Bilişim Suçlarında IP Adresinin Tespiti ve Süreçler

Merhaba arkadaşlar,

Bu makalemizde Bilişim suçlarında tespit ve tehşis etme yöntemleri ile alakalı bilgiler veriyor olacağım.Bunların belkide en yayın olanı ilgili siber suçta sanığın kullandığı uygulamalardaki ip adresleride bu kapsamda ele alınmaktadır.Peki IP adresleri nasıl dağıtılmaktadır ? Dağıtılan IP adreslerinin tespiti ne şekilde olmaktadır diye düşündüğümüzde küresel ölçekten ulusal ölçeğe kadar bir çok katmandan meydana gelmektedir.Tabi bu hususta bu dağıtılan ve bizlerin sanal ortamda belirli bir kimlik alarak dolaşmamızı sağlayan ip havuzunun hangi kaynaktan geldiğini merak edebilirsiniz.Esasında bu kimliği üreten herhangi bir ülke veya belirli bir grubun bünyesinde olan bir husus değildir. Ülkeler arasında belirli kurallara uyarak kendi topraklarında global network  oluşturulmaya başladığında, dünya ölçeğinde iyi işleyen bir network hizmeti ortaya çıkmıştır.

Benzer olarak, global olarak konulan bazı kurallar çerçevesinde internet trafiği dünya ölçeğinde sistematik bir şekilde yönetilmeye başlamıştır. Tabi bu noktada eklenmesi gereken husus interneti global olarak yöneten kuruluşlar ticari değil, bir anlamda yapılması gereken zor işleri üstlenen gönüllü kuruluşlardır. Bu kuralları ve kuruluşların yapısını, artan internet trafiğinin ihtiyaçları belirlemektedir. Dolayısıyla, zaman içerisinde bu kuruluşların yapısı değişmektedir.Günümüzde bu işi yapan iki  tanınmış kuruluş mevcuttur. Birisi, internet numaralarının tahsisini yöneten  IANA (Internet Assigned Numbers Authority) denilen kurumudur. Diğeri ise internetin yönetim ve gelişme politikalarını belirleyen ICANN (Internet Corporation for Assigned Names and Numbers) kurumudur.Peki IP adresi bu alanda neden önem arz etmektedir.Onuda açıklamak gerekirse sosyal medya olsun internet alemine girdiğimizde sistem bize bir kimlik verir.Esasında bu kimlik IP adreslerimizdir.Her ip ip adresi benzersiz ve kullandığımız sisteme özeldir.Bu yüzden internet üzerindeki her uygulamada bu IP adresiniz sizin sorumluluğunuz ve yükümlülüğünüz altındadır.

Soru:Saldırganlar sürekli farklı kendi isteklerine göre IP adresleri kullanabilirmi ?

IP adresleri belirli bir hiyerarşi ve sisteme göre küresel ölçekte dağıtılabilir.Bu nedenle dağıtılan IP adresleri belirli kaynaklar tarafından yönlendirilir.Bundan dolayı internet kullanan kişilerden kurumlara kadar dileyen istediği IP adresini dilediği gibi kullanamaz.

Soru:İşlenen Suç’a ortak olan IP adresinin Tespiti Nasıl yapılmaktadır?

Herhangi bir suç unsuruna karışan bir suçlunun tespitinde bilişim uygulamalarında genel olarak bakılan ilk durum suç işleyen kişinin bağlandığı bilgisayardaki IP adresidir.Günümüzde gerek Who is sorgulamalarında gerekse bazı araçlar ile ip bilgilerini elde etmek mümkündür.ISP ler kuruluş anlaşmaları gereği 5651 yasasına tabi olduklarından ötürü müşterilerinin bütün bilgilerini ellerinde tutmak ile yükümlüdürler.Peki erişim bilgilerinde neler korunmakta ve saklanmaktadır.Bunları bir liste halinde açıklamak gerekirse;

Kullanıcı olarak Yerel İnternet Sağlayıcınız olan firma sizin aşağıdaki bilgilerinizi tutar.

