık indirilen yazılımların güvenlik zafiyetlerini araştırmakta ve güvenlik boşluğu bulduklarında gecikmeden içeri sızmaktadır. Bu yüzden bu yazılımlar güvenli hizmet sunabilmek için güncellenmektedir. İçine virüs saklanmış bir yazılım kullanmamak için güncelleyin.

5. Bilmediğiniz, şüpheli ve güvensiz görünen sitelerden dosya indirmeyin.

6. Facebook, Twitter vb. sosyal ağlarda özellikle sosyal mühendislik yapanların oyunlarına gelmeyin. Atatürk, şehitlerimiz, yardıma ihtiyacı olan çocuklar gibi manevi değerlere dokunup linke tıklamanızı isteyenlere inanmayın. Güvenli bulmadığınız anket, ödüllü sorular gibi uygulamalara katılmayın.

7. Tüm önlemlere rağmen bilgisayarınıza virüs girdiğini fark ederseniz, o virüsten kurtulmak için profesyonel yardım alın.

8. E-ticaret sitesi olarak birbirine paralel olarak çalışan çok sayıda sunucu bilgisayar kullanın. Bu sayede bir sunucu bilgisayar etkisiz hale getirildiğinde diğerleri hizmet vermeye devam edecektir. [8]

9. Küçük ve orta ölçekli saldırıya uğradıysanız; soft çözümler yeterli olacaktır. IDS, IPS, Firewall yazılımları ve web sunucu (IIS, Apache vb.) üzerinde yapılan konfigürasyonlar ve işletim sistemi ayarlarından (Network yapılandırması, Registry ayarları vb.) ibarettir. Saldırı loglarını ve saldırı anındaki trafiği analiz ederek bunu IPS programıza imzalatmanız yeterli olacaktır. Saldırı paketlerini tanır hale gelen IPS hepsini otomatik olarak banlayacaktır. [9]

10. Büyük saldırılar için Host bazlı çözümler gerekir. Yani Networkun girişine Fiziksel Firewall cihazları kurulmalı, bunlar hali hazırda varsa konfigürasyonlarının çok düzgün yapılması gerekir. Routerlar da benzer şekilde yapılandırılmalıdır. [10]

Sonuç olarak; DDOS saldırısı bir suçtur ve bu saldırıyla karşılaşan hemen herkes teknik önlemler alsa da önemli bir boyutu ihmal etmektedir. Bu boyut ise Cumhuriyet Savcılığı’na suç duyurusunda bulunmaktır. Saldırı gerçekleştiği andan itibaren saldırıyla ilgili edindiğiniz delilleri saklamanızı ve Cumhuriyet Savcılığı’na suç duyurusunda bulunmanızı tavsiye ederim. DDOS saldırılarını hukuki ve teknik olarak açıklamaya çalıştım. Umarım sizin için faydalı olur. Eklemek ya da düzeltme yapmak istediğiniz bilgiler varsa, yorum bırakmanızdan memnun olurum.

Kaynakça:

[1] WordPress Under Attack: How To Avoid The Coming Botnet
[2] 2008 yılının internet teröristleri Kıbrıs’ta yakalandı
[3] Dülger, Bilişim Suçları, s. 244,245
[4] Erdoğan, s. 252
[5] Pallı, s. 169
[6] Erdoğan, s.253
[7] Erdoğan, s 145
[8] Denial of service attack
[9] DDos, Botnet-Juno Saldırı Analizleri ve Alınacak Önlemler
[10] DDos, Botnet-Juno Saldırı Analizleri ve Alınacak Önlemler



Sosyal medya ve e-bülten ile de EticaretMag'ı takip edebilirsiniz!

EticaretMag Twitter EticaretMag 

Facebook Sayfası EticaretMag Youtube EticaretMag Google+ E-ticaret 

Türkiye Linkedin Grubu E-

ticaretMag RSS E-

ticaretMag RSS

Yorumlar

  1. Merhabalar,
    öncelikle uzun yıllardır eticaret sistemlerinin içinde olarak şunu söylemek isterim ki,
    DDos saldırıları karşısında normal bir kullanıcının yapabileceği herhangi bir şey yok.
    DDos saldırısı altında kalanların muhakkak bilgili birisinden yardım alması gerekiyor.
    Server yönetiminden ve network protokollerinden anlıyan birisi olması gerekiyor.

    DDosun saldırıları yaşayan birisinin öncelikle kendini ve neden saldırı aldığını analiz etmesi gerek.
    Sonuç olarak DDos saldırısını yapan kişilerin her zaman hukuki bir tehlikeleri olduğu için keyfi olarak biryere saldırmazlar.

    Örneğin yeni çıkan bir kozmetik ürünü satıyorsunuzdur. rakip firmanız sizin satmamanız için birilerini kiralamış olabilir.
    birileri hakkında ters yazılarınız vardır size düşman kesilmiş birileri vardır.
    googel da belli bir kelimede ilk sayfada hatta ilk sırada çıkıyorsunuzdur, arkanızdaki siteler sizi çekemiyordur.
    ücretli olarak verilen bir hizmeti ücretsiz olarak dağıtıyorsunuzdur vs vs örnekler çoğaltılabilir.

