DDoS saldırıları genellikle hacimsel (BPS) niteliktedir ve hedefi, gelen internet hattını zorlamak ve tasarlanandan daha fazla trafiği hedefe yollayarak veri yolunu tıkamaktır. Buna karşılık, PPS odaklı saldırılar büyük ölçüde ağ donanımını ve / veya müşterinin veri merkezindeki veya bulut ortamındaki uygulamaları bunaltmak için tasarlanmıştır. Her ikisi de hacimseldir, ancak PPS saldırıları, devrelerin kapasitesi yerine işlemci kaynağı tüketmeye yöneliktir ve yapılışı daha zahmetli olduğu için BPS saldırılarından çok daha az yaygındır.

Bu son saldırının, yüksek PPS yükü ile DDoS engelleme sistemlerini bunaltmayı hedeflediğini bildiren AKAMI, saldırının özellikle bu amaç için optimize edildiğini açıkladı. Grafikten görülebileceği üzere, gönderilen her bir paket sadece 1 baytlık bir bilgi taşıdı (IPv4 üstbilgileriyle toplam 29bayt )

Saldırı sırasında kaynak IP’lerin sayısının önemli ölçüde arttığı bildirilirken, normalde gözlemlenen değerlere göre saldırı anında sistemlere ulaşan IP sayısının olağandan 600 kat yükseldiği bilgisi paylaşıldı.

21 Haziran saldırısı sadece büyüklüğü için değil, aynı zamanda zirveye ulaşma hızı nedeniyle de dikkat çekti. Saldırı, normal trafik seviyelerinden saniyeler içinde 418 Gbps’ye yükseldi ve yaklaşık iki dakikada 809 Mpps’lik tepe boyutuna ulaştı. Toplamda, saldırı 10 dakikadan biraz daha az sürdü.

Siber Saldırıda Hedef Kimdi?

İşin teknik detaylarını verdikten sonra Avrupada büyük bir banka olarak tanımlanan kurbanın kim olduğu merak konusu oldu. AKAMAI tarafından hedef ve kaynak IP adresleri wireshark çıktısında gizlenerek yayınlandı. Ancak paylaşılan ekran görüntüsünde siber saldırıya ait paketin ikili (binary) kodları gizlenmesi unutulduğu için hedef IP adresi kolayca tespit edilebiliyordu.

11011001 01000100 11011001 00010100 şeklinde yer alan ikili kodun (binary), ondalık (decimal) karşılığı 217.68.217.60 olarak karşımıza çıktı.

Buna göre sistemleri zorlayan bu saldırı 217.68.217.20 IP adresine yapıldı. Bu IP adresi sorgulandığında 217.68.216.0 – 217.68.223.255 aralığının Garanti Bilisim Teknolojisi ve Tic. T.A.S. ait olduğu görülebilmekte. Yine basitçe IP adresi tarayıcıya yazıldığında karşımıza www.garantibbva.com.tr adresi çıkmakta. Daha önce de siber saldırı kurbanı olan banka, Türkiye’de kendini siber saldırılardan koruyabilecek bir servis sağlayıcı bulamadığı için önceki saldırı sırasında yurtdışı erişim güvenlik hizmetini AKAMAI’den almaya başlamıştı.

Güncelleme: Binary-Decimal çeviriyle IP çözümlemesi sonrası AKAMAI açıklamasında yer alan görüntünün ilgili kısmını gizledi. Ancak daha önce yayınlanan haber kaynaklarında halen sansürsüz ekran görüntüsüne ulaşılabilmekte.

Güncelleme II: Ekran görüntüsünü sansürsüz yayınlayan haber sitelerinden de ekran görüntüsü kaldırılmaya başlandı.

Kaynak : AKAMAI BLOG
Kaynak : Bleepingcomputer (Sansürsüz Ekran Görüntüsü)

14:30

Bağlantı probleminin neden kaynakladığı konusundaki bilgi talebimize Türk Telekom ; “Yurtdışı çıkış cihazımızda yaşanan anlık sorun nedeniyle müşteri trafiği olumsuz etkilenerek paket kaybı yaşamışlardır.” şeklinde bir yanıt döndü. Devamında ise Garanti Bankası web sitesi ve mobil yazılımının çalışmadığı rapor edildi.

Bu süreçten sonra eş zamanlı Vodafone ağında da ülke genelinde erişim problemi yaşandı, “#vodafonepişmanlıktır” Twitter’da trend topic oldu. Vodafone tarafında da yaşanan sorun düşünüldüğünde Garanti’nin yurtdışından gelen trafiği yönetebilmek adına farklı operatörler üzerinden çıkış vermeye çalışması akla geldi.

