İnternet ortamında gerçekleştirilen fiillerde failin tespiti, çoğu zaman IP adresinin (Internet Protocol Address – İnternet Protokol Adresi) doğru şekilde belirlenmesine bağlıdır. Uygulamada IP adresi, sıklıkla “kişiyi gösteren teknik delil” olarak algılanmakta ise de, bilişim altyapısının işleyişi dikkate alındığında bu kabul her zaman geçerli değildir. Zira IP adresi, doğrudan bir kişiyi değil, yalnızca bir ağ bağlantı noktasını ifade eder.

Bu nedenle, IP adresinin tespit edilemediği ya da tespit edilen IP adresinin fiili kullanıcıyla kesin biçimde ilişkilendirilemediği hâllerde failin belirlenmesi teknik olarak mümkün olmayabilir. Aşağıda, IP adresinin neden ve hangi teknik yöntemlerle belirsiz hâle gelebildiği bilişim sistemlerinin çalışma mantığı çerçevesinde incelenecektir.

 IP Adresi Kavramı ve Teknik İşlevi

IP adresi, internet üzerinden veri iletimi sağlayan Internet Protocol (IP) sisteminin temel bileşenidir. İnternete bağlanan her cihaz, iletişim kurabilmek için bir IP adresi kullanır. Bu adres, veri paketlerinin (internet üzerinde taşınan bilgi birimleri) hangi noktadan gönderildiğini ve hangi noktaya ulaştırılacağını belirler.

Burada belirtmek gerekir ki İnternet üzerinden gerçekleştirilen hiçbir veri aktarımı tek parça hâlinde yapılmaz. Aksine, iletilmek istenen tüm bilgiler teknik olarak daha küçük parçalara bölünerek gönderilir. Bu küçük parçalara “paket” (packet) adı verilir. Paket kavramı, internet iletişiminin en temel yapı taşlarından biridir ve IP adresine ilişkin tüm teknik tartışmaların merkezinde yer alır.

Bu durumu basit bir benzetmeyle açıklamak mümkündür. Bir kitabın kargo yoluyla gönderildiği düşünülürse, kitabın tek kutuya konması yerine parçalara ayrılarak numaralandırılmış çok sayıda küçük zarf içinde gönderildiği varsayılabilir. Her zarf; kendisini kimin gönderdiğini, kime gideceğini ve gönderinin hangi parçasını taşıdığını belirtir. Öyle ki her zarf gönderilen bilginin küçük bir bölümünü taşırken, aynı zamanda bu bilginin kaynağına ve hedefine ilişkin teknik bilgileri de içerir.

Bir IP paketi teknik olarak iki ana bölümden oluşur. İlk bölüm “başlık” (header) olarak adlandırılır. Bu bölüm, paketin kimlik bilgisi niteliğindedir ve paketin kaynak IP adresini, yani gönderildiği ağ noktasını; hedef IP adresini, yani paketin ulaştırılmak istendiği sunucu veya cihazı; ayrıca paketin sıra numarasını ve hangi iletişim protokolünün kullanıldığını içerir. Fail tespiti bakımından kritik olan tüm bilgiler bu başlık kısmında yer alır. İkinci bölüm ise “veri” (payload) kısmıdır. Bu bölümde gönderilen mesajın, web isteğinin veya dosyanın yalnızca küçük bir parçası bulunur.

Bir kişi internette herhangi bir işlem gerçekleştirdiğinde, örneğin bir web sitesine mesaj gönderdiğinde, bu mesaj teknik olarak paketlere bölünür. Her bir paketin başlığına bir kaynak IP adresi yazılır ve bu paketler internet üzerinden hedef sunucuya iletilir. Hedef sunucu, kendisine ulaşan bu paketleri yeniden birleştirerek işlemi tamamlar. Sunucu kayıtlarında (loglarda) görülen IP adresi, gerçekte paketlerin başlık kısmında yer alan bu kaynak IP bilgisidir.

Özetle paket, internet üzerindeki her işlemin, üzerinde kaynak IP bilgisi bulunan en küçük teknik taşıyıcısıdır. IP adresine ilişkin tüm tespit ve delil tartışmaları, gerçekte bu paketlerin başlık bilgilerinin doğruluğu ve güvenilirliği üzerinden şekillenir.

