Maslow’un İhtiyaçlar Hiyeraeşisi. Cointelegraph gibi temelde blokzincir, daha geniş perspektifte ise aslında teknoloji haberciliği yapan bir web sitesi için aslında ilk bakışta anlamsız gibi gelebilir. Neredeyse ilkokul çağlarından beri duyduğumuz bir cümle var; “Maslow’a göre, insanlığı ihtiyaçlarının bir hiyerarşisi bulunmak zorunda.” Peki, neydi bu hiyerarşinin basamakları:
Fizyolojik İhtiyaçlar ,
Güvenlik İhtiyacı,
Sevgi/Aitlik İhtiyacı,
Saygı/Statü İhtiyacı,
Kendini Gerçekleştirme İhtiyacı,
Yukarıdaki hiyerarşide, bir insanın üst seviyeye çıkabilmesi için öncelikle bir alt seviyenin ihtiyaçlarını karşılaması gerekiyor. Sıralamanın hemen ikinci basamağında yer alan “Güvenlik İhtiyacı” da işte bu haberin çıkış noktası.
Dünya, şimdilerde yaklaşık olarak 4,54 milyar yıl yaşında. Bu sayı, işin bilimsel kısmı. Yani dünya bir kez doğdu ve bunun üzerinden yaklaşık 4,54 milyar yıl geçti. Diğer yandan aslında her geçen yüz yıl, hatta on yıl, hatta kimi zaman her geçen yıl Dünya, kendi içinde yepyeni ‘dünya’lar doğuruyor. Bilim, kültür-sanat, teknoloji, ekonomi… Akla hangi alan gelirse gelsin, hepsinin yeniliklere gebe olduğu su götürmez bir gerçek. İşte Maslow’un İhtiyaçlar Hiyeraeşisi’ndeki “Güvenlik İhtiyacı”, bu değişen dünya düzeninde kendi içinde genişliyor. Bu kısmın özellikle altını çizmek lazım, değişmiyor, genişliyor. Teknoloji gelişiyor, ekonomi değişiyor, bilim, yepyeni bilgilerin kapılarını aralıyor. İnsanların tüm bunlar içindeki güvenlik ihtiyacı da adeta evrim geçiriyor.
Blokzincir teknolojisini ilk kez Satoshi Nakamoto’nun tüm dünyaya armağan ettiği Bitcoin ile duyduk. Burada yatan hem kısa, bir o kadar da, yaşananlarla birlikte, uzun tarihin detayları buradan okunabilir. Biz şimdi blokzincir ve güvenlik ikilisi arasındaki ilişkiyi mercek altına alalım.
2008 Küresel Ekonomik Krizi tüm dünyayı vurdu. Krizden hemen sonra ‘Bitcoin’ doğdu. Ancak, yaşananlar bununla kalmadı. Geçen 15 yılda NFT, metaverse, DeFi, DAO gibi daha öncesinde ne olduğuna dair en ufak fikrimizin olmadığı kavramlarla tanıştık. Bunların hepsi devrimsel bir teknolojinin ürünü olarak hayatımıza yavaş yavaş girdi. Hatta tam benimsenmenin yaşanmadığı şu günlerde, girmeye devam ediyor demek çok daha doğru. Bu kavramların hep en güzel yanlarını, en verimli yanlarını konuşmak istemek bir yana dursun, kötü niyetli aktörlerin de faydalanmak istediği birer kavram olduğu gerçeğini göz ardı etmeden yola devam etmek gerekiyor. Kötü niyetli aktörler dediğimizde işte tekrar İhtiyaçlar Hiyerarşisi’ne dönüyoruz ve ‘Güvenlik İhtiyacı’mızı göz önüne alıyoruz.
Son yıllarda DeFi, yani merkeziyetsiz finans, milyon dolarlık bir sektör haline geldi. Dolayısıyla buradaki pastadan payını almak isteyenler ellerini iştahla ovuştururken, bunların bir kısmı ‘kötü niyeti’ni de yanında getirdi. Yaşanan birçok siber saldırı, milyonlarca dolarlık kayıp bunun en somut göstergesi oldu. Tabii ki bu saldırılardan kullanıcıların minimum hasarla çıkması çok önemli. Sahip olduklarını kaybeden kişilerin, hayatlarının ne seviyelerde olumsuz etkilendiğini tahmin etmek bile çoğu zaman zor. Siber güvenliği sağlama noktasında, yazılımsal açıkların olduğu su götürmez bir gerçek. Öte yandan, kullanıcıların da alması gereken önlemler var. ‘Güvenlik İhtiyacı’nın karşılanması için, kullanıcıların bilinçlenmesi oldukça önemli.
