5651 Sayılı Kanun v...
 
Bildirimler
Hepsini Temizle

5651 Sayılı Kanun ve Log Dosyalarının İmzalanması  

  RSS
omer dalkiran
(@omerdalkiran)
Üye

Merhaba, bilindiği üzere 5651 sayılı kanun ve yönetmelikte "internete toplu kullanım sağlayıcılar ve erişim sağlayıcılar" için log dosyası tutmaları, bu log dosyalarını zaman damgası ile imzalamaları söyleniyor. 

  http://www.tib.gov.tr/tr/tr-menu-81-26716_sayili_resmi_gazetede_yayimlanan_yonetmelik.html (2. bölüme bakınız) 

 Ancak aynı konuda yer sağlayıcı trafik bilgisinin de zaman damgası ile imzalanması gerektiği bildirilmiş. Tam da bu noktada yönetmeliğin yanlış yorumlanmasından kaynaklı korkunç bir hata yapıldığı düşüncesindeyim. 

 Daha somut hale getirmek için davacı olduğum mahkeme sürecini özetlemek istiyorum.

 Web sayfalarıma ve alt alan alarına 2013 yılı ilk ayları itibariyle çeşitli illegal girişimler gerçekleşti. Bu saldırılarda web sayfasına izinsiz yönetici girişi, veri yükleme (shell) ve veri indirme durumları gerçekleşti. Dava "bir bilişim sistemine hukuka aykırı olarak girme ve orada kalma" başlığıyla açıldı.

 Sanıklara ait IP adresi savcılık soruşturması kapsamında servis sağlayıcı (TTNET) tarafından eşleşti. 

 Sanıklara ait illegal hareketleri içeren log dosyası web sayfamın bilgilerini tutan IIS loglarından oluşuyor. Hangi tarihte hangi saatte, hangi sayfa ve url'ye, hangi üye adıyla bağlandığı gibi bilgiler bulunuyor. Standart IIS log dosyası yani.

 Sanık ise savunma olarak bu log dosyasının değiştirilebileceğini, sebebinin de log dosyasının zaman damgasıyla imzalanmamış olduğunu iddia etti. Bu haliyle log dosyasının delil sayılamayacağını söylüyor. Tarafım ve yer sağlayıcı olan datacenter ile bu log dosyalarının zaman damgasıyla imzalanmayacağını bildirdik. Bunun internete toplu erişim sağlayıcılar ve ISP konumundaki erişim sağlayıcıların sorumluluğunda olduğunu beyan ettik. 

 İllegal girişim, web sayfamın IIS loglarında görülebileceği için haliyle delil olarak bu verilebilir. FTP logları veya RDP ile ilgili bir girişim olmadı.

 İlgili bu kanun ve yönetmelik Datacenter'ın kendi veri ağında tuttuğu logların imzalanmasını mı kastediyor?

Yoksa IIS - Apache logları gibi web sayfası trafik bilgisini mi kastediyor?

 Bilindik, büyük datacenterların nerdeyse tamamına konuyu ilettim. Hiç biri IIS loglarını imzalamıyor. Bunun erişim sağlayıcı yükümlülüğü olduğunu beyan ediyor. Biz de sebebinin kanundaki bu yönetmeliğin IIS değil, yer sağlayıcı datacenter'ın kendi loglarını kastettiğini düşünüyoruz. Ancak datacenter logu web sayfamdaki illegal girişim kaydını tutmayacağı, sunucuya yönelik girdileri tutacağı için bundan sorumlu olmamalıyız.

 Bu husus, web sayfası sahibi olan tüm içerik sahibi arkadaşları, aynı zamanda yer sağlayıcıları ilgilendiriyor. Yönetmeliğin bu şekilde sündürülebildiği bir adli durum olduğunda meramımızı anlatamayız. Konu hakkında fikri olanlardan görüşlerini beyan etmelerini rica ederim. 

 İlgili mevzuat linki;  http://www.resmigazete.gov.tr/eskiler/2007/11/20071130-6.htm  

Alıntı
Gönderildi : 23/06/2014 13:32
İbrahim DOĞAN
(@ibrahimDOGAN)
Üye

Merhaba,

Paylaşım bir çok kişinin ilgisini çekecek nitelikte. Teşekkürler.