*Bilgisayar ile gerçekleştirdiğiniz trafik bilginizi;

*Telefon numaranızı;

*Açık adresinizi;

*Sisteme bağlı olduğunuz zaman aralığı;

*Bağlantı noktaları;

*Abonelik sözleşmesi;

*Abonelik başlangıç tarihi;

*Kullandığınız IP adresinizi;

Tabi bu noktada ülke içerisindeki IP adresleri takip edilerek bulunabilmektedir.Siz her ne kadar proxy veya VPN teknolojisi kullansanızda ISP tarafı modemi kontrol etme yetkisine her zaman sahiptir ve internet aktivitelerinizi loglayarak hangi sitelere ne şekilde eriştiğinizi bir şekilde loglama mekanizması ile kayıtlarını tutar.Eğer farklı bir IP ile gitmeye çalıştığınızda sistem sizin hangi IP yi aldığınızı bulabilir ve o aldığınız IP nin dağıtıcısı ile iletişime geçip nerelere eriştiğinizi sorgulayabilir. Tabiki burda eğer ülkeniz harici kullanılan IP adresi başka bir ülkeye aitse bu durumda yasal yollardan talep yapılarak ilgili ülkeden IP adresi sahibi bilgileri istenebilir fakat IP bilgileri istenen ülkenin kanunlarına göre bu bilgiyi almak kolay olmayabilir.Peki tespit ettiğimiz IP adresinin hangi ülkeye ait olduğunu nasıl anlayabiliriz.Daha öncesinde ilk konuda anlattığım gibi IP adresleri dağıtılırken sistematik ve hiyerarşik bir yapı kullanıldığını söylemiştim.Bu kısımda kullanılması kolay olan iki IP tespit türünden bahsetmek gerekirse ilki GeoIP Tool sitesidir.

Burada tespit ettiğiniz ip adreslerini veya kendi ip adresinizin hangi ülkeye bağlı olduğunu görebilirsiniz.

Bir başka IP Location Analyzerprogramı olan Country IP Blocks programı ilede  bir ip adresinin hangi ülkeye ait olduğu bilgisi edinilebilir.

Bilişim Suçlarında IP Spoofing Kavramı

Genellikle çok sık karşılaşılan ve günümüz siber saldırılarında saldırganların sıklıkla başvurduğu IP Spoofing kavramının tanımı ise (“internet bağlantınızı kesmeden ip adresinizi değiştirme yöntemi” olarak adlandırılabilir.Günümüzde dijital dünyanın işlemesinde temel olarak TCP/IP protokolleri sayesinde esnek ve kullanılabilir bir modül olarak işleyişini sürdürmektedir.Tabi bu esnek yapının bazı açıkları olduğu gibi bu açıkların kullanımıda siber suç işlemeye müsait bir yapıda olduğu keşfedilmiştir.Yani IP adreslerinin aldatılabilir (spoofed) olmasını mümkün kılmıştır.Saldırganlar IP Spoofing yaparak bir başkasının IP adresini kullanarak internet üzerinde faliyetler gerçekleştirebilir.

Bilişim Suçlarında IP Adres Analizi

Bilişim suçlarında IP adres analizi yaparken öncelikle bilişim sistemlerinde genel olarak kullanılan protokollerden bahsetmek gerekir.Genelde sistem saldırılarında hedef olan (HTTP,HTTPS,SMTP,TELNET……)protokolleri internet üzerinden en fazla saldırıya uğrayan protokol çeşitleri olarak sıralayabiliriz.Bunların hepsinin temelinde TCP/IP methodu olduğundan ötürü buna uygun bir şekilde sistemlere sızılmasının engellenmesi için Tree way Handshake tekniği kullanılır.Bu teknikte istemci ile sunucu bilgisayarı arasında bir iletişim kanalı kurulmasını sağlar. Bu iletişim kanalının kurulmasında kullanılan bazı parametrelere (ISN numaraları) günümüz işletim sistemlerinde oldukça güçlü olduğu için IP spoofing yapılamaz.

Tabi IP Spoofing kesinlikle yapılamaz diyemeyiz.Özellikle son kullanıcıların yaptıkları işlemlerde teorik olarak IP Spoofing olayına girilsede pratikte pekte mümkün değildir.Ama diğer yandan UDP ve DNS kullanan uygulamalar kullanılıyorsa IP Spoof yapabilmek hala mümkündür.Bu da IP Spoof yapılan bir sistemde çeşitli suçların işlenebileceği ve herhangi bir IP kullanarak kurbana zarar verilebiliceğini belirtmek gerekir.

Soru:Başkasının IP Adresinden Nasıl Suç İşlenir?

Yukarıda bahsettiğim gibi IP Spoofing yöntemi kullanılarak teorikte olan ama pratikte uygulama yapılırken herhangi birine rasgele sızarak IP adresi üzerinden ciddi suçları işlemeniz pekte mümkün değildir.Ama bazı durumlar ve şartlar oluşturulduğunda kurbanın IP adresinden belirli suçlar ciddi şekilde işlenip istenilen IP üzerine olay yıkılabilmektedir.Tabi bu noktada kurbanın makinasından çeşitli yazılımların çalıştırılması(zararlı yazılımlar),botnetler,güvenlik açıklarından faydalanılarak kurbanın kendi IP adresinden geliyor gibi davranarak suç işlenebilir.Tabi bunların en yaygın olanı kurbanın bilgisayarı  Wifi üzerinden bağlı ise o Wifi sisteminin içerisine girerekte suç unsuru oluşturucak işlemler yapılabilir.Bunun dışında DDOS saldırılarında sizden habersiz IP adresinizi kullanarak bir botnet ağı yaratarak saldırıda da bulunulabilir.

DDOS saldırıları genellikle hedef sistemi işlevsiz bırakmak ve geçiçi süreliğine network trafiğini darboğaz a sokmak amacı ile kullanılan bir uygulama katmanı olduğundan bahsetmiştik.Bununla alakalı olarak bir örnek vermek gerekirse tercih edilen yöntemlere göre saldırganlar IP adresi spoof işlemi gerçekleştirebilir.Tabiki burda TCP/IP Spoof dan ziyade SYN Flood, UDP flood tipinde ise saldırgan genel olarak hedeflediği herhangi bir IP adresini spoof ederek saldırı gerçekleştirebilir.Örnek vermek gerekirse bunlardan en can alıcı nokta kurumlara yapılan saldırılardır.X Telekom firması tarafından çeşitli araçlar ile herhangi bir Z kamu kuruluşuna sanki X Telekom firmasından saldırı geliyormuş gibi DDOS saldırısı gerçekleştirebilir. Y kurumu tarafından yapılan güvenlik analizinde loglardan anlaşılacağı üzere X Telekom firmasından geldiğini düşündüren bir saldırı olduğunu görücektir.Tabiki X Telekom Firmasının bundan haberi olmadığından gereksiz töhmet altında kalıcaktır.Belirtilen IP adresleri gerçek olsalar bile sahibinin haberi olmadan sisteme yüklenen zararlı yazılımlarla gerçekleştirildiği için asıl faili bulmak oldukça zor olacaktır.

Genellikle saldırgan Spoof veya proxy kullanılarak yaptığı bir işlemde asıl faili bulmak oldukça zordur. Bunun temel nedeni internet üzerinde aktif çalışan binlerce proxy servisinin hangi kullanıcının hangi zaman diliminde nereye bağlandığı bilgisini tutmamasıdır.Bu da tabiki adli bilişimde yapılan suç unsurunun takip edilmesi hususunda sıkıntı yaratmaktadır.

