Siber Güvenlik Tarihçesi

SİBER GÜVENLİK

Başlangıçtan Günümüze Tam Bir Tarihçe

İnternetin Doğuşundan Yapay Zeka Destekli Saldırılara

Kapsamlı Araştırma Belgesi
2025​

Önsöz

Şöyle düşünün: bir gün sabah uyandınız, bilgisayarınızı açtınız ve ekranda yabancı bir mesaj var. Dosyalarınızın şifrelendiğini, geri almak istiyorsanız Bitcoin göndermeniz gerektiğini söylüyor. Ya da daha kötüsü, fark etmiyorsunuz bile; birisi haftalardır sisteminizin içinde dolaşıyor, ne istediğini alıyor, çıkıp gidiyor.

Bu senaryolar artık bilim kurgu değil. Her gün binlerce kişinin, yüzlerce şirketin, onlarca devlet kurumunun başına geliyor. Peki buraya nasıl geldik? İnternetin ilk günlerinde sadece birkaç üniversite bilgisayarını birbirine bağlayan mütevazı bir ağdan, bugün milyonlarca silahlı saldırının saatte gerçekleştiği bu dijital savaş alanına nasıl evrildi?

Bu belge, tam olarak o soruyu yanıtlamak için yazıldı. Siber güvenliğin tarihini anlatmak istiyorum; ama kuru, akademik bir dille değil. Gerçekten ne olduğunu, insanların nasıl düşündüğünü, hataların neden yapıldığını ve bu hatalardan ne öğrenildiğini anlatmak istiyorum. Çünkü tarih sadece geçmişin kaydı değil, geleceğin haritasıdır.




Bölüm 1: Her Şey Bir Soğuk Savaş Projesiyle Başladı (1950'ler–1969)

1.1 ARPANET'ten Önce: Bilgisayar Güvenliği Denen Şey Yoktu

1950'lerin başında bilgisayar güvenliği diye bir kavram yoktu, çünkü güvenliğe ihtiyaç duyan bir şey de yoktu. O dönemde bilgisayarlar kocaman, pahalı, odaları dolduran makinelerdi. Bir bilgisayara erişmek istiyorsanız, fiziksel olarak o odaya girmeniz gerekiyordu. Güvenlik meselesi, kapıdaki kilitten ve güvenlik görevlisinin defterinden ibaretti.

IBM ve UNIVAC gibi devlerin ürettiği bu ilk bilgisayarlar, ağırlıklı olarak savunma ve istihbarat amaçlıydı. ABD Savunma Bakanlığı, MIT'deki araştırmacılar, Bell Labs... Bunlar sadece büyük organizasyonlardı ve bu makinelere erişim zaten son derece kısıtlıydı. Güvenlik problemi 'içeride kötü niyetli biri var mı?' sorusuna indirgeniyordu, başka bir şey değil.

Tabii bu, o dönemde hiç tehdidin olmadığı anlamına gelmiyor. 1962'de bir MIT öğrencisi, Compatible Time-Sharing System (CTSS) adlı sistemde diğer kullanıcıların parola dosyasına ulaşmayı başardı. Dünyada bilinen ilk 'şifre ihlali' bu olayı. Kimse müdahil olmadı, kimse kovuşturulmadı. Zaten kavramsal altyapı da yoktu; ne yapılacağı bilinmiyordu.

1.2 ARPANET: İşte Asıl Dönüm Noktası

1969'da her şey değişti. ABD Savunma Bakanlığı'nın araştırma kolu DARPA, dünyanın ilk paket anahtarlamalı bilgisayar ağını hayata geçirdi: ARPANET. İlk gün sadece dört bilgisayar bağlıydı; Stanford, UCLA, UCSB ve Utah Üniversitesi. İlk mesaj 'LOGIN' olacaktı ama sistem çöktü, sadece 'LO' gidebildi.

Bu ağın tasarımcıları dahiyane insanlardı ama o dönemin bakış açısıyla çalışıyorlardı. ARPANET, güvenilir bir iletişim altyapısı olarak tasarlandı; nükleer saldırı bile olsa veri iletiminin devam edebileceği bir yapı. Ama 'kötü niyetli kullanıcı' senaryosu akıllarından bile geçmiyordu. Neden geçsin ki? Sistemi kullananların hepsi birbirini tanıyan, aynı amaçla çalışan akademisyenlerdi.

İşte siber güvenlik tarihinin en büyük ironisi burada yatıyor: İnternetin temeli atılırken güvenlik, mimariye sonradan eklenecek bir şey olarak düşünüldü ya da düşünülmedi bile. Bu tasarım hatası, onlarca yıl sonra milyarlarca dolarlık güvenlik açıklarının kaynağı olacaktı.




Bölüm 2: Virüsler, Solucanlar ve İlk Hackerlar (1970'ler–1980'ler)

2.1 Creeper: Dünyanın İlk Virüsü ve Reaper

1971 yılı. ARPANET henüz iki yaşında. Bob Thomas adlı bir araştırmacı, kendi kendini kopyalayabilen ve ağ üzerinde hareket edebilen bir program yazdı. Creeper adını verdi buna. Program bir makineden diğerine atlayarak şu mesajı bırakıyordu: 'BEN CREEPER'IM, YAKALAYABILIRSEN YAKALA!'

Creeper kimseye zarar vermiyordu. Bir deneyin ürünüydü, merakın ve teknik merakın somutlaşmış hali. Ama ardından ilginç bir şey oldu: Ray Tomlinson (evet, e-postayı icat eden aynı adam) Reaper adlı başka bir program yazdı. Reaper'ın tek amacı Creeper'ı bulmak ve silmekti. Dünyada ilk antivirus programı böyle doğdu; bir virüsü yok etmek için yazılmış bir başka virüs.

Bu basit anekdot aslında siber güvenlik tarihinin tüm dinamiğini özetliyor: Birisi bir şey yapar, birisi onu bozmaya çalışır, bir başkası onu düzeltmeye çalışır. Sonsuz bir döngü.

2.2 Phone Phreaking: Hackerlığın Atası

1970'lerde internet henüz kamuya açık değildi ama telefon şebekeleri vardı ve telefon şebekeleri, o dönemin en büyük dağıtık sistemiydı. 'Phone phreak' denilen bir grup genç, AT&T'nin telefon sisteminin nasıl çalıştığını anlayıp ücretsiz arama yapmayı keşfetti.