Siber güvenlik denildiğinde akla gelenler, tabii ki dünyaca bilinen dijital güvenlik şirketleri. Bunların başında da ESET ve Kaspersky’yi saymak mümkün. Her iki şirketle de genellikle tarayıcı temelli metaverse projelerinin sayısının arttığı bu günlerde, kullanıcı verilerine yönelik tehdit unsurlarını, airdrop ve benzeri hamlelerle kullanıcı çekmeye çalışan projelerle birlikte ortaya çıkan suistimalleri ve kullanıcıların bunlara karşı ne gibi önlemlerle alabileceğini konuştuk.
Ne yapsın bu kullanıcılar?!
Artan metaverse projeleriyle birlikte kullanıcı verilerine ilişkin tehditleri de göz ardı etmemek lazım. İnternete bağlandığımız her an bir tehditin ortasında olduğumuza dikkat çeken ESET Türkiye Bilgi Güvenliği Uzmanı Ulaşcan Şahin, ister bir metaverse projesi olsun ister MetaMask gibi cüzdan ile bağlandığımız bir merkeziyetsiz borsa, kullanıcının bunlardan herhangi birine bağlanmak istediğinde karşı tarafın sunucusuna bir takım verilerinin gönderildiğini bilmesi gerektiğinin altını çiziyor. Aslında bunlar, sanal ortamdaki parmak izi gibi düşünülebilir.
Çoğunlukla karşılaşılan durum da bu parmak izlerinin saldırganlar tarafından ters bağlantı ya da oltalama yöntemleriyle ele geçirilmesinden kaynaklanıyor. Şahin’e göre, bu izler alındıktan sonra 2FA da kullanıcıları kurtaramıyor. Dolayısıyla Şahin, cookie bilgilerimizi iyi saklayacak, Brave gibi tarayıcıların, girdiğimiz sitelerin güvenlik taramalarını yapacak guard.io gibi eklentilerin ve her bağlantıdan sonra bağlantı temizliğini yapmanın büyük ölçüde kullanıcıların güvenliğini sağlayabileceğine dikkat çekiyor.
Kaspersky’nin Baş Veri Bilimcisi Vladislav Tushkanov’a bu durumu sorduğumuzda, en ciddi tehdidin, bir kişinin sahip olduğu tüm kripto varlıklarının tek merkezde toplanması olduğunu söyledi. Çoğu proje Ethereum ekosistemini kullandığından, bir kişinin tüm eşyaları aynı cüzdana bağlı olabilir. Bu senaryoda kişisel anahtara olan erişimin kaybedilmesi, diğer varlıkların kaybedilmesi anlamını da taşıyabilir. Tushkanov, kullanıcıların cihazlarının güvenliği ve key storage drive (KSD) konusunda çok dikkatli olmaları gerektiğine vurgu yaparak, olası kimlik avı saldırılarına karşı daima tetikte olunmasının hayati önem taşıdığını vurguladı.
