Sinemada bir siber saldırı sahnesi şöyle başlar: Kapüşonlu bir figür, karanlık bir odada birden fazla monitörün önüne oturur. Parmaklarını klavyenin üzerinde dans ettirirken ekranda yeşil kodlar akar. Birkaç saniye sonra, dünyanın öte ucundaki bir elektrik santrali ya da yüksek hızlı tren ağı çöker. Müzik yükselir. Seyirci nefesini tutar.
Bu sinema klişesinin en unutulmaz örneklerinden biri, 2001 yapımı Swordfish filminde karşımıza çıkar. Filmde, Hugh Jackman’ın canlandırdığı hacker karakteri, yoğun baskı altında saniyeler içinde son derece korunaklı sistemlere sızmayı başarır. Hızla akan kodlar, ekrandaki görsel efektler ve gerilim dolu atmosfer, siber saldırıları adeta dijital bir aksiyon sahnesine dönüştürür. Swordfish, birçok izleyici için “hacker” kavramının popüler kültürdeki tanımını şekillendiren filmlerden biri olmuştur. Ancak gerçek dünyada siber operasyonlar genellikle çok daha farklı şekilde gerçekleşmektedir.
Gerçeklik ise çok daha sıradan, çok daha tuhaf ve çok daha öğretici bir hikâye anlatır. Gerçek saldırganlar genellikle ne kapüşonlu giyer ne de birden fazla monitör kullanır. Zaman zaman üniversite öğrencisidirler, zaman zaman meraklı bir hobicidirler, zaman zaman sadece doğru anda doğru yerde olan bir fırsatçıdırlar. Ve çoğu zaman sistemi kırmak için kullandıkları araç, dijital değil insanlardır.
Açık Kapıyı Kırmak Marifet Değil
2014 yılında ABD’nin nükleer silah araştırma merkezi Sandia Ulusal Laboratuvarları tuhaf bir araştırma projesine imza attı. Bilim insanları, 1972-2012 yılları arasındaki 23 yüksek değerli soygunu inceleyerek bir “Soygun Yöntemleri ve Özellikleri Veritabanı” oluşturdu. Asıl amaçları nükleer cephanelikten hırsızlık girişimlerini modellemekti; ama bulgular siber güvenlik dünyasını da doğrudan ilgilendiriyordu.
Araştırmanın özeti şuydu: en başarılı soyguncular elektromanyetik darbe üreteçleri ya da lazer sistemleri değil, yüzlerce saat süren planlama, kanal kazma gibi kaba kuvvet yöntemleri ya da polis kıyafeti giyme gibi basit aldatmacalar kullanıyordu. Yüksek teknoloji nadiren işe yarıyordu; gerçek engel genellikle gerçek anlamda fiziksel bir engel, yani bir kapıydı.
2026 yılında da durum farklı değil. Louvre Müzesi’nden 88 milyon Euro değerinde tarihi mücevheri götüren soyguncuların elindeki en gelişmiş alet, açı taşlayıcısıydı. Hepsi bundan ibaretti. Peki siber dünyada? Orada da tablo benzer.
Bir Üniversite Öğrencisi ve 19 Yıllık Şifre
5 Nisan 2026, gece 23:23. Tayvan Yüksek Hızlı Demiryolu’nun (THSR) TETRA tabanlı operasyonel iletişim sistemine sahte bir “Genel Alarm” sinyali iletildi. Yazılım tanımlı radyo (SDR) ekipmanları ve el telsizleri kullanan saldırgan, Taichung İstasyonu yakınlarından yayın yaparak 4 yüksek hızlı tren seferini 48 dakika boyunca durdurdu. (BleepingComputer haberi)
Saldırganın adı Lin’di. Mesleği: üniversite öğrencisi. Yaşı: 23.
Lin’in başarısının sırrı, sistemin “yedi doğrulama katmanını” devre dışı bırakabilmesiydi. Bunu mümkün kılan etken ise hiçbir sıfırıncı gün açığı ya da gelişmiş bir siber silah değildi: sistemin kriptografik anahtarları 19 yıldır kullanımdaydı ve değiştirilmemişti.
Güvenlik araştırmacıları, sistemin artık kırılmış durumdaki TEA1 şifrelemesini kullandığını ya da TETRA protokolündeki anahtar rotasyonunun kurulum sırasında hiç yapılandırılmadığını tahmin ediyor.
Lin, ticari olarak temin edilebilir SDR donanımını ve açık kaynaklı araçları kullanarak TETRA ağının parametrelerini deşifre etti; ardından bir suç ortağının yardımıyla sahte sinyal paketini oluşturup yayınladı. Taichung yakınlarında bir yerde oturup radyo vericisini çalıştırdı. Teknolojik olarak ne kadar ileri seviye bir eylem? Aslında fazla değil. Peki sonuç? Dört trenin 48 dakika boyunca durması ve Tayvan’ın kritik altyapı güvenliğine dair ciddi bir soru işareti.
