Günümüzün gelişen teknolojisinde işlenen suç türleri ve sayıları giderek artmaktadır. İnternet üzerinden gerçekleştirilen eylemler, kişi veya kurum bilgisayarlarına, iletişim cihazlarına, iletişim kanallarına ya da kurumsal ağlara ve sunuculara yapılan saldırılar ülkemizde bilişim suçları çerçevesinde yargılanır ve cezalandırılır.
Bilişim suçlularını suç işlemeye iten nedenler arasında geleneksel olarak bireyleri suç işlemeye götüren nedenlerden farklı, yeni bir neden görmek neredeyse olası değildir. İntikam alma duygusu, güce sahip olma, aç gözlülük, şehvet, macera veya “yasak meyveyi tatma” arzusu gibi geleneksel olarak bireyleri suç işlemeye götüren nedenler bilişim suçları anlamında da bireyleri suç işlemeye götüren nedenler olmaktadır (Özcan, 2004: 146).
Gartner Datapro Research şirketi tarafından yapılan araştırma sonuçları kurumsal bilgilerin nasıl, kimler tarafından tehdit edilebileceği ve zarar verebileceği konusunda ilginç sonuçlar vermektedir. Genel kanı ilk başlarda saldırıları yapanların genç ve kendilerine ün sağlamak isteyen bilgisayar hackerleri olduğu fakat zamanla bunların yerlerini daha çok maddi gelir sağlamayı amaçlayan organize örgütlerin aldığı görülmektedir.
Şekil 1. Bilgisayar Suçlarının Çeşitleri
(Kaynak: Bilgi Sistemleri Güvenliği El Kitabı)
Bilgi ve iletişimi tehdit eden bilişim sistemine yetkisiz girip verileri alma, bozma, değiştirme, yok etme veya erişilmez kılma gibi eylemler(http://www.bilgiguvenligi.gov.tr, 22.10.2008):
- Log dosyalarının değiştirilmesi, - Gizli kanallardan bilgi sızdırılması, - Ekipmanın tahrip edilmesi,
- Bilgin ele geçirilmesi,
- Kötü niyetli yazılımlar bulaştırılması, - Mesajların yanlış yere veya geciktirilmesi, - İletişim kanallarının gizlice dinlenmesi,
- Kurumlara ait bilgilerin özel amaçlarla kullanılması, - Bilgi ve medya hırsızlığı,
- Bilgilere, yazılımlara, ekipmanlara yetkisiz erişilmesi gibi hüviyetlerde bulunabilir.
Bu tür eylemlerde bulunan kişi ve grupların para hırsızlığı, kin ve kıskançlık kaynaklı zarar verme, servislerin izinsiz kullanılması, izinsiz şekilde zarar vermeden dolaşma gibi amaçları olabilmektedir.
5.1. Para Hırsızlığı
Bankacılık ve elektronik ticaret işlemleri doğasında parayla ilgili işlemler barındırdığı için internet korsanlarının tehditlerinden en fazla etkilenen sistemlerdir. Bankacılık sektörünün interneti kullanmaya başladığı günden itibaren iletişim ağlarına yapılan “para hırsızlığı” amaçlı saldırılar giderek artmaktadır.
Elli yıl öncesinin meşhur Amerikan banka soyguncusu Willie Sutton’a sormuşlar: Niçin banka soymakta bu kadar ısrar ediyorsun? “Çünkü orası paranın bulunduğu yer ” diye yanıtlamış Sutton. Kriminolojideki suçların fırsatları takip ettiği veciz bir şekilde açıklayan bu yanıttan yola çıkarak saldırıları en etkin yolunun suç işlemeye götüren fırsatların ortadan kaldırılması gerektiği ön plana çıkmaktadır (Özcan, 2004: 146). Fırsatların ortaya çıkmasında, diğer bir deyişle bilişim suçunun işlenmesinin önlenmesinde her şeyi devletten, polisten beklemek bizi istediğimiz sonuçlara götürmeyecektir. Bireyler ve kurumlar evlerini ve işyerlerini korudukları gibi bilgisayarlarını, şifrelerini, özel bilgilerini de yapılacak olası saldırılara karşı korumak zorundadır.
Önceleri bankaların elektronik para trafiğini sağlayan sistemlerine, veritabanlarına, otomasyon barındıran sunucularına yönelik saldırılar yapılmaktaydı. İnternet bankacılığı işlemleri bankalar tarafından başlatıldığından itibaren bu saldırılar çoğunlukla internet kullanıcılarına yönelmiştir. Bunun en büyük nedenleri kullanıcıların bilgisayarlarına yapılan
saldırıların farkına varamamaları, bilgisayarlarında bulunan açıkları önemsememeleri, bankacılık işlemlerinde kullandıkları şifreleri ve yetkileri kendisi haricinde kullanılamaması için yeterli çaba sarf etmemeleridir. İnternet bankacılığı hususunda birçok suç işlendiğini, internet korsanlarının ve örgütlerinin yakalandığı haberlerinin medyadan çokça işitilmektedir.
