Bilişim konusunda suçun ispatlanması - ip

Bilişim hukuku konusunda aydınlatılması gereken, kesin net bir şekilde aydınlatılması gereken bir konu olduğunu düşünüyorum. Bilişim konusu çok yeni olduğu için çok fazla boşluk var. Çoğu hukukçu bir fotoğrafın bir emailin herhangi bir digital verinin değiştirilebileceğinden bile habersiz. Bu durumda da ya takipsizlik veriliyor yada yoruma dayalı cezalarla sonuçlanan davalar oluyor.

Sorular şunlar;
(Bu konuda bilgisi olan değerli hukukçuların yanıtlaması gerektiğini düşünüyorum.)
* İnternet ortamından işlenen bir suçun ıspatı için "kesin olarak" ip nin tespiti ve bu ip nin şüphelinin şahsi ev adresi yada herhangi şahsi (iş adresi, yazlığı vs ) mekanına ait olduğunun ıspatlanması gerekmekte midir? İp adresi internet kafe yada herkese açık kablosuz bir bağlantı çıkarsa takipsizlik sonucu çıkar mı?

* Bir kişi nasıl ki başka ağlardan bağlanarak ( en basit örnek internet kafedir ) bazı işlemler gerçekleştiriyorsa. Biriside herhangi bir suçu başkasının üzerine yıkmak için bu işlemi bir ev kullanıcısı için gerçekleştirirse bu düzeyde bir tespiti gerçekleştirebilecek soruşturma yapısı teknik yapı ülkemizde var mıdır? ( Ayrıca bir not: Birçok bilgisayarda trojan bulunmakta ve bu trojanlar o bilgisayarı her şekilde kullanabilmektedir. )

* Şükür ki hala misafirliğe gidilen bir toplum yapımız varken pc lere parmak izi ile oturmuyorken. Bir öğrenci evinde dahi 1 pc den 5-6 kişi faydalanabiliyorken. İnternet suçlarının bariz açık delillerle ıspatlanamaması durumunda hakim yada savcı yorumuna bırakılmadan takipsizlikle sonuçlanması gerekmekte diye düşünüyorum buna ne dersiniz? Düşünün ki yıllardır filmlerde cinayetleri başkasının üzerine yıkma olaylarını izledik. Gerçek hayatta ise binlerce kez olmuştur. Bu zor olayı gerçekleştiren insanlar hiçbir güvenliği olmayan düzenlemesi kontrolü olmayan internet ortamında bu şekilde yorumla kararlar verilmesi durumunda hangi suçları hangi masumların üzerine yıkabilir bunu düşünmek korkutucu değil mi?

"* İnternet ortamından işlenen bir suçun ıspatı için "kesin olarak" ip nin tespiti ve bu ip nin şüphelinin şahsi ev adresi yada herhangi şahsi (iş adresi, yazlığı vs ) mekanına ait olduğunun ıspatlanması gerekmekte midir? İp adresi internet kafe yada herkese açık kablosuz bir bağlantı çıkarsa takipsizlik sonucu çıkar mı? "

Yargıtay'ın vermiş olduğu kararda ip numarası şahısla ilgisi yoksa beraitine. Yani ip numarası internet kafe gibi umumi açık yerlere ait ise. Tabii ki şahsın evine yada iş yerine ait ise ayrı o zaman.

Yukarıda ki yazım bağlamında konuyu açmak gerekirse, bir örnekle somutlaştırmak istiyorum.