BTK artık internet üzerinde yaptığımız her şeyin logunu tutacak. Tutmasında sakınca yok ama bu aynı zamanda biz kullanıcılara ne sağlayacak merak edeiyorum. 

CevapAlıntı
Gönderildi : 24/06/2014 12:35
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

Ek bir bilgi olarak Torba yasayla gelen bazı genişlemeler oldu. 02/06/2014 yani bu ayın 2'sinde. Ancak malesef tam metni goremedim. Belki sizide kapsiyan bir içerik vardir diye soyluyorum.

[/quote]

Logları tutuyoruz problem yok. Ancak hiç bir yer sağlayıcı ya da datacenter IIS loglarını imzalamıyor. 

Geçmişe yönelik hatalarını kapatsalar yeterli. IIS loglarının imzalanması konusunda yönetmeliğin kastettiği, TİB'in uygun gördüğü ve mümkün olan bir düzenleme yok. Neye göre hangi saat aralıklarında log imzalama yapabiliriz? Belirtilmeyen bu detaylar her türlü sosyal mühendislikle suçlunun kendisini aklamaya çalışmasına sebebiyet veriyor. 

Burda kastedilen şey şu şekilde olabilir;

 Örneğin bir sunucu kompleksi - datacenter içinde yeralan bir adet sunucuda, korsan film arşivleyip dağıtıyorsunuz. Adli birimler bunun peşine düştüğünde o sunucuyu uzaktan yöneteni bulmak, sunucuya erişimini ispatlamak için bu tür bir gereksinime ihtiyaç duyabilir. Bunun için logları ve zaman damgasını isteyebilir. Ancak bir web sayfasına yapılan illegal girişimin kim tarafından nasıl gerçekleştiğini anlamak için IIS logları gereklidir.

Alt alan adlarının da dahil olduğu, farklı konumlarda ve anlık değişimlere uğrayan bir log dosyasından bahsediyoruz. 

Ünlü datacenterlardan ikisi de IIS loglarını tutmadıklarını yazdı. Tutsalar artık gelecekte bu tür sosyal mühendislikleri önlemek adına bu firmalardan hizmet alırım. Ancak tutmuyorlar. Bu konuda görüştüğüm isimtescil yetkilisi güzelce izah etti. Özetle; "sunucu içinde oluşan log dosyalarını zaman damgası ile imzalamıyoruz, bir önceki alanda yapılan trafikleri kayıt altına alarak zaman damgasıyla imzalıyoruz" diyor. Ayrıca bağzen adli birimlerin "sisteme ait logları istediğini" de söylüyor. Bu konuda bilişim avukatlarının eksik, yanlış bilgileri ve yönetmeliklerin ucu açık tanımlamaları nedeniyle sorun yaşandığını belirtiyor.

 Senaryoyu kendi web sayfamız üzerinden işletebilirsiniz. X kişisi web sayfanıza izinsiz yönetici girişi yaptı. Siz de adli birimlere durumu intikal ettirdiniz. Tam bir facia.  

CevapAlıntı
Gönderildi : 24/06/2014 14:29
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]Bildigim kadariyla'da TİB zaten veri merkezlerinie trafik logunu tuturuyor ve zorunlu olarak ipsec yapacak router , 1x sadece bu iş için fiziksel sunucu ve dedike bir hat istiyor. TİB tüm trafik loglarniyor. Ama buda trafik logu. Yani ilgili sayfanin neresine erismis bilgisi yok.
[/quote]

 Anlamadım bu sözünüzü, TİB bir IP adresinin belli bir tarih ve saatte örneğin cozumpark.com'u veya IP'sini ziyaret ettiğini logluyor, ancak tam olarak hangi url yi ziyaret ettiğini (/forum gibi) tutmuyor mu diyorsunuz.  

