Güvenlik açıklarından yararlanılmasına olanak tanıyan yaygın güvenlik başarısızlıklarının yanı sıra teknolojinin ulus devletler tarafından siber suçlar için kullanılmasına yol açan siyasallaşması, 2025’in sonunda Londra’da düzenlenen Black Hat Avrupa konferansında ele alınan en büyük konular arasındaydı.
Takvim yılının son konferanslarından biri olan ve saldırı teknikleri, araştırmaları, araçları ve eğitimiyle ilgili gösterileriyle bilinen etkinlik, büyük ihlallerin ve güvenlik açıklarının manşetlere hakim olduğu bir yılın sonunda gerçekleşti.
Geçen yıl gerçekleşen birçok büyük olay, daha spesifik olarak fidye yazılımı veya kimlik avı olarak etiketlenmek yerine, genel olarak “siber saldırılar” olarak tanımlandı. Asahi Grubu olayında şirket, yaptığı açıklamada sunucularının “bir fidye yazılımı saldırısı tarafından hedef alındığını” ve daha fazla hasarı önlemek için “siber saldırıya ilişkin belirli ayrıntıları sakladığımızı” doğruladı.
Listeye İngiliz perakendecileri kapsayan saldırılar da eklenince 2025, saldırının arkasında kimin olduğuyla ilgili olmaktan ziyade çevrimiçi kalma ve hassas müşteri verilerinin korunmasıyla ilgili hale geldi. Tepkiyi iyileştirmenin yanı sıra, ulus devletlere atfetmekten uzaklaşıp öncelikli olarak korumaya mı geçiyoruz? Siber endüstri, hangi olayların arkasında kimin olduğuna ve suçun nerede olduğuna odaklanırken, belki de sorun, artık birçok saldırının bir tür hacktivist unsura sahip olmasıdır.
Etkinliğin açılışını yapan Black Hat kurucusu Jeff Moss, artık tüm “teknolojinin politik” olduğunu ve alınan her teknik kararın da politik bir sonucu olduğunu iddia etti.
1990’larda PGP algoritmasının kullanımına ilişkin “kripto savaşları”na, teknolojideki arka kapılar üzerinde süregelen tartışmalara ve 2016 ABD başkanlık seçimleriyle ilgili dezenformasyon kampanyalarına değinen Moss şunları söyledi: “Beğenseniz de beğenmeseniz de siyasi bir durumda olduğumuzu söylemek istiyorum. Bunu kabul etmemizi istiyorum. Bunu kabul etmekten hoşlanmıyorum ama şu anda bulunduğumuz yer bu ve şu anda en politik şeylerden biri de şu: fidye yazılımı.”
Moss ayrıca, DEF CON etkinliğinde Çin teknolojisinin kullanılıp kullanılmadığına ilişkin beyanlara da atıfta bulundu; buna, etkinliğin Çin teknolojisini kullanmadığını doğrulama zorunluluğunun yanı sıra verilerin nerede saklandığına ilişkin beyanlar da dahil.
Fidye yazılımı ve LockBit
Max Smeets’in açılış konuşması, 2024’teki Cronos Operasyonu kapsamında Ulusal Suç Ajansı (NCA) tarafından ele geçirilen LockBit verileriyle çalışma deneyimine odaklandığı için fidye yazılımından bahsetmek özellikle anlamlıydı. Bu vakada NCA, LockBit sistemlerine sızdı, kurban verilerini ele geçirdi ve kontrolörleri kilitledi; daha sonra yapılan analizde bu eylemin “grubun faaliyetleri üzerinde önemli bir etkisi” olduğu tespit edildi.
Smeets, LockBit verilerine ilişkin analizinin, gasptan ziyade verileri silmeye odaklanan fidye yazılımı ve silme saldırılarının giderek daha fazla kullanıldığını gösterdiğini söyledi. Son zamanlarda Venezuelalı bir tankere yapılan siber saldırının yanı sıra 2017 NotPetya saldırısı gibi olaylara dikkat çekti.
ETH Zürih Güvenlik Çalışmaları Merkezi’nde (CSS) kıdemli araştırmacı olan Smeets, LockBit konuşmalarını incelemesine dayanarak fidye yazılımının durumu hakkında çeşitli gözlemler yaptı:
- Yalnızca az sayıda LockBit üyesi gerçek para kazanıyor.