- İnternet bankacılığı ile A hesabından B hesabına bir para transferi yapıldı. A hesabının sahibi bu benim bilgim dışında olmuştur dedi ve suç duyurusunda bulundu B hesap sahibini şüpheli olarak gösterdi. Yapılan araştırmalar ve ip kayıtları;

*IP A hesap sahibinin evi çıkarsa ve A hesap sahibi bu işlemi ben yapmadım internetim kablosuz dışarıdan erişilebilir derse.
*IP B hesap sahibinin evi çıkarsa ve B hesap sahibi bu işlemi ben yapmadım internetim kablosuz dışarıda erişilebilir derse.
( iki durumda da olay kapanırmı, kapanırsa ne şekilde kapanır. IP dışında ek deliller herzaman gerekmekte mi? Eğer gerekmekte ise bu deliller ne olabilir ki? Bilgisayar incelenir diyorsanız peki varsayalım bilgisayarda yok ortada kayıp! zor bişey değil. )

*A veya B hesap sahiplerinin evi çıkmaz A hesap sahibine yakın bir internet kafe çıkarsa.
*A veya B hesap sahiplerinin evi çıkmaz B hesap sahibine yakın bir internet kafe çıkarsa.
( internet kafeye kişinin gidip gitmediği araştırılırmı, araştırma olumlu sonuç verirse bu ne derecede sonucu kesinleştirebilir? )

*IP kayıtları hem internet kafelere hemde A hesap sahibinin evine hemde başka evlere ait olursa ne olur? ( Bu çok önemli! )

(Bu konuyu dahada genişletmek istiyorum. Fakat öncelikle sorularıma kendinden emin, bilgili bir hukukçudan cevap bekliyorum. Bu cevaplar olması gerekeni değil yasal süreçte olanı yansıtırsa sevinirim. )

ip noyla sadece iş çözülemez saldırgan proxsi veya zombie kullamış olabilir en sık karşılaşılanını ben size söyliyeyim bir websitesi hacklneir site sahibi ip noyu alır savcılığa verir savcılık telekoma yazı gönderip ip nin kime ait olduğunu ister telekomdan şöyle bi yazı gelir bu bir proxsi server ancak bu iş burda bitmez prixsinin de katmanları vardır elit proxsi bile olsa serverde gerçek ip ler kaydediler (sadece ip değil mac adresi modem bilggisi vs) host şirketinden gerçek ip alınıp savcılığa verilir ve ip araştırılıp bulunana kadar en az 2 ay geçmiştir ip bir wifi hizmeti verene bi mekana ait polis oraya gider ve güvenlik kamerası kayıtlarını ister ancak güvenlik kamerası yoktur sadece modemdeki loglar vardır ancak kişi çok zeki olduğu için siteyi hacklerken ne msn sini açmıştır ne de başka bi sitedeki üyeliğini polis bu sefer mac adresi kimin diye bakar ancak hackerimiz iki adet eternet kartı kullanıyodur 1. sini günlük işler için 2. dini malum işler için polis bu kez o mekanın çalışanlarının ifadesini alır ama çalışanlar 2 ay önce kimin laptopla gelip işlem yaptığını nerden hatırlasın sonra devlet baba bakar ki bu olay için sırf 20 bin tl gitti ve bir sürü zaman dosya kapanır gider

Alıntı:

---

faker rumuzlu üyeden alıntı

ip noyla sadece iş çözülemez saldırgan proxsi veya zombie kullamış olabilir en sık karşılaşılanını ben size söyliyeyim bir websitesi hacklneir site sahibi ip noyu alır savcılığa verir savcılık telekoma yazı gönderip ip nin kime ait olduğunu ister telekomdan şöyle bi yazı gelir bu bir proxsi server ancak bu iş burda bitmez prixsinin de katmanları vardır elit proxsi bile olsa serverde gerçek ip ler kaydediler (sadece ip değil mac adresi modem bilggisi vs) host şirketinden gerçek ip alınıp savcılığa verilir ve ip araştırılıp bulunana kadar en az 2 ay geçmiştir ip bir wifi hizmeti verene bi mekana ait polis oraya gider ve güvenlik kamerası kayıtlarını ister ancak güvenlik kamerası yoktur sadece modemdeki loglar vardır ancak kişi çok zeki olduğu için siteyi hacklerken ne msn sini açmıştır ne de başka bi sitedeki üyeliğini polis bu sefer mac adresi kimin diye bakar ancak hackerimiz iki adet eternet kartı kullanıyodur 1. sini günlük işler için 2. dini malum işler için polis bu kez o mekanın çalışanlarının ifadesini alır ama çalışanlar 2 ay önce kimin laptopla gelip işlem yaptığını nerden hatırlasın sonra devlet baba bakar ki bu olay için sırf 20 bin tl gitti ve bir sürü zaman dosya kapanır gider