Bu grubun en ünlüsü John Draper'dı, lakabı 'Cap'n Crunch'. Neden mi? Çünkü çocuk mısır gevreği kutusundan çıkan oyuncak bir düdüğün tam 2600 Hz frekansında ses çıkardığını keşfetti. Bu frekans, AT&T'nin uzun mesafe hatlarını kontrol etmek için kullandığı frekansın aynısıydı. Küçük bir düdük, ücretsiz uluslararası arama kapısını açıyordu.

Steve Wozniak ve Steve Jobs da bu dönemde phone phreak dünyasındaydı, 'blue box' adı verilen elektronik cihazlar üretip satıyorlardı. Yani Apple'ın kurucuları, kariyerlerine telefon ağlarını hackleyerek başladı. İlginç bir ayrıntı değil mi?

Phone phreaking önemli bir tarihsel moment, çünkü hackerlığı salt teknik merakın ötesine taşıdı. Sistemi anlayıp sistemi kendi çıkarın için kullanmak fikri ilk kez bu dönemde belirginleşti.

2.3 1980'ler: Kişisel Bilgisayarlar ve Kaos

1980'ler her şeyi değiştirdi. Apple II, Commodore 64, IBM PC... Bilgisayarlar artık evlerdeydi. Ve birden bire, güvenlik sorunu sadece devlet kurumlarının ve üniversitelerin problemi olmaktan çıktı; milyonlarca sıradan insanın sorunu haline geldi.

Bu dönemde virüsler disketlerle yayılıyordu. Bir oyun kopyalarsınız, arkadaşınızdan müzik programı alırsınız, bir şeyi ücretsiz edeceğinizi düşünürsünüz; ve boot sektörüne yerleşmiş bir virüs de gelmiş olur yanında. Elk Cloner (1982), Brain (1986), Jerusalem (1987)... İlk gerçek anlamda zararlı virüsler bu yıllarda sahneye çıktı.

Brain virüsü özellikle ilginç bir hikaye. Lahore'lu iki kardeş, Basit ve Amjad Farooq Alvi, kendi yazılımlarının korsan kopyalarını takip etmek için yazmışlardı onu. Boot sektörüne kendi iletişim bilgilerini de eklemişlerdi; merak edenler arasın diye. Dünyada ilk virüs yazarlarıyla telefonda konuşmak isteyen gazeteciler oldu.

2.4 Morris Solucanı: İnternetin İlk Büyük Krizi

1988, 2 Kasım. Cornell Üniversitesi'nden 23 yaşında bir lisansüstü öğrenci, Robert Tappan Morris, tarihte ilk büyük internet solucanını saldı. Program, Unix sistemlerindeki sendmail, fingerd ve rsh/rexec açıklarını kullanarak yayılıyordu. Kendi kendini kopyalıyor, ağdan ağa atlıyor, her makineye yerleşiyordu.

Morris'in iddiasına göre amaç zararlı değildi; sadece internetin ne kadar büyük olduğunu ölçmek istiyordu. Ama programda bir hata vardı: Silmemesi gereken kopyaları silmiyordu ve makine başına defalarca kendi kendini yüklüyordu. Sonuç? O dönemde internetin tamamındaki bilgisayarların yaklaşık yüzde altısı etkilendi. Binlerce makine erişilemez hale geldi.

Morris Solucanı sadece teknik bir olay değildi. Birkaç açıdan tarihi bir dönüm noktasıydı: Birincisi, siber güvenlik artık akademik bir tartışma konusu değildi; gerçek, somut, büyük hasara yol açabilen bir tehdit olduğu görülmüştü. İkincisi, Morris, Computer Fraud and Abuse Act kapsamında yargılanan ve mahkum edilen ilk kişi oldu. Siber suç kavramı hukuki bir çerçeve kazanıyordu. Üçüncüsü, bu olayın doğrudan sonucu olarak CERT (Computer Emergency Response Team) kuruldu; ilk siber güvenlik acil müdahale ekibi.




Bölüm 3: İnternetin Kamuya Açılması ve Yeni Tehdit Dünyası (1990'lar)

3.1 World Wide Web ve Güvenliğin Yeniden Tanımlanması

1991'de Tim Berners-Lee'nin World Wide Web'i kamuya açmasıyla birlikte internet, üniversite koridorlarından çıkıp herkesin hayatına girdi. 1993'te Mosaic tarayıcı yayınlandı; görsel bir arayüzle web'de gezinmek artık mümkündü. İnternet patlaması başlamıştı.

Bu büyüme inanılmaz hızda oldu. 1993'te yaklaşık 130 web sitesi vardı. 1996'da bu sayı 300.000'i geçmişti. E-ticaret filizleniyordu, insanlar kredi kartı bilgilerini internete girmeye başlıyordu, şirketler web üzerinden iş yapıyordu. Ve güvenlik altyapısı? Tamamen yetersizdi.

Bu dönemin en büyük güvenlik icadı SSL'dir. Netscape, 1994'te Secure Sockets Layer'ı geliştirdi. Tarayıcı ile sunucu arasındaki iletişimi şifreliyor, 'https' önekiyle güvenli bağlantı kurulmasını sağlıyordu. Bugün hala temeli üzerinde duran TLS protokolünün atasıdır.

3.2 Hacker Kültürünün Altın Çağı

1990'lar, hacker kültürünün popüler kültürle buluştuğu dönemdir. 'Hackers' (1995), 'The Net' (1995), 'Sneakers' (1992)... Holywood hackerları neredeyse süper kahraman gibi sunuyordu; gece kapüşonlu, klavyeye hız kesen, sisteme saniyeler içinde giren biri.

Gerçek dünyada ise durum daha karmaşıktı. Kevin Mitnick, dönemin en ünlü hackerıydı. FBI'ın en çok aranan siber suçlusu listesindeydi, Nokia, Motorola, Sun Microsystems gibi şirketlerin sistemlerine girmiş, yazılım kaynak kodları çalmıştı. Ama asıl silahı teknik değildi; sosyal mühendislikti. İnsanları arayıp IT çalışanı gibi davranmak, şifrelerini söylemelerini sağlamak. 1995'te yakalandı, 1999'da tahliye oldu ve sonradan dünyanın en ünlü güvenlik danışmanlarından biri oldu.

