Kamuya Açık Ağlarda, Kişisel Bilgilerin( Facebook şifresi, kredi kartı bilgilgileri vb.) Güvenlik Zafiyeti, Gelinen Son Durum

free-wifiOfis ve  evlerimizde hayatımızı kolaylaştıran kablosuz ağa bağlanıp internete erişim alışkanlığımız keşke sadece kendi özel yaşam alanlarımızda kalsaydı.

Laptop, mobile vb. cihazlarımızdan kendi özel alanlarımız haricinde kamuya açık alanlarda şifresiz olarak hizmet veren, bağlandığımız Wifi ağları tehlike saçıyor.

Bu Wifi’lerin bazıları, kötü niyetli kişilerce o bölgenin en hareketleri olduğu zamanlarda şifresiz olarak insanları aldatıcı isimler ile Wifi alanları yaratarak o bölgedeki internete ihtiyacı olan kişilere cazip kılacak şekilde yayın yaparak bu ağlar  üzerinden internete erişilmesini izin veriyorlar. Bu ağları kullanan kullanıcılar, aslında kendi içlerinde, aynı kendi evlerimizde  modemimizin(router/modem) gördüğü görev gibi  bir LAN yani bir iç IP numarasını, bağlandığımız cihazlar otomatik olarak alıyorlar ve hiçbir şeyden habersiz ve bedava internet erişimi bulduğu için sevinen kullanıcı, öncesinde veya o anda  Browserlarından girmiş  oldukları tüm şifreler ve kredi kart bilgileri gibi kişisel bilgi ve belgeleri kötü niyetli kişiler tarafından elde edilebilir hale geliyor. Bunun dünyaca bilinen hacking yöntemlerinden, Sidejacking’dirEsasında kötü niyetli bir kişinin  bilgisayarınıza izinsiz uzaktan girerek, kişiler bilgilerinizi  almasından ziyade zaten aynı ağda olduğu kişiye zarar vermesi kötü niyetli kişi acısından  işinin daha da  kolaylaşması anlamına geliyor.

EK I *

Sidejacking-Hacking-USER-Accounts-on-LAN-WiFi

*Yukarıda …. adlı bir browser eklentisiyle tek bir tıklamayla diğer kullanıcıların bilgilerine erişilebildiğini gösteren sidejacking yöntemine ilişkin ekran görüntüsü.

Bu yolla bilgisayar veya mobile cihazınızla internette dolaşırken hiç farkında olmadan Facebook şifrenizin, mail şifrelerinizin veya örneğin bir uçak biletini internetten satın alıyorsanız kredi kart şifrelerinizin kötü niyetli insanların eline geçmesi ihtimali, insanı ürkütüyor.

EK II**

1 (1)

**Başka bir LAN ağdan şifre çalma yöntemiyle ilgili kullanılan program

Bu gibi Wifi ağlarını yayınlayan  kötü niyetli kişiler olabileceği gibi sadece bedava internet hizmeti almak isteyen bir kişi gibi herhangi bir  şifresiz ağa  kötü niyetli kişilerin bağlanıp diğer kullanıcılara saldırı düzenlemesi de muhtemeldir. Bu o bölgedeki yerel bir belediyenin verdiği bedava internet hizmetinde de yaşanabilir. Esasında halka hizmet halk yararına verilen bir hizmet dikkatli bir kullanıcı değilseniz zararınıza olabilir.

Diğer bir yandan  hizmetinden bedeli karşılığı yararlandığımız örneğin bir kafede birşeyler içerken,  Wifi şifresini sorup o işletmeye olan güvenimizden dolayı özgürce ağda gezinmemiz başka bir korkutucu durumdur. Bu örneğinde yukarıda anlattığım tehlikeler gibi;  şifreli ama kamuya açık bir ağ olması  ve dolayısı ile birbirinden bağımsız kullanıcılar içermesi sebebiyle farkı kalmayacaktır.

