Beepeer felaket stüdyolarına hoş geldiniz. Bu yazıda bahsedeceğimiz senaryo aslında 2010 dolaylarında kendini hissettirmiş ve 2014 yılında da bir krize sebep olmuştu. Her zamanki gibi teknolojinin gelişmesi ve otomasyonun da hayatımızda daha çok yer kaplamasıyla bu potansiyel tehlike daha da artacak gibi duruyor.
Siber Savaş
Siber savaş dendiğinde çoğumuzun zihninde net kalıplar oluşmuyor olması gayet normal. Siber savaş, insan tarihinin başlangıcından bu yana tanık olduğu savaşlardan çok daha farklı mekaniklere, olanaklara ve yöntemlere sahip.
Nükleer silahların yaygınlaşması ve her büyük devletin envanterinde bulunmasıyla birlikte ülkeler arası çatışmalar büyük bir krizin oluşmaması için baskılandı. Sıcak çatışmadan ziyade ekonomik baskılarla rekabet eden devletler bir taraftan da kırmızı çizgileri bulunmayan ve keşfedilmemiş olmasından dolayı uluslararası yaptırımlara sebep olmayan siber saldırı yöntemlerine odaklandı.
Siber tehlike aslında yazının başında bahsettiğimiz yıllardan daha öncesinde ülkeler ve kitlelerden ziyade şirketlerde kendini hissettiriyor, büyük ekonomik kayıplara sebep oluyordu. Ancak ülkeler arası sürtüşmenin evrimleşip bu boyuta taşınmasyıla birlikte devletler de bu tehlike için önlemler almaya başladı. Bu resmi adımlardan en büyüğü de ABD Savunma Bakanlığına bağlı olarak ABD Siber Komutanlığının (CYBERCOM) 2010 yılında kurulmasıyla gerçekleşti. Başlangıçta savunma amaçlı kurulan CYBERCOM, Sun Tzu'nun "En iyi savunma saldırıdır" sözüne uygun olarak aksiyonlarda da bulundu.
Stuxnet
Günümüze kadar yapılan siber saldırıların en büyüklerinden birisi şüphesiz ki Stuxnet vakası. ABD ve İsrail tarafından geliştirildiği iddia edilen Stuxnet, ABD tarafından İran'ın nükleer silah yapmak için kullandığını iddia ettiği tesise saldırmak için kullanıldı. Bir PLC virüsü olan Stuxnet, hedeflediği endsütriyel kontrolcü yazılımını tanıdığında bu yazılımı değiştiriyor ve sisteme fazla yük bindirerek aksamların bozulmasına sebep oluyordu. Natanz nükleer santralinde uranyumu zenginleştirmek için kullanılan santrifüjleri hedef alan bu virüs İran nükleer hareketinde büyük bir krize sebep olmuştu.
Bu saldırıdan bir süre sonra pek çok zero-day açığı olan virüs bir şekilde internet üzerinde yayıldı ve Dünya çapında pek çok bilgisayara bulaştı. Virüsün ham haliyle internete yayılması ve başarısının da kanıtlanmasıyla birlikte Dünya'ya Endüstriyel robotların sabote edilebileceği konusunda büyük ve kötü bir örnek oldu.
2010-2014 yıllarında otomasyonun çok gelişmemiş ve kişisel ihtiyaçlarda da bugüne kıyasla önemli bir rolü olmamasından dolayı farklı örneklerini bariz bir şekilde görmemiş olabiliriz. Lakin yakın gelecekte kişisel robotlar ve 5G teknolojisiyle birlikte nesnelerin internetine hazırlanıyoruz. Bu teknolojiler olası güvenlik açıklarıyla birlikte benzer saldırılara çok daha uygun bir ortam hazırlayabilir. Su arıtma tesislerinden günümüz girişimlerinin başarılı örneklerinden teslimat firmalarının otomasyon sistemlerine kadar pek çok alanda zararlı yazılımlar düzenimize ve sağlığımıza büyük zarar verebilir. Ülkeler nükleer silah kullanmadan nükleer zarar verebilir ve ciddi enerji krizlerine sebep olabilir.
Gelin bir sonraki örnekte siber tehlikeye farklı bir açıdan yaklaşalım. Bu örnekte söz konusu saldırı değil ancak istihbarat ve analize yönelik olacak.
Cambridge Analytica ve Facebook vakası
Geçtiğimiz yıllarda yaşanan Facebook veri skandalını hepimiz hatırlıyoruzdur. Facebook üçüncü parti uygulamalara gereğinden fazla veri sağlıyordu. Bir uygulamayı kullanmak istiyorsanız bu uygulama izinlere bağlı olarak sizin bilgilerinize ulaşabildiği gibi tüm arkadaş listenizin bilgilerine de ulaşabiliyordu. Yani 400 arkadaşınız varsa ve biri bile bahsi geçen uygulamalardan birini kullanmışsa sizin bilgilerinize de ulaşılmış oluyordu.
Bir veri sızıntısı yaşandığında en fazla duyduğumuz argümanlardan birisi "FBI beni neden takip etsin? Kendinizi bu kadar önemli görmeyin" oluyor. Ancak durum aslında hiç de öyle değil. Verileriniz tek başına bir anlam ifade etmiyor olabilir ancak bu verilerden oluşan ve toplumun analizinin yapabileceği veri setleri doğru kullanıldığında ortaya çok farklı sonuçlar ortaya çıkıyor.
Mevcut örneğimizde Cambridge Analytica'nın, Amerikan halkının siyasi tercihlerini analiz edip hedefli reklamlar ve yanlış bilgilere dayalı provakasyonlar yaparak seçimin sonucunu değiştirdiği iddia ediliyor. Bu vakada ilk aşamada kişisel reklamlarla seçim çalışması yapıldı. İkinci aşamada da bu reklamlarla birlikte seçmenlere tercihlerine bağlı olarak farklı paylaşımlara verdiği tepkiler analiz edilerek genel seçim kampanyası iyileştirilerek final haline şekil verildi. Bu şekilde seçim için uygulanacak devam kampanyasının en verimli şekilde olması sağlandı.
Sadece siyasi değil pek çok konuda bu gibi toplumsal analizler yapılarak toplumun tercihleri hükümet veya şirketlerce manipüle edilebilir. Bu siber tehlike biz farkına dahi varmadan hayatımızı şekillendirebilir.
İki uzun ve birbirinden farklı örnekle yazıyı noktalandırmak istiyorum. Eğer ufkumu açacak bir siber senaryo veya felaket senaryosuna sahipseniz bana capkin@beeper.co adresinden ulaşabilirsiniz.
