Güvenlik

Kim Korkar 5651’ den?


Bu yazıda ülkemizde uygulanmakta olan ” 4/5/2007 Tarihli ve 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ” “ üzerine duracağız. 5651 yasası hemen yazının başında belirtmek isterim ki aslında hali hazırda IPv4 için uygun ya da uygulanabilir bir yasa değildir. Öncelikli olarak bir yasanın çıkması için devletin bu yasaya istinaden gerekli koşulları yasaya uymakla mükellef şahıs, kurum vb… yerlere sağlayabilmesi gerekmektedir. İşin özü meclisten Türk milleti nefes almayacak diye bir yasa çıkartılıyorsa, öncelikli olarak alınmayacak olan nefes yerine devletin insanların nefes almadan yaşayabilmesini sağlayacak alt yapıyı kurması gerekmektedir.



 



Peki bu şekilde bir yasa var ve bilindiği gibi adaletin haklı ya da haksız günümüz de genelde haksız olarak kestiği parmağın acımaması gerekmektedir, durum bu olunca yasa nedeni ile alınabilecek maddi ya da hapis sonuçlu cezalar sonucunda canınızın acımaması gerekmektedir. Yok, eğer sizde bu tür bir durumda benim gibi canı yanacak olanlardansanız o zaman 5651 yasasını inceleyelim açıklarını ve yasanın kendisinden korunma yöntemlerini bulalım.



 



Yasa temel olarak özgür olan ve kontrolsüz olan internet omurgasının kontrol altına alınması amacı ile hazırlanmış Avrupa uyum yasaları içinde olduğu için yine Avrupa uyum yasaları bahanesi ile diğer bir ton iyi yasa mecliste geçmeyi beklerken hayatımıza sokulmuştur. Temelde yasa insanların haklarını her ortamda korumayı görev edinmiş olan yargı kurumlarımızın gerekli durumlarda bunu internet ortamında da yapabilmesine olanak sağlamak amacı ile hazırlanmıştır. Fakat işin ilginç tarafı Italya, Türkiye ve bir kaç tele kulak vakasının bol olduğu ülkeler dışında uygulamaya alınmamış hazırlıkların bitmesi beklenmiştir.



 



Neden uygulanmamıştır? Neden hazırlık gerektirmektedir? Hali hazırda uygulanmamasının nedeninin başlıca sebebi yasanın ve hedefinin tam olarak anlaşılmamış olması ve IPv4 yetersizlikleridir. Bilindiği gibi bugün aynı internet bağlantısını aynı anda birçok kişi aynı anda kullanabilmektedir. Tabi bura da bir sistem mevcut ve bu sistemin adı NAT sistemidir. NAT ın karşılığı Network Adress Translation demektir ve bir ağın başka bir ağa ( many to many nat ) ya da bir ağın bir IP ( many to one nat) adresine çevrilerek internet ya da benzeri local ağ ( yerel ağ ) dışına çıkartılmasıdır. Burada temel sorun birden çok IP adresinin bir IP adresine çevrilerek dışarı çıkartılmasından kaynaklanmakta tır. Şimdiye kadar tersine mantıkla gittik yasayı bilmeden sorunlarına baktık, peki yasa ne diyor?



 



Yasa temel olarak internet üzerinde yapılan hareketlerin loglanmasını istemektedir. Fakat bunu da yine yanlış logları isteyerek yapmaktadır. Yasa tarafından hukuki bir süreç içerisinde oluşacak savunma durumunda istenilen log kayıtları DHCP loglarıdır. Hali hazırda DHCP logları bir anlam ifade etmemektedir. Altta verdiğim resimlerde bir sunucu ve istemci arasında yapılan ilişkide oluşan istek ve cevaplar bulunmaktadır.



 



Örnek A: istemciden sunucuya yapılmış olan http request ve response.



Görüldüğü gibi istemcimiz olan 172.16.255.11 nolu cihaz internet üzerinde bulunan 88.248.71.21 nolu IP adresinden http isteğinde bulunmuştur.



 



 



image001



 



 



Örnek B : Sunucdan istemciye yapılmış olan http reponse ve rquestleri,



 



Dikkat ederseniz sunucudan istekleri 172.16.255.11 nolu IP ye sahip olan kullanıcı değil, 172.16.255.11 nolu IP adresinin dahil olduğu ağın internet çıkış cihazının ( Modem, Router vb… ) WAN ( internet ) IP adresi yapmaktadır.



 



 



image002



 



 



Burada IPv4 ün yetersizliklerinden dolayı kullanılmakta olan NAT sisteminden dolayı ( NAT )gerçek işi yapan yerine, internet çıkış cihazının IP adresi gözükmektedir.