EK III***

WSG-500_L

*** Örnek bir işletmenin ağ yapısı

Peki bu durumlarla ilgili Türk Hukuk Sistemimizde ne gibi önlemler var ?

Türk Ceza Kanunu (TCK) bilişim sistemlerine girme ve orada kalma bilgi ve belgeleri izinsiz elde etme, kullanılamaz hale getirme, yok etme, sistemi çalışmasını engelleme  (DDOS) karşılığı olan ceza maddelerini, kişisel bilgilerin izinsiz ele geçirilmesi ilgili maddeleri  görebiliyoruz. Kötü olan; kullanıcıların o ağı dikkatsizce bir kereliğine kullanıp bir daha akıllarına bile getirmemeleridir. Ancak bir zaman sonra  internette bilgilerinin (kredi kartı bilgileri gibi)  kullanılması hatta bir bedel karşılığı satılması sonucu uğrayacakları zarar ile bu bilgilerin çalınmış olduğunu anlamalarıdır.

Pratikte uygulanan kanunlara baktığımızda internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemek amacıyla oluşturulan 5651 sayılı yasa karşımıza çıkmakta. Bu yasa esasında yukarıda örneklerini verdiğimiz kafe, otel, belediye gibi orak internet ağı sağlayan işletmelerin uyması gereken yükümlülükler. Bu yükümlülükler örneğin sunulan internet erişiminde kullanıcıların bilgilerinin “İç IP Dağıtım Logları” başlığı altındaki zorunluluklardır:

“kendi iç ağlarında dağıtılan IP adres bilgilerini, kullanıma başlama ve bitiş tarih ve saatini ve bu IP adreslerini kullanan bilgisayarların tekil ağ cihaz numarasını (MAC adresi) gösteren bilgileri” ifade etmektedir. Bu ifadede daha çok DHCP (Dynamic Host Configuration Protocol) gibi dinamik olarak IP alan sistemler tanımlanmış olsa da, genel olarak bir IP adresinin hangi bilgisayar tarafından kullanıldığının ve bu bilgiden yola çıkarak kullanıcı tespitinin yapılması amaçlanmaktadır.”(1 Kasım 2007 tarih ve 26687 sayılı Resmi Gazete ‘de yayınlanan yönetmelikteki tanımı )

Bu anlatımdan yola çıktığımız da işletmecinin mevcut mevzuata göre alması gereken elektronik kayıtlardan yani İç IP Dağıtım Logları’ndan bahisle bir kayıt altında tutulması amaçlanmıştır. Kanun koyucu burada,  ağa girenleri kayıt altına almayı delillendirmeyi amaçlamaktadır. Ancak MAC adresinin de değiştirilebilir olduğu düşünüldüğünde, bu kayıt yöntemleri kişisel bilgilerin güvenliği acısından yetersiz kalacağı kanaatindeyim.  İşletmelerin verdikleri internet hizmetlerine karşılık tutmakla yükümlü oldukları bu İç IP Dağıtım Logları haricinde başka bir yükümlülüğü olmadığı gibi, sunmuş olduğu ağda herhangi bir suç oluşmuş olduğu iddiası karşısında sadece tutmuş olduğu logları teslim etmesi haricinde başka bir sorumluluğu olmaması, ayrı bir handikaptır. Handikaptır diyorum çünkü kötü niyetli kişiler tarafından çok geniş bir oyun alanı hala mevcuttur.

Kullanıcı sistemlerine girildiğini bilgilerini çalındığı veya kopyalandığı düşüncesinde ise polise veya savcılığa başvuru yapıldığında  ön soruşturma evresinde  savcılık emriyle kullanıcının ağa erişim sağladığı araç teslim edilir ve ağa erişimi sağlayan yukarıda belirtilen loglamayı yapan ağ aracından ivedilikle loglar talep edilir, diğer bazı özel yöntemlerle kimlik tespiti için yardımcı  deliller toplanır,  diğer yandan elbette kişisel bir bilgi çalındıysa (kullanıcı adları ve parololar) bunları kötü amaçla kullanımı muhtemeldir. Böylece, çalınan bilgilerin nerede kimlerce kullanıldığının tespiti yapılarak sisteme giren kişi teşhis edilmesi kolaylaşacaktır.

