Dünyada kripto para borsalarında önemli çöküşler ve gerilemeler yaşanıyor. Kripto para alanında kurumsal ün yapmış çeşitli şirketlerin de hızla batışa doğru gittiği bir sürece tanık oluyoruz. Kripto para ve kripto para borsalarının çalışma süreçleri, kripto para borsalarının dayandığı blok zincir sisteminin olumlu ve olumsuz olabilecek yönleri veya kripto para yatırım mekanizmasının işleyiş sistematiğindeki bazı açık noktalar üzerine çeşitli yazılar ve araştırmalar çokça yayınlandı. Bu konularda teknik yeni bir yazı yazmak bu makalenin amacı değildir. Ancak, bu yazıda geçmişte kripto para piyasalarında pek çok şirketlerin kurulduğu ve tamamen dolandırıcılık amacı ile faaliyet gösterdiklerini okuyucuya hatırlattıktan sonra asıl olarak Türkiye’de bu alanda en önemli dolandırıcılık vakalarından birisi durumuna gelen THODEX dolandırıcılığının nasıl yapıldığını analiz edeceğim. THODEX dolandırıcılığı nasıl gerçekleşti? Bu durum öngörülebilir miydi? Devletin bu gibi borsalar ile ilgili yaptığı bir düzenleme ve kurduğu bir yatırımcıyı koruma mekanizması bulunmakta mıdır? Borsa kurucusunun yurt dışına çıkarken götürdüğü kripto paralar geri alınabilir mi? O kripto paraların izi sürülebilir mi? THODEX dolandırıcılığı nasıl gerçekleşti ve ne gibi dersler çıkarılması gerekiyor? Bütün bunların cevabını bu makalede vermeye çalışacağım. Türkiye’deki Kripto Para Borsaları ve THODEX Dolandırıcılığı Giriş Kripto para yatırımı Türkiye’de oldukça popüler hale geldi ve pek çok yatırımcının yüksek kar beklentileri ile yöneldiği yatırım araçlarından birisi oldu. Kripto para borsaları dünyada da Türkiye’de de bazı örneklerde ciddi mağduriyetlere ve/veya dolandırıcılıklara da neden oldu. Bu durumun nedenleri arasında hem kripto para sisteminin teknik zaafları hem de kötü niyetli kripto para borsası kurucularının/yönlendiricilerinin başvurabildikleri dolandırıcılık yöntemleri sayılabilir. Bu çerçeveye siyasi ve idari zafiyetlerden yararlanma da eklenirse kripto para borsasında büyük bir dolandırıcılığa daha güçlü imkân verilebilir. Türkiye’de THODEX kripto para borsası dolandırıcılığı hem kurucusunun kaçış süreci hem aşama aşama bu borsanın nasıl kurulup kendince yatırımcıların gözünde meşruiyetler kazanabildiği hem yurtdışı bağlantıları hem kurucularının çeşitli siyasi temasları hem de şirketin siyasiler ve ünlülerin de dahil olduğu imajlarla süslü büyük reklam kampanyaları ve algı yönetimi ile çok önemli ve detaylı incelenmesi gereken bir olaydır. Bu incelemeden korkusuzca çıkarılacak dersler hem kripto para mekanizmalarındaki teknik açıklar hem kötü niyetli kripto para borsası kurucularının taktikleri hem de kripto para piyasalarına yönelik kamu politikaları ve idari düzenlemelerin daha doğru yapılmasına ciddi katkı verecektir. Bu makalenin nihai amacı da budur. Türkiye’de kripto para borsalarından THODEX’in karıştığı dolandırıcılık olayı büyük bir gündem oluşturdu ve halen de tartışılmaya devam ediyor. Türkiye’de kurulan THODEX kripto para borsasının kurucusu, Faruk Fatih Özer, kullanıcılarını mağdur etme pahasına işlem gören kripto paralar ile yurt dışına kaçtı. Ağustos 2022’de kaçak olarak yaşadığı Arnavutluk’ta İnterpol’ün bir operasyonu ile yakalandı. Türkiye’deki THODEX kripto para dolandırıcılığını hem teknik hem süreçsel hem de bütünsel çerçevesi ile önümüzdeki bölümlerde ele almaya çalışacağım. Türkiye’de Kripto Para Borsaları Nasıl Gelişti? Bu Borsalar Neden ve Nasıl Çöker? Türkiye’de yüksek enflasyon ve ekonomik durgunluk nedeniyle birçok insan elindeki yatırımı korumak veya kazanç elde etmek için farklı yatırım araçlarına yöneldi. Aralık 2019’da borsadaki Türk yatırımcı sayısı 1,2 milyondan 2,5 milyon seviyesine çıkarak rekor kırdı. Fakat borsalarda umduğunu bulamayan pek çok yatırımcı özellikle 2020’de başlayan bitcoin rallisinden kazanç elde etmek için kripto paraya yöneldi. 2021 senesine gelindiğinde Türkiye Avrupa’da en çok kripto para yatırımı yapan ülke konumuna yükselirken, dünyada ise 4. sırada yer aldı. 2022 yılında geldiğimizde Türkiye kripto para yatırımında dünyada 1. sırada sayılmaya başlandı. Kripto paralara olan bu talep Türkiye’de birçok kripto para borsasının kurulması ile sonuçlandı. Borsalar genel olarak iki yoldan kazanç elde edebilirler. Birincisi alıcı ve satıcı arasında köprü kurduklarında her yapılan işlemden küçük oranda bir komisyon alırlar. En büyük getiri kaynakları elde edilen bu komisyondur. İkinci kazanç yöntemi ise yeni coinler üzerinden olur. Yeni kripto para daha erişilebilir olmak ve işlem hacmini artırmak için daha çok borsada işlem görmek ister. Bunun için de popüler borsalarda kripto paralarının listelenmesi karşılığında belirli bir promosyonu kripto borsalarına bırakılır. Örneğin bir X coini Türkiye’deki A borsasında listelenmek isterse, X coin yaratıcıları/yöneticileri A borsasına belirli bir miktar coini ücretsiz olarak verir. Bu şekilde X coin A borsasında listelenir ve işlem hacmi de artar. Ayrıca, X coin yaratıcıları/yöneticileri işlem hacmini artırmak için bazı yarışmalar düzenleyebilir. ‘X coinde 1 ay içerisinde en fazla işlem gerçekleştiren 3 kişiye belirli bir miktarda X coin bedelsiz verilecektir’ gibi. Bu gibi yarışmalarda da kazanan yine borsadır. Hem işlemlerden para kazanacak hem de cebinden ekstra para çıkmayacaktır. Hal böyleyken kripto borsalarının zarar etmemesi gerekir. Gayet kârlı bir yöntem gibi görünmesine karşın, kripto borsalarının da kendine has riskleri bulunur. Kripto borsaları herhangi bir kanun ile lisans almadıkları için, (isteseler de alamazlar, çünkü kripto para borsaları ile ilgili lisanslama çalışması henüz yok) bankalar gibi varlıklarına sigorta vs. yaptıramazlar. Ağlarına yetkisiz erişildiğinde (hacklendiklerinde) ise borsa kaybettiği parayı, elde ettiği kârdan karşılayarak güvenilirliğinin zedelenmemesine gayret eder. Fakat yetkisiz erişim sonrasında oluşan kayıp borsa tarafından karşılanamayacak durumda ise, o borsa artık işleyemez duruma gelir. Yetkisiz erişim sonrası para kaybı yaşandığında, borsa sahipleri paniğe kapılıp ellerindeki yatırımcı coinleri ile kendi işlemlerini yapmaya ve kâr ederek coinleri yerine koymaya çalışabilir. Yapılması imkânsız olmasa da kolay da değildir ve çok risklidir. Yükselen bir borsada herkes kazandığı için yatırımcılardan çok daha fazlasını kazanmanız gerekeceğinden, genellikle de bu uğraş ters teper. Bu durum yatırımcılardan belirli bir süre saklanabilir. Başkasının coinleri ile borsadan çekilenler bir süre karşılanabilir. Ama bunun takibi oldukça zordur. Borsada tek bir para birimi olmadığından, klasik ponzi şemalarından daha kısa ömürlü olacaktır. Bunun sebebini biraz açalım. Öncelikle klasik ponzi şemalarında (örneğin Çiftlik Bank) kişilerin çok kârlı bir yatırım için finansör olmaları karşılığında yüksek faiz getirisi taahhüdüyle mevduat şeklinde para toplanır. Ama aslında ortada bir yatırım yoktur. Ponzi şeması gereği yatırımcılara faiz belirtilen aralıklarla (Çiftlik Bank için bu 1 aydı), sisteme yeni giren yatırımcıların yatırdığı sıcak para ile ödenir. Bu sistem, her ödeme dönemindeki üye sayısı bir önceki dönemden az olmamak kaydıyla uzun süre sürdürülebilir. Fakat yeni kullanıcı girişi azalmaya başladığında, yani sistem doyuma ulaştığında, ponzi şeması çöker. THODEX Borsası Nasıl Çöktü? Dolandırıcılık Serüveni Nasıl Gelişti? 