Tam bu noktada IP protokolü “Bu paketi nereye ulaştırmalıyım?” sorusunu cevaplamak üzere tasarlanmıştır, teknik olarak posta sistemi mantığıyla çalışır. Protokol (postacı) yalnızca alıcı adresine bakar ve zarfı (veriyi) oraya ulaştırır. Bu işlemi yaparken adresin gerçekten paketi gönderen cihaza ait olup olmadığını kontrol etmez yani IP protokolünün merkezi bir doğrulama sistemi yoktur. Eğer sistem kaynak IP doğrulaması yapmaya kalkarsa internet trafiği aşırı yavaşlayacaktır ve günümüzde internet hızı ve internetteki veri akışı yükü da düşünüldüğünde böyle bir sistemin varlığı ölçeklenemez olurdu.

IP protokolü ağdaki cihazların kaynak adresi doğru yazacağını varsayar. Bu teknik bir güven varsayımıdır, hukuki veya güvenlik temelli bir güven değildir. Bu durum, kötü niyetli kişiler tarafından istismar edilebilmektedir.

Protokolün bu eksikliği zamanla fark edilmiş ve sonradan şifreleme veya güvenlik duvarı gibi  ek çözümler geliştirilmiştir. Ancak Bu çözümler IP’nin kendisi değildir; IP’nin üzerine eklenmiş ayrı güvenlik katmanlarıdır. Dolayısıyla bu katmanların olmadığı yahut yetersiz kaldığı durumların var olabileceği, sistemin kendi güvenliğinin mevcut olmadığı gözetilmelidir.

IP Adresinin Belirsizleşmesine Yol Açan Teknik Yöntem Örnekleri

Teknik açıdan şu hususun altı özellikle çizilmelidir: Sunucular kişiyi veya cihazı doğrudan görmez; yalnızca kendilerine ulaşan paketi ve bu paket üzerindeki teknik bilgileri görür. Eğer paket üzerinde yer alan kaynak IP adresi sahte ise, başkasına aitse veya aynı IP adresi birden fazla kişi tarafından kullanılıyorsa, bu durumda yalnızca paket başlıklarına dayanarak belirli bir kişiye ulaşmak teknik olarak güvenilir bir sonuç üretmez. Bu teknik gerçeklik, IP adresine dayalı delillerin hukuki değerlendirilmesinde dikkate alınması gereken temel noktayı oluşturur. Bu açıdan IP protokolüne yapılabilecek bazı müdahaleler aşağıda incelenmiştir:

A. IP Spoofing (IP Sahteciliği)

IP Spoofing, gönderilen IP paketlerinde yer alan kaynak IP adresinin, gerçek adres yerine bilerek farklı bir adresle değiştirilmesi işlemidir³. Bu yöntemde hedef sistem, paketin geldiği kaynağı yanlış algılar. Yukarıda da bahsettiğimiz gibi IP protokolü ağdaki cihazların kaynak adresi doğru yazacağını varsayacağından  IP spoofing, bu güven varsayımının kötüye kullanılmasıdır.

Örneğin bir kişi, kendi IP adresi yerine başka bir ülkeye veya kuruma ait bir IP adresini kullanarak paket gönderdiğinde, hedef sistem işlemi o sahte IP adresine atfeder. Bu yöntemde IP adresi mevcut olsa dahi IP ile fail arasındaki bağ kopmuştur.

B. Proxy ve SOCKS Sunucularının Kullanımı

1. Proxy (Vekil Sunucu)

Proxy sunucular, kullanıcı ile hedef sistem arasında aracı olarak çalışan sistemlerdir. Kullanıcı, hedef siteye doğrudan bağlanmaz; bağlantı proxy sunucu üzerinden gerçekleştirilir. Bu durumda hedef sistem, yalnızca proxy sunucunun IP adresini görür ve kullanıcının gerçek IP adresi gizlenmiş olur. Proxy kullanımı özellikle IP adresinin başka bir ülke veya kurum üzerinden görünmesi, yani failin tespitinin üçüncü bir hizmet sağlayıcıya bağlı hâle gelmesi sonucunu doğurur.

2. SOCKS Proxy

SOCKS, web trafiğiyle sınırlı olmayan, daha genel bir yönlendirme protokolüdür. SOCKS proxy kullanıldığında da hedef sistem, gerçek IP yerine SOCKS sunucusunun IP adresini kaydeder.