Ben bunu sadece bir IP adresinin hangi saat aralıklarında hangi aboneye atandığını tutuyor olarak düşünüyordum. Örnek olarak benim davamda sanık IP adresinin o tarihte web sayfamın olduğu sunucuyu ziyaret ettiği görülüyor mu? 

CevapAlıntı
Gönderildi : 24/06/2014 15:46
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]Evet, normalde veri merkezi bunu zaten TİB veriyor olmali. Bugun toplu sms hizmeti veren (root kurum> altindakiler) bile TİB bu gelen-giden sms vs. gonderiyorlar.
[/quote]

 Gökhan bey özetle şöyle bi örnek verebilir miyiz:

1) Kullanıcı ISP'den kimlik doğrulaması yaparak dağıtılan bir IP'yi alıyor. Bu dağıtılan IP'nin ne olduğu kaydediliyor. Ör: 212.xxx.xxx.xx

2) Kullanıcı cozumpark.com için bir istek yapıyor. DNS çözümlenip ISP tarafından ilgili sunucuya (cozumpark yerleşkesine) gönderiyor.

3) Datacenter gelen talebi alıyor. Bu talep sunucular arasından ilgili sunucuya iletiliyor. Burda yerleşke tarafından istekler loglanıyor.

4) Sunucu bu talebi alarak yorumluyor ve IIS kayıtlarına başlayarak logluyor. 

Yer sağlayıcı trafik bilgisinin zaman damgasıyla loglanması 3 numaralı alanda kastediliyor olabilir mi?

Şimdi sektörde tanınan bir başka datacenterla da görüştüm. IIS loglarını damgalamadıklarını, L3 ve L7 seviyesindeki istekleri logladıklarını söyledi. 

Bu içerik doğru mudur? 

CevapAlıntı
Gönderildi : 24/06/2014 17:54
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

 Yani siz dedicated alicam deyip mi sordunuz ? L7 logu'da tutuyorsa iyi. İlgili DC paylaşin diyecemde bu sefer reklam olacak. Ozel'den atabilirmisiniz? 

 Bu artik sizin sunucunuzda. Size yukarıda'da anlatmaya calistim. Logu imzalamaniz şart. Sizinde imzalamaniz gerekir. Ancak sizin durumunuzda imzalanmis trafik logunu bile alsaniz sanirim yeterli olacak gibi.[/quote]

 Kendi hostingleri için söylüyor.

Benim olayın bütününde bahsettiğim çelişki burda başlıyor. IIS logunu imzalayabilmek için bir donanım var. Ancak bu datacenterda bulunmalı. Yer sağlayıcıların bir ayrımı yok, datacenter'da yer sağlayıcı, VPS'i olan da yer sağlayıcı. Kanun veya yönetmelik sunucu içinde IIS'in logları da imzalanmalıdır diyorsa bunu datacenter yapmalı. Size ait web sayfası IIS trafiğinin logları imzalanıyor mu? Ya da Apache, hangi sistemi kullanıyorsanız artık.

 TİB şöyle ya da böyle toplu kullanım sağlayıcılar için bir uygulama paylaşıyor. Ama bunun bizim için olan kısmında bir mevzuat paylaşmıyor. 

Net örnek vereyim, İsimtescil de bu logların imzalanma durumunu sunucudan bir önceki adımda yaptığını belirtiyor. IIS loglarını zaman damgası ile imzalamadıklarını söylüyor.  

CevapAlıntı
Gönderildi : 24/06/2014 19:28
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

 Delil olarak TT kullanabilrisiniz belki. Tabi bu durumda kişinin üzerine olmasi gerekiyor hattin. Tabi burada girdiği saat ve sizin uygulamanin yoğunluğu vs. o ilgili saat'e cok fazla işlem olmuyorsa gelen ip adresileri arasinda sahsa ait bir TT aboneligi var mi yok mu ona bakılabilir. Gerçi siz zaten bulmuşssunuz oyle anliyorum. ? Geriye kalan TT bilgi alis-verisi.

[/quote]

Sanığın işletmesinde kullanılan internet aboneliği ISP'den eşleşti. Log dosyasındaki tarih ve saatte o IP, o firma tarafından kullanıldı. Hatta muhtemelen değişken bir IP ve iki kez illegal girişimi yapmış. Sanığın bilgisi eşleşiyor.

