Garanti Siber Saldırısı Türkiye'nin 4 Yıl Sonra Hala Ödevlerini Yapmadığını Gösterdi

1 ay önce Türkiye’deki internet altyapısına, Garanti Bankasını başrole koyan bir saldırı yapıldı. turk-internet.com okuyucuları hatırlayacaklardır, bu saldırı sırasında ve takip eden günlerde bir kaç haber ve 1 analiz yayınladık. Bunların linklerine ve olayın detaylarına dipnottan ulaşabilirsiniz [1].

Şimdi analizi daha derinleştirelim ve bu saldırı ile ilgili neler eksikti bunlara bakalım. 2015 sonunda yani 4 yıl önce, TR sunucularına yapılan dDOS saldırı ile de karşılaştırarak bunu yeniden inceleyelim [2].

Ama önce Garanti Bankası saldırısından bir kaç gün sonra USOM tarafından bankalarla yapılan toplantıdan bazı notlar aktaralım;

Toplantı sonucunda tüm bankalardan, yurtdışı bağımlı servislerin (yani envanterin) çıkarılması istenmiş
Yurtdışı bağımlı servislerin mümkün olduğunca azaltılması gibi bir karar alınmış.
Bankaların DDoS hizmeti için operatörlere bildirdiği IP aralıklarının eksik olduğu durumlar varmış. Sadece internete yayın yapan IP aralıkları değil, tüm IP subnetler bildirilsin ve bildirilenler gözden geçirilsin diye karar alınmış
Bankalarca yapılan dDOS testlerine, NTP, DNS, Mamcache, TCP Reflection senaryolarının katılması istenmiş.

Bunları USOM bankalara söylemiş. Ama biz 8 farklı siber güvenlik ile doğrudan ya da dolaylı olarak uğraşan uzmandan aldığımız bilgilerle duruma daha yakından bakalım. Önce yurtiçi altyapı ve yurtdışına bağlantılar (çıkışlar).

Yıllardır ihmal edilen Türkiye’nin internet-telekom şebekesi, hem eylül sonunda yaşadığımız deprem, hem de ekim sonunda yaşadığımız siber saldırı sırasında durumunu ortaya koydu. Fiber Yatırım 15 Yıldır Her Sene 200-250 Bin Km Yapılmalıydı, Oysa Toplam 365 Bin Km

Cumhurbaşkanı R.Tayyip Erdoğan, geçen hafta “fiber yatırımı engelleyen karşısında beni bulur”[3] dedi. Ama fiber şebekenin ihmal edilmesi tamamen AKP döneminde gerçekleşti. Bugün 3 ya da 4 milyon km düzeyinde olması gereken altyapı, maalesef serbestleşmenin ilan edildiği 2004 ve özelleştirmenin yapıldığı 2005 yıllarından bu yana gelişmedi. Duruyor. Oysa her bir yıl 200 ya da 250 bin km düzeyinde yapılmış olmalıydı.

Ama 2020 yılına ulaştığımız bugünlerde Türkiye’nin tüm yurtiçi fiber şebekesi sadece 1,5 yılda yapılması gereken düzeyde yani 365 bin km kadar.

Bugünlerde Türk Telekom günde 100 km döşediğini iletiyor [4]. Ama bu da 1 yıl boyunca her iş günü yapılsa bile 1 yılda ancak 22 bin km eder. Yeter mi?

Yerli içerik ve Veri Merkezi Sektörü Gelişemeyince Yurtdışı Bant Genişliği Dolu

Bu arada, USOM yetkilileri gayri resmi olarak yaptıkları konuşmalarda, “altyapı ile ilgisi yok, yurtdışından gelen saldırı yani yurtdışı çıkışlarla ilgili” dediğini biliyoruz ama bu ifade altyapının eksikliği yanında yurtdışı bant genişliğinin dolu olması sorununu da ortaya koyuyor.