30’un üzerinde coinin bulunduğu THODEX borsası örneğinde ise durum; örneğin, BTC yatırmış bir yatırımcı parasını BTC olarak çekmek isteyecekken, ETH yatıran biri de hesabında ETH görmek isteyecektir. BTC’yi satıp borsadan XRP gibi bir coin satın alındığında, kaydın XRP olarak tutulması gerek. Yeterince ETH bulunmayan bir borsada ETH satın almak isteyen kişinin bu talebinin yerine getirilmesi içinse BTC satılıp ETH alınması gerekir. Bu da her bir bireyin hesabının ayrı takip edilmesi anlamına geldiğinden iş yükü altından kalkılamayacak bir boyuta ulaşır. Basında çıkan haberlere göre THODEX’in kullanıcı sayısının 300.000 üzerinde olduğu düşünüldüğünde, modelin işletilmesinin ne kadar zor olduğu açıktır. Ama yatırımcıların hepsi çekim işlemini TL ile yapacak olsaydı, sistem daha uzun süre sürdürülebilirdi. Fakat, yatırımcılardan bazıları BTC veya XRP çekmek istediğinde, bu sefer yukarıda anlatılan durum meydana geliyor ve hesapların hepsi karışıyor. Bu sebepledir ki piyasalara giriş azaldığı zaman sistem geri döndürülemez şekilde çöker. THODEX hadisesinde aslında yaşanan tam da budur. Tabi burada unutulmaması gereken bir diğer husus da kara para aklamak veya Türkiye’deki birkaç milyon lirasını yurt dışına, MASAK kayıtlarına takılmadan çıkartmak için kripto paralar çok kullanılan bir yöntemdir. Haliyle büyük işlemler, TL olarak sistemden çekilmez. Onun yerine THODEX’den para hangi ülkeye aktarılacaksa oradaki bir borsaya veya soğuk cüzdan dediğimiz USB şeklindeki cihazlara aktarılarak kripto para çıkışı olur. Kripto parayı bu şekilde bir USB disk ile yanınızda istediğiniz ülkeye götürebilirsiniz. Yani THODEX’in çöküşünü hızlandıran olay yerli küçük yatırımcının parasını çekmesi değil, büyük kara paranın kripto olarak borsadan çıkışıdır. THODEX’deki çöküşün başlaması ise borsaya yetkisiz erişim sonucu kaybettiği 25 milyon TL civarında olduğu tahmin edilen coinler ile başladı. Faruk Fatih Özer, 22 Nisan 2021’de şirket Twitter hesabından yaptığı paylaşımda 2018 senesinde bir siber saldırı sonrasında 25 milyon TL tutarında bir zarar ettiğini belirtiyor. Borsa bu coinleri yerine koyacak gücü bulamazken, yatırımcılara bunu söylemek yerine ponzi şemalarında olduğu gibi ünlü isimleri reklam kampanyasında oynatarak, çekilişler yarışmalar düzenleyerek yeni yatırımcı çekme, onların parası ile de çalınan coinleri amorti etme yolunu denemeyi seçti. Fakat gelen yatırımcı hızı kaybolan bu coinleri yerine koymaya yetecek kadar değildi. THODEX’in yatırımcısından çok kazanıp kaybettiği parayı yerine koyma yolunu deneyip denemediğini henüz bilmiyoruz, ama denemiş olması da muhtemeldir. Koineks Nasıl THODEX Oldu: Güven Yaratmak İçin Atılan Şaibeli Adımlar THODEX isimli şirket, kripto paraların ilk büyük çıkış yaptığı 2017 senesinde Koineks adında kurulan şirketin devamı niteliğindedir. Koineks ise, 100.000 TL’si peşin olmak üzere 400.000 TL sermaye ile I Tower İstanbul’da tek hissedar olan Faruk Fatih Özer tarafından kuruluyor. 2017 yılı Ağustos ayında şirketin internet sitesi de oluşturuluyor. 13 Şubat 2019 tarihinde şirket adresi bir plazadan Kadıköy’deki bir apartman dairesine geçici olarak taşınıyor. 26 Şubat 2019 tarihinde ise şimdiki mevcut adresi de olan Göztepe’de bulunan Nida Kule’ye taşınıyor. Şirketin e-vergi levhası incelendiğinde ise 2018 ve 2019 yıllarında herhangi bir kâr göstermediği ve vergi borcu oluşmadığı anlaşılıyor. Şirketin alım satım komisyonlarından elde ettiği kârları nasıl sıfır gösterdiği tabi vergi müfettişlerince incelenmesi gereken bir konu. Koineks 2017 yılında kurulduğunda daha marka tescil başvurusu bulunmamaktaydı. 11 Ekim 2017 yılında marka tescil başvurusu Nebi Yener tarafından Nuri Okutan’ın vekilliği ile yapılıyor. Fakat şirketin güncel logosu ile başvuru yapılmıyor o tarihte. Şirketin web.archive.org sitesinde bulunan en eski tarihli kaydı olan 22 Kasım 2017 tarihli kayıttan, şirketin logosunun kullanılarak faal olduğu anlaşılıyor. Daha sonra Faruk Fatih Özer Mart 2018 tarihinde şirketin logosu ile tescil başvurusunu yapıyor. Firmanın logosu ile tescili alıyor. Şirkete 2018 yılında yetkisiz erişildiyse, daha 1 yıllık bir firmanın bu zararı karşılaması pek mümkün değil. Şirketin 100.000 TL gibi az miktardaki bir ana sermaye ile kurulması, bankalar için sermaye rasyosu zorunluluğu olmasına rağmen, kripto borsalarında benzer bir zorunluluk bulunmaması, bu gibi kurumların lisanslanmasının ve kripto borsalarını düzenlemenin gerekliliğini bir kere daha gözler önüne seriyor. Haklarında düzenlemeler bulunan bankaların internet ağlarına da yetkisiz erişilebiliyorlar veya bazı işlemlerden zarar edebiliyorlar. Bu durumda bankalar kendi öz sermayesinden bu açığı kapatabilme imkanına sahip olduğundan, son kullanıcı olarak bizler bu gibi yetkisiz erişimlerden etkilenmeyiz. Fakat kripto borsalarında böyle bir şart olmadığı için hemen hemen herkes çok küçük bir sermaye ile milyon dolarlık işlem hacmi olan bir borsa kurup işletebiliyor. Koineks içinde bulunduğu çıkmazdan kurtulmak için yeni bir makyaj ile ayağa kalkmaya çalışıyor ve şirketin yeni yüzünün THODEX olması kararlaştırılıyor. Kurulan yeni şirket, marka tesciline 12 Şubat 2019 yılında başvuruyor. Şirketin internet adresi ise 2019 Ocak ayında kuruluyor. 2019 yılı Ekim ayında ise Koineks Teknoloji A.Ş. üzerinden şirketin yeni logosu ile marka tesciline başvuruluyor ve 25 Şubat 2020’de yeni logo ile Thodex.com Koineks üzerine marka tescil ediliyor. Şirketin artık THODEX ismi ile tekrar faaliyete geçmesi için önünde herhangi bir engel kalmamış oluyor. Tek ihtiyaçları olan sarsılan güveni yeniden kazanabilmek için iyi bir reklam. Şirket 2020 yılının başında Amerika’dan Para Hizmeti İşi Lisansı’nı (MSB-Money Services Business- MSB) almaya karar veriyor. Peki nedir bu lisans? Para Hizmeti İşi Lisansı sahibi, bir döviz satıcısı veya takasçısı; bir çek kasası, seyahat çeki, banka havalesi veya diğer saklanan değerlerin düzenleyicisi veya satıcısıdır. MBS Lisansı alındıktan sonra ABD’de birçok nakdî işlem gerçekleştirilebilir. Çalışmak istenen her eyalet için ayrı bir lisansa ihtiyaç duyulur. Her eyalet için farklılıklar olmasına rağmen bazı ortak koşullar da bulunur. Bunlar: İyi bir itibar sertifikası, Minimum net değer gereksinimi, Net değer beyanı. Bu ortak bileşenler yanında, işletmenin varlıkları, ticari nakit akışı ve borçları hakkında ayrıntılar dahil olmak üzere, kuruluşun mali tablolarını sunması gerekir. Bazı eyaletler, özel varlıklar