GameFi projeleri, günümüzde oldukça yaygın. Bu projeler ağırlıklı olarak airdrop ve benzeri içeriklerle kullanıcıları çekmeye çalışıyor. Burada da kötü niyetli aktörlere ‘gün’ doğuyor. Kullanıcı güvenliğinin sağlanmasıyla ilgili yapılması gerekenler ise Tushkanov’a göre, çoğunlukla aynı. Yani aslında bazı önlemler kriptoya özgü olsa da insanların güvenliklerini sağlamak için göz önünde bulundurması gerekenler aslında çevrimiçi olan her yerde aynı. Hesaplara erişirken potansiyel kimlik avına dikkat etmek şart. Kötü amaçlı yazılımların bulaşmasını önlemek için güvenlik çözümleri de kullanılmalı. Gerçek olmayacak kadar iyi görünen bir teklifle karşılaşıldığında mutlaka 2 kez düşünmek gerekiyor. Parola yöneticisi gibi güvenli bir çözüm kullanmak da hesap korumasına yardımcı olabilir. Tushkanov’un bu konu ile ilgili son sözleri şöyle:
“Eğer donanım şifrelemeli bir cüzdan kullanmaya karar verirseniz, saygın bir şirketten satın aldığınızdan emin olun ve üçüncü kişilerden satın almaktan kaçının”
ESET Türkiye Bilgi Güvenliği Uzmanı Ulaşcan Şahin ise işin güvenlik kısmından ziyade devletlerin alması gereken role ve onların yapıcı regülasyonlar getirmesine dikkat çekiyor. Özellikle DEX’ler ile birlikte bazı yardımcı platformlar kullanarak 5-10 dakikada kripto para çıkarabilir hale gelmek mümkün. Bu da aslında dolandırıcıların ekmeğine yağ sürmek. Şahin, burada kullanıcıların neye yatırım yaptığını bilmesi gerektiğine dikkat çekiyor. “Gerekli farkındalığı ve bilgisi olmadığı halde kolay para kazanma hırsıyla paralarını dolandırıcılara, scam projelere kaptıran çok insan var” diyen Şahin, Cointelegraph Türkiye’ye yaptığı yorumda, kişisel farkındalığı artırmanın öneminin altını önemle çizdi.
Benzer kodlar, saldırılar…
Yazılım dünyasının neredeyse kalbinin attığı yardımlaşma forumları ve açık kaynak kodları, birçok önemli ‘derdin’ de çözümü oluyor. Tabii burada yazılan benzer kodların blokzincir projelerinde kullanılmasıyla ilgili de bir risk var. Yaşanan son Ulaşcan Şahin’e göre, burada açık kaynak kodlu yapılar olsa bile, eliptik eğri dediğimiz dijital imza algoritmaları devreye giriyor. Yani sisteme başkasının parası aslında benim demeniz için bu algoritmaları kırmanız gerekiyor ki şu an dünyadaki bütün işlem yapan cihazları kullanabiliyor olsanız bile birinin gizli anahtarını bulana kadar geçen süre bin yıllar boyunca devam edebilir. Teknik olarak bu gizli anahtarlar 256 bitlik sayılardan oluşur. Bu 2 üzeri 256 farklı anahtar demektir ve gözlemlenebilir evrendeki atom sayısından bile fazla bir sayıya denk gelir. Bu algoritmaları bir şekilde kırabilirseniz sadece Bitcoin değil herkesin bankasındaki paraları da alabilirsiniz çünkü oralarda da aynı kriptografik algoritmalar kullanılıyor.
Güvenlik şirketlerinin gözünden…
Blokzincir teknolojisinin bazı avantajları, herhangi bir saldırı durumunda, saldırganların takibi söz konusu olduğunda dezavantaja dönüşebiliyor. Bu teknolojinin başındaki en büyük sorunlardan biri kısmen takip edilemez olması. Zaten bu yüzden ‘dark market’ olarak tanımlanan alanlarda da bu paraların kullanıldığını görüyoruz.
Günümüzde bu türden kullanım ne kadar yaygınlaşırsa aslında karşı önlemlerde bir o kadar çok alınmaya çalışılıyor. Bu nedenle tamamıyla bir takipsizlik söz konusu değil. Zincir üzerinde paranın hangi cüzdanlara gittiğini sistemin şeffaflığı sayesinde takip edilebiliyor. Burada karşımıza çıkan sorun o cüzdanın kime ait olduğunun bilgisinin olmaması. Tamamıyla merkeziyetsiz bir yapıdan söz edemeyiz, aktif işlem yapan insanların yüzde 70’inden fazlasının merkezi borsalar üzerinden işlem yaptığını biliyoruz. Bu şu anlama gelir; o cüzdanın kime ait olduğunu merkezi borsalar biliyor ve herhangi bir adli bilişim olayında bu bilgilere erişebilirler. Günün sonunda kara para olarak adlandırılan bir para da olsa bu gelen miktarı fiziksel bir paraya dönüştürmeniz için merkezi borsalara muhtaçsınız. O yüzden kötü niyetli kişiler bu paraları farklı farklı cash out yöntemleriyle -örneğin geçtiğimiz günlerde Twitch platformu üzerinde bir bit skandalı yaşandı- paraları aklamaya çalışıyorlar.
