Dün öğlen saatlerinden başlamak üzere, “.tr” uzantılı alan adlarının yönetildiği ODTÜ Bilgisayar Merkezi tarafından işletilen NİC.TR’nin saldırı altında olduğu görülüyor[1]. Saldırı halen devam ediyor. Network ve alan adı sunucularının (name servers), büyük ve dünyanın çeşitli bölgelerinden gelen bir dDOS saldırısına uğradığı ve saldırı nedeniyle satüre olduğu ve cevap veremez hale geldiği anlaşılıyor.
Saldırı nedeniyle, zaman zaman “.tr” uzantılı alan adlarını taşıyan web sitelerine ve e-maillere ulaşımda zorluklar çekiliyor.
Ayrıca saldırının yine ULAKBİM networkünü etkilediği görülüyor[2]. Zaman zaman TC kimlik verilerinin doğrulanma işleminin yapıldığı sistemlerdeki aksamalar gibi olaylar da görülüyor. Gmail maillerin alımında sorunlar var.
Konuya yakın bir kaynak, büyüklük için rakam verememekle birlikte, saldırının çok büyük olduğu ve dünyanın her yerinden geldiğini söyledi. Bu arada saldırının Rus kaynaklı olabileceği de not ediliyor. Ancak bu konuda kesin bir delil bulunmuyor.
Bu tür saldırılara cevap vermek zor. Bütün dünyada bu tür saldırılara bir savunma geliştirilmeye çalışılıyor ama başatılması hayli zor. Çünkü çok farklı noktadan gelince, her yeri kapatmak gerekiyor. Gördüğümüz kadarıyla ODTÜ de şu anda bununla uğraşıyor. Zaman zaman bazı telekom taşıyıcılarının bağlantısının kapatıldığı, bazı kök IP’lerin kara listeye alındığı görülüyor.
Saldırı Güvenliğin Sorunlu Olduğuna İşaret Ediyor
Saldırı ile ilgili olarak görüştüğümüz çeşitli uzmanlar, farklı noktalara işaret ettiler. Bunlardan birisi USOM ile ilgili. Ulusal Siber Olaylara Müdahele Ekibi olan ve TİB altında çalışan USOM’un bu olayı tam anlayamadığı düşünülüyor. Çünkü dün İnternet Servis Sağlıyıcılara gönderilen bir uyarıda, yurtdışına kapatılması istenmiş. Uzmanlar bu önlemin klasik web sitelerine doğru DDOS saldırıları için alınabilir bir önlem olduğunu belirtiyorlar.
Oysa dünden bu yana süren saldırı, doğrudan “.tr” uzantılı alan adı sunucularına yönelik geliyor. Dolayısıyla yurtdışı hatların kapatılması, dünya çapındaki networklerin bu alan adlarını görememesi ve “.tr” uzantılı alan adlarına sahip web sitelerine yurtdışında erişimin durması anlamına geliyor. Zaten USOM sanıyoruz, daha sonra uyarıldı, gece saatlerinde yurtdışı hatların açılması yönünde 2ci bir uyarı göndermiş.
USOM’a biz de sabah, bu saldırıya yönelik soru gönderdik. Cevap gelirse bu haberin altına güncelleme olarak vereceğiz. Ayrıca bir notumuz da şu; keşke USOM bu tür Ulusal çapta saldırıları ana sayfasından raporlasa da, herkes önlem alabilse[3].
Bu arada uzmanlara göre, diğer bir hata; ODTÜ’nün 1 tanesi hariç tüm alan adı sunucularını ve IP kontrollerini yapan sunucuların aynı lokasyonda tutması olarak veriliyor. Bu saldırı sırasında, yurtiçinde “.tr” uzantılı web sitelerine ulaşımın kesilmesinin nedeni de bu. Dediğimiz gibi bazı devlet servisleri de bu nedenle sorun yaşadı. Çünkü ODTÜ sunucularına gelen saldırı nedeniyle hatlar satüre oldu.
Sonuç olarak USOM’un dış hatları kapatması, ODTÜ’nün sunucuların hepsini aynı yerde tutması, ülkemizin siber saldırı konusunda hiç de hazır olmadığını gösteriyor.