- Müzakere taktikleri oldukça tekrarlı ve yazılıdır; bağlı kuruluşlar tanıdık bir stratejiyi takip eder ve çok az değişiklik gösterir.
- Fiyatlandırma kaba ve veri odaklı değil; saldırganlar kurbanlar üzerindeki baskıyı anlamak için derin analizler yerine tahminlere güveniyor.
- Bağlılar, uzun süreli müzakerelere girişmek yerine yeni bir kurbana geçmeyi tercih ediyor.
Smeets tarafından sunulan bir slayt, LockBit’in iki sürümünde kurbanların yalnızca yüzde sekizinin verilerinin şifresinin çözülmesi için para ödediğini gösterdi; bu da saldırganların tek bir hedefi olduğunu güçlendiriyor: ödeme almak. Ödeme yapanlar arasında mağdurlar, e-posta konuşma listelerinde daha sık göründüler ve sonraki olaylarda da daha az ödeme yaptıkları görülmedi.
Smeets ayrıca fidye yazılımı operasyonlarında itibarın önemini vurguladı. Saldırganların verilerin şifresini çözmeleri ve verileri sızdırmamaları konusunda güvenilir olmaları gerekir ve genellikle altyapıyı yeniden inşa etmek, itibarı yeniden inşa etmekten daha kolaydır.
Hain ve yıkıcı saldırılar
Computer Weekly’ye konuşan Sophos Karşı Tehdit Birimi’nin (CTU) Tehdit İstihbaratı direktörü Rafe Pilling, artık fidye yazılımı ekosistemine giren daha çeşitli tehdit aktörlerinin bulunduğunu söyledi.
“Bunların çoğu eskiden Rusça konuşan organize suçlar ve onların arkadaşlarıydı” dedi. “Artık Batı merkezli, Birleşik Krallık merkezli, İngilizce konuşan tehdit aktörleri ve hatta gençler fidye yazılımlarına bulaşıyor; bunların bazıları son derece tehlikeli ve yıkıcı saldırılarla sonuçlanıyor.”
İtibarın önemine değinen Pilling, fidye yazılımının, kurbanların ödeme yapmaları halinde bir çıkış yolu bulacaklarına inanacak kadar güvendikleri bir markaya dayandığını açıkladı. Eğer bu güven kırılırsa, örneğin şifre çözme sağlanmazsa, operatörün itibarı zarar görür.
Pilling, “Aynı anda vurduğunuz kurban sayısı ile kazandığınız para miktarı arasında bir tür ters orantı var gibi görünüyor” dedi. “Büyük patlama saldırısına teşebbüs etmektense, daha uzun bir süre içinde daha az sayıda kurbanı vurmak çok daha iyidir.”
Pilling, BlackCat ve LockBit gibi modern fidye yazılımı operatörleri için itibarın operasyonlarının merkezinde yer aldığını ve “NCA’nın LockBit’in peşine düşme stratejisinin büyük bir kısmının sadece onları bozmak değil aynı zamanda itibarlarını sarsmak ve zayıflatmak olduğunu” ekledi.
Bu, Birleşik Krallık hükümetinin fidye yazılımı ödemelerine yönelik sıkı önlemleri açıkladığı ve siber gasp ve fidye yazılımı saldırılarının belirli bir zaman dilimi içinde hükümete bildirilmesini gerektiren bir yasa tasarısının Avam Kamarası’nda görüşülmekte olduğu bir yılın sonunda geldi. Fidye yazılımlarının ortadan kalkması pek olası olmasa da, yeni önlemler uygulamaya konuldukça etkisi azalabilir.
Kullanıcının etkisi
Yinelenen bir diğer tema ise kullanıcıların rolüydü. Kaos Bilgisayar Kulübü’nden Linus Neumann, insan faktörüyle ilgili konuları tartıştı ve asıl sorunun “onu inşa eden ve işleten insanlarda” olduğunu savundu.
Moss’un geçmişten alınan derslerin takip edilmediğine ilişkin yorumlarını yineleyen Neumann, çok fazla saldırının hâlâ insan hatasından kaynaklandığını, tespit ve kurtarma için ise çok fazla çaba harcandığını söyledi. Önlemenin çok sık başarısız olduğunu söyledi.
“İşletmenin ne yaptığını anlayana ve çalışanlarla konuşmamız gerekene kadar başarısız olmaya devam edeceğiz” diyerek, onlar için oluşturulan ortamları düzeltmek yerine kullanıcıları suçlama eğilimine işaret etti.