Fizyolojik İhtiyaçlar ,
Güvenlik İhtiyacı,
Sevgi/Aitlik İhtiyacı,
Saygı/Statü İhtiyacı,
Kendini Gerçekleştirme İhtiyacı,
Yukarıdaki hiyerarşide, bir insanın üst seviyeye çıkabilmesi için öncelikle bir alt seviyenin ihtiyaçlarını karşılaması gerekiyor. Sıralamanın hemen ikinci basamağında yer alan “Güvenlik İhtiyacı” da işte bu haberin çıkış noktası.
Dünya, şimdilerde yaklaşık olarak 4,54 milyar yıl yaşında. Bu sayı, işin bilimsel kısmı. Yani dünya bir kez doğdu ve bunun üzerinden yaklaşık 4,54 milyar yıl geçti. Diğer yandan aslında her geçen yüz yıl, hatta on yıl, hatta kimi zaman her geçen yıl Dünya, kendi içinde yepyeni ‘dünya’lar doğuruyor. Bilim, kültür-sanat, teknoloji, ekonomi… Akla hangi alan gelirse gelsin, hepsinin yeniliklere gebe olduğu su götürmez bir gerçek. İşte Maslow’un İhtiyaçlar Hiyeraeşisi’ndeki “Güvenlik İhtiyacı”, bu değişen dünya düzeninde kendi içinde genişliyor. Bu kısmın özellikle altını çizmek lazım, değişmiyor, genişliyor. Teknoloji gelişiyor, ekonomi değişiyor, bilim, yepyeni bilgilerin kapılarını aralıyor. İnsanların tüm bunlar içindeki güvenlik ihtiyacı da adeta evrim geçiriyor.
Blokzincir teknolojisini ilk kez Satoshi Nakamoto’nun tüm dünyaya armağan ettiği Bitcoin ile duyduk. Burada yatan hem kısa, bir o kadar da, yaşananlarla birlikte, uzun tarihin detayları buradan okunabilir. Biz şimdi blokzincir ve güvenlik ikilisi arasındaki ilişkiyi mercek altına alalım.
2008 Küresel Ekonomik Krizi tüm dünyayı vurdu. Krizden hemen sonra ‘Bitcoin’ doğdu. Ancak, yaşananlar bununla kalmadı. Geçen 15 yılda NFT, metaverse, DeFi, DAO gibi daha öncesinde ne olduğuna dair en ufak fikrimizin olmadığı kavramlarla tanıştık. Bunların hepsi devrimsel bir teknolojinin ürünü olarak hayatımıza yavaş yavaş girdi. Hatta tam benimsenmenin yaşanmadığı şu günlerde, girmeye devam ediyor demek çok daha doğru. Bu kavramların hep en güzel yanlarını, en verimli yanlarını konuşmak istemek bir yana dursun, kötü niyetli aktörlerin de faydalanmak istediği birer kavram olduğu gerçeğini göz ardı etmeden yola devam etmek gerekiyor. Kötü niyetli aktörler dediğimizde işte tekrar İhtiyaçlar Hiyerarşisi’ne dönüyoruz ve ‘Güvenlik İhtiyacı’mızı göz önüne alıyoruz.
Son yıllarda DeFi, yani merkeziyetsiz finans, milyon dolarlık bir sektör haline geldi. Dolayısıyla buradaki pastadan payını almak isteyenler ellerini iştahla ovuştururken, bunların bir kısmı ‘kötü niyeti’ni de yanında getirdi. Yaşanan birçok siber saldırı, milyonlarca dolarlık kayıp bunun en somut göstergesi oldu. Tabii ki bu saldırılardan kullanıcıların minimum hasarla çıkması çok önemli. Sahip olduklarını kaybeden kişilerin, hayatlarının ne seviyelerde olumsuz etkilendiğini tahmin etmek bile çoğu zaman zor. Siber güvenliği sağlama noktasında, yazılımsal açıkların olduğu su götürmez bir gerçek. Öte yandan, kullanıcıların da alması gereken önlemler var. ‘Güvenlik İhtiyacı’nın karşılanması için, kullanıcıların bilinçlenmesi oldukça önemli.