İşlemin yapıldığı sistemin örnek diyagramı;



 



 



image003



 


Halbuki yasa ile verilen LOG örneklerinde (Tib log Örneği
) sistemin sadece DHCP loglarının tutulmasının yeterli olacağı vurgulanmaktadır. DHCP logları ağ üzerinde MAC adreslerine istinaden verilen IP adreslerinin verildiği kişiye verilme zamanı ve tekrar bırakılma / yenilenme zamanı kayıtlarını tutmaktadır. Hali hazırda bir hukuki süreç;



1.       Suç duyurusunda bulunan kişinin xxxx web sitesinden kendisine yapılmış olan hakaret, aşağılama, ya da dini siyasi görüşüne istinaden yapılmış olan su istimale ilişkin yapacağı suç duyurusu ile başlar,


2.       Savcılık bu suç duyurusunu haklı bulursa xxxx site sahibinden ilgili olayla ilgili kayıtları ister. Bunlar suçu işleyen kullanıcının yazdığı yazı ve bu yazıyı yazarken kullandığı IP adresi ve zamandır.


3.       Savcılık ISP lerden bu IP adresini bahsi geçen zamanda kimin kullandığını isteyecektir, ISP doğal olarak DHCP log kayıtlarını verecek ve son kullanıcıya ulaşılacaktır.


Bizim ile ilgili kısım burada başlamaktadır. Bahsi geçen olayda gözüken bizim internet IP adresimizdir fakat işlemi yapan biz değiliz. Bu durumda bizimde suçsuzluğumuzu ispat etmek adına kendi LOG kayıtlarımızı mahkemeye sunmamız gerekmektedir. Bizde kendi DHCP kayıtlarımızı sunduğumuzda, aslında devletin tutmamızı istediği bu LOG kayıtlarının hiçbir işe yaramadığı çünkü tut uttuğumuz bu kayıtlarda yerelde tutulan IP adreslerinin aslında internet üzerine görünmediğini ve doğal suçlusunun IP sahibi ya da ilgilisi olduğunu öğrenmiş ve cezayı kabullenmiş olacağız.


Durum bu olunca ilgili söylediklerim boşta kalmasın diye www.tk.gov.tr adresinden bilgi edinme kanununa istinaden alttaki metin ile bir bilgi isteğinde bulundum.   


İstek Metni;


“Ülkemizde yürülükte olan ” 4/5/2007 Tarihli ve 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ” kapsamında internet servis sağlayıcıları tarafından tutulması gereken ve ” http://www.tib.gov.tr/IP_log_imzalayici ” ilgili link adresinde bulunan örnek logların ” http://www.tib.gov.tr/dokuman/Ornek_Dahili_IP_Dagitim_Logu.txt ” tutulması ile ” http://www.tib.gov.tr/onayli_filtreleme_yazilimlari ” ilgili linkte bulunan yazılıların kullanılarak;


1. Ev kullanıcıları olan bizler, evimizde ev ahalisi ve misafirlerimiz ile paylaşmakta olduğumuz adımıza kayıtlı olan internet bağlantısı üzerinden yapılacak her kapsam altında ki usulsüzlük ve suç teşkil edecek olan sorumluluklardan kurtulmakta mıyız?


2. İş yeri sahibi, ve ağ yöneticisi olan bizler, personelimiz, misafirlerimiz ile paylaşmak olduğumuz adımıza kayıtlı internet bağlantısı üzerinden yapılacak her kapsam altında ki usulsüzlük ve suç teşkil edecek olan sorumluluklardan kurtulmakta mıyız?


3. Halka açık internet bağlantısı dağıtan internet kafe tarzı işletmelerde tüm bu güvenlik ve önelmelerin kullanılmasına rağmen internet üzerinde yaptığımız her türlü usulsüzlük ve suç teşkil edecek durumdan kafe işletmecisi mi sorumludur yoksa bu işlemi yapan şahıs mı sorumludur? Eğer şahıs sorumlu ise, şahsın kimlik tespiti hangi şekilde yapılamaktadır?


Önemli Not: Bu mail içeriği ve verilecek cevabın içeriği bilgi edinme ve edilen bilginin paylaşılması kapsamında, halka açık yerlerde arz edilebilir. Gönderilecek cevap içeriğinde bulunacak her türlü devlet sırrı, paylaşılması yasak olan yazı ve ekler e-postaya cevap verilmesi durumunca şahsımca arz edilebilir bilgi olarak değerlendirilecek ve halka açık yerlerde arz edilecektir.”