Öncelikle bir şeyi vurgulayalım; sorunun altyapı ile ilgisi var. Şöyle ki; 365 kmlik altyapının küçüklüğü nedeniyle, bu tür bir dDOS saldırısında, oradan-oraya saçılan paketler şebekeyi tıkıyor. Bunun bir nedeni de, trafiği rahatlatacak olan IDN yani trafik değişim noktasının 20 yıldır hala olmayışı [5].

USOM’cuların söylediği noktaya gelirsek; Yurtdışı bant genişliği nedense gizli. Neredeyse 10 yıldır yurtdışı bant genişliği açıklanmıyor, vatandaştan ya da sektörden gizleniyor. Bu rakam, BTK’nın her çeyrek yayınladığı raporlara girmiyor.

Ama öğrendiğimize göre yurtdışı çıkışımızın büyüklüğü 9’u Türk Telekom olmak üzere 16 TB düzeyinde. Bunun tamamı doluya yakın çalışıyor. Yedekli çalışması gerekirken, maalesef öyle değil. Saldırı sırasında ise doluluk nedeniyle başka yöne hareket etmek mümkün değil.

Yanlış (ya da olmayan) teknoloji politikaları sonucunda ve trafik değişim noktasının da olmaması nedeniyle yurtiçinde internet erişimi ve veri merkezi hizmetleri sadece sınırlı (az) değil aynı zamanda pahalı. Bu da yerli içerik ya da yurtiçinde yerleşik içerik hizmetlerinin gelişememesi anlamına geliyor.

Bu nedenle de, Türkiye’nin yurtdışından “download” için gereken bantgenişliği doygun durumda (satüre). Çünkü internete giren herkes yurtdışından bir şeyler okuyor ya da yazıyor. Aslında yedekli çalışması gerekirken, dediğimiz gibi tamamen dolmuş durumda. Bu da siber saldırının etkili olmasına yardımcı olan bir durum.

Bunu da hatırlatalım.

Siber Saldırı Ne Gösterdi? 4 Yıl Öncekine Nazaran Gelişme Var mı?

Bu bölümde 2019 siber saldırısının bize ne gösterdiğini, 2015 saldırısı ile [2] karşılaştırarak ileteceğiz. Ancak çok uzun olduğu için detayları başka bir yazıya aldık [6]. Burada sadece özet vereceğiz. Detayları merak ediyorsanız 6 nolu dipnota gidin.

(Not : Geçtiğimiz hafta içinde Cumhurbaşkanlığı Dijital Dönüşüm Ofisinin siber güvenlik konulu bir çalıştay düzenlediğini duyduk. Bu çalıştayla ilgili olarak henüz elimize bir bilgi ulaşmadı. Bu çalıştaya sadece devlette çalışan uzmanların çağrıldığı bilgisi var. Dolayısıyla bize uzmanların gösterdiği eksiklerin konuşulup, konuşulmadığı ya da bu konularda görüşme yapılıp, yapılmadığı şeklinde bilgimiz yok. Bilgi ulaşırsa onu da yayınlarız)