Kevin Poulsen başka bir isim. 'Dark Dante' lakabıyla anılırdı. Los Angeles'ta bir radyo yarışmasında arayanların hattını hackleyerek kendini 102. arayan yaptı ve ödülü aldı. Yarışmada verilecek ödül bir Porsche 944'tü.

Bu isimlerin suçları ciddi olmakla birlikte, 1990'ların hacker kimliği tek tipleşmiş değildi. 'Etik hacker' ya da 'white hat' kavramları da bu dönemde belirginleşti. Güvenlik araştırmacıları, sistemleri izin alarak test edip açıkları bildiriyordu. Bugünkü bug bounty kültürünün temeli buraya dayanır.

3.3 Devlet Destekli Siber Operasyonlar: İlk İşaretler

1990'larda devletlerin siber alanda ne yaptığı büyük ölçüde gizli kaldı; ya da sonradan öğrendik. Ama bazı olaylar o dönemde de dikkat çekti.

1994'te Datastream Cowboy ve Kuji lakaplı iki İngiliz genç, ABD Hava Kuvvetleri'nin, NASA'nın ve çeşitli üniversitelerin sistemlerine girdi. Körfez Savaşı'nın tam ortasında Pentagon'un ağlarına erişim sağladılar. Olay ciddi bir paniğe yol açtı; ilk başta Iraklıların saldırısı sanıldı. Sonunda 16 yaşındaki Richard Pryce (Datastream Cowboy) İngiliz mahkemesinde yargılandı.

Bu olay, siber saldırıların uluslararası boyutunu ilk kez gün yüzüne çıkardı. Çocuklar odalarından Pentagon'a girebiliyorsa ne kabiliyete sahip devletler neler yapabilirdi?

3.4 İlk Büyük Güvenlik Açıkları ve Yamalar

1990'lar, güvenlik açığı kavramının olgunlaştığı dönem. Yazılım şirketleri, ürünlerinde bulunan açıkları kapatmak için düzenli güncellemeler yayınlamaya başladı. Microsoft'un 1995'te çıkardığı Windows 95, öncekine göre çok daha geniş bir kitleye ulaştı ve beraberinde yeni güvenlik sorunlarını da getirdi.

Bu dönemde bir başka önemli gelişme: Güvenlik araştırmacılığı profesyonelleşmeye başladı. Bugbtraq e-posta listesi (1993) ve ardından benzer platformlar, güvenlik uzmanlarının açıkları paylaştığı ilk organize kanallar oldu. 'Sorumlu açıklama' (responsible disclosure) fikri tartışılmaya başlandı: Açığı önce yazılım üreticisine bildirip düzeltme fırsatı vermeli mi, yoksa hemen kamuyla mı paylaşmalı?

Bu tartışma hala devam ediyor. O kadar temel bir etik sorundur ki, on yıllar geçmesine rağmen kesin bir cevap bulunamamıştır.




Bölüm 4: Siber Savaşın Şafağı ve Organize Suç (2000'ler)

4.1 Y2K: Beklenen Kıyamet Gelmedi, Ama Ders Alındı

31 Aralık 1999 gecesi, dünya neredeyse nefesini tuttu. Y2K (Year 2000) problemi, yıllık tarihleri iki haneli rakamlarla saklayan eski sistemlerin 2000 yılına geçerken çökeceğine işaret ediyordu. Uçaklar düşecek, nükleer santraller duraksayacak, bankacılık sistemi çökecek diye korkuluyordu.

Milyarlarca dolar harcandı, binlerce uzman çalıştı ve... büyük bir şey olmadı. Ya sorun abartılmıştı ya da yapılan hazırlıklar gerçekten işe yaramıştı. Muhtemelen ikincisi. Ama Y2K, teknolojik altyapının ne kadar kırılgan olabileceğini insanlara somut biçimde gösterdi.

Aynı dönemde, ILOVEYOU virüsü geldi: 2000 yılı Mayıs ayı, Filipinlerde yaşayan Onel de Guzman adlı bir genç, bir e-posta solucanı saldı. Konu satırında 'ILOVEYOU' yazıyordu. Eki açınca, adres defterindeki herkese aynı e-postayı gönderiyor ve fotoğraf, müzik dosyalarının üzerine yazıyordu. Sadece on gün içinde tahminen 50 milyon bilgisayar etkilendi, 5 ile 10 milyar dolar arasında hasar oluştu.

Filipin yasaları o zaman siber suçu kapsamamaktaydı. De Guzman kovuşturulmadı. Bu olay, uluslararası siber suç mevzuatı boşluğunun ne kadar tehlikeli olduğunu gösterdi.

4.2 Organize Suç Siber Dünyayı Keşfetti

2000'lerin başı, siber suçun profesyonelleşme dönemi. Artık meraklı gençler değil, organize suç örgütleri bu işin içindeydi. Ve motivasyonları çok net: Para.

Phishing (oltalama) saldırıları sistematik hale geldi. Sahte banka siteleri, sahte PayPal girişleri, sahte eBay sayfaları... Kullanıcılar tıklıyor, bilgilerini giriyor, hesapları boşalıyordu. Crimeware adı verilen suç amaçlı yazılım ekosistemi ortaya çıktı.

Botnet'ler bu dönemin önemli icadı. Yüz binlerce hatta milyonlarca bilgisayarı ele geçirip tek bir komuta merkezinden kontrol etmek. Bu zombi bilgisayar orduları spam göndermek, DDoS saldırısı yapmak ya da şifreli para kazımak için kullanılıyordu. Sahipleri fark bile etmiyordu; bilgisayar yavaşlamıştı belki, o kadar.

2004-2007 arasında Rus ve Doğu Avrupa siber suç örgütleri dünya sahnesine çıktı. RBN (Russian Business Network), bankacılık trojanları ve sahte antivirüs yazılımları dağıtarak yıllık yüz milyonlarca dolar kazandığı tahmin edilen bir yapıydı.