Cevap Metni;



“Sayın Erberk,



Bilindiği üzere; Bilgi Edinme Hakkı Kanununun Uygulanmasına İlişkin Esas ve Usuller Hakkında Yönetmeliğin “İstenecek bilgi veya belgelerin niteliği” 12. maddesinde “Bilgi edinme başvurusu, başvurulan kurum ve kuruluşların ellerinde bulunan veya görevleri gereği bulunması gereken bilgi veya belgelere ilişkin olmalıdır.” denilmektedir.


Yine, 4982 sayılı Bilgi Edinme Kanunu’nun “Tavsiye ve mütalaa talepleri” başlıklı 27. maddesinde “Tavsiye ve mütalaa talepleri bu Kanun kapsamı dışındadır.” denilmektedir. Başvurunuz bu maddeler kapsamında değerlendirilmiştir.


Bilgilerinizi rica ederiz.


Bilgi Teknolojileri ve İletişim Kurumu


Basın ve Tüketiciler ile İlişkiler Müşavirliği”


İstenilen bilgi çok açıktır, orta da hukuki bir durum vardır sosyal devlet olan ülkemizde avukat ya da danışman tutma maliyetini karşılayamayacak olan ben vatandaş Ertan ERBEK, duruma ilişkin bir bilgi istedim ve sonucunda alamadım. Sonuç aslında yasayı çıkartan, onaylayan ve yürüten hiçbir makam durum hakkında bilgili değildir, ya da yapılan hatanın farkındalıkla hatanın düzeltilme zamanına kadar hatayı ört pas etme çalışmasındadır. Peki bu farkındalık ve örtpas etme durumunu nerden çıkarttım, Bkz. Türkiye Cumhuriyeti Başbakanlık Genelgesi. Görüldüğü gibi olayın aslında farkındayız, yasayı yanlış zamanda çıkarttığımızın farkındayız lakin ört pas etmeye çalışmakta ve bu çalışma dada yavaş adımlarla geçilmesi gereken bir sisteme hızlı bir geçiş yapmaya çalışarak hem haddi hesabı olmayan bir miktarda da paranın uzun vadeye yayılarak devleti ve milleti rahatsız etmeden harcanması yerine toplu ve bir anda yapılarak ülke ekonomisine zarar vermekteyiz. Neyse bu kısım bizi pek ilgilendirmiyor bunu siyasetçiler ve maliyeciler ya da para ile kim ilgileniyorsa onlar tartışsınlar.


Artık NAT nedir, sistemin açıkları nedir ve işin siyasi boyutu nedir bildiğimize göre bizim haklarımızı korumak için çıkartılmış olan bu yasadan nasıl korunacağımıza ve kurunun yanında yaş ta yanar atasözünde bulunan yaş olmaktan nasıl kurtulacağımıza bakalım. Yasa hali hazırda bizden DHCP loglarını tutmamızı ve yine bilgi işlemcilerin bu logları değiştirebileceği düşülerek digital imza ile zaman mührü vurulmasını istemektedir. HASH sistemleri için devletimiz milletine bir imzalayıcı program hediye etmiştir, uzun vadede çöken ve işletim sistemi bağımlığı olan bu programı http://www.tib.gov.tr/dokuman/IPLogImzalayiciSetup3.0.exe adresinden ulaşabilirsiniz. Fakat tutulması istenen bu loglar maalesef IPv4 yetersizlikleri nedeni ile yeterli değildir. Durum bu olunca içerde bulunan her kullanıcının anlık olarak hangi zaman biriminde hangi adrese gittiğini kayıt altına almalı ve bunu zaman mührü ile mühürlemeliyiz.


Örnek Log Kayıtları; Quedra L-MON Programı örnek alıntısıdır.


IP Dağıtım Logları;


 



image004



İç IP erişim LOG ları;





image005



Sistem Yöneticisi İçin FQDN Logları;





image006


Kaydı tutulmakta olan LOG lardan anlaşılacağı gibi bir bilgi işlemci sisteminde bulunan MAC adreslerinin hangi zaman biriminde hangi IP adresini kullandığını ve bu IP adresi ile nerelere erişim sağladığının kayıtlarını tutarak bunları zaman damgası ile değiştirilemez şekilde kayıt altına almalıdır. Tabi hali hazırda maalesef sadece bu bizi kurtarmamaktadır.