---

Örnek 1: Senin arkadaşınım geldim sizin eve kablosuz modemine bağlanmak için şifreni aldım mac iznini verdin bana vs. Sonra arabamı çektim evinizin oraya senin ağından suç işledim?

Örnek 2: Seni hiç tanımıyorum şifreni kırdım. Mac koruması zaten çoğu modemde aktif değildir. Suç işledim?

Soru şu :) En genel örnekle msn adresi kırılan kişiyi korumaya çalışan yasalar modem şifresi kırılan kişiyi suçlu ilan eder mi? :)

1.e şimdi siz orada kişinin bilişim sisteine iyi niyetini suistimal ederek giriyorsunuz bu sizi suçlu duruma düşürür
2. burdada yine aynı suç var ama bu kez iyi niyeti suistimal yok
3. ha msn adresinin hacklenmesi ha modemin hacklenmesi sonçta ikisindede bir bilişim sistemine iznisiz giriyorsunuz ve buda kanunlarımızca suç olarak belirtilmiştir

Alıntı:

---

faker rumuzlu üyeden alıntı

1.e şimdi siz orada kişinin bilişim sisteine iyi niyetini suistimal ederek giriyorsunuz bu sizi suçlu duruma düşürür
2. burdada yine aynı suç var ama bu kez iyi niyeti suistimal yok
3. ha msn adresinin hacklenmesi ha modemin hacklenmesi sonçta ikisindede bir bilişim sistemine iznisiz giriyorsunuz ve buda kanunlarımızca suç olarak belirtilmiştir

---

Kanunlarımızda herşey suç olarak belirtilmiştir. Ben burda daha çok suçun ispatını konuşmak istiyorum. 1. durumdada 2. durumdada olay ip sahibinden sorulur arkaplandaki kişi bulunamazki iyi niyeti kötü niyeti tartışalım. Bilişim sisteminde açıkları kapatırken başka açıklar yaratıyoruz. İlk yazımı okuyunuz. Bu konuda bilginiz olduğu aşikar.

bakın suçun ispatı için artık ip no yetmez hale geldi dediğiniz gibi bir açığı kapatmak için başka bir açık yaratıyoruz çünkü sanal alemde %100 güvenli sistem yoktur ki bu ispatlanmıştı ör: fbı ve cıa bile hackleniyo arkaplandaki kötü kişiler bulunabilir ama bu çok ince bir araştırma gerektirir ayrıca bu art niyetli kişinin bir açığı olması gerekir ör: hackerların babası sayılan kevin minteck fbı yakalamak için insan avı başlattı ama yakalayamadı taaa ki sevgilisinin yanına gidene kadar

Alıntı:

---

faker rumuzlu üyeden alıntı

bakın suçun ispatı için artık ip no yetmez hale geldi dediğiniz gibi bir açığı kapatmak için başka bir açık yaratıyoruz çünkü sanal alemde %100 güvenli sistem yoktur ki bu ispatlanmıştı ör: fbı ve cıa bile hackleniyo arkaplandaki kötü kişiler bulunabilir ama bu çok ince bir araştırma gerektirir ayrıca bu art niyetli kişinin bir açığı olması gerekir ör: hackerların babası sayılan kevin minteck fbı yakalamak için insan avı başlattı ama yakalayamadı taaa ki sevgilisinin yanına gidene kadar

---

Savcı iddia makamı olduğu için en ufak şüphede davayı açıyor. Peki hakimlerin bu konuda ne tip kararlar verdikleri hakkında bilginiz varmı. Birkaç kişiden duyumum ip tutarsa veya birçok ip den biri tutarsa fazla araştırmadan sonuca bağlanabiliyormuş. Bu konu çok ürkütücü bununla ilgili bilgisi olan varmı.

