Hack-Back Yasal Olmalı mı? Siber Güvenlik ve Hukuk Çıkmazı

Bir sunucu operatörünün günlük rutini, .env ve .git dosyalarını hedef alan otomatik taramalarla dolu sunucu günlüklerini incelemektir. Bu tür uç noktalar, açığa çıkmaları halinde veritabanı kimlik bilgilerini, API anahtarlarını ve dahili yapılandırma verilerini ifşa edebilir. Bu durum karşısında, "ya ben de oyuna katılsaydım?" düşüncesi akla gelebilir: ikna edici bir dosya sunup, ancak bunu büyük miktarda önemsiz veriyle doldurup tarayıcının işlemesini sağlamak. Ancak yapılan araştırmalar, hukukun bu konuya farklı yaklaştığını açıkça ortaya koymaktadır.

Çoğu yargı alanında, üçüncü taraf bir bilgisayar sistemini kasıtlı olarak bozmak veya zarar vermek yasa dışıdır, bu sistemin sizin sisteminize ilk başta ne yaptığına bakılmaksızın. Almanya'da § 303b StGB, Avusturya'da § 126b StGB ve ABD'de Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası (CFAA) gibi yasalar, bilgisayar sistemlerinin kasıtlı olarak bozulmasını yasaklar ve ciddi cezalar öngörür. Temel prensip şudur: hukuk, sistemleri korur, operatörlerin niyetlerini değil. Bir savunma önlemi, kendi altyapınızı korumanın ötesine geçip başkasının sistemine zarar vermeye başladığı anda, o sistem sizin sisteminizi aktif olarak tarıyor olsa bile sorumlu hale gelirsiniz. "Onlar başlattı" savunması hukuken geçerli değildir.

Bu durumu, saldırıların genellikle ele geçirilmiş üçüncü taraf sistemlerden veya botnet'lerden gelmesi daha da karmaşık hale getirir. Bir "hack-back" eylemi, saldırgana değil, masum bir kurbanın altyapısına zarar verebilir. Yasal olarak onaylanmış bir alternatif olarak "tarpitting" önerilir: bir bağlantıyı kasıtlı olarak aşırı derecede yavaşlatmak (örneğin saniyede bir bayt), böylece tarayıcının iş parçacığı süresiz olarak meşgul kalır ve hiçbir işe yarar veri alamaz. Bu yöntem, saf, yüksek hacimli botlara karşı etkili olsa da, dağıtılmış botnet taramaları ve agresif zaman aşımı ayarları olan modern tarayıcılar karşısında etkinliğini yitirebilir.