Türkiye, Tarihinin En Büyük ve En Kapsamlı Siber Saldırı sı ile Karşılaştı

İnternet trafiğimizi ve .tr alan adlarını hedef alan siber saldırı lar, ilk günlerde ODTÜ merkezli NIC.TR’ı hedef alırken ardından kamu kuruluşları ve bankaları hedefleyerek vatandaşın hayatını tehdit etmeye başladı.

DDOS (distributed denial of service attack) saldırıları dağıtık bir şekilde, farklı lokasyon ve sahte IP adresleri kullanılarak yapılıyor. Bu saldırı türünün amacı, aynı anda binlerce isteğe cevap verebilecek kapasitede bir sunucuyu, kapasitesinden kat ve kat fazla istek göndererek etkisiz ve erişilemez bir hale getirmektir. Bu sayede sunucu, gelen istekleri karşılayamaz ve hizmet dışı kalır.

DDOS saldırılarının en tehlikelisi olarak görülen Amplification (yükseltme) tekniği ile saldırı etkisi katlanarak artırılabiliyor. Bu saldırı türünü “doğada bir kayanın karşısına geçip bağırdığımızda sesin yankılanarak kulağımıza gelmesi” şeklinde tarif edebiliriz.

Amplification tekniği kullanılarak yapılan saldırılar şöyle tanımlanıyor: Saldırgan bir tane istek gönderiyor, karşı taraf buna cevap verirken isteği 10 – 20 veya 50 kata kadar arttırabiliyor. Bu da saldırıların, saldırganlara maliyetini düşürerek hedefe olan yükü artırıyor. Saldırı alan kurum ve kuruluşların da aynı zamanda bu tekniğin bir sonucu olarak saldırgan gibi davrandığını ve bu saldırı tekniğinde kaynağını bulmanın pratikte imkansız.

Türkiye Tarihinde Bir İlk 

Yapılan saldırı sonucunda dün bazı bankaların web sayfalarına erişim durdu. POS cihazlarının etkilenmesi ile gerçek hayatta bazı ödeme noktalarında vatandaşın sıkıntılar yaşadığına şahit olduk.

Bir hafta öncesine kadar yapılan saldırılar ülkemizdeki TR alan adlarının ROOT DNS sunucularına gelen saldırılardı. Zira, neredeyse benzer bir saldırıyı 2005 yılında görmüştük, Root DNS’ler bu saldırıdan zarar görmediler. Bu noktada kurumların derslerine sıkı çalıştığını söyleyebiliriz. Ancak yapılan tatbikatlar bu derecede yüksek saldırılar düşünülerek yapılmadı ve bu tür bir saldırı ön görülemedi.siber saldırı 1

Saldırılar İle Hizmetlerin Engellenmesi Hedefliyor

Saldırı ilk olarak ODTÜ bünyesinde yer alan Nic.TR’a yapılarak başlamıştı. Hizmet kesintilerine uğrayan Nic.TR’dan sonra bankalar ve kurumların da hizmet verememe durumları ile karşı karşıya kalındı.

Uzmanlar yapılan saldırı sonucunda asıl önemli sorunu Türkiye dışından erişimin kesilmesi olarak görüyor. Saldırılarla ilk baş etme yöntemi olarak Türkiye dışından gelen erişimin kapatılması görülüyor. Ardından da .TR uzantılı internet sayfalarına dışarıdan erişim duruyor. Global çapta hizmet veren firmalar da bu sebeple ziyaretçi kaybetmeye başladılar.

DDOS saldırılarının dağınık yapısı ve saldırıda sahte IP adresleri kullanılması sebebiyle gelen talebin “gerçek bir talep mi” yoksa “sahte bir istek mi” olduğu bilinemiyor. Saldırganlar kimliklerini gizledikleri ve hizmet veren sunuculara çok yüksek bir talep geldiği için saldırıyı karşılamakta kimi zaman zorlanılabiliyor.

Çözüm: Gelen Talebin Dağıtılması

Türkiye’nin .tr uzantılı adresleri ODTÜ bünyesinde ve tek merkezde bulunuyordu. Ancak yapılan saldırılardan sonra bu yapı geliştirilerek farklı merkezlere dağıtıldı. Bu sayede gelen saldırı talepleri tek bir merkezde toplanmak yerine farklı lokasyonlara çekilerek gelen talebin yükü dağıtması ve sistemin işlemeye devam etmesi sağlandı.

 

Saldırıların Kaynağı Rusya mı?

Yapılan saldırıların kaynağını Rusya olarak işaret edenler olsa da, dünyaca ünlü hacker grubu Anonymous bir tweet paylaşarak saldırıyı üstlendi. Şüpheler düşürülen Rus uçağı ardından Rusya üzerine yoğunlaşmıştı. Ancak Anonymous’un açıklamasında saldırınınRusya kaynaklı olmadığı belirtiliyor. Geçmişe baktığımızda 2007 Estonya ve 2014 Ukrayna siber saldırılarını dikkate almamız gerekiyor. Yapılan bu siber saldırılarda Estonya ve Ukrayna büyük zarar görmüş, vatandaşa bu saldırılar yansıyarak milyonlarca dolar hasara yol açmış ve hayatı olumsuz bir şekilde etkilemişti.

siber saldırı 2

 

Bankalara Yapılan Saldırıların Etkisi Kısa Sürdü

Nitekim saldırılar 24 Aralık akşamı yön değiştirip, Türkiye’deki bankaları odağına aldı. Bu siber saldırılar sonucunda ilk saatlerde çeşitli sorunlar yaşanmış olsa da birkaç saat sonra bankalar genel olarak bu saldırıların üstesinden gelmeyi başardılar.

Dünyada siber saldırı lar artmakta. Dolayısıyla her zaman bu siber saldırı ların fazlalaşacağını ve daha da büyük hedeflere yöneleceğini düşünerek hazırlıklı olmak lazım.

Ddos saldırısı yani devre dışı bırakma saldırısının amacı “.tr” uzantılı Türk sitelerin isimlerinin yayınını yapan ODTÜ’nün yönettiği nic.tr’yi saniyede milyonlarca sahte mesajla veya sorguyla devre dışı bırakmak. Ddos saldırılarını bir postane örneği ile anlatılabilir. Günde 100 adet posta dağıtma kapasitesi olan bir postaneye günde 1 milyon posta gönderirseniz postanenin iş yapmasını engellemiş olursunuz. Ddos atakları da nick.tr sunucularına kapasitesinin üstünde mesaj göndererek iş yapmasını engelleyebilir.

Dünyada Ddos saldırıları her gün belli farklı hedeflere yapılıyor. Politik, ticari hedeflerin yanında, belli bir izleyicisi ve iş potansiyeli olan internet siteleri, oyun sunucuları gibi kaynaklar da Ddos saldırılarının hedefi olabiliyor. Bazen popüler bir gazete, bazen bir oyun sunucusu, bazen de tıpkı Türkiye örneğinde olduğu gibi bir ülke hedef olabiliyor.

Peki, bu saldırılardan kurtulmak mümkün mü?

Peki, bu saldırılara karşı neler yapılabilir? Ddos saldırılarından korunmak ve kurtulmak mümkün. Bunun için öncelikle saldırganların sizden her zaman bir adım önde olduğunu kabul etmek birinci kural. Dolayısıyla gelen Ddos saldırılarını anlık olarak tespit ederek savunma geliştirmek durumundasınız. Ddos saldırıları konusunda yatırımı olmayan kurumların işi zor. Fakat bu hizmeti sizin adınıza yapabilecek profesyonel servis sağlayıcılar var. Örneğin bir bankasınız ve siber güvenlik erken tespit sistemleri yatırımınız ve insan kaynağınız var. Bu durumda ddos savar dediğimiz özel cihazları (Arbor, Radware, Huawei vb) satın alıp kullanabilirsiniz. Bunun da ötesinde bağlı olduğunuz internet servis sağlayıcıdan (Türk Telekom, Superonline vb.) size doğru akan saldırı trafiğini kesme noktasında ücretli olarak yardım alabilirsiniz. Bu da yeterli olmazsa uluslararası ddos temizleme veri merkezleri (Akamai, Cloudflare, Prolexic vb.) ile irtibata geçerek trafiğinizi bu veri merkezlerine yönlendirebilirsiniz. Böylece savunma yapmak ile vakit kaybetmez, işi uzmanına bırakırsınız. Zaten, saldırıların servis sağlayıcının size ayırmış olduğu bant genişliğinin üzerinde olması durumunda mecburen internet sağlayıcınızdan yardım almak durumundasınız.

Ddos Saldırılarına Karşı Yapılması Gerekenler

1) Saldırganların sizden her zaman bir adım önde olduğunu kabul etmek birinci kural.

2) Bu da yeterli olmazsa uluslararası ddos temizleme veri merkezleri (Akamai, Cloudflare, Prolexic vb.) ile irtibata geçerek trafiğinizi bu veri merkezlerine yönlendirebilirsiniz.

3) Ddos saldırılarını anlık olarak tespit ederek savunma geliştirmeniz gerekiyor. Bu hizmeti sizin adınıza yapabilecek profesyonel servis sağlayıcılar var. Eğer gerekli insan kaynağı ve finansal gücünüz var ise kendiniz ddos savar dediğimiz cihazları (Arbor, Radware, Huawei vb.) satın alıp kullanabilirsiniz.

4) Bağlı olduğunuz internet servis sağlayıcıdan (  vb.) size doğru akan saldırı trafiğini kesme noktasında ücretli olarak yardım alabilirsiniz.

Prosedürlerin Belirlenmiş Olması Önemli

Saldırların kötü etkilerinden mümkün mertebe kaçınabilmek için hat, operatör, ürün anlamında yedekli bir yapıya sahip olup, DDOS esnasında uygulanacak prosedürlerin belirlenmiş olması önemlidir. Kurumların bu ataklara ne kadar hazırlıklı olduklarını, operatörlerinin ne kadar hazırlıklı olduğunu ve ne kadar hızlı aksiyon alabildiklerini test etmeleri gerekiyor.

Hackerlar’dan Bir Adım Önde Olunmalı  

Mesai saatleri içinde gerçekleştirilen ve belirli noktalar hedef alınarak çok planlı bir şekilde gerçekleştirilen bu siber saldırı nın analiz edilmesi için ‘atak’ tipinin anlaşılması gerekiyor. DDos saldırıları öncelikle günlük hayatı kesintiye uğratmayı hedefler. Bu saldırıları yapmak için büyük bir grup oluşturmak gerekir. Bunun arkasında da bir ideoloji olması gerekiyor. Ddos saldırıları finans kuruluşlarının sıklıkla karşılaşacağı bir saldırı değil.  Saldırı  yurt dışından olduğu için ancak ilgili sunuculara giden hatlar kesilerek korunma sağlanması en ideal yöntemdir. Bu kesinti atağın yapıldığı noktaya ne kadar yakın yerde olursa hasar o kadar az olur.

Önemli Veriler de Sızdırılabilir

Hackerlar’ın DDOS ataklarını hedeflerini meşgul etmek için kullanıp, yoğun DDOS trafiği içinde hedefe yönelik ataklar yapabildiklerini ve önemli veriler de sızdırabilirler. Burada DDOS esnasında da Saldırı engelleme sistemleri ve  hedefe yönelik gelişmiş tehdit koruması gibi güvenlik servislerinin ayakta olup, DDOS dışındaki atakları da rapor edebilmesi kritik derecede önemlidir.

Siber tehditler zaman içinde değişim gösterdi. Buna karşın BT güvenliği konusunda da önemli adımların atıldığını vurgulamalıyım. Güvenlik konusunda birkaç yıl öncesi ile bile karşılaştırsak, teknolojik, yöntemsel ve donanımsal olarak devrim niteliğinde gelişmeler yaşandığını söylemek mümkün.

Bilişim güvenliğini tehdit eden saldırılar iç ve dış şeklinde ikiye ayrılıyor. Ağırlıklı olarak dışarıdan gelen saldırılar dikkat çekse de aslında içeriden gelen siber saldırılar yüzdesel olarak çok daha fazladır. Bu saldırıların çok azı kötü niyetli ve bilinçli olarak yapılıyor. Büyük oranda, kullanıcıların bilinçsizliği, kurumların yetersiz güvenlik politikaları ve altyapı eksikliği bu tür saldırıların önünü açıyor.

Yasaklama ve Engellemeler Çözüm Değil

İç saldırıların önlenmesinde yasaklama ve engellemelerin beklenen seviyede etkili olmadığını geçtiğimiz deneyimlerimizden biliyoruz. Günümüzde kurumların bilişim güvenliğini sosyal medya platformlarının kullanımını engellemek gibi yasaklara dayandırmanın, moda deyim ile “Trend Topic” olmadığını özellikle belirtelim. Önemli olan her zaman, her yerden, her cihazla ama güvenli ve güvenlik politikaları kapsamında izin verilen kaynağa ve noktaya kadar network erişimidir. Güvenlik politika ve uygulamalarında güncel teknolojilere yer veren kurumların her zaman bir adım önde olacağı unutulmamalı.

İç ve dış siber saldırıları önlemek ve saldırılardan zarar görmeden kurtulmak isteyen kurumların mutlaka uzman yardımı alması gerekiyor. Güvenlik danışmanlığı alanında uzmanlaşmış sistem entegratörü firmalardan yardım alınabilir. Günümüzde birçok sistem entegratörü firma bile, temel network ve altyapılarda sağlıklı ve sürdürülebilir kalitede hizmet vermekte zorlanırken, kurumların bunu kendi bünyelerinde çözmeye çalışmaları çok da önerilen bir yöntem değil.

Bu Önerileri Dikkate Alın!

Bilişim güvenliği ile ilgili plan ve proje üretirken, network’lerin artık sadece bilgisayarlardan oluşmadığını unutmayın. Tablet ve akıllı telefon gibi her türlü cihaz, her yerden ve her zaman kurumunuzun network’üne dahil olabilir. Kullanıcı bilgisayarlarındaki işletim sistemlerini her zaman güncel tutun. Antivirüs yazılımı kullanın. 802.1x ve üstü Network Access Control çözümü kullanın. Kritik verilerin dışarıya sızmasını önlemek amaçlı Veri Kaybı Engelleme (Data Loss Prevention – DLP) çözümlerinden yararlanın. E-posta güvenlik ürünleri kullanın. Network’te sürekli izleme yapan, veri analizi gerçekleştiren ve trafik anormalliklerini raporlayan çözümler kullanın.  Kritik veri ve network’lerin soft veya fiziki izolasyonunu sağlayın. Sistemsel ve network verilerini/logları toparlayıp anlamlı yorumlar üreten yazılımlar kullanın. Uygulama seviyesinde güvenlik sağlayan UTM ürünler ve bunları anlamlı kılacak prosedürel süreç yönetimi ve güvenlik politika sertifikasyon programlarından yararlanın.