İzler ve Yakalanma
Peki Lin nasıl yakalandı? Bu sorunun cevabı, saldırının kendisi kadar öğretici.
Tren ağı ekibi alarma geçtiğinde tüm aktif sinyalleri gözden geçirdi; ardından CCTV kayıtlarını inceledi. Polisle ortak çalışma sonucunda iz, Taichung’daki Lin’in evine kadar takip edildi. Evde bir dizüstü bilgisayar ve birden fazla telsiz bulundu.
Suçu ortaya çıkaran detayı tahmin edebilir misiniz? Alarm devreye girdikten kısa süre sonra Lin’in radyoya garip bir şekilde yanıt vermesi ve hemen kapatmasıydı. Tüm bu karmaşık altyapı saldırısını çökerten şey, radyoda “merhaba” diyememe anıydı.
Lin’in avukatları mahkemede “Cebindeki radyonun düğmesine yanlışlıkla bastı” savunmasını yaptı. Oysa Lin’in bilgisayarında Yeni Taipei İtfaiyesi ve Taoyuan Uluslararası Havalimanı metro hattının iletişim sistemlerine erişim bilgileri de bulunmuştu. Sonradan anlaşıldı ki Lin bu sistemlere erişimi tek bir hedefle planlamış değildi; daha çok “bakalım ne kadar ileri gidebilirim” güdüsüyle hareket eden bir meraklıydı. Lin şu an 3.200 dolar kefaletle serbest ve 10 yıla kadar hapis cezasıyla yüz yüze.
Kevin Mitnick’in Mirası: İnsan Açıklarına Dair
1990’ların en ünlü hackerı Kevin Mitnick, FBI’ın en çok aranan listesine girdi; ama bunu nasıl yaptığı çok az kişinin aklında kaldı. Mitnick’in silahı sıfırıncı gün açıkları ya da karmaşık yazılımlar değildi. Telefon rehberiydi.
Mitnick, şirket çalışanlarını arayıp IT personeli, yönetici asistanı, güvenlik görevlisi ya da yeni işe girmiş biri gibi davranarak hedef sistemlere erişim bilgilerini doğrudan isteyerek alırdı. “Sosyal mühendislik” olarak anılan bu yöntem hakkında sonradan şöyle diyecekti: “Sosyal mühendislik tespit edilmesi zor, ücretsiz ya da düşük maliyetli, teknik hacklemeden çok daha kolay ve yüzde 99,5 oranında etkilidir.” Mitnick bu konuda iki kitap yazdı: The Art of Deception ve The Art of Intrusion.
Mitnick 1995’te yakalandı; yakalanma şekli de son derece ilginçti. Hedef aldığı güvenlik uzmanı Tsutomu Shimomura’yı tahrik etmek için Shimomura’nın ev bilgisayarına saldırdı. Bu hamlesi, FBI ile Shimomura’nın güçlerini birleştirmesine yol açtı ve Mitnick’in iki buçuk yıllık kaçak yaşam dönemini sonlandırdı. Dünyanın en aranan hackerı, kendi kibrinin kurbanı oldu.
Rakamlar Konuşuyor: 2025’te Gerçek Tehdit Vektörleri
Verizon’un 2025 tarihli Veri İhlali Araştırmaları Raporu (DBIR), 22.000’den fazla güvenlik olayını ve 12.000’i aşkın doğrulanmış ihlali analiz ediyor. Bulgular, Hollywood anlatısıyla gerçeklik arasındaki derin uçurumu bir kez daha ortaya koyuyor:
İhlallerin yüzde 60’ında insan unsuru var. İster bir kimlik avı e-postasına tıklamak, ister sosyal mühendisliğe kapılmak, ister yanlış yapılandırma; her durumda zafiyeti oluşturan bir insandır.
İlk erişim vektörlerinin yüzde 22’si çalıntı kimlik bilgileridir. Saldırganların çoğu sisteme girmek için karmaşık açıklar keşfetmez; dark web’den birkaç dolar karşılığında satın aldığı kullanıcı adı-şifre çiftleriyle girer.
Temel web uygulamalarına yönelik saldırıların yüzde 88’inde çalıntı kimlik bilgileri kullanıldı. Yani saldırganların büyük çoğunluğu sistemi kırmak zorunda bile kalmıyor; kapıyı anahtarla açıyorlar.
Palo Alto Networks Unit 42’nin Mayıs 2024 – Mayıs 2025 dönemini kapsayan araştırmasına göre ise tüm siber ihlallerin yüzde 36’sının başlangıç noktası sosyal mühendislik saldırısıydı. Bu oran, kötü amaçlı yazılımı ve yazılım açıklarını geride bırakarak birinci sıraya oturdu.
