Siber güvenlik ilginizi çekti. Hack konularına merak saldınız. Kali Linux kurdunuz, forumlara girdiniz, belki birkaç video izlediniz. Ama bir yerden sonra aklınızda şu soru belirdi: “Bu yaptığım şey… yasal mı?”
İşte bu yazı, “ne öğrenebilirim?” sorusuyla “nasıl ceza alırım?” çizgisi arasında kalmış herkes için hazırlandı. Çünkü hack öğrenmek suç değildir. Ama nereye, nasıl dokunduğunuz sizi suçlu yapabilir.
1. Kendi Sisteminizde Test Yapın, Başkasının Değil
En temel kural budur. Kendinize ait olmayan bir sisteme, ağ altyapısına, siteye ya da sunucuya test yapmayın. Hedefin size ait olması gerekir. Aksi halde yaptığınız her port taraması, SQL injection, XSS denemesi “yetkisiz erişim girişimi” sayılır.
2. Hukuk Niyeti Değil, Davranışı Kaydeder
“Ben sadece denemek istedim” açıklamanız, sistem logları karşısında değer taşımaz. Sunucu sizin isteğinizi logladığında, sizin amacınızı değil; hareketinizi kaydeder. Ve hukuk da bu loglara bakar. Yani sadece denemek bile olsa, sistem size ait değilse bu bir ihlaldir.
3. Dark Web’e Girmek, İzlemek Değil; İz Bırakmaktır
Tor tarayıcısını açmak suç değildir. Ancak dark web üzerinde çocuk istismarı, uyuşturucu, yasa dışı yazılım veya veri satışı gibi sayfalara girmek, göz atmak bile suç teşkil edebilir. VPN kullanmanız sizi gizlemez. Sadece yavaşlatır. Siber güvenlik daireleri bu trafiği filtreleyebilir ve izleyebilir.
4. Sahte Sayfa Kurmak Öğrenme Amaçlı Bile Olsa Paylaşılmaz
Bir phishing (oltalama) sayfası yaptınız diyelim. İyi niyetli bile olsanız, bu sayfayı bir arkadaşınıza “şaka olsun” diye gönderdiğinizde, kişisel veriye izinsiz erişim girişimi yapmış sayılırsınız. Test amaçlı bile olsa hedefin onayı yoksa, bu simülasyon değil saldırıdır.
5. Her CTF (Capture The Flag) Etkinliği Güvenlidir
Hack öğrenmek istiyorsanız, gerçek hedeflere değil; CTF platformlarına yönelin:
- Hack The Box
- TryHackMe
- OverTheWire
- Root Me
- PortSwigger Labs
Bu platformlar simülasyon sistemlerdir. Ne kadar saldırırsanız saldırın, yasal sınırın içindesiniz. Ve kendinizi geliştirmeniz için tasarlanmışlardır.
6. Kodları Sadece Kendi Alanınızda Koşun
Port tarayıcı yazdınız mı? Güzel. Ama hedef IP sizin değilse kullanmayın. SQLMap’le deneme mi yapacaksınız? Test etmek için local bir MySQL sunucusu kurun. Yani kodunuzu başkasının sistemine değil, kendi alanınıza yönlendirin. Yoksa tek satır kod, kanıt olarak kullanılır.
7. Sosyal Mühendislik: İnsanları Kandırmak Suçtur
Telefonla kendini BT görevlisi gibi tanıtmak, bir linki “güvenli” gibi gösterip tıklatmak, birine “bu dosyayı aç” deyip payload içeren dosya vermek… tümü yasadışı sosyal mühendisliktir. Sadece teknik değil, ahlaki bir ihlaldir. Kurbanı olmadığınız bir oyunda, aktör olamazsınız.
8. Bilgi Paylaşmadan Önce İzin Al
Bir açık buldunuz. Sisteme sızmadınız, ama fark ettiniz. Hemen sosyal medyada paylaşmak yerine, sistem sahibiyle iletişime geçin. White hat olmak istiyorsanız, bilgi vermeden önce sorumluluk almalısınız. Aksi halde niyetiniz iyi olsa bile ifşa ettiğiniz veri suç unsuru olabilir.
9. Siber Suçlar Birimi Sizi Yıllarca İzleyebilir
Bir kere loglara girmeniz, adınızın fişlenmesine neden olabilir. Hiçbir uyarı almadan izlenmeye başlanabilir. Sadece bir sızma girişimiyle değil; bir Wi-Fi yönlendirme, bir sahte sayfa, bir virüs dosyası bile sizi izleme listesine sokabilir. Ve bu listeye girmek kolaydır. Çıkmak ise çok zordur.
10. Bilgiyi Tehlikeye Değil, Güvene Dönüştür
Hack öğrenmek suç değildir. Ama bu bilgiyle başkasının sistemine, verisine, cihazına izinsiz dokunmak suçtur. Bilgi, suç için değil; güvenlik için kullanılır. Ve gerçek hacker, ilk önce sınırını çizebilendir.
Özgürlük Kodla Başlar, Sorumlulukla Devam Eder
İnternette öğrendiğiniz her bilgi sizi güçlendirebilir. Ama aynı bilgi, sizi tehlikeli de yapabilir. Hack öğrenmek istiyorsanız, ilk komutunuz şu olsun:
# Yasal mıyım?
# Etik miyim?
# Sorumluluk taşıyor muyum?Unutmayın: Hapisteki birçok hacker ilk kodunu “sadece deneme” için yazdı.