Bu aşamada savcılık soruşturmasını tamamladığında şüphelileri suç istinadı ile belirleyip konuyu mahkemeye taşır. Sanık/lar TCK 243 maddesi gereğince; “Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir. ” Ayrıca sisteme izinsiz giren/ler sistemlerdeki bilgileri bozma yok etme durumu da söz konusu ise yukarı sınırı 2 yılı bulan hapis cezası  bilişim sistemini izinsiz giren  kişiye hakim tarafından verilebilir.

Şirketlerin bilişim sistemlerine girilmesi  daha farklı sonuçlar doğurabiliyor. Bu bakımdan şirketin şirket bilgilerinin korunması çok daha farklı konu başlıkları  içeriyor. Bu konuya ileriki makalelerimizde ayrıntılı bir şekilde değineceğiniz ancak şunu belirtmekte fayda var kişisel bilgiler bir şahsın özel bilgileri olurken bir şirketin yani tüzel bir kişinin de özel bilgileri olması yadsınamaz bu halde hatta özel bilgiler olmasından ziyade ticari, rekabet içeren bilgilerde olması kaçınılmazdır. Bu aşamada kişiler bilgilerin güvenliği konusu dar anlamda incelendiğinde bireysel kullanıcıları geniş ve ticari anlamda bakıldığında ise tüzel kişilikleri görebiliyoruz. Tüzel kişiliklerin en belirgin başka bir farkı ise bilgilerinin çalınma ihtimalinin minimize edilmiş olması gereğidir. Çünkü tüzel kişiler bireysel kullanıcılara nazaran,  var oluşlarını ticari hayatlarındaki güvene dayılı olduğu açıktır. Çoğu zaman bir şirketin bilgilerinin ele geçtiğinin duyulması o şirkete duyulan güvenin yitirilmesi dolayısıyla çalışamaz hale gelmesi sonucunu doğurmaktadır.

Tekrar konumuz olan bireysel kullanıcılara geri döndüğümüzde; Ucuz etin yahnisi yavan olur. Acil bir durum olmadığı sürece kendi denetimimizde olmayan kamuya açık Wifi ağına bağlanmayı tercih etmemek gerekir. Eğer bağlanmak zorunda kalındıysa kesinlikle , HTTPS (Secure Hypertext Transfer Protocol- güvenli hiper metin aktarım iletişim kuralı) kullanan bir browser kullanmalı ve ayarları bu şekilde yapılandırmalı, tüm sizi izleyici bilgileri tutulması engellenmeli, mail ve diğer bilgiler  şifreli olarak aktarılmalı, ancak bu anlatılanlar dahi ortak ağlarda yeterli olmayacaktır.  Bu sebeple  Proxy veya VPN servisleri kullanarak ağı kendimize özel şifreli hale getirerek internet erişimi sağlanmalıdır. Elbette VPN dediğimiz servisinde loglarınızı ve bilgilerinizi tuttuğu düşünüldüğünde yine bedava bir VPN servisi kullanmamalı kullanılacak VPN servisinin hukuki acıdan  üyelik sözleşmesi incelenmeli ve ne tür bilgileri barındıracağı dikkatlice incelenmelidir. Yine bu serviste de bedava olanların tercih edilmemesi gerekeceğini düşünüyorum.

Son olarak ve yeri gelmişken, Kişisel Bilgilerin Güvenliği Hakkındaki Kanun Tasarısı’nın halen yasalaşmadığını altını çizerek, bu kanun ile ülkemizde kişisel bilgilerin daha önemsenmesini daha sağlam hukuki bir alt yapıya ulaşmasını diliyorum.