Siber güvenlik denildiğinde akla gelenler, tabii ki dünyaca bilinen dijital güvenlik şirketleri. Bunların başında da ESET ve Kaspersky’yi saymak mümkün. Her iki şirketle de genellikle tarayıcı temelli metaverse projelerinin sayısının arttığı bu günlerde, kullanıcı verilerine yönelik tehdit unsurlarını, airdrop ve benzeri hamlelerle kullanıcı çekmeye çalışan projelerle birlikte ortaya çıkan suistimalleri ve kullanıcıların bunlara karşı ne gibi önlemlerle alabileceğini konuştuk.
Ne yapsın bu kullanıcılar?!
Artan metaverse projeleriyle birlikte kullanıcı verilerine ilişkin tehditleri de göz ardı etmemek lazım. İnternete bağlandığımız her an bir tehditin ortasında olduğumuza dikkat çeken ESET Türkiye Bilgi Güvenliği Uzmanı Ulaşcan Şahin, ister bir metaverse projesi olsun ister MetaMask gibi cüzdan ile bağlandığımız bir merkeziyetsiz borsa, kullanıcının bunlardan herhangi birine bağlanmak istediğinde karşı tarafın sunucusuna bir takım verilerinin gönderildiğini bilmesi gerektiğinin altını çiziyor. Aslında bunlar, sanal ortamdaki parmak izi gibi düşünülebilir.
Çoğunlukla karşılaşılan durum da bu parmak izlerinin saldırganlar tarafından ters bağlantı ya da oltalama yöntemleriyle ele geçirilmesinden kaynaklanıyor. Şahin’e göre, bu izler alındıktan sonra 2FA da kullanıcıları kurtaramıyor. Dolayısıyla Şahin, cookie bilgilerimizi iyi saklayacak, Brave gibi tarayıcıların, girdiğimiz sitelerin güvenlik taramalarını yapacak guard.io gibi eklentilerin ve her bağlantıdan sonra bağlantı temizliğini yapmanın büyük ölçüde kullanıcıların güvenliğini sağlayabileceğine dikkat çekiyor.
Kaspersky’nin Baş Veri Bilimcisi Vladislav Tushkanov’a bu durumu sorduğumuzda, en ciddi tehdidin, bir kişinin sahip olduğu tüm kripto varlıklarının tek merkezde toplanması olduğunu söyledi. Çoğu proje Ethereum ekosistemini kullandığından, bir kişinin tüm eşyaları aynı cüzdana bağlı olabilir. Bu senaryoda kişisel anahtara olan erişimin kaybedilmesi, diğer varlıkların kaybedilmesi anlamını da taşıyabilir. Tushkanov, kullanıcıların cihazlarının güvenliği ve key storage drive (KSD) konusunda çok dikkatli olmaları gerektiğine vurgu yaparak, olası kimlik avı saldırılarına karşı daima tetikte olunmasının hayati önem taşıdığını vurguladı.