		2015 Saldırısında	2019 Saldırısında
Devletin Sorumlulukları	TOPTAN bir Telekom Politikası-Stratejisi	YOKTU	hala YOK
	Siber Güvenlik Stratejisi ve Eylem Planı	2014’de Bitmişti. Saldırı sırasında YOKTU	2016’da yapılan 3 yıllık strateji ve eylem planı 2019 sonunda Bitiyor. 2020 sonrası için henüz görünürde YOK.
	Halkı-Kamuoyunu Bilgilendirme	YOKTU	Siber Saldırı konusunda bu sefer de bir açıklama-bilgilendirme YOK
	Pro-Aktif Yaklaşım	YOKTU	Hala YOK. 2011’de kurulan USOM hala pasif (bilgilendirme) düzeyinde çalışıyor
	Siber Güvenlik Açısından Kritik Varlık Envanteri	YOKTU	Hala YOK
	Uluslararası Güvenlik Firmaları ve Güvenlik Kurumları ile İşbirliği	YOKTU	HALA YOK
	3 Büyük Operatör ve Devlet Dışındaki Yerel Uzmanlardan Yararlanma	YOKTU	Olduğunu duymuyoruz
	Yerel Yazılım ya da Donanım Firmalarına Özel Teşvikler ve Destekleme Yok	YOKTU	Bu firmaların çoğunun ürünleri hala kamu ihalelerinde öncelikli olamıyor
	İnsan Kaynakları yaratmak ve korumak için Plan Yapmak	YOKTU	Hala YOK. Olduğu Söylenemez
Telekom Sektörünün Görevleri	Altyapının Güçlendirilmesi	250.000 km civarı Fiber Vardı (ZAYIF)	365.000 km civarı Fiber var (ZAYIF)
	Knowhow ve İnsan kaynakları Gelişimi	ZAYIFTI	Duopol yapı (mobil ve sabit internette tekel sürmesi) İnsan Kaynaklarını dışarı itiyor. Dolayısıyla knowhow güçlenemiyor (bunu arıza tamirat sürelerinden anlayabilirsiniz)
	Yurtdışı Bağlantılar satüre durumda ve yedekli güzergah yok	O gün de satüre idi ve yedekli değildi	Bugün yine satüre ve yedekli değil. Yurtdışı çıkışları Bulgaristan ya da Med Nautilus üzerinden
	Yurtdışı Bağlantılar bütün değil, parçalı	100 Gbps’lik bağlantılar örneğin 10 Gbps x 10 şeklindeydi	Bugün hala benzer durumda
	Yurtdışından gelen trafik için Yönetim yapılmıyor	YOKTU	Bugün hala aynı
	dDOS Temizleme (ve de Botnet temizleme) Yetersiz	Yoktu	Bugün İstanbul ve Ankara’dan bu servis var ama yetersiz olduğu konuşuluyordu. Garanti bankası saldırısında yetersiz olduğu onaylandı
	Uluslararası Taşıyıcılar Ülkemizde Servis Veremiyor	YOKTU	Hem tekel sürdürülmek için engelleniyor. Hem de hukuk ve Düzenleyici çerçevesi nedeniyle bu firmalar gelmiyor
	Trafik Değişim Noktası YOK	YOKTUu	Hala YOK. Ülke para, knowhow ve politik güç (dünyanın verilerinin ellenmesi) imkanını eliyle geri itiyor. Üstelik siber saldırıda bir ön cephe görevi görür.
Üniversitelerin Görevleri	Marka Bağımlı Eğitime Son verilmeli	Yıllardır “bilmemne markası akademisi” ile övünen üniversiteler var	Bugün hala programına tarafsız siber güvenlik bilimini alan bölüm yok gibi
	Devlete strateji üretilmek	YOKTU	Bugün hala devlete siber güvenlik konusunda rehberlik yapan, özgün makale ve özgün kitap, ülkeye özgün siber güvenlik bilimi yayınlayan bölüm yok sayılır
	İnsan Kaynağının Güçlendirilmesi	YOKTU	Bugün bilgisayar bölümlerinden mezun öğrenciler içinden siber güvenlik konusunda lisans sonrasına geçen sayısı YOK sayılabilir. O kadar az.
Vatandaşın ve Özel Sektörün Görevleri	Siber Güvenlik Konusunda Bilincin Yükselmesi	YOKTU	Hala Zayıf
	Telekom Hizmetleri Kullanım Bilincinin Yükselmesi	YOKTU	Bugün hala ben neden bu kadar düşük hızda internet kullanmak zorunda kalıyorum diye soran YOK. Ya da soranlar kendi kendilerine soruyor, herhangi bir çaba YOK
	Sahte Haber de Bir Siber Saldırı Farkında mıyız?	YOKTU	Son olarak bunu hatırlatalım. Çünkü önümüzde, bu tür yani siber saldırı olduğunu farkedemediğimiz toplumu ayrıştıran, provoke eden saldırılar göreceğiz. Bunu farkedebilecek miyiz?