Kısa cevap: IP sahteciliği (IP spoofing); saldırganların hedefe yönelik isteklerini, sahte — yani saldırıyı gerçekleştiren makineye ait olmayan — internet adreslerinden geliyormuş gibi görünecek şekilde oluşturmasıdır. Saldırı paketleri sahte kaynaktan geliyormuş gibi işaretlendiğinde, gerçek kaynağın ve dolayısıyla failin tanımlanması son derece zorlaşır; bu durum, IP adresi suçta kullanılan masum kişilerin şüpheli konumuna düşmesine yol açabilir.
IP adreslerinin tespit edilmesi sonucunda gerçek faillere ulaşabilmede yaşanabilen sorunlardan biri de IP sahteciliğidir. IP sahteciliği; saldırganların hedefe yönelik isteklerini, bir veya daha fazla sahte internet adresinden geliyormuş gibi görünecek şekilde oluşturması anlamına gelmektedir. IP adresi sahteciliği, ilişkilendirmedeki zorluğun önemli bir parçasıdır: Eğer saldırının geldiği paketler sahte kaynak makineden geliyormuş gibi işaretlenirse, gerçek kaynağın tanımlanması ve netice olarak da fail ya da faillerin tanımlanması son derece zor olacaktır.
IP yanıltma senaryosunda saldırgan, hedef aldığı gerçek kullanıcının kimliğine dair bir bilgiye ihtiyaç duymaz. Paketleri sahte bir kaynak IP adresiyle gönderdiğinde, geri dönen yanıtlar gerçek kullanıcıya ulaşır; ancak bu kullanıcı beklemediği bir veri trafiğiyle karşılaşarak asıl alması gereken hizmete erişemez. Bu durum, yetkisiz kişilerin ağ trafiğine müdahale etmesine kapı aralarken; aynı zamanda ağ bant genişliğini tüketerek meşru kullanıcıları hizmet dışı bırakabilir.
IP sahteciliğine sebep olan temel sebeplerden biri, mevcut IP ağlarındaki zayıflıktır. Bu eksiklik, yetkisiz bir kullanıcının ağı rastgele kaynak IP adresi içeren IP paketleriyle doldurmasına imkân tanır. Yaygın şekilde karşılaşılan sorun ise; gerçek kullanıcıların bant genişliğini kullanan yetkisiz kullanıcılardan gelen sahte paketler nedeniyle ortaya çıkan DDoS (dağıtık hizmet engelleme) saldırılarıdır.
Yeri gelmişken belirtmek gerekir ki; IP sahteciliğine yönelik saldırılar tüm protokollerde kullanılabilirken, yalnızca TCP (Transmission Control Protocol) protokolünü kullanan uygulamalarda gerçekleştirilememektedir. Bunun temel nedeni; TCP başlık bilgisinde yer alan sıra numaralarının tahmin edilemez şekilde üretilmesi ve TCP protokolünün, bağlantı kurulmadan önce her iki uç arasında üçlü el sıkışma (three-way handshake) işlemini tamamlamayı zorunlu kılmasıdır. Bu aşamalar geçilmeden iki uç arasında veri transferi normal yollardan gerçekleştirilemez. Bu sebepten dolayı TCP protokolü, IP sahteciliğine karşı oldukça güvenli bir ağ bağlantısı sağlamaktadır.
IP sahteciliği, niteliği gereğince gerçek faillerin maskelenmesine olanak vermekle beraber; suç olarak tanımlanan herhangi bir fiili icra etmeyen masum kişilerin basit şüphe altında olmasına sebebiyet verebilmektedir. Bu durum adli makamlar açısından, yasa dışı faaliyet kanıtı olabilecek tüm internet aramalarını kaldırmak için tarama geçmişinin temizlenmesine benzetilebilir.
Kimlikleri gizlemeye yönelik bu yöntemler hem İSS'lere hem de adli makamlara zarar verir; çünkü İSS'ler müşterilerin geçmiş günlüklerini tarama yeteneklerini geliştirmesi, ilgili reklamları sunabilmesi ve başka iyileştirmeler yapabilmesi açısından yanılgıya düşürülebilmekte; adli makamlar tarafından da suçluların çevrimiçi şekilde takip edilmesi açısından ciddi sorunlara sebebiyet verebilmektedir. Çünkü bu sahtecilik yöntemiyle gerçek kullanıcı, kullanılmış olduğu IP adresini suçun işlendiği tarihte suç teşkil eden herhangi bir eylemde kullanmadığından; gerçek kullanıcının IP adresi, bir başka kişi tarafından suç teşkil eden eylemlerin icra edilmesine aracı olarak kullanılmış olmaktadır.
Savunma açısından önemi: IP tespitine dayalı dosyalarda spoofing ihtimali; IP kaydının port ve zaman damgası eşleştirmesiyle doğrulanmasını, şüphelinin cihazlarında suça ilişkin dijital iz bulunup bulunmadığının adli bilişim incelemesiyle araştırılmasını ve bağlantının niteliğine ilişkin bilirkişi değerlendirmesini gerektirir. Salt IP eşleşmesine dayalı bir isnat, sahtecilik ihtimali dışlanmadan kesin delil sayılmamalıdır.
Önemli: Bu yazı genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. IP adresinizin bilginiz dışında bir suçta kullanıldığından şüpheleniyorsanız veya IP tespitine dayalı bir soruşturmayla karşı karşıyaysanız, alanında deneyimli bir bilişim suçları avukatından — İstanbul'da iseniz bir İstanbul bilişim suçu avukatından — destek almanızı öneririz.