İnternet üzerinden işlenen suçlarda en sık uygulanan yollardan biri de e-posta adresi aracılığıyla işlenen suçlardır. Bunlar, birisine e-posta yoluyla yapılan hakaret, tehdit vb. ‘bilişim aracılığıyla işlenen suçlar’ olabileceği gibi, bir başkasının e-posta şifresinin kırılarak sistemine girilmesi gibi teknik olarak ‘bilişim alanındaki suçlar’ olarak adlandırılan (TCK 243-244) suçlar da olabilir.

Bilişim Suçlarında E-Posta Analizi

Bu durumda, bu e – postaları gönderen sanal suçluyu bulmanın ilk adımı, gelen postanın hangi IP adresinden geldiğini öğrenmektir.Klasik yöntem; failin kullandığı e-posta adresi hangi şirkete aitse, suç tarih ve saat bilgileri verilerek, o şirketten, failin suçun işlendiği sırada söz konusu e-posta adresine hangi IP adresinden bağlantı yaptığının sorulmasıdır. En sık kullanılan e-posta adresleri bakımından; Hotmail.com uzantılı e-posta adresleri için Microsoft Corp. Şirketine, gmail.com uzantılı e-posta adresleri için Google Inc. Şirketine, yahoo.com uzantılı e-posta adresleri için ise Yahoo! Inc. Şirketine müzekkere yazılarak, bu bilgiler talep edilecektir.

Bunlardan, Microsoft’un Türkiye’de resmi şubesi bulunduğundan, Hotmail.com uzantılı e-mail adresleri aracılığıyla işlenen suçlarda failin tespiti kolaydır. Bunun için, adli makamlar tarafından, söz konusu şirketin Türkiye şubesine bilgi temini talepli bir müzekkere yazılarak ve suç tarihi ile saati belirtilerek, o tarihte söz konusu e-posta adresine hangi IP adresinden bağlantı sağlandığı sorulabilir ve bu şekilde IP adresi tespit edildikten sonra, fail hangi İnternet Servis Sağlayıcıdan hizmet alıyorsa (örneğin; Türk Telekom A.Ş., TTNET A.Ş. vb.), o şirkete müzekkere yazılarak, bu IP adresinin kimin adına kayıtlı olduğu sorulup, failin kimlik bilgilerine ulaşılabilir.

Diğer Firmalarının Türkiye’de resmi yazışma ofisleri bulunmuyor ise, buralardan işlenen suçlarda, yukarıda Twitter ve Facebook için bahsettiğimiz süreç uygulanacak ve bu şirketlerin yurtdışı merkezlerinden adli istinabe yoluyla (ve elbette karşılıklılık esasına dayanılarak) IP bilgileri talep edilecektir.

Ek olarak belirtmek gerekir ki; Microsoft’tan istenecek bilgiler bakımından, Şirket kayıtlarında son 60 günlük erişim IP bilgileri depolandığından ve bu bilgiler daha sonra silindiğinden, taleplerin zamanında ve ivedilikle gerçekleşmesi son derece önemlidir.

Netice olarak konunun ana fikrine gelicek olursak.Bilişim altyapısı kullanılarak işlenen suçlarda kesin hükme varılmamalı ve her detay değerlendirilmelidir. Deliller içerisinde tespit edilen IP adresinden yola çıkarak yapılacak işlemler işi planlayan kişi tarafından bilgi sahibi olunduğundan dolayı işe yaramayacaktır. Hatta özellikle yabancı IP adresleri kullanılarak belirli kişi/kurumlar töhmet altında bırakılmak istenebilir. Bu gibi durumlarda suçluyu bulmak gerçek hayata göre daha zor görünse de konusunun uzmanı bir adli bilişimci suçlunun nereden geldiğini, kendisini gizleyip gizlemediğini, gizlediyse hangi yöntemleri, ilgili araçları kullanarak belirli bir zaman süresinde  nasıl gizlediğini ortaya çıkarabilir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!