4.3 Stuxnet: Devletler Sahneye Çıktı

2010'da keşfedilen Stuxnet, siber güvenlik tarihinde bir öncesi ve bir sonrası olan tek olaydır. Stuxnet bir bilgisayar solucanıydı ama sıradan bir solucan değildi; İran'ın nükleer zenginleştirme tesislerini, özellikle Natanz'daki santrifüjleri hedef alıyordu.

Program o kadar karmaşık ve hedefli yazılmıştı ki, analistler onu incelerken ağızları açık kaldı. Dört ayrı sıfır gün açığı kullanıyordu. Sadece belirli Siemens PLK modellerini hedef alıyordu. Santrifüjlerin hız değerlerini değiştiriyor ama operatörlere normal gösteriyordu; ta ki santrifüjler fiziksel olarak hasar görene kadar.

Sonradan New York Times haberinde ve Edward Snowden belgelerinde ortaya çıktı: Stuxnet, NSA ve İsrail'in Birim 8200'ünün ortak operasyonuydu. Olimpic Games kod adıyla anılıyordu.

Bu olay çığır açıcıydı. İlk kez bir siber silah, fiziksel altyapıya gerçek hasar verdi. Siber savaş artık teorik bir kavram değildi; silahı seçilmiş, test edilmiş ve kullanılmıştı.

4.4 Sosyal Ağlar: Yeni Saldırı Yüzeyi

2004'te Facebook, 2006'da Twitter... Sosyal medya dünyanın iletişim altyapısı haline geldi. Ve beraberinde, siber güvenlik için tamamen yeni bir saldırı yüzeyi getirdi.

Sosyal mühendislik artık telefonla değil, sosyal medya üzerinden yapılıyordu. Kullanıcıların paylaştığı bilgiler, spear phishing (hedefli oltalama) saldırıları için mükemmel bir kaynak sunuyordu. Şirketinizin CEO'sunun LinkedIn'de hangi konferanslara katıldığını bilen biri, ona son derece inandırıcı bir sahte e-posta yazabilirdi.

Veri gizliliği sorusu da bu dönemde gündeme geldi. Sosyal ağlar hangi verileri topluyor, ne yapıyor, kimlerle paylaşıyor? Kullanıcılar 'ücretsiz' bir hizmet alırken aslında ne ödüyordu?




Bölüm 5: Büyük Sızıntılar, Snowden ve Güvenin Çöküşü (2010–2016)

5.1 WikiLeaks ve Bilginin Demokratikleşmesi

2010'da WikiLeaks, ABD diplomatik yazışmalarının ve Irak-Afganistan savaş günlüklerinin yüz binlercesini yayınladı. Kaynakta Chelsea Manning vardı; bir ABD ordu analisti. Bu sızıntı, dijital dünyada bir kişinin ne kadar büyük bir etki yaratabildiğini gösterdi.

WikiLeaks olayı aynı zamanda whistleblower (ihbarcı) kavramını siber güvenlik ekosistemiyle buluşturdu. Sistemlere dışarıdan değil, içeriden erişen yetkili kişiler de risk miydi? 'İçeriden tehdit' (insider threat) güvenlik literatüründe o zamana kadar da vardı, ama bu kadar dramatik biçimde gündeme hiç gelmemişti.

5.2 Anonymous ve Hacktivizm

2008-2012 arasında Anonymous, dünya medyasının gündemini meşgul etti. Bir örgüt değildi; yapısı yoktu, lideri yoktu, üyelik kartı yoktu. Ama ortak bir estetik, ortak bir kültür ve bazen ortak bir hedef etrafında buluşan on binlerce kişiydi.

Scientology'ye karşı Operasyon Chanology (2008), Visa ve Mastercard'a karşı WikiLeaks saldırıları (2010), HBGary Federal'in hacklenmesi (2011), Sony'ye karşı LulzSec operasyonları... Anonymous hem siyasi bir hareket hem de bir siber suç örgütü gibi görünüyordu. Ama asıl önemi, hacktivizm kavramını tanımlamasıydı: İdeolojik amaçlarla yapılan siber saldırılar.

5.3 Snowden: Her Şeyi Değiştiren Adam

Haziran 2013. Edward Snowden, NSA'de çalışan bir yüklenici. Guardian gazetesiyle iletişime geçti ve tarihte benzeri görülmemiş hacimde istihbarat belgesi sızdırdı. Ortaya çıkanlar, dünya kamuoyunu sarstı.

PRISM programı: NSA, Google, Apple, Microsoft, Facebook gibi şirketlerden doğrudan veri topluyordu. XKeyscore: Dünyanın neredeyse her yerindeki internet trafiğinin büyük kısmını takip eden bir sistem. MUSCULAR programı: Google ve Yahoo'nun kendi veri merkezleri arasındaki şifreli iletişim bile dinleniyordu.

Snowden sızıntılarının siber güvenliğe etkisi çok boyutluydu. Şifreleme tartışması: Uçtan uca şifreleme önem kazandı, WhatsApp ve Signal gibi uygulamalar yaygınlaştı. Devlet-şirket ilişkisi: Teknoloji şirketleri artık 'biz de bilmiyorduk' diyemezdi. Uluslararası diplomatik kriz: Müttefiklerin bile dinlendiği ortaya çıkınca diplomatik ilişkiler gerildi. Güven krizi: İnsanların internete ve dijital hizmetlere güveni ciddi biçimde sarsıldı.

5.4 Target, Home Depot, Sony: Büyük Şirket Sızıntıları

2013'te Target süpermarket zinciri, 70 milyon müşterinin kredi kartı ve kişisel bilgisinin çalındığını açıkladı. Saldırı, Target'ın HVAC (iklimlendirme) sisteminin bakımını yapan küçük bir şirkete gönderilen phishing e-postasıyla başlamıştı. O şirketten Target'ın ağına, oradan POS (satış noktası) terminallerine kadar sızdılar.

Bu olay, tedarik zinciri güvenliğinin ne kadar kritik olduğunu gösterdi. Kendiniz ne kadar güvenli olursanız olun, iş ortaklarınızın zayıflığı sizin zayıflığınızdır.