Bahsi geçen MAC adresleri sistemde sabitlenmeli, MAC adresini ya da IP adresini değiştiren kullanıcıların Internet çıkışları yasaklanmalıdır. Durum bu olunca sistemde bulunan internet çıkış cihazının MAC bazında IP Bind yapabilmesi şartı gelmektedir. Tabi internetin tarafımıza kullanımı dışında sistemde başka birinin kullanması durumunda internet servis sağlayıcı durumuna düştüğümüzü bu nedenle misafirlerimizin de kullanıcı adı şifre ya da 802.1x gibi sertifika bazlı sistemler olmadan sistemimize dahil edilmemesi edilse dahi birçok şeyin kısılarak bize zarar verebilecekleri bir işlem yapmalarının önüne geçilmelidir. Bu durumda internet çıkış cihazında DNS Proxy işlemi yapılabilmeli kullanıcılar mutlak suretle devletin DNS adreslerini kullanmaya mecbur bırakılmalı, Devlet tarafından yasaklanmış içeriklere gidişler kesilmelidir.


DrayTek 2820 cihazı ile MAC listesi oluşturma;


 



image007


DrayTek 2820 cihazı ile firewall kurallarında kullanmak üzere MAC-IP Objesi oluşturma;



image008



DrayTek 2820 cihazı ile 802.1x radius yönlendirme yapılması;

 


image009



 

 

 


Şu ana kadar yasayı anladık, NAT sistemlerini sorunları ve yapılması gereken daha birçok şeyi anlamış olduk. Peki artık bir LOG lama programımız var gerekli işlemleri ve LOG ları üretebileceğimiz bir Internet çıkış cihazımız var peki bunlar yeterli midir?

 

 

 

Yeterli olmasını isterdik lakin değil. Bilindiği gibi ülkemizde ıslak imza olmadan yapılan tüm işlemler geçersizdir. Durum bu olunca MAC ve IP adreslerini sabitlediğimiz ve kayıtlarını tutuğumuz kullanıcılardan da bunun için alttakine benzer bir dokümanı imzalamalarını ve personel birimine bu dokümanı işe giriş sözleşmesine eklemlerini talep etmekteyiz.

 

 

 

 

 

“ ………………………………… MAC adresi ………………………………… IP adresi ………………………………………….. adlı ben çalışmakta olduğum …………………………………….. firmasınca iş amaçlı iletişim amacı ile sağlanmış olan internet bağlantısı üzerinden bahsi geçen MAC ve IP adresli iletişim cihazını kullanarak yaptığım internet ulaşım işlemlerini kabul ederim. Yaptığım tüm işlemlerin iletişim hakkı çerçevesinde tarafıma bu yazı ile bildirilmesi ile peşinen kayıt altına alındığını kabul eder ve bu şartlar altında kullandığımı beyan ederim.

 

IMZA

 



  

 

 

Tabi bu yazı kuruma ve duruma göre değiştirilebilir. Yukarıda bir çok konudan bahsettik, bunları alttaki çerçevede özetleyerek kafa karışıklıklarını gidermek isterim.

 

 

 

1.       Sigorta kayıtlı ve birimi Bilgi İşlem departmanı olarak görünen her personel firmanın dış IP adresi ile yapılmış her bağlantı ve işlemden mesuldür. ( Yasa IP sahibi ve Mesul Kişileri kapsamaktadır. )

 

2.       Bilgi işle departmanı olarak ilgili yasa hakkında kurumunuzu ya da çalıştığını iş yerini uyarmakla mükellefsinizdir.

 

3.       2 Maddede bahsi geçen uyarma ve gerekli yatırımların yapılması konusunda firmayı yönlendirmemeniz ya da yönlendirdiğinizi yazılı ispatı olmaması durumunda asıl suçlu konumundasınız.

 

4.       Yasa için yapılan loglamanın içerik değil ulaşım LOG laması olduğunu unutmayınız, içerik loglaması iletişim haklarında kullanıcıdan habersiz ya da şahsına, durum ve pozisyonuna zarar verebilecek durumda ise bu suçtur, vermese de ispatı halinde suçtur.

 

5.       Yargıç önünde demiştim, söylemiştim, kelimeleri yazılı ya da görsel bir kayıt olmadığı sürece geçersizdir. Yatırımlar konusunda firmayı yönlendirdiğiniz ya da bilgilendirdiğinize dair yazılı ya da görsel kayıt bulundurmalısınız.

 

 

 

 

 

Evet aslında kişilik haklarını korumak amacı ile çıkartılmış olan bu yasa bir anda biz bilgi işlem danışmanlarını / çalışanlarını paranoyak yapma seviyesine gelmiştir. Piyasadan bir çok arkadaşımdan biliyorum direk olarak interneti kesme yoluna dahi gidilmiştir fakat bu bir çözüm değildir ve uygun koşullar ve cihazlar ile bu sorumluluktan rahatlıkla kurtulup asıl suçlunun teşhis ve tespiti çok kısa sürede yapılabilir.

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu