Hack kelimesi duyulduğunda çoğu insanın aklına yasa dışı işler gelir. Ama gerçek çok daha karmaşıktır. Çünkü her hack girişimi suç değildir. Her bilgiye erişim yasa dışı sayılmaz. Ve bazı hack teknikleri, aslında sistem güvenliğini artırmak için kullanılır.
Peki ne zaman bilgi olur? Ne zaman suç? Yasal sınır nerede başlar, nerede biter?
Legal Olanlar: Bilgi Amaçlı, İzinli ve Kontrollü
- Kendi sisteminde güvenlik testi yapmak
- CTF (Capture The Flag) gibi simülasyon platformlarında görev çözmek
- Honeypot üzerinde davranış gözlemlemek
- Open-source (açık kaynak) sistemlerde zafiyet testleri yürütmek
- İzinli bug bounty programlarına katılmak
- Yerel sanal ağlarda ARP spoofing, sniffing gibi teknikleri uygulamak
Bu örneklerin tümü yasal sınır içindedir. Çünkü ya sisteme siz sahipsiniz, ya da açıkça izin almışsınız.
Gri Alan: Bilgiyi Elde Etmeden Önce Durmak
Örneğin: Bir web sitesinde giriş formuna özel karakter girip SQL hatası almak. Bu, sadece zafiyet olup olmadığını test etmektir. Ancak:
- Veritabanına erişirseniz
- Parola ya da e-posta gibi veri çekerseniz
- Hatalı formu tekrar tekrar çalıştırırsanız
O zaman artık sınır aşılmış olur. Yani sistemden bir bilgi alındıysa, niyetiniz ne olursa olsun yasal süreç başlar.
Suç Sayılan Eylemler: Yetkisiz Erişim ve Veri Elde Etme
- Size ait olmayan sistemde port taraması yapmak
- Sitede açık tespit edip sisteme sızmak
- Yetkisiz olarak oturum açmak ya da parola denemek
- Sisteme zarar vermek, logları silmek, iz bırakmamak
- Verileri paylaşmak, kaydetmek ya da satmak
- Sahte sayfalarla kullanıcı bilgisi toplamak
Buradaki ortak nokta: Veriye erişim sağlamak, izinsiz olmak ve loglara işlenmek.
Gerçek Hayat Örneği: Yasal Olacağını Sandı, Soruşturma Açıldı
Bir yazılım öğrencisi, açık olduğunu düşündüğü bir web sitesinde giriş formuna test amaçlı SQL injection denedi. Hata mesajı aldı. Merak edip denemeye devam etti. Ve bir noktada admin paneline erişti. Veri çekmedi. Sadece böyle bir açık varmış diye sosyal medyada paylaştı. Sonuç: Veri elde etmese de, loglarda sistem ihlali olarak kayıtlıydı. Savcılık neden girdin? diye sordu. Cevap: Hacklememiştim. Ama artık çok geçti.
Yasalara Göre Hack: Türkiye Örneği
5237 Sayılı Türk Ceza Kanunu Madde 243 ve 244'e göre:
- Bir bilişim sistemine izinsiz girmek
- Sistemin işleyişini bozmak veya engellemek
- Verileri kopyalamak, silmek veya değiştirmek
doğrudan suç sayılır. Veri elde edilmese bile, sisteme yapılan izinsiz erişim cezalandırılabilir. Yani: Ben sadece denedim cümlesi, ceza almamak için yeterli değildir.
Peki Nereden Bileceğim Yasal Olduğunu?
Basit 3 soru sor:
- Sistem bana mı ait?
- Sistem sahibinden yazılı veya sözlü izin aldım mı?
- Yaptığım şey veri çekmeden, sadece analiz etmek mi?
Bu 3 sorudan birine bile hayır cevabı veriyorsan, bulunduğun yer yasal değil, risklidir.
Bilgi Herkese Aittir, Ama Erişim Herkese Açık Değildir
Hack demek yasa dışı demek değildir. Ama bilinçsizce yapılan her test, sizi loglarda bir saldırgan gibi gösterebilir. Bir form denemesi, bir terminal komutu, bir port taraması Sizin için küçük olabilir, ama sistem için şüpheli bir girişimdir.
Gerçek güvenlik uzmanları, yasal sınırı kodla değil; karakterle çizer. Ve unutma: Sınırı geçtiğini fark ettiğinde değil, o sınırı merak ettiğinde sorumluluk başlar.