2014'te Sony Pictures hacklendi. Saldırganların şirketin ağına girebilmek için sadece bir phishing e-postası yeterliydi. Sonrasında 100 terabaytın üzerinde veri çalındı; henüz yayınlanmamış filmler, çalışan özlük dosyaları, CEO'nun özel e-postaları, aktörlere yapılan maaş teklifleri. Kuzey Kore'nin Lazarus Group'u sorumlu tutuldu; nedeni Sony'nin yapımını üstlendiği 'The Interview' filmiydi.




Bölüm 6: Fidye Yazılımları, Seçim Müdahaleleri ve Kritik Altyapı Saldırıları (2016–2020)

6.1 Ransomware: Siber Suçun Yeni Ekonomisi

Fidye yazılımı yeni bir şey değildi; 1989'da AIDS Trojanı disketle yayılmıştı bile. Ama 2016'dan itibaren ransomware, organize bir endüstri halini aldı.

Bunun iki nedeni var: Birincisi Bitcoin. Gizli, takip edilmesi güç, uluslararası bir ödeme aracı. İkincisi, Ransomware-as-a-Service modeli. Artık kötü yazılım geliştirmek bilmiyorsanız, karanlık ağda birinden kiralayabilirdiniz. Kendiniz hedef seçer, saldırır, parayı alırdınız; geliştiriciyle yüzde otuz-yüzde yetmiş karşılıklı pay ederdiniz.

WannaCry (Mayıs 2017): Kuzey Kore bağlantılı geliştiriciler, NSA'nın geliştirdiği EternalBlue açığından yararlanan bir solucan yazdı. 150'den fazla ülkede 230.000'den fazla bilgisayarı saatlerde etkiledi. İngiltere'nin Ulusal Sağlık Sistemi NHS'nin büyük kısmı çöktü; ameliyatlar ertelendi, hastalar geri çevrildi.

NotPetya (Haziran 2017): Görünüşe göre ransomware'di ama değildi. Ukrayna muhasebe yazılımı M.E.Doc'a eklenen bir backdoor üzerinden yayıldı. Şifreliyordu ama şifre çözme mekanizması çalışmıyordu; amaç yıkım ve kaostu. Maersk, Merck, FedEx, Reckitt Benckiser... Dünya devleri yüz milyonlarca, toplamda yaklaşık 10 milyar dolar zarar gördü. Rusya bağlantılı Sandworm grubu sorumluydu.

6.2 2016 ABD Seçimleri ve Dezenformasyon Operasyonları

2016, siber operasyonların siyasi süreçlere nasıl müdahale edebildiğini gösteren kritik bir yıl oldu. Demokrat Parti'nin ağı (DNC) hacklendi. Rus istihbaratı GRU'nun APT28 ve APT29 grupları, Demokrat kampanya yetkilileri ve John Podesta'ya phishing saldırıları düzenledi. Elde edilen belgeler WikiLeaks ve DC Leaks aracılığıyla seçim kampanyasının tam ortasında kamuoyuyla paylaşıldı.

Ama belki daha etkili olanı şuydu: Facebook ve Twitter'da milyonlarca sahte hesap, gerçek Amerikalı kullanıcıların içeriklerini yükseltmek veya kutuplaşmayı körüklemek için algoritmik olarak kullanıldı. IRA (Internet Research Agency), bu trol çiftliği operasyonlarını yürüten Rus kuruluşuydu.

Bu operasyonlar, siber güvenlik kavramını yeniden tanımladı. Artık sadece sistemlere izinsiz girmek değil, bilgi ortamını manipüle etmek de siber saldırı sayılabilirdi.

6.3 Kritik Altyapıya Saldırılar

Ukrayna'nın elektrik şebekesi 2015 ve 2016'da iki kez vuruldu. Binlerce hane saatlerce elektriksiz kaldı. Bu, elektrik altyapısını başarıyla çökerten ilk belgelenmiş siber saldırıydı.

2018'de Trisis/Triton kötü yazılımı, Orta Doğu'daki bir petrokimya tesisinin güvenlik sistemlerini hedef aldı. Siemens güvenlik kontrolörlerine girerek acil kapatma sistemlerini devre dışı bırakmaya çalıştı. Başarılı olsaydı, insan hayatlarını tehdit eden fiziksel bir felaket yaşanabilirdi.

Bu olaylar, siber ve fiziksel dünyanın artık birbirinden ayrılamaz olduğunu gösterdi. Bir güç santralinin kontrol sistemine girmek, bir bombadan farklı olmayan sonuçlar doğurabilirdi.




Bölüm 7: Tedarik Zinciri Saldırıları ve Pandemi Çağında Siber Güvenlik (2020–2022)

7.1 SolarWinds: Tarihte Görülen En Sofistike Saldırı

Aralık 2020'de ABD hükümeti bir şey keşfetti: Aylar, belki bir yıldır en hassas sistemlerine birisi erişiyor olabilirdi. Ve bu birisi, inanılmaz derecede akıllıca bir yol seçmişti.

SolarWinds, binlerce şirketin ve devlet kurumunun ağ yönetim aracı olarak kullandığı bir yazılım. Orion adlı bu yazılımın güncelleme sistemine saldırganlar sızdı. Güncelleme paketine zararlı kod eklediler; meşru bir güncelleme gibi görünüyor, meşru SolarWinds dijital imzasını taşıyordu. Yaklaşık 18.000 kurum bu 'güncellemeyi' aldı.

Saldırganlar aylar boyunca sessiz sedasız içeride bekledi. Antivirüs programlarına yakalanmamak için özenle tasarlanmış bir backdoor'ları vardı. Sonra istedikleri hedeflere sızdılar: Hazine Bakanlığı, Dışişleri Bakanlığı, Adalet Bakanlığı, Pentagon, Microsoft, FireEye...

Rus istihbaratı SVR'nin Cozy Bear grubu sorumluydu. Bu saldırı, tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha ve çok daha dramatik biçimde gösterdi. Güvendiğiniz yazılım tedarikçisi, en büyük açığınız olabilir.

7.2 COVID-19 Pandemisi ve Siber Tehditlerin Artması

2020'de dünya eve kapandı. Evden çalışma patlaması yaşandı, milyonlarca insanın kurumsal ağa kişisel cihazlarla, ev internet bağlantılarıyla erişmesi gerekti. VPN kullanımı patladı. Zoom ve Microsoft Teams, güvenlik testinden geçmeden kritik altyapıya dönüştü.

