Ransomware; fidye yazılımı, şantaj yazılımı veya fidye virüsü olarak bahsedilen zararlı yazılımlara verilen genel bir addır. Bu zararlı yazılımların en bilinen örneği ise CryptoLocker olarak adlandırılan ve bulaştığı bilgisayarlardaki bir takım dosyaları şifreleyen ve bu şifrenin doküman sahibine verilmesi için günümüzde takibi henüz mümkün olmayan bitcoin yoluyla fidye talep eden bir virüstür. [1]
CryptoLocker, yukarıda anmış olduğumuz şekilde fidye isteyen virüs kategorisinde (ransomware) bir zararlı yazılım olup, ülkemizde son dönemlerde genellikle e-fatura içeren sahte postalar yolu ile yayılmakta ve bilgisayarlardaki dosyaları şifreleyerek açılmamasına neden olmaktadır. Söz konusu virüs kurumsal bilgisayarlardaki çalışmalara zarar vermesi yanında, kişisel bilgisayarlarda da ciddi bir tehdit oluşturmakta, yüksek lisans/doktora tezi gibi uzun süreli emek verilen çalışmalara, kişisel resim/video ve belge arşivlerine erişememe gibi sorunlara yol açmaktadır. Buna ilişkin T.C. Ulaştırma ve Altyapı Bakanlığı tarafından bir duyuru yapılarak Jandarma Genel Komutanlığı tarafından hazırlanan işbu virüsü tanıtan ve korunma yollarından bahseden bir doküman web sitesinde yayımlanmıştır.[2]
CryptoLocker’ın çalışma prensibine gelecek olursak; saldırgan tarafından öncelikle kurbanın bilgisayarına zararlı yazılımın olduğu bir mail eklentisi vb. bir dosya gönderilerek kurbanın zararlı yazılımı ihtiva eden programı açması sağlanır. Kurban tarafından bu program açıldıktan sonra zararlı yazılım bilgisayar içerisinde yayılmaya başlayarak sistem dosyaları harici tüm dosyaları şifreler. CryptoLocker virüsünün veri dosyaları da dahil olmak üzere 67 farklı dosya türünü şifrelediği bilinmektedir.
Dell SecureWorks tarafından paylaşılan[3] aşağıdaki haritada 9 Aralık – 16 Aralık 2013 tarihleri arasında CryptoLocker virüsünün etki ettiği ülkeler ve yoğunluğuna dair veriler mevcuttur. Ülkemizde 500-999 arasında bir yoğunlukta bu virüsten etkilenmiştir ki haritadan görüleceği üzere dünyadaki birçok ülkeden fazla bir etkilenme mevcuttur. Bunun nedeni olarak da ülkemizde maalesef halen kullanılan korsan yazılımların etkisi büyüktür.
CryptoLocker virüsü genel olarak RSA 2048 şifreleme algoritmasını kullanmaktadır.[4] Kullanılan bu güçlü algoritmanın şifrelediği bir dosyanın şifresinin çözülmesi neredeyse olanaksızdır. Örneğin sıradan bir masaüstü bilgisayar ile şifrenin çözülmesi yaklaşık olarak 6,4 katrilyon yıl sürmektedir.[5]
Şifreleme safhasının tamamlanmasının sonrasında kurbanın bilgisayarında saldırgan tarafından gönderilen bir mesaj belirir. İşbu mesajda dosyaların şifrelerinin çözülmesi için istenen meblağın belirtilen süre içerisinde gönderilmesi aksi takdirde dosyalarının geri dönülemez bir şekilde şifreli kalacağı kurbana bildirilir. Yukarıda bahsedildiği üzere şifrenin çözülmesinin imkansıza yakın olması nedeniyle kurban tarafından izlenecek iki yol vardır; ya saldırganın istediği meblağ ödenerek dosyaların çözülmesini beklemek, ki burada saldırgana güvenmekten başka yapabilecek başka bir şey yoktur, ya da saldırgan tarafından istenen meblağ ödenmeyecek ve o dosyalar artık kaybedilecektir.
Bu gibi saldırılarla karşılaşma riski ister bireysel kullanıcı olunsun isterse kurumsal kullanıcı olunsun her zaman mümkündür. Kişi her ne kadar bilinçli bir bireysel kullanıcı olduğunu düşünse de bir anlık dalgınlık ile zararlı yazılımın bilgisayarına yüklenmesine sebebiyet verebilir ve vahim sonuçla karşılaşabilir. Kurumsal kullanımlarda ise her ne kadar şirket BT ekipleri tarafından kullanıcılara gerekli eğitimler verilse ve sistemlere giriş çıkışlar kontrol edilse de bir kullanıcının anlık bir hatası ile zararlı yazılım sisteme girebilecek ve hatta şirketin tüm server dosyalarını şifreleyebilecektir.
