28 ekim 2019 Güncelleme : Aşağıdaki notlardan sonraki gelişmeler için tıklayınız.
Ülkemize yönelik bir siber saldırı var. 100 Gbps büyüklüğündeki saldırının Garanti Bankasına yapıldığı ve pazar günü olması nedeniyle cevaplamanın geç olduğu görülüyor. Tbps düzeyindeki saldırıları gördüğümüz günümüzde, 100 Gbps pek de büyük bir saldırı sayılmaz, üstelik Pazar günündeyiz yani yoğun ticari işlemlerin olmadığı bir tatil günündeyiz. Ama “hep hep hep” söylediğimiz “altyapı eksikliği” nedeniyle ülkemizin operatörleri birbiri ardına çöküşler yaşıyor.
İlk izlenimlere göre, saldırının Garanti Bankasına yapıldığı görülüyor. Garanti Bankası IP’lerinden de tüm Türkiye’ye paketler dağılıyor. Bu paketlerin içinde ne olduğunu henüz analiz ettirmedik. Ancak bu olayın sonucunda önce Türk Telekom ve tabi ki tekel olduğu yani tek şebeke olduğu için ona bağlı olan Vodafone ve Turkcell’de çöküşler meydana geldi.
Olay Türk Telekom tarafında, verinin dışında sese de sıçradı ve Türk Telekom mobil şebekesi de cevep vermez hale geldi.
Olayı teknik olarak DGNTEK’ten Dağhan Uzgur’e sorduk. Şunları anlattı :
27 Ekim Pazar günü saat 14:30 civarında Türk Telekom yurtdışı çıkışlarında performans kaybı ve yüksek paket kabı görülmeye başladı. Konuyla ilgili yapılan teknik incelemede yurtdışı bağlantı girişlerini çeşitli lokasyonlardan sağlayan Türk Telekom’un bazı linklerinin satüre olduğu görüldü. Geçmiş tecrübe ve bilgilerimize göre manuel/elle yönetilen bir routing prosedürü olan Türk Telekom’un yurtdışı trafiği dengelemesi saat 15:00’e kadar sürdü.
Bağlantı probleminin neden kaynakladığı konusundaki bilgi talebimize Türk Telekom ; “Yurtdışı çıkış cihazımızda yaşanan anlık sorun nedeniyle müşteri trafiği olumsuz etkilenerek paket kaybı yaşamışlardır.” şeklinde bir yanıt döndü.
Devamında ise Garanti Bankası web sitesi ve mobil yazılımının çalışmadığı rapor edildi. Bu süreçten sonra eş zamanlı Vodafone ağında da ülke genelinde erişim problemi yaşandı, “#vodafonepişmanlıktır” Twitter’da trend topic oldu. Vodafone tarafında da yaşanan sorun düşünüldüğünde Garanti’nin yurtdışından gelen trafiği yönetebilmek adına farklı operatörler üzerinden çıkış vermeye çalışması akla geldi.
100Gbps bir trafiğin yurtdışı yönünden geldiği şeklinde net olmayan bir bilgiye sahibiz, bu yaşanan daha önce .com.tr isim sunucularına yapıldığı gibi ülkenin yurtdışı çıkışlarının yetersizliği ve siber saldırı süreçlerinin iyi yönetilememesini akla getirdi. Mesai saatleri dışında yaşanan bu sorunun iş saatleri içinde olması durumunda yaşanabilecek maddi kaybın çok büyük olacağıda bir gerçekken yıllardır bu konuda altyapı ve yönetim sistemine yatırım yapılmaması ayrı bir üzüntü kaynağı.
Olayı her zamanki turk-internet.com farkı ile sizlere duyurduk. Takipteyiz. Sonraki gelişmeleri de izliyor ve sizi bilgilendiriyor olacağız. Yarın operatörler ve Garanti Bankası ile görüşüp, onlardan aldığımız bilgileri ya da kendi bilgilerimizle, bu saldırı hakkında bir analiz yayınlayacağız.
turk-internet.com Güncelleme Saat 19:00 : Şu anda saldırı SPOOF IP şeklinde. Yani Garanti IP’lerini taklit eden bir saldırı var. Ülkedeki sunuculara Garanti Bankasından geliyor gibi saldırı var. Saldırı sürüyor.
turk-internet.com Güncelleme saat 19:55 : Saldırının yurtiçi ve TCP reflection olduğu kaydediliyor. 3 operatör ve Garanti Bankası yöneticileri ile görüştük. Yoğun çalışma yapıyorlar. Henüz saldırı durdurulmuş değil. Şu anda Türk Telekom çökmüş durumda. Ama USOM’dan saldırının 15GB’lara kadar düştüğünü öğrendik.
turk-internet.com Güncelleme saat 20:15 : DNS adresleri tekrar yurtdışından yanıt veremez duruma geldi. Türk Telekom DDoS servisi ile korunmaya çalışan siteler için DDoS servisinde de paket kayıpları yaşanmaya başladığı görülüyor. Yani TTDos servisi de çöktü.