Bugün meydana gelen saldırı [1] konusunda Garanti Bankası bir açıklama yaptı. Açıklamada “saldırı” kelimesi yerine “yoğun internet trafiği” tanımlaması var. Açıklama şu şekilde;
“Dijital hizmetlerimize yönelik yoğun internet trafiği nedeniyle dijital kanallarımızda erişim sıkıntısı yaşamaktayız. İnternet servis sağlayıcılarımızla beraber sorunu gidermek için çalışıyoruz. Müşterilerimizin yaşadığı mağduriyet için özür dileriz.”
Olmadı Garanti Bankası, Olmadı Operatörler
Garanti Bankası gibi ciddi bir bankada,n daha hızlı ve de müşterilerini tatmin edici bir açıklama duymak isterdik. Anlaşılan “Kişisel Verileri Koruma Kanunu”nda olduğu şekilde bir “Siber Saldırı Açıklama” zorunluluğu getirilmesi lazım. İnsanların hesabını taşıyan bir bankada neler olduğunu ve kendi hesabının nasıl etkilendiğini (etkilenmese bile) bilme hakkı var.
TV’den reklam yapmak marifet değil.
Şu kadar büyük bir arıza yaşanırken hiç değilse sosyal medya hesaplarınızdan duyurmak bu kadar mı zor?
“Kelime oyunu” paylaşımınızın da üzerinden 2 gün geçmiş gerçi…
Hiç uğruyor musunuz buralara falan?@GarantiBBVA pic.twitter.com/Z128YyY8tF— ÜNSAL ÜNLÜ (@unsalunlu) October 27, 2019
Yapılan saldırılar hakkında bir açıklama yapacak mısınız?
Ne zaman internet alt yapısında veya sunucularda sorun olsa sessiz sedasız devam ediyorsunuz. Müşterilerinize karşı sorumluluk bilinciniz yok sanırım@GarantiBBVA, @VodafoneTR, @TurkTelekom, @radore— Yiğit Ali DEMİR (@JpnTr26) October 27, 2019
Aynı şekilde, operatörlerden de açıklama duyamadık. BTK’dan ise hiç duyamadık.
Olan Neydi?
Diğer yandan, neler olduğuna kısaca bakalım; “Spoofing Garanti Bankası IP”leri yani “Garanti olmayan ama Garanti gibi davranan” IP’lerle çeşitli yerlere paketler gönderilmiş (saldırı yapılmış). Bu saldırıya gelen cevaplar da Garanti Bankası IP’lerine döndüğü için sistemlerde yoğun bir trafik oluşmuş.
Bu yoğun trafik, şebekeyi yani Türk Telekom tarafından yönetilen Türkiye’nin tek telekomünikasyon altyapısını doldurmuş. Bu altyapının yetersiz olduğunu defalarca yazdık.
Garanti Bankası sıkıntı yaşayınca, felaket planlaması çerçevesinde, networkünü çalışmayan taraftan diğerlerine yani Türk Telekom’dan Vodafone ve Turkcell’e çevirdi. Dolayısıyla saldırıdan Vodafone ve Turkcell de nasiplerini aldılar. Aldığımız bilgiye göre, Türk Telekom’un routing yapısı (yani internetteki rotalar) çöktü.
Bugün oluşan olay bu.
Saldırı mı?
Garanti Bankası “saldırı” demese de, uzmanların da görüşü; bu bir ciddi bir saldırı. 100 Gbps Büyüklüğü, dünyada bugün artık Tbps düzeyine çıkmış olan saldırılar ile karşılaştırıldığında büyük olmasa da, altyapımız yetersiz olduğu için çökme meydana geldi.
Bu nedenle çok sayıda kişi, Garanti Bankasında yapacakları işlemleri yapamadılar. Buna karşılık Garanti Bankasının uzunca bir süre boyunca açıklama yapmaması da düşündürücü. Bütün bu saatlerden sonra yaptığı açıklama ise tatmin edici değil.
Son durum şu; Yerli operatörlerimizin DDoS engelleme sistemleri ve kapasiteleri yetersiz kalması ile Garanti Bankasına ait IP adreslerinin trafiği Amerika merkezli siteprotect.security.neustar servis sağlayıcısı üzerinden temizlenmek üzere yönlendirilmiş durumda. Bu yöntemle ülke dışındaki trafik hangi lokasyonda olursa olsun önce hizmet alınan şirket sistemlerinden filtre edilerek ülkeye gönderilmiş olacak.
Muhtemelen acele ile geçilen bu sistemde konfigürasyon tamamlanmadığı için şu an IP anonsu hatalı olarak işaretlenmiş durumda. Bu sebeple yurtdışından erişim sağlansa bile hatalı konfigürasyon nedeniyle trafik ulaşamayacaktır.
Diğer yandan çeşitli kaynaklar, saldırının nedeni konusunda farklı yorumlar yapıyorlar. Zamanlamasının ilginç olduğu kaydediliyor. Pazar günü olması ve buna rağmen bu düzeydeki bir çöküş, kimi uzmanlarca “bir uyarı” olabilir şeklinde değerlendirildi. Neyin uyarısı olduğunu önümüzdeki günlerde anlayabiliriz diye umuyoruz.
USOM ve BTK
Farkında mısınız? Bir süredir Kişisel Verileri Koruma Kurulu (KVKK), müthiş bir iş yapıyor ve ihlalleri duyuruyor. Bu insanların hakkı. Ama aynısının “Siber Saldırılar” için de yapılması lazım. ABD ve Avrupa’da bu açıklanmak zorunda.
Böylece insanlar neler olup, bittiğini anlayabiliyor. Kendilerinin de içinde olduğu olaylaerı takip edip, hatta gerekirse önlem alabiliyor.
Cumhurbaşkanlığı Dijital Ofis, yayınlanan 48 nolu kararname ile Siber Güvenlik konusunun sorumluluğunu da aldı. Ancak henüz bir geçiş olmadığını farkediyoruz. Çünkü bu saldırı konusunda bilgi almak için USOM’u aradık ve BTK’dan izin alarak bilgi verebileceklerini aktardılar. Bir başka aktarım ise, USOM kurulduğunda “savunma” da yapmak üzere planlanmıştı ama aradan geçen bunca süreye rağmen, şu anda sadece “İzleme” ve “Microsoft, Cisco gibi firmaların yamalarını duyurma” işlemi yapıyor.
Halbuki, USOM’un aktif olması, savunma strateji ve taktikleri geliştirmesi gerekirdi. Siber Saldırıları da aynen KVKK gibi bizlere yayınlaması gerekirdi.
[1] 100 GB Siber Saldırı Var, Operatörler Hazırlıksız Yakalandı