 Problem sanığın savunma olarak sosyal mühendisliği kullanıyor olması. "Benim IP adresimi elle girip üzerime suç yıkmış olabilir" diyor. Bu savını da zaman damgalı bir log olmadığı için söylüyor. Yani log zaman damgalı olmadığı için bu değişmiştir diyor. 

Sorunun çözümü aslında oldukça basit, 1) IIS loglarının damgalanmasına gerek var mı 2) Zaman damgası olmayan IIS logu delil niteliği taşır mı.

Kanun koyucunun erişim sağlayıcıya böyle bir yükümlülük vermesinin sebebi belli. İç ağ da kim ne yapıyor, kim abonenin yerine suç işliyor görebilmek. Ama burda yer sağlayıcı olayı karmaşık. Sunucuya yapılan saldırı ile web sayfasına yapılan saldırı arasında fark var ve loglar da farklı. 

Datacenterlara soruyorsun, IIS loglarını damgalamıyor. Buna isimtescil de dahil. Sadece bahsettiğim ama adını vermediğim firma L3 L7 loglarını tuttuğunu söylüyor. IIS'e de bu yüzden gerek kalmadığı görüşünde. E TİB'de bu mevzuatla ilgili bir bilgi paylaşmıyor. Telefonda sordum cevaplayamadılar. Mail atmamı istediler ama halen dönmediler. Herkesin kafasına göre işlettiği bir yönetmelik var.

Burda datacenter işleten yer sağlayıcı arkadaşlar da vardır. Onlar bu durumda ne yapıyor merak ediyorum. IIS loglarını imzalıyorlar mı imzalamıyorlar mı? Bu hangi yer sağlayıcının görevi, datacenter'ın mı, sunucu kiralayanın mı. Bu logları doğru bir şekilde imzalamak için donanım gerekiyorsa Datacenter'ın bu konuda görevi üstlenmesi gerekir.

Hal böyleyken bağzı bilişim avukatları suçlulara sosyal mühendislikle savunma sanatı öğretmiş oluyor ve cesaretlendiriyor.

Suç işleyen işlediğiyle elini kolunu sallayarak gezer böyle.

CevapAlıntı
Gönderildi : 24/06/2014 23:19
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Daha çok Bilişim Hukuğu kapsamında bir konu ve çözümlerin hukuki altyapıda olması gerekiyor öncelikle. Yeni gelişen yada gelişmeye devam eden bir alan olduğu için de batıda da henüz epey açık var biz de ise kanunlar, yönetmelikler, btk, tib uygulamaları ile tarumar edilmiş durumda zaten. Tekil olarak çözümü kolay olmayan bir konu Türkiye biraz da bunu ergenekon gibi kapsamlı davalar sürecinde öğrendi ama öğrenmesi gerekenler henüz tam olarak öğrenemedi. Size şöyle örnekliyim tüm dünyadan görüntü ve ses kayıtları heryerde kesin bir delil olarak kabul edilmiyor çünkü bir imza, değiştirilmemezlik ibaresi barındırmıyor oluyor. Bunu da alt yapı ve uygulama olarak pek de dikkate alan, umursayan yok. Sizin konunuzda buna benzer ancak kendi sorumluluk dahilinizde ki alanlarda imzalama yapabilirsiniz bilişim hukuğu uzmanı değiliz malum bildiğimiz kadarıyla kimseye bir yaptırım imkanınız yok malesef küçük davalarda akıllı olan sıyrılabiliyor.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/06/2014 00:28
omer dalkiran
(@omerdalkiran)
Üye

[quote user="İbrahim YILDIZ"]Daha çok Bilişim Hukuğu kapsamında bir konu ve çözümlerin hukuki altyapıda olması gerekiyor öncelikle. Yeni gelişen yada gelişmeye devam eden bir alan olduğu için de batıda da henüz epey açık var biz de ise kanunlar, yönetmelikler
[/quote]

Çok haklısınız ancak kanun ve yönetmeliklerin çıkmasında etkili bir neden de mevcut yapımız. TİB denen önemli bir kurumumuz var. Ancak yönetmeliğin getirdiği esasları izah edemiyor. Gereksinimleri karşılamıyor. Bunu toplu erişim sağlayıcılar için sunduğu çözümlerde gördük. Ama mevcut durumda yer sağlayıcı mevzuatları için bu kadar olsun çaba sarfedilmemiş. En azından bu delil niteliği taşıyan loglamaların hangi kriterlerde ve hangi uygulamalarla yapılabileceğini açıklayabilirdiler.

