14 aralık 2015 pazartesi günü saat 12:00’de başlayan saldırı sürüyor[1]. Ancak ulusal siber savunma için kurulmuş olan “Ulusal Siber Olaylara Müdahele (USOM)” ekibinden hala bir açıklama yok. Onun yerine yorum yapanlar var.
Haberi ilk veren turk-internet.com’du [1]. Şimdi gelişmeleri yine çeşitli yönlerden, çeşitli uzmanlarla takip ediyor ve veriyoruz. İnternet-telekom haberlerinde, her zaman olduğu gibi.
USOM’a yine soru gönderdik. Cevap gelirse bu haberin altında güncelleme şeklinde yayınlayacağız.
Kısaca hatırlatalım; pazartesiden bu yana “.tr” uzantılı adların tutulduğu sistemin kullandığı bant genişliğine yönelik bir saldırı var[1]. Bu sistem, “.tr” uzantılı alan adlarının yerini yönlendiriyor ve dolayısıyla sitelerin bulunmasını sağlıyor. Eğer sistem ulaşılamaz olunursa, adların nerede olduğu bulunamadığından, sitelere erişim olamıyor.
Saldırı “DNS Amplification DDoS Attack” şeklinde yapılıyor. Bu 1 soru sorduğunda 10 cevap üreten bir saldırı. Sistemin 5 sunucusuna giden bantgenişliğinin üzerinden talepler gönderiliyor. Bant genişliği dolunca da, sunuculara ve dolayısıyla “.tr” uzantılı adlara erişim mümkün olmuyor.
Ruslar mı? Hükümet mi, Fanatikler mi? ya da Fanatiklerin Arkasına Saklanmışlar mı?
Telegraph gazetesinde yayınlanan bir haber[2], en az 400.000 sitenin etkilenmiş olabileceğini ve bunların arasında e-devlet siteleri, üniversite, askeri ya da yerel şirket siteleri olduğunu yazıyor. Rusya ile 24 kasımdan bu yana süregiden “uçak krizi”nin üstüne, tüm sistemin değil, sadece “.tr” uzantılı adların hedeflenmesi, akla bunun Rus kaynaklı olabileceği şüphesini getiriyor.
Telgraph saldırının, 7 aralık akşamı Rus haber sitesi Sputnik’in Türkçe versiyonuna ve Türkiye’den yapıldığından şüphelenilen DDOS saldırısına bir cevap olabileceğini de belirtiyor.
Verilen bir yorum da, saldırının basitliği üzerine. “Eğer devlet destekli bir saldırı olsaydı, bu kadar basit mi olurdu?” diyenler var. Ayrıca basitliğinin yanında saldırının büyüklüğü de sorgulanıyor. Bu çeyrekte görülen en büyük saldırının % 10’u büyüklüğünde olması, bu sorgulamanın nedeni.
Dolayısıyla bu saldırının biraz Bitcoin’i olan bir genç tarafından ve yatak odasından sadece bir botnet kiralayarak yapılmış olabileceği, bunun da Rus fanatiklerinden birisinin ya da bir grubun olabileceği yorumu yapılmış.
Yine de, birey bile olsa, bu bireyleri Rus hükümetinin koordine edebileceği düşünülebilir. 2007’deki Estonya siber saldırısında, kimin saldırı yaptığı asla öğrenilemedi. Ancak ne tesadüf ki, o günlerde de Rus hükümeti ile Estonya arasında bir gerginlik vardı ve bu nedenle bireyleri Rus hükümetinin yönlendirmiş olabileceği düşünülmüştü.
F-Secure bu hafta içinde, Moskova merkezli bağımsız bir hacking grubu olan CyberBerkut’un, Rusya’nın Kırım dolayısıyla kriz yaşadığı Ukrayna’ya ait devlet ve askeri networkleri çöktürdüğünü raporladı. Aynı grubun daha önce Alman hükümetine de saldırı yaptığı biliniyor. Ama CyberBerkut Ukrayna için suçlama açıklamıştı. Gruptan Türkiye için bir açıklama şu ana kadar yok.