Önemle belirtmek gerekir ki SOCKS sistemleri çoğu zaman trafiği şifrelemez; ancak IP adresini maskeleme konusunda son derece etkilidir.

C. VPN (Virtual Private Network – Sanal Özel Ağ)

VPN sistemlerinde kullanıcı trafiği, VPN sunucusuna kadar şifreli bir tünel üzerinden taşınır. Hedef sistem, kullanıcının gerçek IP adresini değil, VPN sunucusunun IP adresini görür.

VPN kullanımı, IP adresinin gerçek kullanıcıyla ilişkilendirilmesini ciddi ölçüde zorlaştırır. Her ne kadar VPN ve Proxy yöntemleri benzer görünse de proxy hukuki hata üretme potansiyeli daha yüksek yöntemlerdendir. VPN kullanımının trafik deseninden, şifreleme yapısından, bilinen VPN IP havuzlarından tespit edilme ihtimali daha yüksekken proxy kullanımı ise çoğu zaman standart HTTP/HTTPS trafiği gibi görünür ve bir gizleme yöntemi olarak algılanmayabilir.

D. IP Paketlerinin Düzenlenmesi ve NAT Mekanizması

IP adresinin belirsizleşmesine yol açan bir diğer unsur, Network Address Translation (NAT – Ağ Adres Çevirisi) sistemidir. NAT, birden fazla cihazın internete tek bir genel IP adresi üzerinden çıkmasını sağlar. Bir ev veya ofis ağında onlarca cihaz bulunmasına rağmen, dış dünyaya karşı tüm bağlantılar aynı IP adresinden yapılmış gibi görünür. Bu durumda IP adresi tespit edilse dahi bu IP’nin hangi cihaz veya kişi tarafından kullanıldığı teknik olarak ayırt edilemeyebilir.

Günümüzde dünya çapında mobil operatörler tarafından NAT yöntemi yaygın biçimde kullanılmaktadır. Bu durum Türkiye’deki GSM operatörleri (özellikle Turkcell ve Türk Telekom) açısından da geçerlidir. Böylece Türkiye’de de mobil internet kullanıcılarının gerçek IPv4 adresine ulaşılmasının zor hale geldiği açıktır zira birden çok abone aynı public IP adresini paylaşabilir ve doğrudan kişiye özgü bir IP eşleşmesi teknik olarak mümkün olmayabilir.

 Teknik olarak mobil operatörler, IPv4 adreslerinin sayısının sınırlı olması nedeniyle her cihaza doğrudan tekil ve sürekli bir public (genel) IP adresi atamak yerine, cihazlara özel IP adresleri verir ve bu adresleri operatör ağının içinde sunulan NAT cihazları üzerinden tek veya sınırlı sayıdaki public IP adresi ile paylaştırırlar. Bu büyük ölçekli NAT uygulamasına Carrier-Grade NAT denir; bu uygulama sayesinde aynı public IP adresi yüzlerce veya binlerce kullanıcı tarafından paylaşılabilir hâle gelir. Bu yöntem IPv4 adres kıtlığını hafifletir ancak dışarıdan yapılan bağlantıların doğrudan bireysel cihaza yönlendirilmesini engeller ve IP adresinin fail tespitinde bireysel olarak kullanılmasını zorlaştırır çünkü bir IP adresi artık aynı anda birçok kullanıcıyla ilişkilendirilebilir.

Neticede IP adresinin her zaman faili doğrudan göstermediği, çeşitli teknik yöntemlerle gizlenebildiği veya yanıltılabildiği, tek başına kesin bir kimlik tespiti aracı olmadığı açıkça görülmektedir. Bilişim altyapısının işleyişi dikkate alındığında IP adresine dayalı tespitler, ancak IP’nin nasıl elde edildiği, hangi ağ koşullarında kullanıldığı ve hangi teknik ihtimallerin dışlandığı açıkça ortaya konulabildiği ölçüde anlamlıdır. Aksi hâlde IP adresi teknik olarak faili değil, yalnızca bir aktarımın görünümünü ifade eder. Bu teknik gerçeklik, IP adresine dayalı delil değerlendirmelerinin ne denli dikkatle ele alınması gerektiğini ve yapılabilecek potansiyel itirazları ortaya koymaktadır.