Şuan ben içerik veya 2. yer sağlayıcı olarak datacenter gibi sorumluluklarım mı var anlamadım. 

Ve datacenter işleten arkadaşları da anlıyorum. Bu zoraki yönetmelikleri yerine getirecek donanımı koysalar maaliyetleri çok daha artacak. 

Log dosyaları kaydedilip imzalanacak, akabinde radyo dalgalarıyla marsa gönderilip depolanacak dense bunu bile muallakta bırakacak yönetmeliklere ve adli yapıya sahibiz.

CevapAlıntı
Gönderildi : 25/06/2014 00:59
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

Üstadim bu adam oyleyse bunu o gün erisilen loglara gore ıspatlamali. Tersine dusundugumuzde onunda log tutuyor olmasi gerekirdi. Simdi ona ogunlerde erisen ip adreslerini saptanip analiz edilsin. Anladigima gore bu size birisi neyaptiysa profesyonel olarak yapmamis bir sekilde eline geçen sifreyle size zarar vermis. ? Profesyonel birisi olsaydi en az iki proxy üzerinden size bunu yapardi diye dusunuyorum.

TT ona ogun erisen ip adreslerinin logunu istemeniz mumkun mu ?

[/quote]

 ISP'den sanığın o gün eriştiği sayfaların linkini istememizi mi diyorsunuz? Şubat 2013 gibi bir tarih. O tarihte TTNET logları tutuyor muydu? Sadece dağıtım loglarını yani IP'leri kime atadığını tutuyor biliyorum? Bu tartışmalı son kanun değişikliklerinde gündeme geldi.

 Evet Profesyonel bir saldırı değil. Kendisi "ben iş yerimde log tutuyordum ama 6 ay geçtiği için sildim" gibi yine bir sosyal mühendislik savunması yapmış. Halen tuttuğu bile şüpheli. Kanaatim kesinlikle tutmadığı 🙂 Onun ne yaptığından çok bu olayın aslı beni daha çok ilgilendiriyor. Çünkü o IP spoofing yaparak onun adresini taklit ettiğimi, ayrıca WIFI bağlantısına sızarak sanığa ait ağ'dan kendi adıma siber saldırı düzenlediğimi iddia ediyor. Tabi daha bozuk cümlelerle. CIA ajanı bile olabilirim. Bunun gibi bir ifadesi de var. Ama açıkçası bu sıkıntı eminim başkalarının da başına gelecek.

 Şuan ben kafadan bir kaç siteye sızsam, IP adresinden tespit edilsem bile bu tür bir sosyal mühendislikle yırtma şansına sahibim. Çünkü yönetmelik ve yönetmeliği düzenleyen, yorumlayan, açıklayan bir kurum yok. 

CevapAlıntı
Gönderildi : 25/06/2014 01:25
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

> ISP'den sanığın o gün eriştiği sayfaların linkini istememizi mi
diyorsunuz? Şubat 2013 gibi bir tarih

1 sene tutma zorunlulugu var.

Onunda 1 sene tutma zorunlugu var. 

[/quote]

2013'de TTNET kendi loglarını tutmuyordur. Hiç sanmam. Keşke olsa, suçluluğu kesin olarak ispatlanmış olur. Ama bir yılsa o da problem. Ne savcı ne hakim böyle bir talepte bulunmadı. 