Dağhan Uzgur : “Bu Saldırının Yapıldığı Sunucular ve Network Amatörlere Ait Olamaz”
Batı basını, uzaktan, eksik bilgiyle ve biraz da yorumlardan hareket ediyor gibi gözüküyor. Çünkü amatörlerin para ve kaynak olarak yapabilecekleri saldırılar 1-2 gün hatta sadece saatler olabilir, bu kadar uzun sürmesi başka bir şey. Saldırıyı, müşterileri adına dakika dakika takip eden DGN Teknoloji Veri Merkezi işletmecisi Dağhan Uzgur bunun bir amatör işi olmadığı düşüncesinde ;
“Saldırı tipi bilindik, herkesin yapabileceği ve sıklıkla karşılaştığımız bir saldırı yöntemi. Ama günlerdir sürebilmesi için bir motor sistem gerekiyor. Bu kapasitede sunucular uzun süreli olarak amatörler tarafından çalıştırılamaz.. Yani DNS sorgulamasına açık open recursor sunucu listelerine sürekli spoof istek göndermek suretiyle “.TR” DNS sunucularına yansıtma saldırı yapılabilmesi için belirli bir güç gerekir. Yapılan bu saldırıda 30 gbps saldırı trafiği üretebilmek için sürekli olarak 5-10 GBps aralığında bir trafiğin varlığı gerekecektir.”
Olaya yakın kaynaklardan aldığımız bilgiye göre, saldırının 276.000 farklı adresten geldiği ve zaman zaman 30-40 GB boyuta eriştiği görülmüş.
DDOS Saldırısının Bize-Düz Vatandaşa Etkisi Nedir?
Bu saldırının bize bir etkisi, saldırının bant genişliğinin üstüne çıktığı anlarda “.tr” uzantılı sitelere erişimin zorlanması ve hatta engellenmesidir.
İlk gün, yurtdışı gelişin kapatılarak, saldırının engellenmeye çalışıldığı görüldü. Bu anlarda, yurtdışından “.tr” uzantılı sitelere ulaşım da engellenmiş oldu. Ama bu esnada yurtiçinden ulaşım mümkündü (RIPE’ın yaptığı açıklamanın önemli bir nedeni de bu; yurtdışı kapatıldığında, tüm saldırı RIPE’da bulunan sunucuya yöneldiği için RIPE zorlandı[3]).
DDOS saldırının bilgi çaldığı görülmüyor.
Batı basınında her saldırı ya da virüs salgınında, bir maliyet rakamı da bulunur. Ama ülkemizde bu ya da başka saldırıların maliyetini hesaplayan birileri yok. Daghan Uzgur’a bu saldırının maliyetini sorduk. Şunları söyledi :
“Bunun bize en önemli maliyeti; “.TR” isimlerin itibarsızlaşması olacaktır. Bu durumda .TR uzantılı alan adlarına ilgi azalacaktır. Yani yüksek ziyaretçisi olan, arama motoru trafiği yüksek olan sitelerin com.tr gibi adresleri kullanması bir risk olarak görülmeye başlayacaktır. Son bir hafta içinde yüksek ziyaretçi trafiği bulunan com.tr uzantılı sitelerde %10 ziyaretçi kaybı rapor edilmiş durumdadır.”
Şunu da belirtelim DDOS saldırıları zor engellenen olaylardır. 6 gündür süren bu saldırı sırasında, ODTÜ’nün önemli bir çaba gösterdiğini ve etkiyi azalttığını görüyoruz.
Türkiye’nin Fiber Altyapısı Olması Gerekenin 10’da Biri Düzeyinde
Son olarak “güleriz, ağlanacak halimize” cinsinden bir noktayı daha hatırlatalım. Bu saldırı normalde 1’e 10 cevap üretirken, Türkiye’de etkisi daha düşük oldu.
Bunun nedeni bütün aksine iddialara rağmen, Türkiye’nin internet altyapısının zayıflığı. Bir başka yazımızda anlatmıştık. Bugün Türkiye’nin fiber altyapısı 250.000 km (150.000’i 2005’den önce yapılmıştı zaten). Halbuki Portekiz ile kıyaslasak bunun 4 milyon km, Afrika’nın bir ülkesi olan Gana ile kıyaslasak 3 milyon km olması gerekirdi. Son 5 yıl içinde İstanbul içinde İstanbul Belediyesi yasal fiber kazı izni vermiyor. Verdiği izin toplamı 5 yılda 1800 km [4].
Bunun yanısıra Türkiye’de yıllardan bu yana gelen bir durum da fiyatların yüksekliği. Bu nedenle de sunucu başı trafikler düşük, Avrupa’da sunucu başı 1 Gbps olan trafikler, Türkiye’de 10 Mbps gibi düşünülebilir.
Yani altyapının zayıf olması, saldırının çok daha yüksek etkisi olmasının önündeki bir engel. O nedenle de “güleriz ağlacak halimize”.
[1] NİC.TR’ye Saldırı Yapan Kim? Ruslar mı?
[2] Could cyberattack on Turkey be a Russian retaliation?

Kaynak : 