Alıntı:

---

Hakyadaadalet rumuzlu üyeden alıntı

Savcı iddia makamı olduğu için en ufak şüphede davayı açıyor. Peki hakimlerin bu konuda ne tip kararlar verdikleri hakkında bilginiz varmı. Birkaç kişiden duyumum ip tutarsa veya birçok ip den biri tutarsa fazla araştırmadan sonuca bağlanabiliyormuş. Bu konu çok ürkütücü bununla ilgili bilgisi olan varmı.

---

walla o dediğin 5-6 yıl öncesine kadardı 5 yıl önce biri bi siteyi hacklemektn hakim karşısına çıksa hakim hack nedir yahu diyip serbest bırakırdı ama şimdi böyle değil

IP no'larını kesin delil olarak kabul etmek mümkün değil. Zaten ceza hukukunda cezanın şahsiliği söz konusu iken özellikle kablosuz açık bağlantı sahibini suçtan sorumlu tutmak da doğru değil. Böyle bir durumda kusursuz sorumluluk prensibi hat sahibine uygulanmamalıdır.
Diğer taraftan sayın faker ve diğer üyelerimizin belirttiği gibi, tek başına ip numarası bir delil değil, olsa olsa bir delil başlangıcıdır. Belirtildiği üzere proxy kullanımı, botnetler, zombi serverlar ve MAC adreslerinin değiştirilebilir olması suçluya ulaşmayı zorlaştırıyor. (Ne nasıl yapılır şeklinde bir açıklama yapmaktan kötüniyetli kişilere yol göstermek olacağından bunların ayrıntılarını yazmaktan şiddetle kaçınıyoruz.)

Diğer taraftan daha önceki forumlarda da belirttiğim üzere teknolojinin hızla ilerlemesinin bir yansıması olarak hem siber suçlar artıyor, hem de işleniş tarzları gitgide farklılaşıp, mutasyona uğruyor. Aslında sanal suçların diğer suçlardan farkı olmasa da özellikle delil (şahit vs.) ve sanığa ulaşma açısından çok büyük handikaplar bulunmaktadır.
Bunlara konu hakkında derin teknik bilgi sahibi olması beklenemeyecek mahkemelerin konuya bir "hacker gözü ile" bakamayan bilirkişilerin verdikleri raporların yetersizliği, konu hakkında uzman hukukçu bilirkişi sayısının kıtlığı ve açıkçası bunların çoğunun da bilgi eksikliği (Bir kaç makale okuyan veya yazan kendisini bilişim hukukçusu olarak nitelendirmekte ki buna da fazla bir eleştiri getirmek haksızlık olur, çünkü başka seçenek yok.), özellikle hacker denilen sistemi ele geçirmek, newbie ve lamer dediğimiz daha yeteneksiz olduğundan acemi hacker diye nitelendirebileceğimiz, sistem işleyişini bozan kişilerin Türkiye'de yaşasalar da bu işlemleri yurtdışından yapabilme seçeneklerinin olması bilişim suçlarını içinden çıkılmaz bir hale getiriyor.
Doğal olarak bu anlattıklarım sadece ülkemizde değil, tüm dünyada ciddi bir problemdir. Security administration (anti-hacker da denilebilir) denilen uzmanların da yetersizliği ve konumuz açısından mahkemelerce alınan teknik bilirkişi raporlarında bu kişilere yeterince bilirkişilik görevi verilmemesinden ve hatta bazen de bu kişilerin bilgi yetersizliğinden mahkemelerin yanlış sonuçlara ulaşabilmesi de mümkündür.
Ancak bu konuda umutsuzluğa kapılmamak, bireysel olarak teknolojiyi takip ederek en yüksek korumayı sağlamak için gerekli bilgileri öğrenmekle mükellefiz. Basit kullanıcılar bunları yaparken, birilerinin de sistem açıklarını kapatmaya çalıştığını, iyi & kötü arasındaki mücadelenin devam edeceğini, teknolojinin bu tip suçların işlenmesini önleme ve asgariye indirme görevi olduğunu da bilmeliyiz.