[quote user="Gokan Aticir"]

IP spoof yaparak sadece DDOS,brutefoce vs. gibi ataklar yapabilrisin. Handshake tamamlanmadigindan data erisimi olmaz sadece kandirma istekler kullanabilrisin. [/quote] 

Bunları da izah ettim tek tek. Saçma sapan bir dolu iddiasına cevap yazdım mahkeme için.  

Dosya bilirkişiye gidiyor. İlk bilirkişinin raporunu ve tutumunu gördüğüm için olayı aydınlatmanın daha faydalı olacağı kanaatindeyim 🙂 Tabi adli birimleri suçlamıyorum. Alanında uzman nice kişiler vardır ilgilenecek. Burası Türkiye belli olmuyor. Hem de varsa doğrusu bundan sonra onu uygulayalım amacındayım.

[quote user="Gokan Aticir"]

Üstad bu adami merak etmedim değil. 🙂 Yani Allah karşılaştırmasin kötülerlede. Sana nasil bir zarar verdiginide merak ediyorum. İns. cok kotu bir sey degildir. Ancak bu adam boyle savunmalar yapiyorsa bu işler için destek aldigi yada parayla yaptirdigi kişiler olabilir. Burada kaynak suça ve hedef amaç'a bakıp daha sonra karşıdakinin kişiliğini iyi anlmak nedenini niçinini onun gibi düşünerek yani empati yaparak analiz etmek iyi olabilir.  

[/quote] 

Ben bu arkadaşı anlatmakla bitiremem. Burası bir psikoloji forumu değil o yüzden bunun yorumunu yapmayım. Ama bölümde okuyanlar için antisosyal kişilikte anksiyete ile ilgili bilgiler ipucu verecektir. Okur buraları da belki, gücenmesin (!)

Yer sağlayıcı arkadaşlar çok sessiz. Onlar bu konuda pek yoruma gelmiyor. Sebebini de biraz anlıyorum 🙂

Konu hakkında fikri olanlar akıllarına geldikçe aydınlatırsa sevinirim. Nasıl tutulabilir, kim tutar, kim tutmalı, yönetmelik ne olmalı, nasıl düzeltilmeli. Önemli bu hususlar. 

CevapAlıntı
Gönderildi : 25/06/2014 02:22
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

İki avukat senin konuyu tartışıyorlar. 🙂 11:05'den sonra izleyebilrisin. 

[/quote]

Yüzeysel cevaplar vermiş yine. Benim IIS loglarım DC muhteviyatındaki bir firewall'dan geçmiyor. Belki ancak kendi içinde bir yazılımla zaman damgası yaratılabilir diyecem ama bunun da niteliği sıkıntılı. Tarih, saat dışında değişken linklerin de hash değeri ile depolanması ihtiyacı doğar. Yahu ben bu noktada neyin hash değerini alıyorum. Koca bir satırın hash değerini alsan dahi bunu neyle çözümleyeceksin. TİB bu konuda bir çalışma yapsa ve o programların yönergesinde bir hash üretilebilse anlarım. Yönetmeliğe koydukları zaman damgası sözünü yerleşke ile sınırlamaları gerekirdi.  

Bu konuyu bilişim avukatlarıyla görüştüm. Tıkandılar soruda. Suçlu, yönetmeliğin bu anlaşılmaz üslubunu çok rahat sosyal mühendislik ile kullanır. Ben sıradan bir yazılımcıyım. Network konusunda ciddi bir bilgim yok. Ancak böyle bir yapının TİB'in geliştirdiği bir program olmadan gerçekleştirilemeyeceği, yapılacak özel bir çözümün de hukuki olarak kesinlik kazanmayacağından adım gibi eminim. 

 Bu konuyu Sertel Şıracı'ya mail olarak ilettim. TİB ve Siber Suçlar Daire Başkanlığı'na da ilettim. Henüz cevap gelmedi. TİB personeline telefonda da anlattım. İzahat getiremediler. 

CevapAlıntı
Gönderildi : 10/07/2014 02:17
omer dalkiran
(@omerdalkiran)
Üye

Gökhan bey sorum aslında açık, sunucuya erişim, sunucudaki hak sahipliği gibi durumlar başka bir husus. Benim otoriteye karşı sorum şu:

1) IIS loglarında zaman damgası olması gerekiyor mu gerekmiyor mu?