100Gbps bir trafiğin yurtdışı yönünden geldiği şeklinde net olmayan bir bilgiye sahibiz, bu yaşanan daha önce .com.tr isim sunucularına yapıldığı gibi ülkenin yurtdışı çıkışlarının yetersizliği ve siber saldırı süreçlerinin iyi yönetilememesini akla getirdi. Mesai saatleri dışında yaşanan bu sorunun iş saatleri içinde olması durumunda yaşanabilecek maddi kaybın çok büyük olacağıda bir gerçekken yıllardır bu konuda altyapı ve yönetim sistemine yatırım yapılmaması ayrı bir üzüntü kaynağı.

17:00

Bankaya yönelen siber saldırının operatörleri etkilememesi adına sistemlere ait isim sunucularına ait IP adreslerinin yurtdışı erişimleri kesilmiş durumda. Bu sebeple isim çözümleme yapılamamakta ve Türkiye içinden de bazı kullanıcılar sistemlere erişim sağlanamamakta.

18:00

IP trafiğiniz tekrar yurtdışı için aktif edildiği ve Türk Telekom DDoS servisinden geçirildiği görülmekte.
traceroute to garantibbva.com.tr (217.68.217.60)

1. ae-0.a00.amstnl02.nl.bb.gin.ntt.net 0.0% 3 15.5 13.4 12.3 15.5 1.8
2. 212.119.24.246 0.0% 3 13.7 13.7 13.4 14.1 0.4
3. 06-ulus-xrs-t2-1—302-ams-col-1.statik.turktelekom.com.tr 0.0% 3 60.1 60.1 60.1 60.1 0.0
4. 212.156.117.186.29-gumushane-t3-1.25-erzurum-t2-1.statik.turktelekom.com.tr 0.0% 3 60.1 60.1 60.1 60.1 0.0
5. 06-ulus-xrs-t2-2—06-ebgp-ulus1-k.statik.turktelekom.com.tr 0.0% 3 64.6 64.6 64.6 64.7 0.1
6. 06-ddos-t3-1—06-ulus-xrs-t2-2.statik.turktelekom.com.tr

19:00

Garanti Bankası IP adres aralıklarını taklit ederek yansıtma saldırısı yapılması şeklinde saldırı devam ediyor. Bu yöntemde saldırgan ülke üzerindeki binlerce IP adresine Garanti Bankası IP aralıklarını taklit ederek paketler göndermekte. Trafiği karşılayan cihazlar ise yanıtı taklit edilen IP adresine dönüyor. Bu şekilde ağ yavaşlaması ve servisin yanıt vermesinin engellenmesine çalışılıyor.

20:12

DNS adresleri tekrar yurtdışından yanıt veremez duruma geldi. Türk Telekom DDoS servisi ile korunmaya çalışan site için DDoS servisinde de paket kayıpları yaşanmaya başlandı. Site erişimi ülke içinden de kesildi.

23:50

Yerli operatörlerimizin DDoS engelleme sistemleri ve kapasiteleri yetersiz kalması ile Garanti Bankasına ait IP adreslerinin trafiği Amerika merkezli Neustar servis sağlayıcısı üzerinden temizlenmek üzere yönlendirilmiş durumda. Bu yöntemle ülke dışındaki trafik hangi lokasyonda olursa olsun önce hizmet alınan şirket sistemlerinden filtre edilerek ülkeye gönderilmiş olacak.

Muhtemelen acele ile geçilen bu sistemde konfigürasyon tamamlanmadığı için şu an IP anonsu hatalı olarak işaretlenmiş durumda. Bu sebeple yurtdışından erişim sağlansa bile hatalı konfigürasyon nedeniyle trafik ulaşamayacaktır.

The active path has an incorrect Route Origin Authorization (ROA) record but is still the best route.
Path #4: Received by speaker 0 22822 19905

28 Ekim – 10:45

garantibbva.com.tr ismine ait dns sunucuların yurtdışından yanıt vermediği ve siteye bu sebeple erişim olmadığı görüldü. Durumun muhtemelen sebebi ise genel bir IP engellemesi yapılarak sadece Türk kullanıcıların sıklıkla kullandığı 8.8.8.8 gibi adreslere izin verilmesi olabilir. Farklı yurtdışı noktalardan Türkiye’deki banka DNS sunucularına erişim yapılamıyor.

Resolving garantibbva.com.tr… failed: Temporary failure in name resolution.
wget: unable to resolve host address “garantibbva.com.tr”

ERROR: I could not get any A records for www.garantibbva.com.tr!