Siber saldırganlar bu fırsatı kaçırmadı. Pandemi temalı phishing saldırıları, sağlık kurumlarını hedef alan ransomware, aşı araştırma verilerini çalmaya yönelik devlet destekli operasyonlar. WHO ve Avrupa İlaç Ajansı saldırılara maruz kaldı.

Hastaneler özellikle kritik hedefler haline geldi. Ransomware saldırısı altındaki bir hastane sistemleri yeniden başlatırken, Almanya'da bir hasta ambulansla başka bir hastaneye nakledilmek zorunda kaldı ve hayatını kaybetti. Siber saldırıyla ilişkilendirilen ilk insan ölümü olarak kayıtlara geçti.

7.3 Colonial Pipeline: Yakıt Krizi

Mayıs 2021'de DarkSide adlı ransomware grubu, ABD'nin Doğu Kıyısı'nın yakıt ihtiyacının yüzde kırkını karşılayan Colonial Pipeline'a saldırdı. Şirket, operasyonlarını durdurmak zorunda kaldı. Benzin istasyonları boşaldı, Virginia, Kuzey Carolina ve Gürcistan'da olağanüstü hal ilan edildi.

Saldırı, tek bir çalınmış şifreyle başladı. VPN'e erişmek için kullanılan bir çalışan hesabının şifresi dark web'de satılıyordu ve bu hesapta çok faktörlü doğrulama yoktu.

Şirket 4,4 milyon dolar fidye ödedi. FBI daha sonra ödemenin büyük kısmını kurtardı; Bitcoin'in tamamen anonim olmadığının somut kanıtı. Colonial Pipeline olayı, siber güvenliği ulusal güvenlik meselesi olarak kabinenin gündemine taşıdı.




Bölüm 8: Yapay Zeka Çağında Siber Güvenlik (2022–Günümüz)

8.1 Üretici Yapay Zekanın Yükselişi ve İki Yönlü Etkisi

ChatGPT'nin Kasım 2022'de kamuya açılması, yapay zekanın mainstream'e geçtiği andır. Ama siber güvenlik dünyası için bu, hem büyük bir fırsat hem de büyük bir tehdit anlamına geliyordu.

Saldırganlar için yapay zekanın anlamı şu oldu: Daha önce iyi yazılmış, ikna edici bir phishing e-postası yazmak için İngilizce bilen, kültürel nüansları kavrayan bir insan gerekiyordu. Artık gerekmiyordu. GPT-4 kalitesinde modeller, binlerce kişiselleştirilmiş oltalama mesajını dakikalar içinde, kusursuz dille yazabiliyordu. Deepfake teknolojisiyle birleşince, bir CEO'nun sesi taklit edilerek finans departmanına para transferi yapması istenebiliyordu. Bu gerçekten oldu; 'BEC' (Business Email Compromise) saldırıları yapay zekayla yeni bir boyut kazandı.

Savunanlar için ise yapay zeka farklı şeyler ifade ediyordu: Anormallikleri tespit etmek, milyarlarca günlük satırını gerçek zamanlı analiz etmek, zero-day saldırılarını daha hızlı tanımak. Siber güvenlik personeli açığı küresel düzeyde ciddi boyutlara ulaştı ve yapay zeka bu boşluğu kısmen dolduracak bir araç olarak görüldü.

8.2 Büyük Dil Modellerinin Güvenlik Açıkları

Yapay zekanın kendisi de bir saldırı hedefi ve vektörü haline geldi. Prompt injection saldırıları: Kullanıcı, AI sistemine güvenlik önlemlerini atlatacak şekilde düzenlenmiş bir girdi gönderir. Model, istem dışı bilgiler verebilir, yetkisiz işlemler yapabilir ya da iç talimatlarını ifşa edebilir.

Eğitim verisi zehirlenmesi (data poisoning): Bir AI modelini eğitmek için kullanılan veriye zararlı örnekler eklenerek modelin belirli durumlarda yanlış davranması sağlanabilir. Bu, özellikle güvenlik sınıflandırma modellerini hedef alan çok tehlikeli bir saldırı vektörü.

Model kopyalama: Bir şirketin tescilli AI modelini API üzerinden sorgulayarak benzer bir model eğitmek mümkün. Fikri mülkiyet hukuku bu senaryolarla başa çıkmakta zorlanıyor.

8.3 Ulus Devlet Saldırılarının Yeni Boyutları

2022'de Rusya'nın Ukrayna'yı işgaliyle birlikte, tarihte ilk kez büyük çaplı bir konvansiyonel savaşın paralel bir siber savaşla eş zamanlı yürütüldüğünü gördük. Wiper yazılımları Ukrayna devlet kurumlarını, enerji altyapısını, iletişim sistemlerini hedef aldı. Ama Ukrayna da boş durmadı; küresel gönüllü hacker topluluklarıyla işbirliği yaparak karşı operasyonlar yürüttü.

İran bağlantılı gruplar, İsrail ve ABD'yi hedef almaya devam etti. Çin bağlantılı Volt Typhoon grubunun 2023-2024'te ABD'nin kritik altyapısına 'hazırlık' amaçlı sızdığı açıklandı; olası bir çatışma senaryosunda kullanılmak üzere erişim tünelleri kurulmuştu.

APT (Advanced Persistent Threat) gruplarının sayısı ve karmaşıklığı artmaya devam ediyor. Siber casusluk artık sadece istihbarat toplamakla sınırlı değil; kritik altyapıya 'ön erişim' kurmak, gerektiğinde tetiklenmek üzere beklemek, geleceğin savaşlarına bugünden hazırlanmak.

8.4 Zero-Day Ekonomisi ve Vuln Market

Sıfır gün açıkları (zero-day vulnerability), henüz üreticinin farkında olmadığı, dolayısıyla yama için güncelleme sunulmayan güvenlik açıkları. Bu açıklar kara piyasada, gri piyasada ve hükümetler tarafından satın alınıyor.

Zerodium gibi şirketler, araştırmacılardan sıfır gün açığı satın alıp hükümetlere satan aracılık platformları. iOS'taki bir tam zincir açık için fiyat milyonu geçebiliyor. Bu ekonominin varlığı etik tartışmalara yol açıyor: Bir açığı kamuoyuyla paylaşıp herkesi korumak mı yoksa hükümete satıp belki sadece bir tarafın avantaj sağlamasına yardım etmek mi doğru?

