“HOSTING DERGİ SAYI 14 – OCAK 2016”
Tarihin En Büyük Siber Saldırısı. 602GBps!
14 Aralık saldırılarının ülkemiz bilişim ekosisteminde yarattığı etkinin sıcaklığı halen devam ede dursun yeni bir saldırı haberi, büyüklüğü ile dikkatleri çekti. 2016’nın ilk haftasında gerçekleştirildiği iddia edilen bu saldırı ile toplam ulaşılan kapasitenin 602Gbps seviyesine kadar çıktığı bilgisi paylaşıldı. Detaylara geçmeden önce saldırı tekniğini merak edenlere ve bildiklerini bir kez daha hatırlamak isteyenlere;
Nedir bu DDoS?
“Denial of Service” (Hizmet Engelleme) kelimelerinin kısaltması olan DoS yöntemi zaman içinde biçim değiştirerek “Distributed” (Dağıtılmış) özelliğini kazandı ve DDoS olarak çağrılmaya başlandı. DoS saldırı türünde; saldırı bir kaynaktan hedefe doğru yapılırken, DDoS yönteminde ise birden fazla kaynaktan hedefe doğru, taşıyabileceğinden fazla yük gönderilerek hizmetin engellenmesi hedeflenmekte.
Saldırılar kurban sistemin sahip olduğundan fazla kaynak(CPU,RAM) kullanmasına yönelik olabileceği gibi çok fazla mühendislik gerektirmeyecek şekilde kurbanın internet hattını dolduracak büyüklükte trafik gönderilerek de gerçekleştirilebilmekte.
Kötü adamlar DDoS silahını Türkiye’ye çevirdi!
Adı ister; DoS ister DDoS olsun, gelebilecek ağ saldırıları bilişimciler için yeni bir problem değil. Tekil internet sitelerine doğru yapılan siber saldırılar özellikle Türkiye’de olağan karşılanan durumlar. Ama iş bir ülkeyi hedefleyerek, ülkenin aktif kullanılan bilişim sistemlerini çalışmaz hale getirmek olduğunda işin rengi değişiyor.
Son yıllarda global çapta siber saldırı dendiğinde akla ilk gelen, “Maskeli Adamlar Anonymous” Türkiye’yi, siyasi bir takım gerekçeler üzerinden tehdit ettikten kısa süre sonra hedef tahtasına oturttu. Rusya ile Türkiye arasındaki uçak krizinin getirdiği rüzgarı da arkasına alan Anonymous, internet üzerinde kolayca örgütlendi ve saldırdı!
İlk Hedef ODTÜ
14 Aralık 2015 günü öğlen saatlerine doğru internet adres uzantıları .TR ile biten internet sitelerine erişim sağlanamadığı ve gönderilen e-postaların ulaşmadığı yönünde şikayetler gelmeye başladı. Sıklıkla karşılaşılmayan DNS kaynaklı bu erişim sorunun yarattığı ilk şaşkınlık sonrası yapılan incelemede DNS’lere ait IP adreslerinin yurtdışı anonslarının kesildiği, yani yurtdışı üzerinden servislere erişimin durdurulduğu görüldü. Daha sonra yapılan incelemelerde 1991 yılından bugüne .TR uzantılı alan adlarının tescil ve yönetiminden sorumlu ODTÜ’nün bu iş için çoğunluğu akademik ağ üzerinde(ULAKBİM) kurulu sunucular kullandığı ve bu akademik ağın yurtdışı kapasitesinin 40GBps kadar olduğu, bu sebeple gelen trafiği karşılayamadığı için ilk önlem olarak erişimin kesildiği tespit edildi. Aynı zamanlarda yurtdışından gelen siber saldırı trafiği nedeniyle Türkiye’deki üniversitelerin yurtdışı sitelere erişimi yavaşladı.
*https://daghan.net/tr-alan-adlari-problemi.dgn
Gözler ODTÜ’de
14 Aralık itibari ile başlayan saldırılar devam ederken saldırıdan 7 gün sonra 21 Aralık tarihinde ODTÜ cephesinden ilk resmi açıklama ulaştı:
“14 Aralık 2015 Pazartesi günü, yurtiçi ve dışında 5 (beş) ayrı noktada konuşlanmış bulunan 6 (altı) adet “.tr” alan adı sunucusuna doğru gelen DDoS saldırısına bağlı olarak çok ciddi ölçüde Internet bant genişliği yoğunlukları yaşanmıştır. Saldırı temel olarak, “DNS yükseltme saldırısı” (DNS Amplification Attack) olarak başlamıştır. Bu saldırı, “.tr” Alan Adları’ndan ilgili IP adreslerine ulaşılmasını engellemek amacıyla, sahte ağ trafiği üretmek de dahil olmak üzere, DNS sunucularımıza doğru yoğun ağ trafiği yollanması şeklinde ülke dışındaki kaynaklar tarafından organize bir şekilde gerçekleştirilmiştir.”
Yapılan açıklamada özet olarak; gelen saldırı kaynaklı etkinin “Homojen” olmadığı ve isim sunucuları ve internet hızının bundan etkilenmediği bilgisi verildi. Sıkıntı yaşanan süreçte isim kayıtlarını tutan sunucu sayısı arttırılarak daha güvenli ağlar üzerinde yeni sunucular oluşturuldu. Bu düzenlemeler sırasında siber saldırı konusunda ülkemizde etkili çözümler sunabilen DGN Teknoloji veri merkezinde ODTÜ DNS sunucularından biri konumlandırılarak, servis sunulmaya başlaması ile gelen saldırı tipi ve gücünü takip etme olanağına kavuşulmuş olundu.
*https://daghan.net/odtu-acikladi.dgn
Bu Sefer Siber Saldırıda Yeni Hedef; Bankacılık
14 Aralık sonrası 24 Aralık 2015 tarihinde Garanti Bankası, İşbank, Akbank başta olmak üzere bir çok banka internet sitesi erişilemez duruma geldi.
Saldırının ilk şaşkınlığı sonrası yine ilk önlem olarak siber saldırı altındaki bankacılık internet sitelerine yurtdışı erişim kesilirken, sistemlerin tekrar hizmet verebilmesi 4-5 saat sürdü. İnternet bankacılığı dışında POS cihazlarının da çalışmaması nedeniyle siber saldırı, gerçek hayatı da etkileyen bir safhaya geçti.
Türk bankacılığına siber saldırıları yaptığını duyuran Anonymous, bu saldırı sonrası, saldırı gerekçelerini sıralarken, yaptığı duyuruyu şöyle sonlandırdı;
Türkiye, bu çılgınlığı bugün durdur! Kaderin kendi ellerinde.
*https://daghan.net/bankalar-saldiri-altinda.dgn
Merhaba “New World Hacking”
Türkiye’nin başı siber saldırılar ile belada iken dünyanın geri kalanında da işler bal kaymak değildi. Kendi doğrularını duyurmak adına siber saldırıyı araç olarak kullanan yeni gruplarda eylemlerine internet üzerinden devam etti.
Son dönemde organize, büyük siber saldırı dendiğinde akla ilk gelen Anonymous yerine bu sefer BBC ve Donald Trump’a yapılan saldırıyı kendilerine “New World Hacking” ismini veren grup üstlendi. Kendini bu grubun bir üyesi olarak tanıtan ve Ownz takma adını kullanan kişi BBC’nin iPlayer on-demand hizmeti dahil BBC web sitelerine ve Trump’a yapılan saldırının daha çok kendi güçlerini test etmeye yönelik bir saldırı olduğunu ve esas hedeflerinin İŞİD olduğunu bildirdi.
New World Hacking’den Yeni Yıl Hediyesi; “602GBps!”
602 GBps olarak duyurulan bu siber saldırıya ait boyut bilgisi doğru ise 2015 yılında Arbor Networks tarafından kaydedilen 334 GBps büyüklüğündeki siber saldırı rekoru kırılmış oldu.
Bu büyük saldıya maruz kalan BBC websitesine ait servisler ve Cumhuriyetçi Başkan Adayı Donald Trump’ın seçim kampanyası yürüttüğü web sitelerine erişim sağlanamadı. BBC problemi “teknik bir arıza” olarak tanımladı.
New World Hacking üyesi Ownz; Amazon’un yüksek kapasitesi sayesinde az bir sunucu ile kolayca yüksek trafik miktarlarına ulaşılabileceği, ancak Amazon’un bu tip risklere karşı bir güvenlik sistemi bulunduğunun bilgisini verdi. Ancak kendilerinin bu güvenlik sistemini BangStresser ismini verdikleri bir script ve teknik ile aşmayı başardıklarını ve büyük trafik üretebildiklerini belirtti. BangStresser ile Amazon servisleri üzerinde öncelikle trafik kullanım haklarını sınırsız hale getirerek kendini gizleyen scriptin, sistemi saldırı amacı ile kullanılabileceği iddia edildi.
Bulut Bilişim Yeni Tehlikeleri ile Birlikte Geldi.
602GBps büyüklüğüne çıktığı iddia edilen saldırıda Amazon servislerinin kullanılmış olma ihtimali, bulut güvenliği konusunda yeni bir tehlikenin de habercisi olabilir. İlerleyen günlerde hızlı ve kaliteli hizmet sunmak için büyük işlemci gücü, dev internet kapasiteleri sunan platformların bu konuda gerekli önlem almamaları halinde oluşabilecek felaket, internet altyapısı iyi olmayan diğer servisler için tehlike çanlarının çalmasına sebep olabilir.
Benzer şekilde Microsoft Azure servisi üzerinden gelen UDP tipi siber saldırılarda da ilgili güvenlik birimine ulaşmak oldukça güç olabilmekte. Bulut platformlarının ağ yöneticileri tarafından, gözden kaçabilecek veya düşük olarak yorumlanabilecek 20-30Gbps’lik bir saldırının yukarıda bilgi verildiği üzere koca bir ülkenin DNS sistemini veya bankacılık sistemini etkilemesi de olası.
*https://daghan.net/602-gbps-ddos-bangstresser.dgn
Bize Savaşmak için Silah Verin!
Yıllardır iğne ile kuyu kazarak Türkiye’de internet teknolojisi/hizmet geliştiren bilişim profesyonelleri için dünya ile eş değerde, kalitede bir internet altyapısına sahip olmak hakkımız.
Dünya 100Gbps bağlantıları konuşur iken ülkemiz ana internet sağlayıcısının %90 doluluk ile halen 10Gbps * X uplinkler üzerinden yurtdışı erişim sağlıyor olması tıkanmalardaki başlıca sebeplerinden.
Ülkede farklı yurtdışı operatörler üzerinden erişim satın alma konusundaki zorlukların devlet eli ile aşılması gerekiyor. Operatör çeşitliliği ile DDoS saldırıların daha iyi mitigate edilebilmesi, tüm yurtdışı erişimi kapatmak yerine bölgesel erişim kesme imkanının da erişim operatörleri tarafından sunulması gerekiyor.
Olan teknolojiyi ülkeye hizmet olarak sunmayan ana operatörlerin bu konuda zorlanması da yine BTK gibi regülatif düzenleme yapma hakkı olan kurumların görevi.
Bu son yaşanan ufak sayılabilecek siber saldırılar sonrası, hızla çözümü belli düzenlemelerin yapılması gerekiyor. Anonymous’un dediği gibi;
“Türkiye, bu çılgınlığı bugün durdur! Kaderin kendi ellerinde.”
