Kali Linux, siber güvenlik uzmanlarının en güçlü cephaneliğidir. İçinde yüzlerce exploit, scanner, brute force, sniffing ve social engineering aracı bulunur. Özellikle Metasploit Framework, yüzlerce hazır payload ile gelir. Tek bir komutla sistem taranır, zayıf nokta yakalanır ve exploit tetiklenir. Ama işte burada bir tuzak başlar: Kali’de bulunan hazır exploit’leri çalıştırmak teknik olarak kolay olabilir; fakat hedef sistem senin değilse — ya da ondan yazılı bir iznin yoksa — kullandığın her payload seni yasal riskin tam ortasına çeker. Şimdi, bu hazır kodların neleri tetiklediğini ve seni nasıl bir hukuki sürece sokabileceğini açıklıyoruz.
Hazır Payload Ne Demektir?
Hazır payload, belirli bir güvenlik açığını istismar ettikten sonra hedef sisteme sızmak veya işlem yaptırmak için kullanılan, önceden tanımlanmış bir zararlı kod parçasıdır. Kali’deki en yaygın örneklerden bazıları:
windows/meterpreter/reverse_tcplinux/x86/shell_reverse_tcpphp/meterpreter_bind_tcpandroid/meterpreter/reverse_http
Bu payload’lar sistemde shell açabilir, dosya sistemi üzerinde tam yetki verebilir, hatta ekran görüntüsü alabilir.
Peki Sorun Nerede Başlıyor?
Sen bir exploit’i çalıştırıp payload’ı bağladığında, Kali’nin terminali şunu der:
Meterpreter session 1 opened
Bu mesaj belki teknik bir zafer gibi görünür ama hukuki sistem bunu şu şekilde okur:
Sen, bir bilişim sistemine izinsiz erişim sağladın, yetki aldın, veri bütünlüğünü tehdit edecek imkânlar elde ettin.
İşte bu, suçun oluşması için yeterlidir. Hedef sistem devlet sunucusuysa, banka ağıysa, ya da herhangi bir gerçek kişiye aitse — artık sadece “öğrenmek istiyordum” diyemezsin.
Hazır Payload Kullanırken Karşılaşabileceğin 5 Yasal Risk
1. TCK 243: Bilişim Sistemine Girme
Sisteme izinsiz erişim sağlamak, sadece dosya değiştirmek değil, bağlantı kurmakla başlar. Meterpreter ile sistemde shell açılırsa, suç tamamlanmış sayılır.
2. TCK 244: Sisteme Zarar Verme / Verileri Engelleme
Payload çalıştıktan sonra herhangi bir işlem (örneğin clipboard takibi, ekran görüntüsü, dosya silme) yaparsan, bu verilerin bozulması olarak değerlendirilir.
3. KVKK İhlali
Hazır payload ile topladığın verilerde kullanıcı adı, parola, IP, cihaz bilgisi gibi kişisel veriler varsa, bu durum 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında ayrıca suç oluşturur.
4. Marka veya Kurumsal Ağlara Müdahale
Payload hedef olarak bir şirketin sistemini seçerse (örneğin varsayılan ağda açık bir Windows 7 servisi), bu şirket izinsiz sızmayı fark ettiğinde BTK veya savcılığa başvurabilir. Hazır exploit olsa bile, kullanan sen olduğun için sorumlusun.
5. Yargılama Sırasında “Exploit Hazırdı” Demek Yetersizdir
“Ben yazmadım, Metasploit’te vardı” savunması geçerli değildir. Çünkü önemli olan kodun kim tarafından yazıldığı değil, çalıştırıldığı sistemdir. Kullanılan araç her ne olursa olsun, niyet ve eylem seni suçlu yapabilir.
Gerçek Hayattan Vaka: Public Exploit ile Suçlanan Üniversite Öğrencisi
2021’de bir üniversite öğrencisi, Kali Linux üzerinde çalışan bir reverse shell payload'u, okul ağındaki varsayılan açık bir Apache sunucusuna denedi. Sistem açıldı, shell geldi. Dosya bile indirmedi, ama loglar yakaladı. Sistem yöneticisi durumu BTK’ya bildirdi. Öğrenciye “bilişim sistemine yetkisiz erişim ve veri tehditi” ile soruşturma açıldı. Ceza ertelendi, ancak adli siciline işlendi. Kamu kurumlarına girişte red aldı.
Peki Ne Yapmalısın?
- Exploit testlerini yalnızca yazılı izin aldığın sistemlerde yap
- HackTheBox, TryHackMe, VulnHub gibi legal platformlarda öğren
- Payload çalıştırmadan önce hedefin %100 sana ait olduğundan emin ol
- Sanal ağ (VM + NAT) üzerinde deneme yap, dış IP’ye yönlendirme yapma
- Hazır script'lerin davranışlarını önce oku, sonra kullan
Ve Bilinmesi Gereken Derin Gerçek
Kali Linux sana tüm cephaneyi sunar. Ama hangi hedefe doğrulttuğun, kim olduğunu belirler. Hazır bir exploit, senin elinde hazır bir suç kaydına dönüşebilir. Kod senin olmasa da sorumluluk senindir. Çünkü dijital dünyada sadece yazmak değil, çalıştırmak da bir eylemdir. Ve her eylem, loglara iz bırakır. Bazı izler silinir, bazıları geleceğini siler.