İnternetteki zafiyetlerden ve sesli görüşmelerde yapılan dinlemelerden kaynaklı birçok mudiinin banka hesaplarının boşaltıldığı, çoğu zaman hırsızların yurt dışında olduğu için yakalanamaması nedeniyle mağdur oldukları bilinmektedir.
Korsanlar yasal olmayan yollardan elde ettikleri verileri anlamlandırarak, şifreli ise şifrelerini çözerek bankaları ve banka müşterilerini mağdur etmektedirler. Bunu iki farklı yoldan yapabilirler:
1- Telefon bankacığı yoluyla, müşteri hakkında kendisine sorulan soruların tümünü doğru yanıtlayarak,
2- Ürettikleri korsan banka kartına bu bilgileri yükleyerek ve ATM’lerde kullanmak suretiyle müşteriye ait hesabı boşaltabilirler.
Diğer dikkat edilmesi gereken bir husus ise kredi kartlarıdır. E-ticaret işlemleri yapan bir çok web sitesi müşteriye tahsilatı kredi kartları ile yaptırmaktadır. Kredi kartı bilgilerinin web üzerinden girilmesi yüzünden çok kişi online alışveriş mağduru olmuştur. Bu nedenle şirketler ve bankalar bu işi daha sıkı tutmaktadır. Müşteri internetten alışverişini yaparken kredi kartı ödeme safhasına geldiği anda firma veya banka tarafından SSL güvenlik sertifikası desteği olan sayfalarda kart bilgi girişi sağlanmaktadır.
5.2. Duygusal Kaynaklı Zarar Verme
İletişime ve bilgiye yönelik saldırılar aşağıdaki bahsedilen duygulara sahip olan kişi veya gruplar tarafından yapılabilir:
Ün kazanma arzusu ile bilişim konusunda bilgi ve becerilerini göstermek için verilen zararlardır. Bu tür gruplar özel şirketlerin ve kamu kuruluşlarının sistemlerine girerek veya sistemlerini ele geçirerek ses getirecek eylemler yapmaktadır.
Kin ve düşmanlık güttüğü örgütlerin sistemlerine yapılan saldırılardır. Ya da eski çalıştığı ve sorunlu ayrıldığı kuruma çalıştığı döneme ait bilgileri de kullanarak zarar vermek isteyen kişilerin yaptığı saldırılardır.
Kıskançlık duygusuyla rekabet içinde olduğu kişi veya grupların bilgi ve iletişim ağını zarara uğratma amacı ile gerçekleştirilen eylemler olabilir.
Merak duygusuyla sadece yetkisiz bir şekilde sistemde dolaşarak bilgi elde edilmek istenmesi de duygusal kaynaklı zarar verme kategorisinde incelenmektedir.
5.3. Servislerin ve Yetkilerin İzinsiz Kullanılması
Servisler bilgi ve iletişim sistemlerinin hizmetleridir. Otomasyon sistemleri, işletim sistemleri, internet, intranet sistemlerde bulunabilen kişilere sağlanan başlıca servislerdir. Her sisteme ait veya sistemin servislerine ait kullanıcı tanımlamaları olmalıdır. Kullanıcıların ihtiyaçlarına göre tanımlamalarına karşılık şifreler ve bu şifrelerle sisteme giriş yaptıklarında yetkiler tanımlanmıştır. Servislerin kullanılması şifreler ve yetkiler dahilinde olmalıdır. Eğer korsan bu yöndeki güvenlik açığını fark etmişse bunu istismar edebilir. Yani servisleri, hakları, kullanıcı rollerini yetkisiz kullanma yoluna gidebilir.
Bu tür açıkların kapatılması için ‘admin’ veya ‘root’ adı verilen en yetkili kullanıcının güvenliği en ciddi şekilde alınmalıdır. Çünkü bütün kullanıcı tanımları, hak ve yetkilerin verilmesi bu kullanıcı üzerinden yapılmaktadır.
Sistemlere yapılan saldırı kayıtlarına bakıldığında en fazla saldırıyı ‘root’ ve
‘admin’ kullanıcılarının aldığı görülmektedir.
5.4. Zarar Vermeden Ağda Dolaşma
Daha çok merak duygusuna ve kendini ispat etme düşüncesine bağlı olarak yapılan bu saldırılar, izinsiz bir şekilde güvenliğin aşılması veya ihlal edilmesidir. Bu saldırıları gerçekleştirenler sisteme herhangi bir zarar verme niyetinde değillerdir. Sistemin güvenliğinin ne derece aşılabildiğini göstermek amacında olabilirler ve bunu sistem yöneticilerine iletip açıklarını bildirirler.
Bunu yaparken bilgi ve iletilerin içeriklerini gizlilik derecelerini önemsememeksizin öğrenmiş olabilirler.
6. BİLGİ VE İLETİŞİM GÜVENLİĞİNİ TEHDİT EDEN KİŞİLER