Sonuç olarak, mahkemelerin yanlış karar verdiğini genele yayarak kabul etmek mümkün olmasa da bilişimsel bir konu olan tekno-suçlarla ilgili çok daha fazla hukukçu ve teknik bilirkişinin yetişmesini ve özellikle bilirkişi heyeti oluşturulurken bir hukukçu bir teknik kişiden oluşan en az 2 kişilik bir heyet oluşturulması gerekmektedir.

sayın av. fryz pazarbaşı artık hack olaylarını önlemek saldırganları tespit etmek için ceh(certifikal etical hacker) sertifikalı uzmanlar görev yapıyor ancak ne yazıkki bu ceh eğitimini Türkiyede doğru düzgün veren herhangi bir bilişim akademisi yok :( :( :(

Sayın Av.Feyz Pazarbaşı tabiki de kötü niyetli kişilere yardımcı olacak ayrıntılardan kaçınalım. Belkide bu sebeple fazlada açık olamıyoruz. Burada suçlunun yakalanması için yapılabilecek şeylerden ziyade, bu yapılan şeylerin bilişim konusunda suçun tespitinde bizi ne derece tatmin ettiğini, tatmin etmesi gerektiğini merak ediyorum.

Yine örnekden yola çıkarsak;
3-4 aylık arkadaş olan Ali ile Veli tartışmıştır ve anlık bir sinirle Ali Veliye sana şunu yapıcam bunu yaparım vs diye telefonundan mesajlar göndermiştir ( ıspatı kolay bir delil ). Daha sonrasında Veli msn adresine giremediğini farkeder, ve msn kişi listesinde ki arkadaşlarıyla başka birinin konuştuğunu öğrenir. Suç duyurusunda bulunur şüpheli olarakta cep telefonundaki mesajları göstererek Ali ismini verir. Savcılık dosyayı karakola gönderir T.Telekom ve Microsoft Türkiye ile yapılan ortak çalışma sonucunda Veli nin msn adresine Veli nin evinin yakınında ki internet cafeden, bazı kafeteryalardan ve Ali nin evinden girildiği görülmektedir. (Not: Ali ile Veli birbirlerinin evlerini bilmemektedir. )

*Ali nin bağlantısı kablosuz bağlantıdır.( Tıpkı kafeterya ve internet kafe çıkan ve işleyişinden dolayı suçlu görülmeyen diğer mekanlarda ki gibi=kablosuz )
*Ali nin bilgisayarı kontrol edilir ve hiçbir delile rastlanmaz.
*Mac adresi konusunda da hiçbir sonuç çıkmaz. (Ayrıntıdan kaçınıyorum)
*Ali ifadesinde benimle ilgisi yok ben yapmadım sms leri bir anlık sinirle gönderdim kablosuz ağımdan başkası girmiş olabilir hatta Veli evimi öğrenip gelmiş bana tuzak kurmuş olabilir demektedir. ( kablosuz bağlantı uzaklığı 100-150m ye kadar çıkabilir. Modemin şifresini kırmakla msn adresi kırmak arasındaki fark nedir? yada msn şifresini 000000 yapmakla modemi şifresiz kullanmak arasında ki fark nedir? ) Ayrıca Ali nin bilgisayarında trojan( trojenmi trojanmı demeliyiz artık bende bilmiyorum ) bulunmuştur.