Aynı araştırma dikkat çekici bir başka gerçeği de gün yüzüne çıkardı: başarılı ihlallerin yüzde 13’ünün nedeni atlanmış ya da görmezden gelinmiş uyarılardı. Saldırganlar karmaşık teknikler kullanmak yerine, savunucuların kendi yarattığı körlük noktalarından sızdı.
OT Dünyasında Bakımsızlığın Bedeli
Tayvan demiryolu olayı bir istisna değil, genel tablonun küçük bir yansımasıdır. Endüstriyel kontrol sistemleri (ICS) ve operasyonel teknoloji (OT) alanında bakımsızlık, son yıllarda kritik bir güvenlik açığı haline geldi.
Fortinet’in 2024 tarihli OT Güvenliği Raporu, OT ortamlarının yüzde 73’ünün o yıl en az bir ihlal yaşadığını ortaya koydu. Bunun önceki yıla oranı yüzde 49’du. Yani tek bir yılda bu oran neredeyse yaklaşık yüzde 50 arttı.
Nisan 2025’te Norveç’in batısındaki küçük bir barajın kontrol sistemi ele geçirildi ve bir vana dört saat boyunca açık tutuldu. Norveç güvenlik servisleri olayı Rus yanlısı hackerlara bağladı. Saldırganların kullandığı yöntem: internete açık bir kontrol panelindeki zayıf kimlik bilgileri. Sıfırıncı gün açığı yok. Gelişmiş araç seti yok. Sadece varsayılan ya da zayıf bir şifre.
ABD’de ise İran bağlantılı siber aktörler 2023-2024 döneminde 75’ten fazla su tesisi cihazına erişim sağladı. Pennsylvanialı bir istasyon da dahil olmak üzere birçok sistemde doğrudan kontrol ele geçirildi. Kullanılan yöntem? Varsayılan şifreler ve zafiyetleri giderilmemiş yazılımlar. (CISA uyarısı ve ayrıntılı analiz)
Tayvan’ın yüksek hızlı tren sisteminde olduğu gibi, bu saldırıların ortak paydası şuydu: saldırganlar karmaşıklıktan değil, ihmalkârlıktan faydalandı.
Gerçek Saldırganın Üç Portresi
Araştırma verileri ve gerçek vakalar, üç farklı saldırgan profili ortaya koyuyor. Hepsi de sinemada gösterilen kapüşonlu dehadan çok uzak.
Birinci profil: Fırsatçı. Açık kapıyı gören biri. Hedefi önceden belirlememiştir; tarama araçları ona internete açık, yamlanmamış bir sistemi gösterir ve girer. Lin’in davası kısmen buna benziyor: fırsat gördü, kullandı. Norveç baraj saldırısı da büyük olasılıkla bu kategoridedir.
İkinci profil: Sosyal mühendis. Kevin Mitnick’in mirasçıları. Sisteme doğrudan saldırmak yerine o sistemi yöneten insanı hedef alırlar. Phishing e-postası, yardım masası taklidi, sahte teknik destek çağrısı. 2024’te Business Email Compromise (BEC) saldırıları tek başına 2.77 milyar dolar zarar verdi. Bu rakam, çok sayıda sıfırıncı gün açığının yarattığı hasarla kıyaslanamayacak ölçüde büyük. (FBI IC3 2024 Raporu)
Üçüncü profil: Zafiyeti bulan. Ne sisteme doğrudan saldırır ne de insanları kandırır. Bakım yapılmamış, güncellenmemiş, unutulmuş bir altyapı parçasını bulur ve içinden geçer. 19 yıldır döndürülmemiş TETRA şifreleme anahtarı bu kategorinin mükemmel örneğidir. Sadece birinin “Bu ne zaman son güncellendi?” diye sormamış olması yeterliydi.
Asıl Soru: Güvenlik Açığı mı, Bakımsızlık mı?
Tayvanlı bir milletvekili olayın ardından şunu sordu: “Bir üniversite öğrencisi yüksek hızlı demiryolunun sistemine girebiliyorsa, aynı şey Tayvan Demiryolu’nun sisteminde yaşansaydı ne olurdu?”
Bu soru doğru sorudur. Ama daha da doğru olan şu sorudur: Kaç sistemde şu an, kimsenin sormadığı için cevapsız kalan bir “bu anahtarlar ne zaman değiştirildi?” sorusu var?
Güvenlik endüstrisinin büyük bir kısmı, saldırganları karmaşık olarak tarif etmeye ve savunmayı da bu karmaşıklığa göre şekillendirmeye eğilimlidir. Sıfırıncı gün açıkları, APT grupları, ulus-devlet destekli aktörler… Bunlar var ve gerçek tehditler oluştururlar. Ama aynı anda, dünyanın dört bir yanındaki kritik altyapı sistemleri, on yıllar önce kurulmuş ve o günden bu yana kimsenin dokunmadığı yapılandırmalarla çalışmaya devam ediyor.