Neumann, iki faktörlü kimlik doğrulama, akıllı kartlar ve uçtan uca şifreleme gibi mevcut ancak hala geniş çapta veya tutarlı bir şekilde uygulanmayan teknolojiler gibi gelişmelere değinerek kendi bakış açısına göre “çözülmemiş bir BT güvenlik sorunu olmadığını” iddia etti.
Yapay zeka amplifikasyonu ve otomasyonu artırıyor
Yapay zeka da öne çıkan bir konuydu; Tenable’dan Gavin Millard, “dünyayı yok etmeyeceğini” söylediği, bunun yerine amplifikasyon ve otomasyonu “daha hızlı ve uygun ölçekte” artıran teknolojilere odaklandı.
Millard, önemli mevcut güvenlik sorunlarına ve zayıf iyileştirme süreçlerine sahip kuruluşların en savunmasız gruplar olabileceği konusunda uyardı. Ajansal yapay zekanın “maruz kalma açığının açıklanması”nın azaltılmasına yardımcı olabileceğini ve doğru kullanıldığında uzun süredir devam eden hijyen sorunlarını giderebileceğini belirtti; aynı zamanda kaçınılmaz olarak saldırı yüzeyini genişlettiğini de kabul etti.
Millard, “Bir ajan orduyu harekete geçirmek için doğru bağlama sahip olması gerekiyor ve yapay zekanın inanılmaz derecede yararlı olacağı yer burası” dedi. Yapay zekanın yama uygulama becerisine dikkat çekerek, kötü uygulanan bir yamanın ağı çökertebileceğini ve yapay zekanın, ciddiyet puanlarına bakılmaksızın hangi güvenlik açıklarına öncelik verilmesi gerektiğini belirlemeye yardımcı olabileceğini belirtti.
“Ajan yapay zeka için korkuluklara ihtiyacımız var” dedi. “Söylememiz gerekiyor [to agents] yeniden başlatmayı gerektiren hiçbir şeyi yamalayamazsınız; yönetici ayrıcalıkları gerektiren hiçbir şeyi yamalayamazsınız. Ajansal yapay zekanın operasyonları aksatmadan çalışabilmesi için politika rolünüzü tanımlamanız gerekiyor.”
Güvenli yazılım, güvenli araştırmacılar
Güvenlik açıkları konusunda Microsoft’tan Tom Gallagher, şirketin daha güvenli ürünler oluşturma çabalarının bir parçası olarak “tasarım yoluyla güvenlik” ve “ihlal varsayma” ilkelerini tartışarak hata ödül programlarının ve harici işbirliğinin yazılım güvenliğini nasıl güçlendirdiğini vurguladı.
Bir panel ayrıca, özellikle Birleşik Krallık’taki Bilgisayar Kötüye Kullanım Yasası ile ilgili olarak, güvenlik açığının ifşa edilmesi ve yasal reformla ilgili zorlukları da inceledi. Tartışmada, araştırmacıların yasal tehditlerle ve kariyerlerine yönelik olası zararlarla karşı karşıya kalması nedeniyle güvenlik açıklarının rapor edilmesinin ne kadar riskli, zaman alıcı ve ödülsüz olabileceği vurgulandı. Chatham House Kuralı kapsamında düzenlenen panelde, araştırmacılar için daha iyi teşvik ve korumaya ihtiyaç olduğu ve güvenlik açığı raporlamasının kamu yararı olarak ele alınması gerektiği sonucuna varıldı.
Genel olarak Black Hat Avrupa’daki temalar, teknoloji ve hizmet seçimlerinden kullanıcılarla ilgili kurumsal yönetime ve teknik hijyene ve yapay zekanın hem savunucuların hem de saldırganların yeteneklerini nasıl yeniden şekillendirdiğine kadar siber güvenliğin politik, ekonomik ve sosyal boyutlarının altını çizdi.
2026 başlarken yeni zorluklar bizi bekliyor ve 2025’ten alınacak dersler kuruluşlara iyi hizmet edecek. Ancak bu temaların çoğu tanıdıktır ve defalarca tartışılmıştır. Bu sorunlar gerçekten çözülmemiş mi, yoksa sadece kalıcı mı? Sektörün 2026’nın sonunda kendisini nerede bulacağı, bu soruyu yanıtlamaya yardımcı olabilir.