Dağhan Uzgur : Servis Sağlayıcıların Bilgi ve Deneyimlerin Gözardı Edilmemesi Lazım
Konuyla ilgili gelişmeleri blogundan izleyen[1] ve dakika dakika raporlayan Bursa konumlu DGN Teknoloji Veri Merkezi işletmecisi Dağhan Uzgur konuyla ilgili görüşlerini şöyle iletti :
İsim servislerinin sağlıklı çalışmadığı andan itibaren müşterilerimiz tarafımıza bize ulaşan geri dönüşler neticesinde başlattığımız teknik takipte problemin bir ağ saldırısı nedeniyle oluştuğuna emin olduk. Bu tip süreçlerde doğru veri akışının önemi problemin sağlıklı yönetilmesi için büyük önem arz eder iken neredeyse 24 saat süren bir zamanda resmi bir açıklama yapılmamış olması ve tamamen kendi olanaklarımız ve bilgimiz çerçevesinde problemi tespit ediyor olmamız öncelikle sıkıntılardan biriydi.
Yaşanan süreçte bir diğer problem; isim servisi gibi dış dünyadan saldırıya açık ve istediğiniz zaman kapatamayacağınız bir servisin akademik ağ üzerinden sunuluyor olmasıydı. Gelen bu saldırı nedeniyle Ulaknet ağı tamamen saldırı kaynaklı problem yaşadı. Sonrasında genellikle yurtdışı kaynaklı internet saldırılarında uygulanan yurtdışı erişimi kapatma (null route) işleminin Nic.tr isim sunucu ipleri için uygulanması ile .tr uzantılı hiçbir alan adına uzun süre yurtdışından erişilemedi, e-posta trafiği durdu.
ODTÜ’nün Nic.tr servisinin yaşadığı bu siber saldırı ile Türkiye’de siber saldırı konusunda artık profesyonelleşmiş ağlar bulunmasına karşın ilgili sunucuların dağınık yapıda olmaması ve ağırlıklı olarak akademik ağda tutulması, akademik ağın kaynaklarının bu saldırıya hazır olmaması problemin çözümünü daha da zorlaştırdı.
Son dönemdeki siber tehditlere karşı devlet kurumları ve ulusal sistemlerin hazırlıklarının tam ve eksiksiz olma zorunluluğu yaşanan bu durum ile birlikte bir kez daha ortaya çıkmış oldu. Özellikle hayati önemdeki bu servislerin işletilmesi sürecinde oluşabilecek problemlere yönelik tedbirler için ülkedeki servis sağlayıcıların bilgi ve deneyimlerinin göz ardı edilmemesi ise çok önemli.
Saldırı Rus’lardan mı Geliyor?
Saldırı ile ilgili gelişmelere yakın bir kaynak, saldırının Rus kaynaklı olduğuna dair kesin bir kanıt olmamakla birlikte, bu konunun gözardı edilmemesi gerektiği düşüncesinde.
Bilindiği gibi Rusya, Estonya’nın Lenin heykelini yıkması olayı sırasında, ülkenin internet sistemine saldırmış ve 4 gün süreyle felç etmişti. Son Rus-Türk uçak olayının da buna yol açabileceği düşünülüyor. Özellikle de, “.tr” alan adlarının sunulduğu sisteme saldırılması bu izlenimi güçlendiriyor.
Hatırlayacağınız üzere, bir süre önce Rus’ların 5 silahı – Türk’lerin 5 silahı başlıklı bir yazı yayınlamıştık. Orada dikkat çekilen konulardan birisi de buydu. Yani Rus’ların siber gücü. Bunu hiç hafife almamak lazım[4].
Saldırı halen sürüyor.
11:30 itibariyle Not : Saldırının devam ettiği ve 1 saat içinde yeni bir satürasyon meydana geleceği (yani bazı sitelere erişim olamayabileceği) belirtiliyor.
15 aralık 2015 itibariyle, ODTÜ’den gelen açıklama;
****************************************************
TR’nin DNS sunucuları;2 x ODTÜ
1 x Superonline
1 x Vodafone
1 x Ulakbim
1 x RIPEolarak yapılandırılmıştır.
[1] USOM
[2] Kullanım İstatistikleri ( Mbps)
Kaynak : 