***Yukarıda ki olayı;
-Ali nin evine ait ip kaydının çıkmaması;
-Tüm ip kayıtlarının bir internet cafeye ait çıkması;
-Tüm ip kayıtlarının Ali nin oturduğu apartmanın alt katında ki internet kafeye ait çıkması;
-Ali nin şunu yapıcam bunu yapıcam tipi sms göndermemiş olması;

Durumlarına göre gerekli kombinasyonları yapıp yorumlayabilecek kişiler aranıyor :) kaybedeceğiniz enerji için gofretler benden :)

Bu sorulara cevap verince ulaşacağımız sorular şunlardır ki o nedenle önceki iletimde cezanın şahsiliği ilkesinden bahsettim, ihtimaller şunlar;

Hattın suç işlemek amacı ile kullanılması halinde,

1- Hat sahibi MÜTESELSİL (birlikte) sorumlu mudur?

yoksa

2- Sadece Suçu işleyen mi sorumludur?


Cevap 2.cisidir dediğimizde, hemen sizin belirttiğiniz mazeretler sıralanarak suçtan ve cezadan sıyrılmak mümkün olmaktadır ki bu nedenle fazla açıklama yapmıyoruz. Zira a) Delil yetersizliği, b) Şüpheden sanık yararlanır prensibi gereğince bu durumda hiçbir sanık ceza almayacaktır.

Cevap 1.cisidir diyorsanız, aslında bir suç aleti olmayan adsl hattı, gerekli güvenlik tedbirlerini almaksızın kullanan veya kullandıran da suça iştirak etmiştir demek gerekiyor ki bu durumda hat sahibi sanığın tam bir teknoloji özürlüsü olduğu ve gerekli önlemi almayı bilmediğini iddia etmesi halinde onun da beraat etmesi gereklidir.

Alıntı:

---

faker rumuzlu üyeden alıntı

sayın av. fryz pazarbaşı artık hack olaylarını önlemek saldırganları tespit etmek için ceh(certifikal etical hacker) sertifikalı uzmanlar görev yapıyor ancak ne yazıkki bu ceh eğitimini Türkiyede doğru düzgün veren herhangi bir bilişim akademisi yok :( :( :(

---

Sayın Faker anti-hacker diyebileceğimiz, aslında yıllar önce herhalde ülkemizde ve belki de dünyada ilk kez white (beyaz) hacker tabirini kulanan biri olarak çok tepki görmüştüm. Hackerin siyahı, beyazı mı olurmuş diye oldukça eleştirilmiştim. Hack olayını meraktan yapan, bilgisini test eden, sisteme herhangi bir zarar vermeyenlere beyaz hacker diyorsak da şu anki Türk Ceza Kanunu gereğince bu da suçtur. (sisteme izinsiz girmek).
Şimdi ister siyah hacker, ister beyaz hacker (CEH) olarak çalışın sisteme izinsiz girmek suç olduğuna göre bunun eğitimi ve daha kötüsü CEH'in pratik yapacağı alanlar nereleridir? Bir çok siyah hackerin rüyası ise önemli sistemleri göçertip, nam sağlamak ve sonunda yüksek maaşlı bir CEH olmaktır :)
Yol bu iken BİLİŞİM AKADEMİSİ'ni mi seçersiniz? Yoksa dünyadaki standart olan; önce kötü hacker ol, sonra ünlen, sonra da iyi hacker olup, sistemlerdeki güvenlik açıklarını test et, çok maaş al... yolunu seçersiniz? (Hoş, bugün saldırıları botnetler ile topluca yapan bir hacker değil, hackerlar gurubu iken, tek başına bir CEH ne yapabilir bilemiyorum.)

önce siyah şapkalı hacker olup sonra beyaz şapkalı hacker olmak çok zor :D ama ceh sertifikalı bi security admistarorun iş bulma imkanı daha fazladır neden derseniz ben bu eğitimi almış birisiyim ve 17 yaşımda olmama rağmen daha kurs bitmeden bazı şirketler bana geldi