28 Ekim – 21:15

garantibbva.com.tr alan adına ait 217.68.217.60 IP adresinin yurtdışı merkezli DDoS koruma hizmetinden çıkartıldığı görülüyor. Ancak halen yurtdışından ilgili IP adreslerine erişim bulunmuyor.

BGP routing table entry for 217.68.208.0/20
Path #1: Received by speaker 0 3356 9121 9121 12903

29 Ekim – 19:45

Garanti sistemleri için tekrar yurtdışı merkezli DDoS engelleme sistemi devreye alındı. Bu yöntemle yurtdışı kullanıcı trafiği hizmet alınan şirket sistemlerinden geçirilerek temizlenmesi hedefleniyor. Türkiye dışındaki kullanıcı trafiği güvenlik şirketi cihazlarından geçirilerek ülkeye gönderiliyor.

Güvenlik nedeniyle IP adreslerinin izinsiz noktalardan anons edilmesini engellemek için ROA sistemiyle anonsu kimin yapacağını IP sahibi belirlemekte. Ancak daha önce olduğu gibi bu şirketin Garanti Bankası IP adreslerini kullanabilmesi için gerekli izin prosedürü (ROA) tamamlanmış ve IP anonsu BGP hijacking olarak algılanır durumda. ROA kaydı kontrol eden internet servis sağlayıcılar hatalı tanımlanan IP bloklarını geçersiz kılacağından yine yurtdışından banka servislerine erişim mümkün olamayacaktır.

2 Kasım – 12:30

Bankanın yurtdışı erişiminde yeni bir operatör (AKAMAI) üzerinden trafiğini temizlediği görülmeye başlandı. Bu durumda Türk Telekom Arbor cloud servisi olarak tanıtılan yurtdışı merkezli hizmetten vazgeçildiği ve Akamai Prolexic DDoS hizmeti alınmaya başladığı görülüyor.

1. be100-1050.ams-5-a9.nl.eu 0.0% 1 6.2 6.2 6.2 6.2 0.0
2. akamai.prolexic.com 0.0% 1 7.3 7.3 7.3 7.3 0.0
3. po110.bs-b.sech-ams.netarch.akamai.com 0.0% 1 6.1 6.1 6.1 6.1 0.0
4. ???
5. ae121.access-a.sech-ams.netarch.akamai.com 0.0% 1 6.7 6.7 6.7 6.7 0.0
6. ???
7. a2-21-175-10.deploy.static.akamaitechnologies.com

AKBANK tarafından yapılan yazılı açıklamada; “Teknik sebepler ile banka içi sistemlerimizde geçici kesintiler yaşanmaktadır. Konu ile ilgili ekiplerimiz çalışmakta olup, en kısa zamanda hizmetlerimiz kesintisiz olarak devam edecektir” denildi.
Ancak olayın farklı bir yönünde AKBANK çalışanları bir süredir aşırı performans baskısı altında çalıştırıldıkları konusunda şikayet ederek greve gitmek isteselerde OHAL nedeniyle bakanlar kurulu tarafından alınan grev yasağı nedeniyle mümkün olamıyor.

AKBANK GREV’i hakkında basın açıklamasını okuyan Eylem Akçay;
AKBANK’ta grevin Cumhurbaşkanı ve bakanlar tarafından ertelendiğini söylerken “Akbank da zaten hazır olduğu bu kararla ilgili olarak hemen açıklama yaptı. Hazırdı, zira toplu sözleşme görüşmeleri geçen yıl Temmuz başında başlamış, Kasım’da ise ‘Bakanlar kurulu’ alakasız olsa da OHAL’den yararlanarak bir KHK ile alelaacele bankacılıkta ‘grev erteleme’yi yasaya eklemiştir” diye konuştu. “Grev kararı, ‘ertelenmiş’ olsa bile ciddi bir uyarı niteliğindedir” diyen Akçay, “Finans sektörü ayağını denk almazsa bir süre sonra isterse bizzat Sabancılar hükümeti kurmuş olsun, herhangi bir bakanlar kurulu herhangi bir grevi erteleyecek gücü bulamaz. Grev yasaklarıyla savunduğunuz ekonomi kendi ekonominizdir, ülkenin değil. Bu ekonomiyi ayakta tutmak için bundan sonra daha fazla yasaklamaya ve daha fazla baskıya ihtiyaç duyacaksınız. Ta ki gerçek ekonominin sesi ve sözü bastırılamaz hale gelene kadar” dedi.
Çalışma koşullarına da değinen Akçay, “Kârını enflasyonun 6 katı kadar artıran Akbank, sektörde birinci bankadır. Çünkü her Akbank çalışanı iki kişilik iş yapmaktadır. Diğer bankalarda şube başına 20 kişiyle çalışılırken Akbank’ta 15 kişiyle çalışılmaktadır. Buna rağmen bankanın çalışan başına düşen kârı, 0,250 ile diğer bankaların iki katıdır. Akbank’ın ekonomisi az sayıda çalışanın, çok yoğun çalışmasına dayanır” dedi.

Kurtar Vadisi dizisinden Polat Alemdar bize siber saldırılarda ne yapmamamız gerektiğini gösteriyor…

ABD hedefli saldırı, erişim problemine sebep oldu

Saldırı yöntemi olarak ağırlıklı TCP-SYN ve TCP kullanılıyor.
İnternet üzerindeki erişimlerde çeşitli iletişim türleri (protokol) kullanılıyor. Bir internet sitesini görüntülemek için TCP iletişim türü kullanılıyorken, isim çözme (DNS) için halen ağırlıklı olarak UDP protokolü kullanılıyor. İletişimi sağlayan paketlerin her birinin ağırlığı ise taşınan veri ile ölçülüyor. Buna göre TCP protokolü ile UDP’ye göre daha hafif paketler daha hızlı iletilebilirken, UDP protokolünde ağır paketler az paket sayısı ile taşınıyor.
Bu sebeple yüksek paket üretebilen saldırılar TCP protokolü kullanılarak yapılır iken yüksek paket ihtiyacı nedeniyle daha fazla işlemci gücüne ihtiyaç duyuluyor. TCP saldırının hedefindeki sistemler ise gelen paketlere cevap vermeye yetişemediği için sistem kaynağı açısından bir dar boğaza düşüyor. Sistem kaynakları daha az olan cihazlardan faydalanılarak büyük ebatlı ve ağ kapasitesini zora sokmak için yapılan saldırılarda ise UDP protokolü kullanılıyor.
TCP protokolü üzerinden konuşan 2 cihazın ilk kelimesi (Merhaba) olarak ifade edilebilecek SYN paketide yine TCP tipi saldırı olarak sayılabilir.
IOCTA raporuna göre saldırılarda kullanılan yöntemlerde TCP-SYN ve TCP ilk sırayı alıyor. Ancak bu durum internet kapasitesi düşük ve yeterli fiber yatırımı yapmamış Türkiye gibi ülkelerde UDP ağırlığa dönüyor.

UDP protokolü kullanan saldırılar nasıl üretiliyor?
Bir saldırının başarılı olabilmesi için ihtiyaç duyulacak kaynağın bir merkezden üretilmesi saldırıya maruz kalanın savunmaya ayıracağı ile neredeyse aynı olduğu için saldırı aracı olarak masum cihazlar kullanılıyor. UDP protokolü üzerinden servisleri aktif cihazlara 1 birimlik soru sorulduğunda 10 birimlik cevap veren servisler tespit edildikten sonra soruya cevap veren sistemlere ait IP adresleri taranıyor. Tarama sonucu ortaya çıkan listedeki herbir IP adresine 1 birimlik soru gönderilirken sorunun cevabının gönderileceği adres olarak kurban sistem bildiriliyor. Saldırgan 10 birim soru gücü harcadığında hedef sisteme 100 birim cevap dönüyor.
Bunu daha iyi anlamak için şu örnek verilebilir: Ürün veya hizmetlerini ücretsiz dergi, broşür hazırlayarak, talep eden müşteri adaylarına ücretsiz gönderen işletmeleri tespit edelim. Tespit ettiğimiz işletmelere talep gönderirken posta adresimizi saldırı yapmak istediğimiz kişinin posta adresi olarak bildirelim. Sonuç olarak bir süre sonra kurbanın posta kutusu yeni ileti alamayacak hale gelecektir!

Her saati sorana cevap verme!

Peki internet neden yavaşladı? Neler oluyor?
Daha önce DNS servisi hedefli DNS yansıtma, zaman sunucuları hedefli NTP yansıtma gibi yöntemler kullanılmasına karşın, her ev kullanıcısının cihazlarında bulunmayan bu servisler nedeniyle bu denli sorun yaşanmamıştı.
Bugün ise yoğun kullanılmaya başlanan saldırı yönteminde ADSL modemlerde açık bulunan SSDP portları hedeflenmekte. SSDP; bir ev ağındaki UPnP (Universal Plug & Play) cihazlarını tespit etmeye yarayan bir protokol. (Kaynak)
SSDP portu aktif olan modemlere 1 birimlik sorgu gönderilerek başlatılan saldırıda, zaten 8-16Mbps aralığında olan ADSL kapasitesi bu gelen istekler ve cevaplar nedeniyle normal internet kullanımına cevap veremez hale gelmekte. Saldırı yönteminin bir çok hedef ve kişi için kullanıma başlanması ile birlikte, modemler daha fazla rahatsız edilmeye başlanıp, sadece portu açık olan abone değil, abonenin bağlı olduğu şebekede durumdan etkilenmeye başlıyor.
Türkiye içindeki servisleri hedef alan örnek bir saldırı raporu aşağıda görülebilir.
IP: xx.xx.xx.xx
Paket Sayisi/Packet Count: 380.395PPS
Buyukluk/Size: 8,80GBps
Tarih/Date: 11.12.2016 13:12:34
------------------------------------
13:12:34.365120 IP 85.102.57.13.ssdp > xx.xx.xx.xx.27015: UDP, length 280
13:12:34.365121 IP 88.234.141.235.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365121 IP 85.105.251.140.ssdp > xx.xx.xx.xx.27015: UDP, length 323
13:12:34.365123 IP 88.225.223.250.ssdp > xx.xx.xx.xx.27015: UDP, length 339
13:12:34.365123 IP 88.234.231.213.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365124 IP 85.105.229.107.ssdp > 4xx.xx.xx.xx.27015: UDP, length 264
13:12:34.365127 IP 88.247.117.206.ssdp > xx.xx.xx.xx.27015: UDP, length 319
13:12:34.365127 IP 88.242.101.54.ssdp > xx.xx.xx.xx.27015: UDP, length 259
13:12:34.365128 IP 88.224.161.66.ssdp > xx.xx.xx.xx.27015: UDP, length 307
13:12:34.365128 IP 88.247.169.88.ssdp > xx.xx.xx.xx.27015: UDP, length 280

Rapora göre, zararlı isteklere cevap veren ADSL modemleri kaynaklı 8.8Gbps trafik üretilmiş. Üretilen bu trafik ADSL kullanıcılarının ücretini ödeyerek satın aldıkları erişim olup, hem kullanıcı hem de tüm ADSL ağının yavaşlamasına sebep olmakta.
Peki sizin modeminiz saldırılarda kullanılıyorsa ne yapacaksınız?
Modem kullanımına hakim iseniz dışarıdan UDP 1900 portuna gelen istekleri engelleyebilirsiniz. Bu işlemi yapacak kadar teknik bilginiz yok ise UPnP desteğini modem arayüzünden kapatabilirsiniz.
Modem ayarları konusunda deneyimsiz olan kullanıcılar yerine operatörün UDP 1900 numaralı porta doğru olan erişimi kısıtlaması kısa vadede hızlı bir çözüm olabilir.

.TR Alan Adı servisi Nic.TR Saldırı Altında!

Bir merkezden gelmeyen bu tip bir saldırının engellenmesi daha zor ve zahmetli olduğu için problemin giderilmesi zaman aldı.

Amerika’da geniş bir alanı etkileyen DNS problemini kullanıcılar farklı DNS IP adresleri kullanarak aşmaya çalıştırlar.

Bu açıklama sonrasında ise saldırının durdurulduğu bilgisi paylaşıldı. Ancak saldırı yöntemi göz önüne alındığında benzer bir durumun kolayca tekrarlanabileceği görülmekte.

Siber saldırı tehditi sadece web sitesi sahiplerini endişelendiriyor gibi görünse de, siber saldırı durumlarında herkesin bundan nasıl zarar görebileceğini görmüştük:

Siber Saldırılar Ekonomiye Zarar Veriyor

100 Milyar Dolarlık Siber Güvenlik Pazarı
2016 sonunda bilgi güvenliği ve hizmetlerinin 81,6 milyar dolarlık devasa bir pazar olacağını gösteriyor. 2017 yılı itibari ile pazar büyüklüğü 100 Milyar dolar sevilerine ulaşmış olacak. Yapılan araştırmaya göre; ABD, Almanya, Birleşik Krallık ve Kanada’da her 10 işletmenin 4’ü fidye yazılım tehditiyle karşılaşmış olduğunu ve bu fidyeci yazılımların ciddi bir tehdit olduğunun bilgisini veriyor. Pazarın bu kadar büyümesindeki ana etken ise nesnelerin interneti, akıllı araçlar, giyilebilir teknolojiler gibi yeniliklerin insan hayatına daha fazla girmesi ve tüm bu yeni teknolojilerin internete bağlanacak olması.

İnternet Siteleri ve Siber Sistemler Tehlike Altında
Ocak 2016’da kendilerine “New World Hacking” ismini veren grup gerçekleştirdiğini iddia ettiği büyük bir saldırı ile gündeme geldi. BBC ve Donald Trump’a ait web sitesine yapılan saldırının daha çok kendi güçlerini test etmeye yönelik bir saldırı olduğunu ve esas hedeflerinin İŞİD olduğunu bildirdi. Yapılan saldırının 602Gbps seviyesine ulaştığını gösterir ekran görüntüleri de paylaşılmıştı:

Tarihte Görülen En Büyük Siber Saldırı. 602 GBps!

Bugün ise Ocak 2016’da ki büyük saldırıyı gerçekleştiren grup olduğunu iddia edenler tarafından gönderilen e-postalar paniğe sebep oldu.
İstenen bedel ödenmez ise 5 saat içinde web sitelerinin DDoS saldırısına maruz kalacağını bildirir bu e-posta da ödeme tabii ki bitcoin olarak talep edilmekte.
Fidye saldırı başlamadan önce ödenmez ise fidyenin 10 kat arttırıcaklarını bildirir e-posta web sitesi olanların soğuk ter dökmesine sebep oluyor.
Konuyla ilgili olarak twitter üzerinden iletişime geçtiğim New World Hacking konuyla ilgileri olmadığı ve bu e-postaları kendilerinin göndermediğinin bilgisini verdiler. Yani gelen e-postalar ya sahte ya da bir başka grup tarafından hedef şaşırtma için kullanılmaktaydı. Şu ana kadar bu e-postayı alıpta, 5 saat sonunda kötü bir sonuçla karşılaşan görülmedi.
Fidyeciler her zaman var olacağından; internet siber saldırıya açık bir mecra olduğunu unutmamak ve buna göre gerekli önlemleri almayı ihmal etmemek gerekiyor.

Çıktığında ‘izlenecek miyiz’ endişesi yaratan kanunda tanım ve kapsam çok tartışılıp tam netleşmediğinden, sadece nereden nereye bağlandığınız bilgisini değil, girdiğiniz siteleri de kayıt altına aldı bazı servis sağlayıcılar. Olaylar olduğunda sosyal medya mecrasındaki yavaşlamanın en büyük etken de, girdiğiniz bütün sitelerin bir takım cihazlar içinden geçirilip, hem URL engelleme ile ilgili hem de girdiğiniz sitelerin tespiti ile ilgili bir takım uygulamalardan geçiyorsunuz.
Evinizdeki internetinizi paylaşıyorsanız ve sizin ağınızdan bir suç işlenmişse ilk olarak aboneye gelecektir soruşturma. Bilgisayarınızda yapılan incelemede suç teşkil eden bir şey bulunmaz ise suçu işlemiş sayılmıyorsunuz. Ağa bağlı diğer bilgisayarlar sonradan tespit edilip incelenecektir. O yüzden arkada ağı kullananlarla ilgili detaylı bir kayıt tutulması gerekmekte.
Unutulma Hakkı ilk olarak Arjantin’de, sonrasında AB’de kabul edilmiş bir hak. Kişisel bilgilerin arama motorlarından silinmesini isteme talebine unutulma hakkı diyoruz. İçerik kaldırılmıyor, sadece aramalarda çıkmıyor. Biz AB üyesi olmadığımız için bunu talep etsek de Google bunu yapmak zorunda değil. (Sorun çıkartmadan kaldırıldığına dair bir örnek geldi izleyiciler arasından)
Her türlü verimiz işleniyor. Bununla ilgili bir engelleme kararı yok. Mecliste böyle bir çalışma da yok. Çünkü ucunun nerelere dayanacağı meselesi olduğundan bu yüzden de böyle bir yasa hazırlanmıyor.
“.tr” adreslerinin tümünün tahsisi ve yönetimi ODTÜ’de bulunuyor. ODTÜ bundan bir gelir elde ediyor.14 Aralık’ta sonu .tr ile başlayan tüm sitelere saldırıldı ve siteler çalışamaz hale geldi. İnternetteki bir çok kaynak yurt dışında barınıyor. Biz hep yasaklamayı biliyoruz. Sadece engellemek ve yasaklamak üzerine sistem kurduğumuzdan Facebook gibi kurumlar Türkiye’de sunucularını yerleştirmiyor. Çünkü biliyor ki Facebook/Google/Twitter Türkiye’ye bir yetkili atarsa, o yetkili nezaretten çıkamaz. Ve dünyaya bunu açıklayamazsınız.
Tüm içerikler yurt dışında olunca bizim kapasitemiz buna yetmiyor. Bir de üzerine yurt dışı kaynaklı DDOS saldırılar gelince Türkiye’nin internet erişiminde çok ciddi problemler yaşanıyor.

Panel sonunda Bursa Barosu adına tarafımıza katkılarımızdan ötürü plaket takdim eden Hüseyin Bulun ve Neslihan Aktosun’a teşekkürlerimi sunmak isterim.

Kaynak: http://www.meltemgazetesi.com/37801-2/

2.7 Gbyte büyüklüğündeki sıkıştırılmış dosya, paylaşım ağı üzerinden dağıtıma açıldı. Dağıtımın Almanya, Fransa ve İngiltere’de konumlandırılmış sunucular üzerinden yapıldığı görülüyor.
İnternet üzerinden dağıtımı yapılan dosyanın onlarca kişi tarafından indirildiği(download edildiği) görülüyor. Dosyanın ana dağıtım kaynağı olan sunuculara ait IP adresleri ise 5.9.71.xx, 91.121.54.xx, 149.18.117.xx şeklinde.

Yayınlanan dosya içeriği 20 Ağustos 2013 tarihli eski mernis sorgularını içeriyor, yeni bir bilgi veya belge bulunmuyor.

Son değişiklik tarihi 20 Ağustos 2013 olarak görülen, veri sorgulama yapılmasını amaçlayan programın eskiliği göz önüne aldığında paketlenmiş içeriğin eskiden hazırlandığı kolayca anlaşılabiliyor.

Yayınlanan dosyaların içeriğinin ise geçmiş aylarda ücret karşılığıda sızdırılan mernis kayıtları olduğu görülüyor.
Yeni bir bilgi/belge içermeyen paylaşımın neden bugün tekrar gündeme getirilmek istendiği ise merak konusu.

*https://daghan.net/tr-alan-adlari-problemi.dgn

 
Gözler ODTÜ’de
14 Aralık itibari ile başlayan saldırılar devam ederken saldırıdan 7 gün sonra 21 Aralık tarihinde ODTÜ cephesinden ilk resmi açıklama ulaştı:
“14 Aralık 2015 Pazartesi günü, yurtiçi ve dışında 5 (beş) ayrı noktada konuşlanmış bulunan 6 (altı) adet “.tr” alan adı sunucusuna doğru gelen DDoS saldırısına bağlı olarak çok ciddi ölçüde Internet bant genişliği yoğunlukları yaşanmıştır. Saldırı temel olarak, “DNS yükseltme saldırısı” (DNS Amplification Attack) olarak başlamıştır. Bu saldırı, “.tr” Alan Adları’ndan ilgili IP adreslerine ulaşılmasını engellemek amacıyla, sahte ağ trafiği üretmek de dahil olmak üzere, DNS sunucularımıza doğru yoğun ağ trafiği yollanması şeklinde ülke dışındaki kaynaklar tarafından organize bir şekilde gerçekleştirilmiştir.”
 Yapılan  açıklamada özet olarak; gelen saldırı kaynaklı etkinin “Homojen” olmadığı ve isim sunucuları ve internet hızının bundan etkilenmediği bilgisi verildi. Sıkıntı yaşanan süreçte isim kayıtlarını tutan sunucu sayısı arttırılarak daha güvenli ağlar üzerinde yeni sunucular oluşturuldu. Bu düzenlemeler sırasında siber saldırı konusunda ülkemizde etkili çözümler sunabilen DGN Teknoloji veri merkezinde ODTÜ DNS sunucularından biri konumlandırılarak, servis sunulmaya başlaması ile gelen saldırı tipi ve gücünü takip etme olanağına kavuşulmuş olundu.

*https://daghan.net/odtu-acikladi.dgn

 
Bu Sefer Siber Saldırıda Yeni Hedef; Bankacılık
14 Aralık sonrası 24 Aralık 2015 tarihinde Garanti Bankası, İşbank, Akbank başta olmak üzere bir çok banka internet sitesi erişilemez duruma geldi.
Saldırının ilk şaşkınlığı sonrası yine ilk önlem olarak siber saldırı altındaki bankacılık internet sitelerine yurtdışı erişim kesilirken, sistemlerin tekrar hizmet verebilmesi 4-5 saat sürdü. İnternet bankacılığı dışında POS cihazlarının da çalışmaması nedeniyle siber saldırı, gerçek hayatı da etkileyen bir safhaya geçti.
Türk bankacılığına siber saldırıları yaptığını duyuran Anonymous, bu saldırı sonrası, saldırı gerekçelerini sıralarken, yaptığı duyuruyu şöyle sonlandırdı;
 Türkiye, bu çılgınlığı bugün durdur! Kaderin kendi ellerinde.

*https://daghan.net/bankalar-saldiri-altinda.dgn

 
Merhaba “New World Hacking”
Türkiye’nin başı siber saldırılar ile belada iken dünyanın geri kalanında da işler bal kaymak değildi. Kendi doğrularını duyurmak adına siber saldırıyı  araç olarak kullanan yeni gruplarda eylemlerine internet üzerinden devam etti.
Son dönemde organize, büyük siber saldırı dendiğinde akla ilk gelen Anonymous yerine bu sefer BBC ve Donald Trump’a yapılan saldırıyı kendilerine “New World Hacking” ismini veren grup üstlendi. Kendini bu grubun bir üyesi olarak tanıtan ve Ownz takma adını kullanan kişi BBC’nin iPlayer on-demand hizmeti dahil BBC web sitelerine ve Trump’a yapılan saldırının daha çok kendi güçlerini test etmeye yönelik bir saldırı olduğunu ve esas hedeflerinin İŞİD olduğunu bildirdi.
 
New World Hacking’den Yeni Yıl Hediyesi; “602GBps!”
602 GBps olarak duyurulan bu siber saldırıya ait boyut bilgisi doğru ise 2015 yılında Arbor Networks tarafından kaydedilen 334 GBps büyüklüğündeki siber saldırı rekoru kırılmış oldu.
Bu büyük saldıya maruz kalan BBC websitesine ait servisler ve Cumhuriyetçi Başkan Adayı Donald Trump’ın seçim kampanyası yürüttüğü web sitelerine erişim sağlanamadı. BBC problemi “teknik bir arıza” olarak tanımladı.
New World Hacking üyesi Ownz; Amazon’un yüksek kapasitesi sayesinde az bir sunucu ile kolayca yüksek trafik miktarlarına ulaşılabileceği, ancak Amazon’un bu tip risklere karşı bir güvenlik sistemi bulunduğunun bilgisini verdi. Ancak kendilerinin bu güvenlik sistemini BangStresser ismini verdikleri bir script ve teknik ile aşmayı başardıklarını ve büyük trafik üretebildiklerini belirtti. BangStresser ile Amazon servisleri üzerinde öncelikle trafik kullanım haklarını sınırsız hale getirerek kendini gizleyen scriptin, sistemi saldırı amacı ile kullanılabileceği iddia edildi.
 
Bulut Bilişim Yeni Tehlikeleri ile Birlikte Geldi.
602GBps büyüklüğüne çıktığı iddia edilen saldırıda Amazon servislerinin kullanılmış olma ihtimali, bulut güvenliği konusunda yeni bir tehlikenin de habercisi olabilir. İlerleyen günlerde hızlı ve kaliteli hizmet sunmak için büyük işlemci gücü, dev internet kapasiteleri sunan platformların bu konuda gerekli önlem almamaları halinde oluşabilecek felaket, internet altyapısı iyi olmayan diğer servisler için tehlike çanlarının çalmasına sebep olabilir.
Benzer şekilde Microsoft Azure servisi üzerinden gelen UDP tipi siber saldırılarda da ilgili güvenlik birimine ulaşmak oldukça güç olabilmekte. Bulut platformlarının ağ yöneticileri tarafından, gözden kaçabilecek veya düşük olarak yorumlanabilecek 20-30Gbps’lik bir saldırının yukarıda bilgi verildiği üzere koca bir ülkenin DNS sistemini veya bankacılık sistemini etkilemesi  de olası.

*https://daghan.net/602-gbps-ddos-bangstresser.dgn

 
Bize Savaşmak için Silah Verin!
Yıllardır iğne ile kuyu kazarak Türkiye’de internet teknolojisi/hizmet geliştiren bilişim profesyonelleri için dünya ile eş değerde, kalitede bir internet altyapısına sahip olmak hakkımız.
Dünya 100Gbps bağlantıları konuşur iken ülkemiz ana internet sağlayıcısının %90 doluluk ile halen 10Gbps * X uplinkler üzerinden yurtdışı erişim sağlıyor olması tıkanmalardaki başlıca sebeplerinden.
Ülkede farklı yurtdışı operatörler üzerinden erişim satın alma konusundaki zorlukların devlet eli ile aşılması gerekiyor. Operatör çeşitliliği ile DDoS saldırıların daha iyi mitigate edilebilmesi, tüm yurtdışı erişimi kapatmak yerine bölgesel erişim kesme imkanının da erişim operatörleri tarafından sunulması gerekiyor.
Olan teknolojiyi ülkeye hizmet olarak sunmayan ana operatörlerin bu konuda zorlanması da yine BTK gibi regülatif düzenleme yapma hakkı olan kurumların görevi.
Bu son yaşanan ufak sayılabilecek siber saldırılar sonrası, hızla çözümü belli düzenlemelerin yapılması gerekiyor.  Anonymous’un dediği gibi;
 “Türkiye, bu çılgınlığı bugün durdur! Kaderin kendi ellerinde.”