GameFi projeleri, günümüzde oldukça yaygın. Bu projeler ağırlıklı olarak airdrop ve benzeri içeriklerle kullanıcıları çekmeye çalışıyor. Burada da kötü niyetli aktörlere ‘gün’ doğuyor. Kullanıcı güvenliğinin sağlanmasıyla ilgili yapılması gerekenler ise Tushkanov’a göre, çoğunlukla aynı. Yani aslında bazı önlemler kriptoya özgü olsa da insanların güvenliklerini sağlamak için göz önünde bulundurması gerekenler aslında çevrimiçi olan her yerde aynı. Hesaplara erişirken potansiyel kimlik avına dikkat etmek şart. Kötü amaçlı yazılımların bulaşmasını önlemek için güvenlik çözümleri de kullanılmalı. Gerçek olmayacak kadar iyi görünen bir teklifle karşılaşıldığında mutlaka 2 kez düşünmek gerekiyor. Parola yöneticisi gibi güvenli bir çözüm kullanmak da hesap korumasına yardımcı olabilir. Tushkanov’un bu konu ile ilgili son sözleri şöyle:
“Eğer donanım şifrelemeli bir cüzdan kullanmaya karar verirseniz, saygın bir şirketten satın aldığınızdan emin olun ve üçüncü kişilerden satın almaktan kaçının”
ESET Türkiye Bilgi Güvenliği Uzmanı Ulaşcan Şahin ise işin güvenlik kısmından ziyade devletlerin alması gereken role ve onların yapıcı regülasyonlar getirmesine dikkat çekiyor. Özellikle DEX’ler ile birlikte bazı yardımcı platformlar kullanarak 5-10 dakikada kripto para çıkarabilir hale gelmek mümkün. Bu da aslında dolandırıcıların ekmeğine yağ sürmek. Şahin, burada kullanıcıların neye yatırım yaptığını bilmesi gerektiğine dikkat çekiyor. “Gerekli farkındalığı ve bilgisi olmadığı halde kolay para kazanma hırsıyla paralarını dolandırıcılara, scam projelere kaptıran çok insan var” diyen Şahin, Cointelegraph Türkiye’ye yaptığı yorumda, kişisel farkındalığı artırmanın öneminin altını önemle çizdi.
Benzer kodlar, saldırılar…
Yazılım dünyasının neredeyse kalbinin attığı yardımlaşma forumları ve açık kaynak kodları, birçok önemli ‘derdin’ de çözümü oluyor. Tabii burada yazılan benzer kodların blokzincir projelerinde kullanılmasıyla ilgili de bir risk var. Yaşanan son Ulaşcan Şahin’e göre, burada açık kaynak kodlu yapılar olsa bile, eliptik eğri dediğimiz dijital imza algoritmaları devreye giriyor. Yani sisteme başkasının parası aslında benim demeniz için bu algoritmaları kırmanız gerekiyor ki şu an dünyadaki bütün işlem yapan cihazları kullanabiliyor olsanız bile birinin gizli anahtarını bulana kadar geçen süre bin yıllar boyunca devam edebilir. Teknik olarak bu gizli anahtarlar 256 bitlik sayılardan oluşur. Bu 2 üzeri 256 farklı anahtar demektir ve gözlemlenebilir evrendeki atom sayısından bile fazla bir sayıya denk gelir. Bu algoritmaları bir şekilde kırabilirseniz sadece Bitcoin değil herkesin bankasındaki paraları da alabilirsiniz çünkü oralarda da aynı kriptografik algoritmalar kullanılıyor.
Güvenlik şirketlerinin gözünden…
Blokzincir teknolojisinin bazı avantajları, herhangi bir saldırı durumunda, saldırganların takibi söz konusu olduğunda dezavantaja dönüşebiliyor. Bu teknolojinin başındaki en büyük sorunlardan biri kısmen takip edilemez olması. Zaten bu yüzden ‘dark market’ olarak tanımlanan alanlarda da bu paraların kullanıldığını görüyoruz.
Günümüzde bu türden kullanım ne kadar yaygınlaşırsa aslında karşı önlemlerde bir o kadar çok alınmaya çalışılıyor. Bu nedenle tamamıyla bir takipsizlik söz konusu değil. Zincir üzerinde paranın hangi cüzdanlara gittiğini sistemin şeffaflığı sayesinde takip edilebiliyor. Burada karşımıza çıkan sorun o cüzdanın kime ait olduğunun bilgisinin olmaması. Tamamıyla merkeziyetsiz bir yapıdan söz edemeyiz, aktif işlem yapan insanların yüzde 70’inden fazlasının merkezi borsalar üzerinden işlem yaptığını biliyoruz. Bu şu anlama gelir; o cüzdanın kime ait olduğunu merkezi borsalar biliyor ve herhangi bir adli bilişim olayında bu bilgilere erişebilirler. Günün sonunda kara para olarak adlandırılan bir para da olsa bu gelen miktarı fiziksel bir paraya dönüştürmeniz için merkezi borsalara muhtaçsınız. O yüzden kötü niyetli kişiler bu paraları farklı farklı cash out yöntemleriyle -örneğin geçtiğimiz günlerde Twitch platformu üzerinde bir bit skandalı yaşandı- paraları aklamaya çalışıyorlar.