ve borçlar hakkında da bilgi ister. Lisansı alabilmek için, bir de her hissedar ve işle ilgili kontrol sahibi kişilerin varlıkları, yükümlülükleri, net değerleri ve diğer ticari çıkarları dahil bilgiler sunulmalıdır. Başvurularda başvuru ücretiyle birlikte, aranan bir diğer belge geçmiş araştırmasıdır. Geçmiş araştırması hem adli hem de hukuki kayıtları içermelidir. Para aktarımlarını müşteriler adına idare edebilmek için güvenilir biri olduğunuz ispatlanmalıdır. Başvurular ABD’deki iş adresi, işletme sahibinin adı, sosyal güvenlik numarası, vergi kimlik numarası, detaylı iş planı gibi bilgi ve belgeleri de içermelidir. Açıklamalardan da anlaşıldığı üzere, lisans alınan her eyalet için ayrı ayrı şartları sağlamış olmak gerekir. Örneğin, Montana ve Güney Carolina dışındaki her eyalette, lisans almadan önce karşılamanız gereken belirli şartlar vardır. Şartların en ağır olduğu Kentucky’de asgari net varlık olarak 500.000 dolar ve kefalet olarak da bir 500.000 dolar isteniyor. Delaware eyaletinde ise kefaletin 25.000 dolar net varlığın ise 100.000 dolar olması bekleniyor. Eyaletlerin bir kısmının gereksinimlerini aşağıda görebilirsiniz: THODEX, İstanbul’da olduğundan normalde bu lisansa başvuramaz. Fakat şirket uyanıklıkla önce vergi oranlarının düşük ve şirket açmanın diğer eyaletlere göre daha kolay olduğu Delaware’de bir şirket kuruyor. Platinum Filings LLC adında sanal ofis şirketleri kuran bir şirketin yardımı ile Thodex Inc. adıyla ( 55 E. Loockerman St, Suite 120 Dover DELAWARE Zip: 19901) 22 Mayıs 2018’de oldukça küçük bir sermaye ile faal hale geliyor. MSB lisansı alması oldukça şüpheli olan şirket, Arizona, Arkansas, California, Colorado, Indiana, Kentucky, Massachusetts, Michigan, Mississippi, Missouri, Montana, North Dakota, Pennsylvania, Utah, Virginia, Wisconsin, Wyoming eyaletleri için MBS lisanslarını da 04/16/2020’de alıyor. Burada şüphe uyandıran, şirketin daha ilk MSB Lisansını almadan, Faruk Fatih Özer’in “Ülkemizde elde ettiğimiz başarı, edindiğimiz tecrübeler ve büyüyen hedeflerimiz doğrultusunda 2020 yılı itibariyle ABD’den aldığımız FinCen MSB (Money Service Business) lisansımız ile globalleşerek yeni marka ismimiz Thodex ile tüm dünyada hizmet vermeye başladık. ” şeklindeki paylaşımıyla internet sitesinde lisansı aldıklarını duyurmaya başlamasıdır. Lisansını daha almadan ama alacağı konusunda sanki bir teminat verilmiş gibi kendinden emin yapılan bu açıklama akıllarda soru işareti oluşturmuyor değil. Ayrıca depozitolar ve teminatlar için gerekli olan paranın nasıl yurt dışına çıkarıldığı konusu da başka bir sorulması gereken soru. Dolayısıyla, MSB lisansı alan şirket ile Türkiye’deki THODEX’in aynı şirket olup olmadığı dahi kuşkulu hale geliyor. Diğer taraftan, eğer aynı şirketlerden bahsediyorsak, oldukça cazip görünmesine karşın Türkiye’de herhangi bir geçerliliği olmayan lisansların, yine Türkiye ile hiçbir bağlantısı olmayan bir şirket tarafından alınmasından murat, güven tesisi olsa gerek. Güven Tesisi İçin Siyasi Makamları Kullanma ve Açık Noktalar THODEX kurucusu ve CEO’su Faruk Fatih Özer’in dolandırıcılık serüveninde güven tesis etmek için siyasi makamları da kullandığı medyaya yansıyan bazı bakanlar ile çekilmiş fotoğraflar ile daha da açığa çıkmıştır. Hatta, 2019 yılında gerçekleşen bu bakan ziyaretlerinin fotoğrafları sadece Faruk Fatih Özer tarafından değil, ziyaret edilen bazı bakanlar tarafından da zamanında kamuoyu ile paylaşılmıştır. Faruk Fatih Özer’in kripto paralar ile yurtdışına kaçışı sonrasında söz konusu bakanlar, Faruk Fatih Özer’i tanıdıklarını reddetmişler; ya asıl ziyaretçilerinin Faruk Fatih Özer’in yanında geldiği şahıslar olduğunu ya da genel olarak belli bir sektördeki gençleri ağırlarken bu kişinin de onlar ile geldiğini iddia etmişlerdir. Faruk Fatih Özer, gerçekten bakanlar ile sadece bazı aracılar vasıtasıyla genel bir görüşme yapmış ve bu ziyaretlerde çekilen fotoğrafları da şirketine güven tesis etmek için mi kullanmıştır yoksa söz konusu bakanlardan ya da başka siyasi iktidar sahibi kimselerden farklı destekler de almış mıdır ayrı bir yazı konusudur. Zira, bu konuda medyada pek çok iddialar ortaya atılmıştır. Benim burada değinmek istediğim asıl nokta ise yasal mevzuat ve denetim mekanizmaları ile belirli bir güven sağlama için çeşitli yasal araçların mevcut olmadığı durumlarda, buradaki kurulan kripto para borsası örneğinde olduğu gibi, borsaların kurucuları, yöneticileri siyasi makamları ve siyasi iktidar sahibi kişiler ile çekilmiş ilgili ilgisiz fotoğrafları kullanmayı önemli bir taktik olarak benimseyebilmektedirler. Bu tip durumlara yol vermemek için siyasi makam sahiplerinin kimler ile görüştükleri, ne amaçla görüştükleri ve kimler ile nasıl fotoğraf verdikleri konusunda daha dikkatli olmaları gerekmektedir. Hatta mevcut danışmanlarına bu konuda özel görev vermeleri, onları görüşme talep edenler hakkında iyi araştırma yapmaları konusunda uyarmaları ve gerektiğinde hesap sormaları önemli bir gereklilik olarak ortaya çıkmaktadır. Üst düzey devlet yöneticileriyle aynı karede bulunulan bu gibi fotoğraflar oldukça anlamlıdır ve fotoğraflar güven telkinini hedefler. Çünkü borsalar güvene dayalı olarak çalışır. Bir günü aşan para çekememe gibi bir olay sonucunda bile bazıları savcılığa gitmeyi seçebilir. Bu gibi bir durumda savcılık ne olduğunu anlamak için işlemleri durdurma yoluna gidebilir, bu daha büyük bir güven bunalımına neden olur ve şema daha en başında çökebilir. Böylesi fotoğraflar ise, Faruk Fatih Özer gibi kimselerin, “ Bakın ben kaçmıyorum. Savcılığa gitmeniz gerek yok. Şu bakan ya da bakanlar ile istediğim zaman makamında görüşme sağlayabiliyorum. Yüksek yerlerde tanıdıklarım var vs ” gibi mesajlar taşır. Başka bir anlatımla, borsa kurucuları, yatırımcıların kötü giden durumdan, geciken ödemelerden şüphelenmemesi için, daha çok yatırımcı çekebilmek ve gemiyi böylece yüzdürebilmek için siyaseten popüler isimler ile fotoğraflar çektirdiler. Siber güvenlik açısından da zayıf olan borsalar izinsiz erişimle de zarar ettiler. Zararları karşılamak için daha çok yatırımcı çekmeye çalıştılar. Daha çok yatırımcı çekmek için daha çok masraf yaptılar. Zarar katlanarak arttı ve artık döndürülemeyecek duruma gelince paraların bir kısmı ile yurt dışına kaçışlar başladı. Burada, Türkiye’nin uğradığı nakdi kayıp ise minimaldir. Şirket yüklü miktarda bir para çıkışı yapacak olsa MASAK mutlaka bundan haberdar olup o nakit parayı bloke ederdi. Fakat kripto para olarak yurt dışına çıkardığı belirli bir miktar var olduğu görülüyor. Yatırılan paraların ne kadarı yükselen kripto para borsasında kâr etmek için yatırım yapan vatandaşın, ne kadarı parasını denetlemeye takılmadan yurt dışına çıkarmak veya kara parayı bu yolla aklamak için yatıranların olduğu konusunda ise net bir bilgi henüz yok. Sonuç Kripto para borsalarının genel teknik zafiyetleri ve Türkiye’de en çok ses getiren kripto para borsası dolandırıcılıklarından birisi olan THODEX vurgunun nasıl gerçekleştiğini detaylı bir şekilde göz önüne sermeye çalıştım. Bu tip şirketlerin kurumsal süreçleri ve yasal altyapılarının hala tam olmadan faaliyet gösterebildiklerini ve diğer finans kurumlarına göre kolayca çok sorumsuz davranabildiklerini gözlemleyebiliyoruz. Lisanslara ihtiyaç duymadan, düşük sermayelerle kolayca kurulabilen bu tip yapıların kırılgan ve zayıf yönleri çoktur. Bu tip şirketler büyük şaibeli para aktarımları için kullanılabildikleri gibi çoğunlukla kolay para kazanma hevesindeki kullanıcı ve yatırımcıları hedeflemektedir. Genelde ponzi şemalarında olduğu gibi bu tip şirketler kripto piyasasında da olsa yeni girişler azaldığı anda çökmeye mahkûm bir yapıya sahiptirler. Bu nedenle de tamamen göz boyamak ve güven kazanmak için özellikle algı yönetmek adına ünlü isimler, siyasiler ve makam sahibi kamu görevlileri ile görüntü vermeye çalışırlar. Yukarda detaylı incelediğimiz gibi MSB lisansının alınmasındaki şüphe, bakanları makamlarında ziyaret etmenin yarattığı şaibe algıları ve bu durumdan üretilen sayısız eleştiriler, iddialar THODEX vurgunu gündemde tutmaya devam ediyor. Bu vesile ile kripto para borsalarının güvenilirliği ve nasıl daha güvenilir hale getirebileceği konuları da sıcak ve en çok merak edilen tartışma konularından birisi olmayı sürdürüyor. Dünyadaki çeşitli kripto para borsalarındaki büyük düşüşler ve gerilemeler ile kripto para piyasasına bakış da değişmektedir. Türkiye’deki yatırımcıların da artık kripto para borsalarına ‘ kolay para, büyük kazanç imkânı ’ veya ‘ kısa yoldan zengin olma, para katlama ’ yerleri olarak bakmayı bırakması kritik bir aciliyet haline gelmiştir. Özellikle yaşanan dolandırıcılık vakaları ve örnekleri de göz önüne serildikçe insanların daha da dikkatli olmayı öğrenmesi büyük toplumsal ve sosyal yaralar açılmaması için de önemli hale gelmiştir. Türkiye’de yaşanan kripto para intiharları, dağılan aileler ve yaşana büyük buhranlar insanların yasal kripto para borsalarını kullanırken bile diğer bazı yasal yüksek riskli finansal yatırım araçlarında olduğu gibi fazla hırslı ve açgözlü olmama konusunda dikkatli olmaları gerektiğini sürekli hatırlatmaktadır. Bunun üstüne bir de tamamen şaibeli ve yasal zeminleri olmadan yaratılan kripto para borsaları ise doğrudan dolandırıcılığa girmektedir, ancak yine de insanlar yatırım yapmadan önce dikkatli incelemedikçe bunların tuzağına çok daha fazla düşebilmektedir. THODEX olayı bu anlamda ders niteliğindedir ve detaylı analiz edildiği zaman hem yatırıcımlar hem idareciler hem siyasiler açısından önemli dersler içermektedir. Bu konularda herkes daha dikkatli davranmalı ve siyasi iktidar yeni yasal düzenlemeler ile kripto para borsalarını sıkı bir şekilde denetlemelidir. Bu makalede kripto para mekanizmasının Türkiye ayağında THODEX deneyimini detaylı şekilde anlatmamızın asıl nedeni birincisi, kripto para borsaları ve blok zincir sistematiğinin bugünlerde çeşitli sıkıntılar yaşa da yeni çerçeveler ile dünyada ve Türkiye’de gelişmeye devam edeceğini vurgulamak; ikincisi, bunu öngörerek devletin bu tip dolandırıcılıklar ve istismarların önüne geçecek düzenlemeleri yapmasının öneminin altını çizmektir. Kurumsal Not : KAPDEM'de yayınlanan yazı ve çalışmalar KAPDEM'in kurumsal görüşünü yansıtmaz, tüm yasal sorumluluk yazarlara aittir.
Siber güvenlik ve veri güvenliği sağlama konuları günümüzde hem bireyler hem özel kuruluşlar hem de kamu kurumları için çok önemli hale gelmiştir. Eskiden daha çok devletlerin ve istihbarat örgütlerinin sorunu gibi görülen bu konular; teknoloji ve küreselleşmenin gelişmesi ile sıradan bireylerin dahi günlük sayısız veri paylaşması, internet üzerinden sayısız siteye, uygulamaya giriş yapması ve bu verilerin artık hem devletler hem istihbarat örgütleri hem özel kuruluşlar hem de sadece onları başka müşterilere meta olarak satmak isteyen şirketler için en aranan, en değerli mallar, araçlar haline geldikleri için herkesin en kritik sorunu olarak ortaya çıkmıştır. Hem kendisini hem verilerini korumak sadece devletler, kamu kurumları, dev şirketler için değil, sıradan insan için de elzem hale gelmiştir. Bu makalede, siber güvenlik ve veri güvenliği konusunda dikkat edilmesi gereken hususlar, günlük hayatta sıkça kullanılan uygulamaların güvenirliği ve verilerinizi koruma konusunda öneriler yer almaktadır. Siber güvenlik ve veri güvenliği yönetimini bilmeyen devletlerden şirketlere, sivil kuruluşlardan bireylere kadar herkes büyük bir tehdit altındadır ve kendisini de başkalarını da sürekli riske atmaktadır. Giriş Günümüzde birçok işimizi online olarak internet üzerinden yapmaktayız. Sevdiklerimizle mesajlaşma, görüntülü ve sesli konuşma, resim gönderip almak, e-postalar aracılığı ile yazışma ve hatta önemli verilerimizi bulut üzerinde saklanması da dahil olmak üzere artık neredeyse tamamen sanal bir ortamda verilerimizi ve özel bilgilerimizi saklamaktayız. En son baskıdan aldığınız fotoğraf muhtemelen bir düğün fotoğrafıydı. Fotoğraf çerçeveleri bile artık baskılı olanlardan çıkıp, tablet şeklinde olan çerçevelere geçilmeye başladı. Tabi bunun en önemli avantajlarından biri de resmi istediğiniz gibi değişebilmenizdir. Şahsi verilerinizin online bir ortamda bulunması her ne kadar size ulaşılabilirlik açısından bir kolaylık sağlasa da başkalarının da ulaşabilmesi açısından internet korsanlarına da kolaylık sağlamaktadır. Bu yazımızda siber güvenlik alanında detaylı bir inceleme yapacağız ve verilerimizi nasıl koruyabileceğimizi anlatacağız. En güvenli mesajlaşma uygulamalarından en güvenli e-posta hesaplarına detaylı bir inceleme yapacağız. İnternette Gezerken Hangi Verileriniz Paylaşılır? İnternetteyken gezindiğiniz siteler birçok veriyi saklamaktadır. Bunlar arasında bilgisayarınıza ait veriler, sitede geçirdiğiniz süre, bağlandığınız IP adresi, kullandığınız tarayıcı, telefondan mı yoksa bilgisayardan mı bağlandığınız, telefonun modeli vs. gibi birçok veriyi toplamaktadır. Bununla ilgili olarak genelde Cookie (Çerez) olarak bilinen yazılımlar kullanılsa da birçoğu için buna pek de bir gereksinim yoktur. Web siteleri her gezdiğiniz siteden Cookie (çerez) toplar ve bu Cookie’ler (çerezler) ile size daha kişiselleştirilmiş reklamlar göstermeye başlalar. Siz de fark etmişsinizdir ki, mesela bir TV almak için sitelerde gezinirken, ertesi gün haber sitesinde gezinirken TV reklamları karşınıza çıkmaya başlar. Bunların hepsi sizin hakkınızda toplanan veriler ile ilgilidir. Sizinle ilgili toplanılan veriler bunula da bitmiyor. Mesela birçok insan Google Haritaları kullanmakta ve eğer birçok insan gibi varsayılan ayarları değiştirmemişseniz muhtemelen geçen sene yılbaşında nerede olduğunuz orada kayıtlı bir şekilde duruyordur. Eğer Google şifrenizi çaldırırsanız birisi o hesaba girdiğinde sizin saat kaçta nerde olduğunuzu, hangi rotayı kullandığınızı, ne kadar kaldığınız görebilir. Evinizin adresini, iş yerinizin adresini, eve giriş ve çıkış saatlerinizi, yemek yediğiniz restoranlar, araçla mı yoksa metro ile işe gittiğiniz gibi birçok veriyi bilmeden kayıt altına alıyorsunuz. Eğer şifreniz gerçek bir hırsız ile paylaşılmış olsa, o hırsız sizin evden ayrıldığınız saati ve geleceğiniz saati bileceği için çok güzel bir ortam hazırlamış olacaksınız. Yukarıda anlattığım sadece Google haritalar üzerinden bir örnekti ve daha birçok örnek verilebilir ama bence burada değinilmek istenilen konu anlaşılmıştır. Verileriniz her yerde ve sizin ilgili olarak her veri saklanıp kayıt altına alınmaktadır. Burada aslında yapabileceğiniz pek bir şey yok. Mutlaka belirli yerlerde verileriniz paylaşmak zorunda kalacaksınız. Ama önemli olan o verileri nasıl güvende tutabileceğinizdir. Siber Güvenlik ve Verilerin Güvenliği Veri güvenliği ile ilgili en önemli ilk madde şifre güvenliğiniz olacaktır. Şifreleriniz sizin her şeyinizdir. Asıl tavsiye edilen her mail (e-posta), site, forum ve sosyal medya için farklı bir şifre tanımlamaktır. Fakat gelin görün ki bu pek de mümkün değil. Çoğu insan için 2 tane şifreyi bile akıllarında tutmak zordur, o nedenle her hesap için ayrı şifre biraz zor olacaktır ve gerçekçi olmayacaktır. Her ne kadar şifre saklayıcı programlar olsa da o programların da çok büyük hayranı değilim. Birçok güvenlik kontrolünden geçmiş olsalar da yine de ben pek tavsiye edemiyorum. Çünkü o şifre programının şifresini unuttuğunuzda geri getirme konusunda çok zorlanabilirsiniz. Ayrıca bu gibi programlar paralıdır. Peki ne gibi bir formül izlemeliyiz? Benim tavsiyem en az 5 şifrenizin olması yönünde olacaktır. 5 ayrı, 5 güçlü şifre. Bunları hesaplarınıza güvenlik önemine göre paylaştırmanız gerekiyor. Önem sırasına göre aşağıda açıklayayım: Banka / Kredi kartı şifreniz Bunun ne kadar önemli olduğunu anlatmaya gerek yok herhalde. Bu şifreyi hiçbir yerde kullanmayın. Sadece bankanızda kullanın. Unutmayın, giden paranın telafisi zor oluyor. E-mail (E-posta) Şifreniz (Ana e-mail şifreniz) Bu şifreniz de ikinci önemli şifreniz oluyor. Çünkü birçok forum, sosyal medya uygulaması e-mail üzerinden doğrulama vs. alıyorsunuz. Eğer şifrenizi kaybederseniz e-postanıza gelecek olan şifre ile doğrulama yapabilirsiniz. Burada önemli olan sizin asıl e-mail hesabınızın (yani her yere vermediğiniz sadece iş için kullandığınız veya özel işlerinizde kullandığınız posta adresi) şifresinin de başka hiçbir yerde kullanılmamasıdır. İkincil e-mail (e-posta) hesabı şifresi Bu e-posta adresiniz sizin sitelere üye olurken veya sosyal medya hesaplarına üye olurken kullanacağınız e-posta adresinizdir. Tercihen gmail den alabilirsiniz çünkü bugünlerde neredeyse her siteye gmail ile giriş yapılabiliyor. Burası sizin aynı şekilde çöplük e-postanız da olacaktır. Çünkü birçok reklam e-postası gelecektir. Ana e-mailinizi, çöp e-mailinizden ayırmanızın en güzel yanlarından biri de önemli mailleri kaçırma olasılığınızı en aza indirmesidir. Örnek vermek gerekirse bir çöp e-maili gmail iken (üyeliklerde kullandığınız e-mail) ana e-mailiniz yahoo olabilir. Burada yahoo’ya bir mail geldiğinde onun önemli olduğunu anlarsınız. Sizi çok büyük zaman kaybından da kurtarır. Bu gmail hesabınızın şifresi de ayrı olmalı çünkü üyelikleri bu e-mail adresiniz üzerinden yapacaksınız. Ve asla unutmayın, asla ama asla bir siteye üye olurken kullandığınız şifreniz, üye olurken kullandığınız e-mail ’in şifresi ile aynı olmasın. Çünkü o forum sitesinin hacklenmesi durumunda hacker sizin e-mail şifrenizi de almış olur ki bu diğer hesaplarınızın da hacklendiği anlamına gelir. Yani Facebook hacklenirse ve sizin Facebook hesabınıza da gmail ile giriş yapmışsanız ve şifreleriniz aynı ise Twitter hesabınıza da güle güle diyebilirsiniz. Burası da ikinci önemli konu: Bu çöp e-mail hesabınızın kurtarıcı e-mail hesabı olarak ana e-mail hesabınızı tanımlayın. Bu şekilde mail adresiniz hacklense bile ana e-mail hesabınızın sayesinde bu mailinize ve aynı şekilde diğer hesaplarınıza tekrar erişebilirsiniz. Özel Şifreniz Bu şifrenizi genelde sosyal medya hesaplarınız için kullanırsınız. Çalınması durumunda birçok özel yazışmanızın paylaşılmasını istemiyorsanız bu şifreyi sadece sosyal medya hesaplarında kullanın. İdeal olarak her sosyal medya hesabı için ayrı bir şifre öneririm ama yapamazsanız da en azından hepsi için bir tane güçlü şifre mutlaka lazım. Bu şifreyi de o özel hesaplarınız dışında kullanmayın bir yerde. Çöp Şifreniz Çöp şifresi genellikler her yerde kullanacağınız, çalınsa da bir şey olmaz zaten kırk yılda 1 girerim bu siteye değiniz şifredir. Önemli bilgilerinizin bulunmadığı sitelere giriş yaparken bu şifreyi kullanabilirsiniz. Çalınsa da bir şey olmaz diyeceğiniz yerler için birebirdir. Şifre Belirleme Bir diğer önemli husus da şifre belirleme konusudur. Şifre belirlerken mutlaka; Rakam (0-9) BÜYÜK- küçük harf Semboller (*/-++%/() içermelidir. Hepsinin kombinasyonunu kullanmak bilgisayar bruteforce dediğimiz yani deneme yanılma yöntemi ile şifre kırmayı zorlaştırmaktadır. İdeal şifre uzunluğu 8-12 karakter arasında olmalıdır. Benim şahsi tavsiyem 10 civarında kalın. 8-9 karakterden sonra şifrenizin 12 karakter veya 20 karakter olması arasında pek bir fark yok. Her iki durumda da şifreniz kırılana kadar muhtemelen 30 yıldan fazla zaman geçeceğinden dolayı çok uzun şifre yazıp sonra devamlı yanlış yazma sarmalına düşmeyin. Ardışık sayılar kullanmayınve kişisel bilgileriniz olmasın. Mesela isminizi veya doğum tarihinizi kullanmayın şifrenizde. Şifrenizi ezberlemek için de bazı yöntemler vardır. En güzeli hecelemek, bunu bir örnek ile size anlatayım: Ali’nin atı 13 yaşında = @li+nin#i13YAS I drink 4lt of water = !dr’nk4ltw@ter Bu şekilde siz de yaratıcı olabilirsiniz. Bu gibi şifreleri hatırlamak da kolaydır. Sadece cümleyi ezberleyeceksiniz. Ama çok fazla karakter kullanmayın, sonra unutabilirsiniz. Doğrulama Programları Şifre belirledikten sonra ikincil doğrulama yöntemi olarak authentication yani tasdik programlarını da kullanabiliriz. Bu programlar telefonunuza kurulan her 60 saniyede değişen bir kod verir. O kod sizin hesabınıza giriş için ikincil bir doğrulama sunmaktadır. Her 60 saniyede bir değiştiği için bruteforce gibi yöntemler ile aşılamaz. Bu gibi hizmetleri sağlayan birçok uygulama bulunmaktadır. Google, Microsoft ve daha birçok uygulama bu hizmeti vermektedir. Güvenliğinizi en üst seviyeye taşımak için önemlidir. Tek negatif yanı telefonunuzu kaybederseniz veya telefon bozulursa ve siz kurtarma kodunu bir yere kaydetmemişseniz o zaman hesaba giriş yapabilmek için bir dizi uzun doğrulama yapmanız gerekir. Şirketten şirkete fark etmekle birlikte bu bazen haftaları bile bulabilmektedir. Mesajlaşma uygulamaları Günümüzde haberleşmenin büyük bir kısmı mesajlaşma uygulamaları arasında olmaktadır. Bunlardan en popülerleri; Whatsapp Telegram Signal Facetime Imessage Skype Wechat Turkcell Bip Bu uygulamalardan hangileri gerçekten güvenli ve hangilerinde verilerimiz gerçekten korunmaktadır? Gelin teker teker inceleyelim. Whatsapp Whatsapp Facebook tarafından 2014 yılında satın alınmıştır. Dünya’da en yaygın kullanılan mesajlaşma uygulamasıdır. 2020 verilerine göre 2 milyardan fazla kullanıcısı bulunmaktadır. Şirket 2014 yılında Open Whisper Systems ile protokol imzalayarak uçtan uca şifreleme algoritmasını devreye almıştır. Uçtan uca şifrelemenin çalışma prensibine göre, siz mesajı yazıp gönder tuşuna bastığınızda mesaj telefonunuzdaki size özel bir şifre ile şifreleniyor ve Whatsapp sunucularından geçip karşı kullanıcıya varınca da o kullanıcıdaki anahtar ile şifre çözülüp okunulabiliyor. Bu şekilde mesajın telefonunuzu terk ettiği andan karşı kullanıcıya kadarki yolculuğunda şifreli bir şekilde ilerliyor. Bu şekilde bakınca güvenli gözükebilir ama burada şeytan ayrıntıda gizli. Öncelikle Whatsapp açık kaynak kodlu bir yazılım değil. Açık kaynak kodlu yazılım demek Linux işletim sistemi gibi, bütün koduna satır satır bakıp inceleyebildiğiniz bir yazılım değildir. Windows gibi düşünebilirsiniz. Windows’un da ne kadar güvenli olduğuna ancak Windows’taki yazılımcıların dediği kadar inanabiliriz. Fakat açık kaynaklı yazılımlarda bütün yazılım incelenebilir ve eğer size yalan söylüyorlarsa bu anlaşılır. Yani burada demek istediğim, Whatsapp’ın gerçekten de uçtan uca şifreleme kullanıp kullanmadığını aslında gerçek anlamda bilemiyoruz. Kullandıklarını söylüyorlar. Kısaca Facebook’a ne kadar güveniyorsanız Whatsapp’a da o kadar güvenebilirsiniz. Telegram Telegram, 2013 yılında Nikolai Durov ve Pavel Durov kardeşleri tarafından başlatıldı. Daha önce, çift Rus sosyal ağı VK'yı kurdu. 2014'te Başkan Putin'in müttefikleri ile sorun yaşadıktan sonra ayrıldılar. Pavel Durov, VK'daki kalan hissesini sattı ve hükümet baskısına direndikten sonra Rusya'yı terk etti. Nikolai Durov, Telegramın temeli olan MTProto protokolünü oluştururken Pavel Durov, Dijital Kale fonu aracılığıyla finansal destek ve altyapı sağladı. Telegram Messenger, nihai amacının kâr getirmek olmadığını, ancak kâr amacı gütmeyen bir kuruluş olarak yapılandırılmadığını belirtti. Buraya kadar hikâye güzel gibi duruyor. İki kafadar Rusya’daki diktatöryel baskıdan kaçarak bir mesajlaşma programı kuruyorlar. Bu arada kurucuları olduğu VK.com (Facebook tarzı bir Rus sosyal medya platformu) halen daha merkezi St. Petersburg’da faaliyetlerine hiçbir kısıt olmadan devam ediyor. Ama dünyada bir anda “Telegram güvenli, hacklenmiyor ve her ne kadar kurucuları Rus olsa da Putin ile kavgalı olduklarından Rus hükümeti ile veri paylaşmıyorlar” senaryoları dolanmaya başlıyor. Bana pek inandırıcı gelmese de onlar da uçtan uca şifreleme programı kullanıyorlar ve Dünya’da son derece yaygın olarak kullanılan bir program haline geldi. Fakat bu programda da yine Whatsapp’daki sorun var. Açık kaynak kodlu bir yazılım değil. Haliyle bize anlatılan hikâyenin ne kadarı hikâye ne kadarı gerçek bilemiyoruz. O yüzden tam anlamı ile güvenli bir uygulama diyemem. Bu programa da KGB’ye güvendiğiniz kadar güvenebilirsiniz. Facetime / Imessage Apple tarafından geliştirilen, IOS işletim sistemli cihazlar için tasarlanmış bir haberleşme programı. Bu da kapalı kaynak kodludur. Genelolarak yabancı devletler ile bilgi paylaşımı yapmadıkları doğru fakat ABD hükümeti ile ne derece bilgi paylaşımı yapıyorlar orası biraz muamma. Basında CIA’in veri istediği ama Apple’ın bunu reddettiği haberlerini sıklıkla gördük. Fakat bunlar acaba ne kadar gerçeği yansıtıyor? Sonuçta ulusal güvenlik söz konusu olunca ABD hükümeti katı kurallar uygulayabiliyor. Kısacası 3. bir parti tarafından hacklenemeyeceği konusunda güvenli olsa da verilerinizin ABD hükümetinde olup olmadığı konusunda asla emin olamayacağız. Bu da kapalı kaynak bir haberleşme programı ve hangi verilerimizin nasıl tutulduğunu ancak söyledikleri kadar biliyoruz. Buna da CIA’e ne kadar güveniyorsanız o kadar güvenebilirsiniz. Skype Estonya’da geliştirilen haberleşme programı daha sonrasında Microsoft’a satıldı. Skype’ın güvenlik ile ilgili herhangi bir iddiası bulunmamaktadır. Ama eş dost arasında konuşmak için halen daha iyi bir programdır, özellikle ses ve görüntü kalitesi olarak. WeChat Bu program tamamen Çin Komünist Partisi (CCP) tarafından kontrol edilmektedir. Yaptığınız paylaşımda eğer CCP aleyhine bir yazı yazmışsanız, programdan atılmanız an meselesi olabilir. Bütün yazışmalar okunmaktadır. Güvenlik olarak zaten pek bir iddiaları da yok. Tek iddiaları sadece CCP okur şeklinde. Onun dışında herhangi bir 3. Parti okuyamaz. Ama tabi açık kaynak olmadıkları için 3. Parti konusunda da pek bir güvence sunamıyorlar. Hiç güvenli değil, hele de özel resimlerinizi paylaşmayı düşünüyorsanız. Turkcell Bip Turkcell tarafından geliştirilmiş bir program. Herhangi bir güvenlik incelemesinden geçmiş değildir. Kapalı kaynak kod ve verilerinizin nasıl saklanıldığı ile ilgili olarak da pek bir bilgi paylaşılmıyor. Hangi verilerin saklanıldığı ve paylaşılacağı bilinmiyor. Turkcell’e ne kadar güveniyorsanız bu programa da o kadar güvenebilirsiniz. Signal Şimdiye kadar saydığım mesajlaşma uygulamaları arasında en güvenlisi diyebileceğim uygulamadır. Whisper Systems tarafından geliştirilen programın uçtan uca şifreleme uygulaması Whatsapp tarafından da kullanılmaktadır. Fakat Whatsapp’ın aksine bu program tamamen açık kaynak kodlu. Bu da size programı baştan sonra inceleme imkânı veriyor. Söylediklerinin dışında veri saklama veya protokollerinde bir aksama olup olmadığını kontrol edebilme imkanını tanıyor. Signal’in belli başlı özellikleri: Signal, kullanıcıların İOS, Android ve masaüstünde, 40 kişiye kadar bire bir ve grup sesli ve görüntülü arama yapmasına olanak tanır. Tüm aramalar bir Wi-Fi veya veri bağlantısı üzerinden yapılır ve (veri ücretleri hariç) uzun mesafe ve uluslararası dahil olmak üzere ücretsizdir. Signal ayrıca kullanıcıların bir Wi-Fi veya veri bağlantısı üzerinden İOS, Android ve bir masaüstü programındaki diğer Signal kullanıcılarına metin mesajları, dosyalar, sesli notlar, resimler, GIF'ler ve video mesajları göndermesine olanak tanır. Platform ayrıca grup mesajlaşmasını da destekler. Signal kullanıcıları arasındaki tüm iletişimler otomatik olarak uçtan uca şifrelenir (şifreleme anahtarları sunucularda değil telefonlarda oluşturulur ve saklanır). Bir muhatabın gerçekten iddia ettikleri kişi olduğunu doğrulamak için Signal kullanıcıları bant dışı anahtar parmak izlerini karşılaştırabilir (veya QR kodlarını tarayabilir). Platform, bir muhatabın anahtarının değişmesi durumunda kullanıcıyı bilgilendirmek için ilk kullanımda güven mekanizması kullanır. Android'de kullanıcılar, standart uçtan uca şifreli Signal mesajlarına ek olarak şifrelenmemiş