Zararlı yazılımla karşılaşma riskinin bu denli yakın olması karşısında veri güvenliği uzmanlarının da tavsiye etmiş olduğu üzere periyodik aralıklarla dosyaların yedeklerinin alınması bir koruma sağlamasa bile saldırıyla karşılaşıldığında dosyaların yedekleri ile hayata devam edebilme konusunda bir avantaj sağlamaktadır.
Konuyu hukuki koruma bağlamında ele alacak olursak; Türk Ceza Kanunu’nda bilişim alanında suçlar madde 243 ve devamında düzenlenmiştir. TCK Madde 244 “Sistemi engelleme, bozma, verileri yok etme veya değiştirme” başlığı ile hüküm altına alınmıştır.
“Madde 244 – (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.”
Anılı maddenin 2. Fıkrasında yukarıda bahsettiğimiz CryptoLocker virüsünün işlemini tanımlayan dosyaları şifreleme halinde sanığa uygulanacak cezai müeyyide düzenlenmiştir. Buna göre saldırgan tarafından zararlı yazılımın kurbanın bilgisayarına yüklenmesi ve var olan verilerin erişilmez kılınması halinde saldırgana 6 aydan 3 yıla kadar hapis cezası verilebilecektir.
Kaldı ki saldırganın eylemleri şifreleme ile son bulmamakta saldırgan gerçekleştirmiş olduğu ransomware saldırısı gereği kurbandan erişilmez kıldığı verilerine tekrar kavuşabilmek için fidye talep etmektedir. Bu husus da maddenin 4. fıkrasında bir nitelikli hal olarak öngörülmüş ve fidye isteme eyleminin başka bir suç oluşturmaması halinde verilecek olan cezayı 2 yıldan 6 yıla kadar hapis ve 5000 güne kadar adli para cezası olarak düzenlemiştir.
Kanun koyucu tarafından her ne kadar işbu suça ilişkin düzenleme ve ceza normları getirilmiş ise de burada asıl önemli husus bu eylemleri gerçekleştiren saldırganların tespiti noktasındadır. Yukarıda da bahsetmiş olduğumuz üzere saldırganlar şifrenin çözülebilmesi için kullanıcıları genellikle bitcoin gibi takibi zor dijital para birimiyle ödeme yapmaya yönlendirmektedir. Bu nedenle de soruşturma aşamasında saldırganın tespiti mümkün olamamakta ve dosya daimi arama kararı ile zamanaşımı süresinin dolmasını beklemektedir.
Sonuç olarak, ransomware yazılımlarının bir türü olarak ortaya çıkan CryptoLocker adlı zararlı yazılımın gerçekleştirdiği işlemler her ne kadar TCK m. 244/2’de suç olarak düzenlenmişse de pratikte işbu maddeler mağdurları koruyamamakta ve anonimlik nedeniyle herhangi bir cezai müeyyide ile karşılaşma riski altında bulunmayan saldırganların bu işe sürekli bir şekilde devam etmesine sebebiyet vermektedir. Bu nedenle gerek bireysel gerekse de kurumsal kullanıcılar tarafından yedekleme şeklinde gerekli tüm önlemler alınmalı ve bu tür bir saldırı ile karşılaşıldığında saldırgana hiçbir şekilde bir ödeme yahut menfaat sağlamadan tüm iş ve işlemlerine kaldıkları yerden devam edebilmelilerdir.
[1] https://tr.wikipedia.org/wiki/Fidye_vir%C3%BCs%C3%BC#cite_note-young-19
[2] https://www.uab.gov.tr/uploads/pages/cryptolocker-virusu-hakkinda-bilgilendirme/74bc0128f065b41.pdf
[3] https://www.secureworks.com/research/cryptolocker-ransomware
[4] Doç. Dr. Olgun Değirmenci, Cryptolocker; Bir Fidye Virüsünün Ceza Hukuku Açısından Analizi, Yaşar Üniversitesi Hukuk Fakültesi Dergisi, C.1 S.2 Temmuz 2019, s.175
[5] Sherer, James A. / McLellan, Melinda L. / Fedeles, Emily R. / Sterling, Nichole L.:
Ransomware – Practical and Legal Considerations for Confronting the New Economic Engine of the Dark Web, Richmond Journal of Law & Technology, Vol. XXIII, Issue 3, s. 1