8.5 Veri Gizliliği ve Düzenleyici Çerçeveler

GDPR (Genel Veri Koruma Yönetmeliği) 2018'de yürürlüğe girdiğinde, dijital dünyaya yepyeni bir hukuki çerçeve çizdi. AB vatandaşlarının kişisel verilerinin nasıl toplandığı, işlendiği ve saklandığı konusunda şirketlere çok ciddi yükümlülükler getirdi. İhlaller için ciroya dayalı dev para cezaları öngörüldü.

Ardından Kaliforniya CCPA'sı, Brezilya LGPD'si, Çin PIPL'i ve onlarca başka ülkenin kişisel veri koruma yasaları geldi. Küresel ölçekte 'veri egemenliği' tartışması alevlendi: Hangi ülkenin verisi o ülkede mi saklanmalı? Bulut hizmetleri bu düzenlemelere nasıl uyum sağlayacak?

Bu düzenleyici dalgalanma hala sürüyor. Yapay zeka regülasyonu, AB AI Act, büyük dil modellerinin denetimi... Siber güvenlik artık sadece teknik bir alan değil, hukuki, etik ve siyasi boyutları olan multidisipliner bir alan.




Bölüm 9: Siber Güvenliğin Temel Kavramları ve Evrimleşen Anlayış

9.1 Güvenlik Modellerinin Evrimi: Kale-Hendek'ten Sıfır Güvene

Uzun yıllar boyunca kurumsal güvenlik anlayışı 'kale ve hendek' metaforuyla özetlenebilirdi. Dışarıyı kötü, içeriyi iyi kabul et. Güçlü bir güvenlik duvarı kur, içeride herşey güvenli. VPN ile bağlananları güvenilir say.

Bu anlayış, mobil cihazların, bulutun ve uzaktan çalışmanın yaygınlaşmasıyla temelden sarsıldı. Artık 'içeri' ve 'dışarı' netti. Bir çalışanın kişisel telefonu hem evde hem işte hem de kafede kullanılıyordu. Veriler şirketin kendi sunucusunda değil AWS'de, Azure'da, Salesforce'daydı.

Zero Trust (Sıfır Güven) modeli bu kırılmaya cevaptır. Temel ilke basit: Kimseye güvenme, her şeyi doğrula. Ağın içinde olman seni güvenilir yapmaz. Her erişim isteği doğrulanmalı, her kullanıcı ve cihaz sürekli kontrol altında tutulmalı, minimum yetki prensibi uygulanmalı. 'Varsayılan olarak güven' yerine 'varsayılan olarak şüphe.'

9.2 Savunma Zincirinin Halkları: Kill Chain ve MITRE ATT&CK

Lockheed Martin'in 2011'de geliştirdiği Cyber Kill Chain modeli, saldırıların nasıl ilerlediğini anlamak için önemli bir çerçeve sundu. Yedi aşama: Keşif, silahlandırma, teslim, istismar, kurulum, komuta ve kontrol, hedefte eylem. Bu modele göre savunma, zincirin herhangi bir halkasını kırarsa saldırıyı durdurabiliriz.

MITRE ATT&CK ise gerçek dünya saldırılarından derlenen bir bilgi tabanı. Saldırganların hangi taktik, teknik ve prosedürleri kullandığını detaylı biçimde katalogluyor. Savunmacılar bu çerçeveyi kullanarak kendi açıklarını değerlendiriyor, kırmızı takım (saldırı simülasyonu) tatbikatları düzenliyor.

9.3 İnsan Faktörü: Her Zaman En Zayıf Halka

Teknik güvenlik ne kadar gelişirse gelişsin, insan faktörü en büyük güvenlik açığı olmaya devam ediyor. Phishing saldırılarının yüzde doksanından fazlası başarıya ulaşıyor; çünkü insanlar meraklı, aceleci ve sosyal baskıya duyarlı varlıklar.

Sosyal mühendislik teknikleri sürekli gelişiyor. 'Vishing' (sesli phishing), 'smishing' (SMS phishing), deepfake video aramalar... Bir saldırgan artık teknik bilgiye gerek duymadan, yalnızca psikoloji ve iletişim becerileriyle büyük kurumlara girebilir.

Bu yüzden güvenlik kültürü kavramı önem kazanmaya başladı. Sadece IT departmanının meselesi değil, kuruluşun tamamının benimsemesi gereken bir zihniyet. Çalışanlara düzenli phishing simülasyonları yapmak, güvenlik farkındalık eğitimleri vermek, 'şüpheli bir şey görürsen bildir' kültürünü oturtmak.

9.4 Bulut Güvenliği ve Paylaşılan Sorumluluk Modeli

Kurumların bilişim altyapısını AWS, Azure, Google Cloud gibi platformlara taşımasıyla birlikte, güvenlik sorumluluğu da değişti. 'Paylaşılan sorumluluk modeli': Bulut sağlayıcısı altyapının güvenliğinden sorumluyken, müşteri kendi verilerinin ve uygulamalarının güvenliğinden sorumlu.

Ama bu ayrım her zaman yeterince net anlaşılmıyor. 'Verim buluta taşındık, güvenlik de sağlayıcının sorunu' yanlış düşüncesi hala yaygın. Yanlış yapılandırılmış S3 bucket'ları, fazla açık bırakılmış API anahtarları, bulut ortamlarından sızan en yaygın güvenlik sorunlarından.




Bölüm 10: Günümüz ve Gelecek — Nereye Gidiyoruz?

10.1 Küresel Siber Güvenlik Açığı

Dünya genelinde siber güvenlik uzmanı açığı ciddi boyutlara ulaşmış durumda. Tahminler değişiyor ama birkaç milyon kişilik bir açıktan söz ediliyor. Bu boşluk, savunmacılar açısından yapısal bir dezavantaj oluşturuyor.

Sebeplerin başında, siber güvenliğin hızla genişleyen ve sürekli değişen bir alan olması geliyor. Yeni teknoloji geliyor, yeni saldırı vektörleri ortaya çıkıyor, bilgileri güncel tutmak for sürekli öğrenme gerektiriyor. Bu da hem eğitim kurumlarına hem iş dünyasına ciddi yük bindiriyor.