2) Gerekiyorsa nasıl yapılacak? Hangi Yazılım kullanarak zaman damgası oluşturulacak.

3) Zaman damgasını oluşturan yazılım adli merciler tarafından nasıl açılacak. (hash doğrulaması)

UTM cihazından geçen bir veri değil bu. Bir yöntemi varsa da verimerkezi içinde mümkün olabilir.

Hala web sayfalarına ait apache - iis loglarını zaman damgasıyla yedekleyen bir yer sağlayıcıya denk gelmedim. Davayı geçtim, bundan sonrası için nasıl olması gerekiyorsa öyle yapalım.

CevapAlıntı
Gönderildi : 11/07/2014 00:50
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

 2) Gerekiyorsa nasıl yapılacak? Hangi Yazılım kullanarak zaman damgası oluşturulacak.

Bir log sunucusu kurup ip log imzalayacisini kullnarak.

3) Zaman damgasını oluşturan yazılım adli merciler tarafından nasıl açılacak. (hash doğrulaması)

Çok şükür başıma gelmedi. Ancak hash dosyalari BTK programiyla yaptiysaniz BTK açıyor. Değilse OpenSSL yaptıysaniz sanirim rootCA key vermeniz gerekir. OpenSSL imzalanmasi bana mantıksız geliyor.

[/quote]

 Diğer cevaplarınız bir tarafa, bu iki maddenin de kendi içinde gerçekliği sıkıntılı 🙂 IP Log imzalayıcıdan kastınız TİB'in verdiği ise, o kullanım sağlayıcılar için. IIS loglarında ne faydası olacak?

3. soruya cevabınız da net bir otoritere olmadığı için geçerliliğini yitiriyor. Özellikle IIS logu gibi erişim özeti olmayan logda, tüm bir satır önemlidir. Session ID bile. Tüm bir satırın hash değerini alma ihtiyacı doğar. Anahtarını kimsenin bilmediği bir kriptoyla veri şifrelemek ne işe yarar. 

Hoff! Bakalım bilirkişi ne gibi açıklama getirir. Bilgi edinme kapsamındaki sorum BTK'ya gitmiş, bugün bir evrak geldi. Başkaca bir kuruma iletildiği, cevap için 30 gün süre gerektiği anlayılıyor. BTK da başka bir birime gönderdi anlaşılan. 

CevapAlıntı
Gönderildi : 11/07/2014 17:20
omer dalkiran
(@omerdalkiran)
Üye

[quote user="Gokan Aticir"]

Access log alip bir sunucuya atip güne-gün ilgili log klasorunu imzalatmanizdan bahsediyorum.  [/quote]

İmzalayacak birşey olsa başka bir sunucuya taşımama gerek yok zaten. O imzalayacak "birşey" de mutlak suretle devletin onayından geçen, önerdiği veya IP Log imzalayıcı gibi kendi yaptığı bir uygulama olmalı. Olmalı çünkü; o hash değerlerinin güvenli ortamda üretilmesi ve tekrar açılması sağlama alınmalı. Abuk subuk bir Türkçe karakter hatasından hash değeri değişip asıl değerlerle eşleşmezse al başına belayı. Burda kimsenin kucağına bir firewall atıp kurtulamıyoruz. O yüzden home made zaman damgası falan tehlikeli iş.  

[quote user="Gokan Aticir"]

Bu arada bir IIS logu paylasirmisiniz ? 