    Bu konuda Türkiyede bilgili en önemli isimlerden birisi Huzayfe ONAL. DDos hakkında aklınıza takılan birşey olursa kendisine danışmanızı tavsiye ederim

  2. Fontys der ki:

    Yazinizi keyifle okudum Seval Hanim,
    DDOS konusundaki sikinti cezai yaptiriminin olmamasi degil, saldiriyi gerceklestiren kisinin bulunamamasidir.

  3. Seval Hanımın özellikle son paragrafta söylemiş olduğu husus çok önemli. Bu saldırılar hakkında suç duyurusunda bulunulması ve ayrıca tazminat davası açılması halinde ciddi bir yaptırım söz konusu olmakta. Elimizde buna ilişkin ciddi örnekler var. Saldırı gerçekleştirildiğinde acilen suç duyurusunda bulunulması ve şüphelenilen kişiler var ise bunların sistemlerinde CMK 134’e göre arama yapılması gerekir. Seval Hanım’a da başarılar ve yazılarını devamını dilerim.

  4. Seval Sönmez der ki:

    Merhabalar,

    Samet Bey size katılıyorum. Yazımda belirttiğim gibi bu saldırıların önüne almak çok zor. Gerçekten de teknik bilgi isteyen bir konu. Örnekleriniz de oldukça çarpıcı, çok teşekkür ederim.

    Fontys, yazımı okumanıza ve keyif almanıza çok sevindim. Saldırıyı gerçekleştiren kişilerin bulunamaması gibi, saldırıların hiç yargıya taşınmaması da büyük bir sorun.

    Volkan Bey, yorumunuz ve iyi dilekleriniz için çok teşekkür ederim. Kitabından alıntı yaptığım bir üstadın yazıma yorum yapması beni çok mutlu etti.

  5. Hakan der ki:

    Bir eticaret sitesi olarak geçmişte ddos saldırısı aldık. Bu gibi saldırıları yapanların işini doğru yapanları tenzih ederek söylüyorum ama tek ürün satan, bugün var yarın yok firmalar olduğunu düşünüyorum. Bizim gibi eticaret siteleri yoğun ddos saldırısı alırken zayıflama hapı, ıvır zıvır kremi gibi kozmetik ürünler satan ve adwordsle üste çıkan siteler ayaktaydı. Onların yaptığından emin olmamıza rağmen delilimiz olmadığından şikayet edemedik.

  6. Bİzde ciddi ddos saldırısı almıştık, ve hatta halen azda olsa alıyoruz,
    Savcılığa gitmek sorun değil ama kimi şikayet edecez soru orada,
    Şüphelendim şikayet ediyorum diye birşey olmaz, delilin olmaması sıkıntı burada
    Teşekkürler.

  7. Bununla ilgili önceleri çok kafa yoruyordum. Hatta bu tarz sunucu güvenliği konularıyla uğraşmaktan haz alıyordum. Mesela üzerinde epeyce kafa yorduğum bir konu vardı.
    Temeli, yapay (fiziksel olmayan) bilgisayarlar (yapay cpu ve hd) oluşturma işlemine dayanıyordu. Bu sayede sadece yazılımsal döngülerden oluşan binlerce hatta yüz binlerce yapay bilgisayarı sur olarak kullanabiliriz.
    Mesela DDOS saldırına maruz kalan birinci yapay sunucu, isteği firewall’a iletip saldırıyı hafifleterek ikinci yapay bilgisayara devredecektir. Bu sistemi oluşturmak için sadece bu görevi yapan farklı bir hd yeterli hale getirilmesi lazım.
    Bu sayede müthiş derecede maaliyet tasarrufu da sağlanmış olacaktır.

  8. Yorumlarınız için teşekkür ederim. Önemle belirtmek istediğim bir konu şu. Bir suçun mağduru olduğunuzda, o suçu Savcılığa bildirmeniz için failini bilmeniz gerekli değil.
    Bu bilişime özgü suçlarda biraz soyut kalabilir; ama şöyle düşünün. Evinizde hırsızlık olmuş, birtakım malvarlığı değerleriniz çalınmış ve hırsızların kim olduğu hakkında en ufak bir fikriniz yok ya da şüphelendiğiniz kimseler olsa da kesinlikle emin değilsiniz. Bu durumda suç duyurusunda bulunmanız ve savcılığın kolluk kuvvetleri aracılığıyla parmak izi vb bularak soruşturmaya devam etmesi ne kadar doğalsa DDOS saldırıları gibi bilişime özgü suçlarda faili bilmeden, şüphelenerek ama emin olmadan suç duyurusunda bulunmanız o kadar doğal ve gereklidir. Hırsızlık suçunda delil elde etmede kolluk uzman olduğu gibi bilişim sistemlerinde delil araştırmada da uzmandır ve Bilişim Suçları Masası bu konuda çalışmaktadır. Bu nedenle herhangi bir deliliniz olmasa, failleri bilmeseniz dahi, Cumhuriyet Savcılığı’na suç duyurusunda bulunmanızı tavsiye ederim.

  9. Faili bilmeye elbetteki gerek yok dilekçede faili meçhul kişi yada kişiler demeniz yeterli. DDOS saldırılarının ispatı çok zor değil ama uzun bir prosedür. En sağlıklı yöntem yapılacak suç duyurusudur.

Fikrini söyle

*