10.2 Kuantum Bilgisayarlar ve Şifrelemenin Geleceği

Uzak gibi görünen ama gerçekten gelmekte olan bir tehdit: Kuantum bilgisayarlar. Yeterli kapasitedeki bir kuantum bilgisayarı, bugün RSA ve ECC gibi asimetrik şifreleme algoritmalarını kırmak için yeterli hesaplama gücüne sahip olacak.

Bu 'kriptografik kıyamet' senaryosuna karşı NIST, 2024'te kuantuma dayanıklı yeni şifreleme standartlarını yayınladı. 'Şimdi topla, sonra çöz' (harvest now, decrypt later) saldırıları zaten gerçekleşiyor olabilir; yani bugün şifreli verileri toplayan aktörler, ileride kuantum bilgisayarıyla şifre çözmek için bekliyor olabilir. Bu varsayımla bile hareket edilmesi gerekiyor.

10.3 IoT ve Fiziksel Dünyanın Dijitalleşmesi

Nesnelerin İnterneti (IoT) milyarlarca cihazı internete bağlıyor: Akıllı saatler, termostatlar, güvenlik kameraları, araçlar, tıbbi cihazlar, endüstriyel sensörler. Ve bu cihazların büyük çoğunluğu, güvenliğin sonradan akla geldiği ya da hiç düşünülmediği dönemlerin ürünleri.

Bir hastanedeki tıbbi cihaz hacklenirse ne olur? Bir şehrin su arıtma tesisinin kontrol sistemi ele geçirilirse? Bağlantılı araç güvenlik sistemleri atlatılırsa? Bu sorular artık spekülatif değil; bazıları gerçekleşti ya da kavram kanıtı çalışmalarıyla mümkün olduğu gösterildi.

10.4 Yapay Zeka ile Siber Güvenlik: Silah Yarışının Yeni Cephesi

Hem saldırganlar hem savunmacılar yapay zekayı giderek daha kapsamlı biçimde kullanıyor. Bu, tarihte daha önce gördüğümüz silah yarışlarına benziyor; ama çok daha hızlı ve çok daha karmaşık.

Saldırı tarafında: Hedef araştırması için yapay zeka, kişiselleştirilmiş phishing içeriği üretimi, güvenlik açığı keşfi, zararlı yazılım gizleme, deepfake sosyal mühendislik. Savunma tarafında: Anormallik tespiti, tehdit istihbaratı analizi, otomatik olay müdahalesi, zafiyet önceliklendirilmesi, güvenlik kodu inceleme.

Uzun vadede yapay zekanın siber güvenliği nasıl şekillendireceğini öngörmek zor. Ama kesin olan şu: Bu silah yarışı, yavaşlamadan hızlanacak.

10.5 Siber Güvenlikte Etik ve Hukuk

Son olarak, belki de en az konuşulan ama en önemli konu: Etik ve hukuk. Bir güvenlik araştırmacısı başkasının sisteminde açık bulursa ne yapmalı? Şirkete bildirmeli mi, kamuoyuyla paylaşmalı mı, satmalı mı? Devletler siber silah geliştirmeli mi, kullanmalı mı, ne zaman kullanmalı mı?

Güvenlik araştırmacıları bazen sizi koruyan yasaların aynı zamanda araştırmanıza engel olduğunu görüyor. Amerika'da CFAA (Computer Fraud and Abuse Act) o kadar geniş yorumlanıyor ki, güvenlik araştırmacılarını suç kapsamına sokabiliyor. Aaron Swartz'ın trajedisi bu gerilimin en acı örneği.

Uluslararası alanda siber çatışma için net kurallar yok. Savaş hukukunun siber operasyonlara nasıl uygulanacağı tartışılıyor; Tallinn Kılavuzu gibi akademik girişimler var ama bağlayıcı değil. Devletler arasında 'kırmızı çizgi' konusunda henüz mutabakat sağlanabilmiş değil.




Sonuç: Tarih Bizi Ne Söylüyor?

Bu uzun yolculuğun sonuna geldik. 1969'dan bugüne, ARPANET'ten yapay zeka destekli siber savaşlara. Ne öğrendik?

Her şeyden önce şunu: Güvenlik, sonradan düşünülen bir şey olamaz. İnternetin temeli atılırken güvenliğin mimari dışında tutulması, on yıllarca ödenen bir bedel oldu. Bugün tasarlanan her sistem, her ağ, her uygulama güvenliği temel bir tasarım ilkesi olarak baştan içermeli.

İkincisi: Teknoloji ne kadar gelişirse gelişsin, insan faktörü değişmiyor. En gelişmiş güvenlik duvarını da en zayıf çalışanınız atlatabilir. Güvenlik bir teknoloji sorunu olduğu kadar, hatta daha çok bir insan ve kültür sorunudur.

Üçüncüsü: Saldırganlar her zaman ilk adımı atmak için daha avantajlıdır. Savunmacı her yerde doğru olmak zorundayken, saldırgan sadece bir yerde doğru olmak zorundadır. Bu asimetri değişmeyecek.

Dördüncüsü: Siber güvenlik artık sadece teknik bir alan değil. Hukuk, diplomasi, ekonomi, psikoloji, etik... Hepsi iç içe. Bu alanı anlamak için çok boyutlu düşünmek şart.

Ve son olarak, belki en önemlisi: Bu mücadele bitmeyecek. Ama bu sizi karamsar etmesin. Her saldırıdan bir şey öğrenildi. Her ihlalden yeni savunmalar doğdu. ARPANET'in savunmasız dört bilgisayarından bugünün çok katmanlı, sürekli izlenen, yapay zeka destekli güvenlik mimarilerine gelinmesinin kendisi, insanlığın bu mücadelede nasıl evrilebildiğinin kanıtı.

Siber güvenlik, sonunda bir güven sorunudur. Dijital dünyada güvenilir bir topluluk oluşturmak, bu güveni koruyan sistemler inşa etmek ve bu sistemleri tehdit edenlere karşı durmak. Başlangıcından beri bu böyleydi, bundan sonra da böyle olacak.