SMS mesajları gönderip almalarına izin vererek, Signal'i varsayılan SMS/MMS uygulaması yapmayı seçebilirler. Kullanıcılar daha sonra Signal'i olmayan kişilerle iletişim kurmak için aynı uygulamayı kullanabilir. Şifrelenmemiş bir mesaj göndermek, Signal kullanıcıları arasında geçersiz kılma olarak da mevcuttur. Android ve İOS'taki Signal uygulamaları, telefonun şifresi, parolası veya biyometrik kimlik doğrulaması ile kilitlenebilir. Kullanıcı, telefonun kaybolması veya çalınması durumunda ek bir koruma mekanizması sağlayan bir "ekran kilidi zaman aşımı" aralığı tanımlayabilir. Signal ayrıca kullanıcıların mesajlara zamanlayıcılar ayarlamasına da olanak tanır. Belirli bir zaman aralığından sonra mesajlar hem göndericinin hem de alıcıların cihazlarından silinecektir. Zaman aralığı beş saniye ile bir hafta arasında olabilir ve zamanlayıcı her alıcı için mesajın kopyasını okuduktan sonra başlar. Signal, kullanıcıların mesajlarını varsayılan olarak şifrelenmemiş bulut yedeklemelerinden hariç tutar. Signal, kullanıcıların kimliklerini korumak için fotoğraflardaki kişilerin yüzlerinin otomatik olarak bulanıklaştırılmasına olanak tanır. Ve en önemlisi, Signal’in bu dediklerini yapıp yapmadığını kontrol edebilmeniz için kaynak kodları herkese açıktır ve binlerce siber güvenlikçi tarafından bu kodlar incelenerek teyit edilmiştir. Sonuç olarak verilerinizin güvenliği konusunda en güvenilir mesajlaşma uygulaması Signal’dir. Linux İşletim sistemine güvendiğiniz kadar güvenebilirsiniz. E-mail Hesapları E-mail hesaplarının da güvenilirliği tartışılır bir durumdadır. Unutmayın ki bir e-mail gönderdiğiniz zaman, her ne kadar e-maili kendi kullanıcı adınız ile almamış olsanız dahi e-mail içerisinde başlıkta sizin epostayı gönderirken ki IP adresiniz de karşı tarafa sunulmaktadır. Yani sahte bir e-mail adresi ile gönderdiğiniz e-mail’in takip edilip bulunamayacağını düşünüyorsanız bir daha düşünün. Ayrıca bunun için e-posta sunucularının iznine de gerek yok. Birçok e-mail sunucusunun verdiği hizmetler aslında çok basittir ve sizin güvenliğinizi sağlamaktan uzaktadırlar. Siber güvenlik ve veri güvenliği ile ilgili olarak unutmamanız gereken 2 altın kural var; Eğer uygulama ücretsiz ve açık kaynak kodlu değilse muhtemelen sizin verileriniz üzerinden para kazanıyordur, her ne kadar aksini söyleseler dahi. Eğer ücretli bir e-mail (e-posta) sunucu ile çalışıyorsanız, verilerinizin güvenliğine son derece önem gösterirler. Sonuçta insanlar parayı verileri güvende olsun diye ödüyorlar. Yoksa herkes gibi gmail hesabı açabilirler. Gmail, Yahoo, Outlook gibi e-mailler güvenlik açısından hepsi aşağı yukarı aynıdır. Hiçbirisi tam anlamıyla güvenli değildir. Başka bir ad ile e-mail hesaba alsanız bile anonimliğinizi koruyamazsınız. Eğer anonim olarak kalmak ve maillerinizi 3. Parti uygulamalardan ve gözlemlerden korumak istiyorsanız birkaç alternatif mail hizmeti bulunmaktadır. Protonmail ProtonMail, 2013 yılında CERN araştırma tesisinde zaman geçiren bilim adamları tarafından İsviçre'nin Cenevre kentinde kurulan uçtan uca şifreli bir e-posta hizmetidir. ProtonMail, Gmail ve Outlook.com gibi diğer yaygın e-posta sağlayıcılarının aksine, e-posta içeriğini ve kullanıcı verilerini ProtonMail sunucularına gönderilmeden önce korumak için istemci tarafı şifreleme kullanır. Hizmete bir web posta istemcisi, Tor ağı veya özel İOS ve Android uygulamaları aracılığıyla erişilebilir. Son derece güçlü bir şifreleme algoritmasına sahip olduğundan eğer şifrenizi unutursanız hesabınızı şirket dahi geri getiremiyor. Ayrıca ana serverları İsviçre’de bulunduğundan dolayı herhangi bir şekilde veri paylaşımı yasasına da tabi olmamaktadır. Yani gönderdiğiniz e-mailler ile ilgili olarak kimseye bilgi paylaşımında bulunmuyorlar. Ayrıca mail içeriğini de görememektedirler. Birçok siber güvenlik uzmanı tarafından da incelenmiş ve en güvenilir e-mail sağlayıcısı olarak seçilmiştir. Kullanımı basit ve karşı taraf eğer ProtonMail kullanıcısı olmasa bile gönderdiğiniz mailleri bir şifre ile şifreleyerek güvenliği artırabilir hatta gönderdiğiniz mailler için zamanlayıcı da koyabilirsiniz. Koyduğunuz zaman dolunca mail hem serverlardan hem de sizden geri gelmeyecek bir şekilde siliniyor. Protonmail ayrıca 500 MB depolama alanı ile bedava hizmet de vermektedir. Veri güvenliğinize önem veriyorsanız kesinlikle ana-mail olarak kullanabilecek bir seçenektir. Paralı seçeneklerinde daha yüksek depolama alanı ve kişiselleştirilmiş kullanıcı mail alan adlarını kullanabiliyorsunuz. Protonmail muadili e-mail sağlayıcıları da var fakat hiçbirinin kullanımı ProtonMail kadar sade ve kolay değil. E-mail güvenliği olarak kesinlikle Proton mail adresini tavsiye etmekteyim. VPN VPN (Virtual Private Network) yani Özel Sanal Ağ, özellikle Wikipedia’nın ve zaman zaman Twitter’ın ülkemizde yasaklanması sonucunda sık sık duyduğumuz bir kavram. Ticari bir sanal özel ağ, bilgisayarınız ve internet arasında şifreli bir tünel oluşturarak daha az özel bir ağ üzerinden özel bir bağlantı oluşturmanıza olanak tanıyan bir teknolojidir. Akıllı telefonunuzdaki veya bilgisayarınızdaki diğer herhangi bir uygulama veya program gibi bir VPN yükleyebilirsiniz. Bir VPN, ülkenizdeki sansürü aşmanıza veya başka bir ülkeden coğrafi olarak kısıtlanmış medya içeriğine erişmenize izin verebilir ve internet servis sağlayıcınızın internette gezinmenizi gözetleyerek gizliliğinize izinsiz girmesini engeller. VPN'ler bunu, farklı bir konumdan veya ülkeden bağlanıyormuşsunuz gibi görünmenize izin vererek yapar. Bir VPN, havaalanlarında, barlarda veya kafelerde sunulanlar gibi halka açık, korumasız Wi-Fi kullanan herkes için harikadır. VPN'iniz, iş projelerinizden banka hesabı giriş bilgilerinize kadar hassas bilgilerinizi, halka açık Wi-Fi ağlarında dolaşan kötü niyetli aktörler tarafından görülmekten korur. Bir VPN'deyken internette gezinirken, bilgisayarınız VPN'nizin şifreli bağlantısı üzerinden web sitesiyle iletişim kuracaktır. VPN daha sonra isteği sizin için iletecek ve web sitesinden gelen yanıtı güvenli bağlantısı aracılığıyla geri iletecektir. Şema olarak anlatılacak olursak, Verileriniz sizin bilgisayarınızdan çıkarken kullandığınız VPN Programı tarafından şifrelenir. Başka bir konumdaki bilgisayara iletilir. Karşıdaki bilgisayar şifreli gelen mesajı çözümler ve istediğiniz internet sitesi veya istemciye bağlanır. İlgili internet sitesinden gelen bilgileri tekrar şifreler ve size şifreli olarak geri gönderir. Bilgiler (gözlemlemek istediğiniz internet sitesi) sizin bilgisayarınıza şifreli geldiğinde VPN programınız tarafından çözümlenir ve internet sitesini olduğu gibi görürsünüz. IP adresiniz VPN kullanarak bağlandığınız bilgisayarın IP adresi olarak gözükecektir. VPN kullanmanız durumunda internet sağlayıcınız sizin hangi sitelerde gezdiğinizi, gönderdiğiniz içerikleri göremeyecektir. Aynı şekilde havalimanı ve