[/quote]

SID ile uzun bir satır veriyorum:

2012-11-25 19:07:54 W3SVC77 SUNUCUADI 92.42.3**.**** GET /default.aspx - 80 101|admin|Site+Yöneticisi 88.232.***.*** HTTP/1.1 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.11+(KHTML,+like+Gecko)+Chrome/23.0.1271.64+Safari/537.11 PLESKSESSID=08b12dc6f6d9be09958fe5c90d67202b;+ASP.NET_SessionId=la5mangd5kzuwvyicb0p2hb2;+UserId=a48385cd-7d66-4440-9258-513f9ba5d4c6;+ShowType=Detay;+OrderBy=OrderByDefault;+StockFilter=False;+.local=986BC35AC59C68E096DA43B63B9F6E6B2778EB0F5E30C2D0158DF9D780B68CA8F921114AEAA601E83F06DC95FB60A5BA5CBFFCCCF65EEC7935F98D9906FEB1DEBDF31E61A60ADDD587142FEBE5568F23F1477A7CEDC12D22171E6D0999EF6EC09B8D3FDDA61F9FF3BC9F8CEB9B45D4F18880F707BE6F1DD0AABF9143E908A1A71D83D33163D4ED783C66C146AB3A43A2A62146DDC5E4434D9D4D9AB37AA276D40490A41C66957FF267B51434DFC6687E963A842505979C3D1D329286DCFD5E43EF09C4065C53E2141160F53AF9A29108FF35EB26E3B78C8D10C92497B5346268B1B4FBD597D27FBFCAFE51FE6B1BA0115994980CBBF4AB3643D4DFA812226AC6ADD6A546C88147F0212EDC8200746F333CF6C80E http://www.cozumpark.com/login.aspx www.cozumpark.com.tr 200 0 0 52856 1252 702 

Şimdi bir suçun hızlı tespiti için Session ID aldığımızı farzedelim. Birisi sisteminize izinsiz yönetici girişi yapsın. Siz de anlık tespit edip adli birime ilettiniz. Savcı da hızlı çıktı, hemen arama kararı çıkartıp ilgili IP adresine gittiler. Hazır session id'de var. Tarayıcı geçmişine bakıyorsunuz ve session ID'den de suçu tespit ediyorsunuz.  URL'de çok önemli. Bu kullanıcı nerden nereye girdi, referansı nerden aldı. Siz bu bilgilerin de değiştirilmediğini ortaya koymanız gerekiyor. Yönetmeliğin getirdiği yersiz paranoya bunu gerektirir.

IIS kayıtlarında aşağıdaki yapı alanları bulunuyor.  

 #Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken 

  

 

CevapAlıntı
Gönderildi : 11/07/2014 18:04
omer dalkiran
(@omerdalkiran)
Üye

Aşağıdaki yazı Bilgi edinme kapsamında ulaştırma bakanlığının BTK ile koordine verdiği cevap. Geçen günlerde cevap süresi için yazılı olarak 45021 numaralı evrakla BTK'nın konuyu farklı kurum ve kuruluşlarla görüştüğüne dair posta gelmişti. 

İlgi:  22/06/2014  tarih ve  11*** sayılı,    başvurunuz.

Bilgi edinme başvurunuz incelenmiştir.

Yer sağlayıcıların zaman damgası ile nasıl log imzalanacağına dair bir mevzuat bulunmamakta olup; buna karşın ticari amaçlı toplu kullanım sağlayıcıların kullanımı için IP log imzalayıcı program bulunmaktadır. Log kayıtlarının adli durumlarda geçerli bir delil olup olmayacağı adli mercilerin takdirlerindedir. Telekomünikasyon İletişim Başkanlığının web sayfalarının log kayıtları tutulmaktadır.

      Bilgilerinize rica ederim.

-----------------------------------------------------------------------------------------------------------

Ben mümkün olduğunca anlaşılır şekilde sorumu sordum ama sanırım anlaşılmamış 🙂 IIS loglarını kastediyorum, log tutmayı değil, tutulan logu imzalamaktan bahsediyorum. Cevap olarak "TİB web sayfalarının log kayıtları tutulmaktadır"  bilgisi geliyor. Zaman damgası ile tutulup tutulmadığını, bu işlemin özel veya devlet bünyesince IP log imzalayıcı gibi bir programla yapılabileceğini v.s söyleyemiyor.

 Gökhan bey bu arada bağzı devlet siteleri (valilikler gibi) TTNET bünydesindeki sunuculardan host ediniyor. Bu sitelerin IIS loglarına da zaman damgası yok.

CevapAlıntı
Gönderildi : 15/07/2014 19:12
Paylaş: