Ülkemizin Bu Ataklara Karşı Alt Yapısı Nasıl ve Ekiplerimiz Buna Hazırlıklı mı?

Siber Saldırıları Yapanlar Hangi Ülkeden ve Hangi Kurumları Hedef Alıyor?

CyberMag; Siber Saldırıları Yapanlar Hangi Ülkeden ve Hangi Kurumları Hedef Alıyor?

Yılmaz Değirmenci;

Yapılan saldırının bir "Hizmet Dışı Bırakma Saldırısı" olduğu görülmektedir. Sektörde DDoS Saldırıları olarak bilinen bu saldırı yöntemlerinin amacı, genelde yoğun ve yeri geldiğinde bozuk trafikle hedef sistemi işlemez hale getirmektir.

27 Ekim 2019 tarihinde saat 14:30 gibi Türk Telekom yurtdışı çıkışlarında performans kaybının olduğunun tespit edilmesiyle bir DDoS saldırısının olduğu görülmüş ve önlemler alınmaya başlanmış. Ancak zaman geçtikçe 100 Gbps olarak ifade edilen saldırının gücü ve etkisinin diğer operatörler ve bir bankayı da doğrudan hedef aldığı farkedilmiştir.

Sorun şu ki; söz konusu DDoS saldırısında saldırı kaynağı olarak görünen IP adresleri sahte olduğu anlaşılmaktadır. Ayrıca (DNS ve NTP hizmeti veren)sistemlere hedef bankanın adresinden geliyormuş gibi trafik başlatıldığı, bu trafiğe cevap veren sistemlerin ise bankanın hizmetini kilitlediği görülmektedir. Böyle bir saldırıyı devreye sokmak için ise botnet adını verdiğimiz köleleştirilen bilgisayarlar kullanılmaktadır. İşin en ilginç yönü ise, karanlık web dediğimiz ortamlarda bu hizmetin 300-500 dolar karşılığında satılıyor olması. Kısacası, böyle bir saldırıyı ifa etmek çok kolayken, yapısı gereği böyle bir saldırının kaynağını belirlemek çok zor.

CyberMag; Ülkemizin bu ataklara karşı alt yapısı nasıl ve ekiplerimiz buna hazırlıklı mı?

Yılmaz Değirmenci;

Teknolojik altyapıların güçlenmesiyle bu tarz saldırıların darbe etkisi ve hacmi de daha güçlü oluyor. İşin aslı kararlı şekilde devam edecek bir DDoS saldırısını engellemek bir anlamda neredeyse imkansız.

Tabi ki hem operatörlerimiz hem de İnternet Servis Sağlayıcılarımız bu tehdide karşı önleme çözümleri kullanıyorlar ama konu DDoS olunca rehavete düşmemek gerektiğini bu saldırı bize çok güzel anlatmış durumda.

Ayrıca şirket ve kurumların ağ girişlerine, ISS'lerin dışında, kendi özgün DDoS önleme sistemlerini konumlandırmaları da önem arz etmektedir.

CyberMag; Alt yapı ve kurumlara zarar vermek amacıyla bu tür saldırılar zaman zaman yaşanıyor fakat bu kadar yoğun bir saldırıya çok sık rastlanmıyor. Bunun özel bir nedeni var mı? Özellikle Barış Pınarı Harekatı ile ilgili bir nedeni olabilir mi?

Yılmaz Değirmenci;

Saldırının zamanlamasına baktığımızda; Cumhuriyet Bayramı tatiline ve Pazar gününe denk geldiğini görüyoruz. Saldırganların birincil önceliği gerçekten zarar vermek olsaydı sanırım mesainin en yoğun olduğu bir gün ve saati seçerlerdi. Oysa trafiği takip eden bazı kaynaklardan öğrendiğim kadarıyla, saldırı trafiğinin boyutu çok daha güçlü ve saldırının yapıldığı anda sistemleri ele geçirmeye ya da veri kaçırmaya yönelik (göze batmayan SMB ve RDP gibi) daha farklı protokoller de gözlemlenmiş. Dikkat ederseniz kurumların BT personelinin çoğunun işin başında olmadığı bir gün seçilmiş. Tüm bunları birleştirince sanki DDoS saldırısı daha nitelikli bir saldırıyı örtmek için tasarlanmış gibi duruyor.

Saldırganların motivasyonu ne olursa olsun, "Barış Pınarı Harekatı"nı icra ettiğimiz bu günlerde, savaşın siber boyutunu da her zaman aklımızda bulundurmamız gerekiyor. Bu saldırı aslında bize çok önemli bir uyarı niteliğinde. Eğer benzer bir saldırı bundan onlarca kat büyüklük ve kapsamda gelirse, İnternet hizmetinin dışında elektrik ve sağlık gibi temel hizmetleri de hedef alırsa hayatımızın ne kadar etkileneceğini tahayyül edebiliyor musunuz?

CyberMag; Kişisel kullanıcılar bu saldırılardan korkmalı mı? Nasıl önlem almalı?

Yılmaz Değirmenci;

Kişisel kullanıcılar tabi ki dolaylı olarak etkileniyorlar. Çünkü almak istedikleri iletişim, bankacılık ya da diğer hizmetleri kullanamıyor ve hizmetteki aksamanın boyutuna göre hayat akışları sekteye uğruyor.

CyberMag; Bir de bu saldırıda yaşanan tahribat ne zaman düzeltilebilir? Yılmaz Değirmenci; DDoS saldırılarının etkisi genelde saldırının tamamlanmasından kısa bir süre içinde geçmekte ve hayat normal akışına dönmektedir. Ancak bazen şiddetli saldırılar hizmet veren sistemlerin tüm ayarlarının bozulmasına ve ayağa kaldırılmak için yeniden kurulmasına ihtiyaç duyabilirler. Bence bu noktada değinilmesi gereken en önemli konulardan biri, ülkemizde saldırgan profillendirme konusunda etkin bir çalışma yürütülmüyor olması. Ülkemiz sürekli siber saldırganlar tarafından DDoS ya da farklı zararlı yazılı türleriyle saldırıya uğruyor. Ancak bir önceki saldırıda kullanılan yöntemlerin ne kadarı halen kullanılıyor, bunu yapan saldırganın yöntem ve motivasyonlarının ne kadarı önceki desenlere uyuyor konusunda sistematik bir çalışma yapılmamakta. Oysa siber tehdit istihbaratının en önemli ayaklarından biri muhakkak ki saldırgan profillendirme çalışması olmalı. Bu konuda ciddi adımlar atılması gerektiğine inanıyorum.

Yılmaz Değirmenci