kafeler gibi halka açık alanlarda internete girmeniz gerekiyorsa, aynı ağa bağlanmış kötü niyetli kişilerin ağ üzerinden sizin bilgilerinizi ele geçirmesinin de önüne geçmiş olursunuz. Ama burada da önemi bir detay var. Bedava olan VPN hizmetleri genellikle sizin verilerinizi satarak para kazandıklarından dolayı bankacılık gibi işlemler için Opera tarayıcısının sizlere sunduğu bedava VPN hizmetini kullanmayın. Wikipedia gibi siteler için kullanılabilir ama iş ile ilgili alanlarda bedava olanlardan mutlaka kaçının. Önde gelen bazı VPN sağlayıcıları var. Hepsine burada değinmek istemiyorum ama VPN sağlayıcınızı seçerken VPN sağlayıcının hangi ülkenin kanunlarına bağlı olduğuna, kullandığı protokollere bakarak karar verin. Her ücretli VPN sağlayıcısı da aynı güvenliği vermiyor. TOR Network Bedava olan bir VPN hizmeti istiyorsanız, TOR kullanmayı deneyebilirsiniz. TOR ağı aslen CIA tarafından soğuk savaş döneminde ajanlarının anonim olarak haberleşebilmesi için geliştirilmiş bir protokoldü. Fakat o kadar iyi çalışıyordu ki daha sonraları SilkRoad adında illegal satışların döndüğü siteye de ev sahipliği yapmaya başladı. TOR en basit olarak kullanıcıların ağdaki diğer kullanıcılar üzerinden internete erişmesine olanak vermesidir. Birçok kullanıcı üzerinden geçen ağ VPN’lere kıyasla daha yavaş olmasına karşın çok daha güvenlidir. Tor'u günlük internet kullanıcıları ve aktivistler için daha erişilebilir hale getirmesiyle Tor, 2010'un sonlarında başlayan Arap Baharı sırasında önemli bir araç oldu. İnsanların çevrimiçi kimliğini korumakla kalmadı, aynı zamanda kritik kaynaklara, sosyal medyaya ve engellenen web sitelerine erişmelerine de izin verdi. Snowden'in 2013'teki ifşaatları sayesinde, kitlesel gözetime karşı koruma araçlarına duyulan ihtiyaç ana kaygılardan biri haline geldi. Tor, Snowden'ın bilgi uçurmasında etkili olmakla kalmadı, aynı zamanda belgelerin içeriği Tor'un kırılamayacağına dair güvenceleri de destekledi. İnsanların izleme, gözetleme ve sansür konusundaki farkındalıkları arttı, ancak bu engellerin internet özgürlüğü üzerindeki yaygınlığı da arttı. Bugün ağ, gönüllüler ve dünya çapında milyonlarca kullanıcı tarafından işletilen binlerce düğüme sahiptir. Tor kullanıcılarını güvende tutan da bu çeşitliliktir. Ayrıca Deepweb olarak bilinen, normal tarayıcılarınız ile ulaşamayacağınız sitelere yani onion sitelerine de yine TOR üzerinden ulaşabilirsiniz. Telefonunuzdaki Uygulama İzinleri Son olarak da telefonunuza her yeni uygulama yüklediğinizde verdiğiniz izinler ile ilgili olarak uyarılarımız olacak. Birçok insan neye onay verdiğini bilmeden her şeyi kabul ediyor. Ama bu son derece yanlış bir yaklaşımdır. Örnek vermek gerekirse, bankacılık uygulaması eğer sizden mikrofona erişim istiyorsa orada bir durup düşünmek gerekir. Bankacılık uygulamasının benim mikrofonum ile ne işi olabilir? Hesabımdaki paraya bakacağım ya da havale yapacağım. Sesli komut da vermiyorum o zaman bu izni hiç vermeye gerek yok şeklinde yorumlayabilirsiniz. Bir başka örnek de üniversitenin ring saatlerini gösteren bir uygulama yüklemek istiyorsunuz ama uygulama sizden medyaya erişim istiyor. Bu gibi durumda erişim vermeniz gerçekten gerekiyor mu? Unutmayın erişim verdiğinizde o bilgiler uygulama tarafından görülebilir anlamına gelmektedir. Veya kütüphane uygulamasında gerçekten konum bilgilerinizi paylaşmanıza gerek var mı? Bir uygulama yüklediğinizde mutlaka kabul ettiğiniz izinleri de gözden geçirin. Eğer mantığınıza yatmıyorsa o izni vermeyin veya sonra iptal edin. Phishing / Oltalama Siber güvenlikten bahsederken son zamanların en popüler hackleme yöntemi olan Phising yani Oltalama yönteminden bahsetmezsek olmaz. Birçok teknoloji şirketinin 2 adımlı doğrulamaya geçmesinden sonra şifrelerin ele geçirilerek hesapların da ele geçirilmesinin önlenmesine olanak sağlandı fakat bunun da etrafından dolanan bir yöntem olarak Oltalama yöntemine halen daha birçok kişi yakalanmaktadır. Örnek olarak Twitter hesabınızın nasıl bu yöntem ile çalınabildiğini adım adım aktaralım. Size Twitter’dan gelmiş gibi bir mail gönderilir. Muhtemelen mailin uzantısı security@twiter.com gibi mail adresinden gelir. Dikkat etmişseniz @twitter.com yerine tek “t” ile bir mail adresi geliyor. Kullanıcılar genellikle buna pek dikkat etmiyorlar. Mailde, “hesabınıza Moskova’dan giriş yapıldı lütfen hesabın size ait olduğunu aşağıdaki linkten kontrol edin.” Şeklinde bir uyarı mesajı da oluyor. Bunu gören kullanıcı hesabının çalındığını düşünerek linke tıklıyor. www.twiter.com adresine yönlendiriliyor. Burada kullanıcı adresin tek “t” ile mi çift “tt” ile mi yazıldığına pek bakmıyor. Site aynı Twitter gibi gözüküyor. Haliyle kullanıcı şüphelenmeden kullanıcı adını ve şifresini giriyor. Fakat bu site 3. bir şahıs tarafından hazırlanmış tek amacı sizin şifrenizi çalmak olan kopya sitedir. Kullanıcı adı ve şifrenizi girdikten sonra, sorun yok diyerek sizi sistemden atıyor. Fakat artık çok geç, çünkü kendi elleriniz ile şifrenizi ve kullanıcı adınızı karşı tarafa vermiş bulunmaktasınız. Bundan korunmak için mutlaka gelen mail adreslerini inceleyin. E-posta üzerinden siteye girip doğrulama yapmak yerine adresi kendiniz yazıp siteye kendiniz girin. Ve en önemlisi mutlaka sitenin adını kontrol edin. Sonuç Siber güvenlik ile ilgili olarak alınması gereken önlemler, internetin hayatımıza daha da fazla girmesiyle her gün daha çok artıyor. Özellikle pandemi ile başlayan uzaktan çalışma, siber güvenliğin ne kadar önemli olduğunu bir kere daha gösteriyor. Fakat unutmamak lazım ki en zayıf halka her zaman için kullanıcı kaynaklı olmaktadır. Bu yüzden verdiğiniz izinlere, şifrelerinize, şifrelerinizi nerelerde kullandığınıza çok dikkat etmeniz gerekiyor. Kamu olarak siber güvenlik alanında ise çok az eğitim verilmektedir. Çevremdeki birçok insan şifre olarak adını kullanmakta veya genel olarak kullanılan 12345 gibi şifreler almaktadır. Tabi şifre sadece siber güvenlik alanında buzdağının görünen yüzüdür. Makalede anlatılanlar gibi, verilerinizi şifreye gerek duymadan sadece sağlayıcının hizmet aksamasından faydalanarak da çalabilirler. Yani sizin sadece kendinizi siber korsanlardan korumanız ne yazık ki yeterli değil, kendinizi aynı şekilde hizmet sağlayıcılardan da korumanız gerekiyor. Paylaşılmasını istemediğiniz bilgi ile kamunun öğrenmesinde sakınca görmediğiniz bilginin ayrımını iyi yapabilmeniz gerekiyor. Saklayacağınız bilgileri ona göre sınıflandırıp uygun hesaplarda saklamanız gereklidir. Yoksa maliyeti çok yüksek olabilecek güvenlik sızıntıları ile karşılaşabilirsiniz. Hayatımızın giderek daha çok içine giren siber dünya ile siber güvenliğimizi nasıl sağlayabiliriz alanında her bireyin ve özellikle de hükümetin mutlaka bilgilendirilmesi gerekiyor. Kurumsal Not : KAPDEM'de yayınlanan yazı ve çalışmalar KAPDEM'in kurumsal görüşünü yansıtmaz, tüm yasal sorumluluk yazarlara aittir.
