1 ay önce Türkiye’deki internet altyapısına, Garanti Bankasını başrole koyan bir saldırı yapıldı. turk-internet.com okuyucuları hatırlayacaklardır, bu saldırı sırasında ve takip eden günlerde bir kaç haber ve 1 analiz yayınladık. Bunların linklerine ve olayın detaylarına dipnottan ulaşabilirsiniz [1].
Şimdi analizi daha derinleştirelim ve bu saldırı ile ilgili neler eksikti bunlara bakalım. 2015 sonunda yani 4 yıl önce, TR sunucularına yapılan dDOS saldırı ile de karşılaştırarak bunu yeniden inceleyelim [2].
Ama önce Garanti Bankası saldırısından bir kaç gün sonra USOM tarafından bankalarla yapılan toplantıdan bazı notlar aktaralım;
- Toplantı sonucunda tüm bankalardan, yurtdışı bağımlı servislerin (yani envanterin) çıkarılması istenmiş
- Yurtdışı bağımlı servislerin mümkün olduğunca azaltılması gibi bir karar alınmış.
- Bankaların DDoS hizmeti için operatörlere bildirdiği IP aralıklarının eksik olduğu durumlar varmış. Sadece internete yayın yapan IP aralıkları değil, tüm IP subnetler bildirilsin ve bildirilenler gözden geçirilsin diye karar alınmış
- Bankalarca yapılan dDOS testlerine, NTP, DNS, Mamcache, TCP Reflection senaryolarının katılması istenmiş.
Bunları USOM bankalara söylemiş. Ama biz 8 farklı siber güvenlik ile doğrudan ya da dolaylı olarak uğraşan uzmandan aldığımız bilgilerle duruma daha yakından bakalım. Önce yurtiçi altyapı ve yurtdışına bağlantılar (çıkışlar).
Yıllardır ihmal edilen Türkiye’nin internet-telekom şebekesi, hem eylül sonunda yaşadığımız deprem, hem de ekim sonunda yaşadığımız siber saldırı sırasında durumunu ortaya koydu. Fiber Yatırım 15 Yıldır Her Sene 200-250 Bin Km Yapılmalıydı, Oysa Toplam 365 Bin Km
Cumhurbaşkanı R.Tayyip Erdoğan, geçen hafta “fiber yatırımı engelleyen karşısında beni bulur”[3] dedi. Ama fiber şebekenin ihmal edilmesi tamamen AKP döneminde gerçekleşti. Bugün 3 ya da 4 milyon km düzeyinde olması gereken altyapı, maalesef serbestleşmenin ilan edildiği 2004 ve özelleştirmenin yapıldığı 2005 yıllarından bu yana gelişmedi. Duruyor. Oysa her bir yıl 200 ya da 250 bin km düzeyinde yapılmış olmalıydı.
Ama 2020 yılına ulaştığımız bugünlerde Türkiye’nin tüm yurtiçi fiber şebekesi sadece 1,5 yılda yapılması gereken düzeyde yani 365 bin km kadar.
Bugünlerde Türk Telekom günde 100 km döşediğini iletiyor [4]. Ama bu da 1 yıl boyunca her iş günü yapılsa bile 1 yılda ancak 22 bin km eder. Yeter mi?
Yerli içerik ve Veri Merkezi Sektörü Gelişemeyince Yurtdışı Bant Genişliği Dolu
Bu arada, USOM yetkilileri gayri resmi olarak yaptıkları konuşmalarda, “altyapı ile ilgisi yok, yurtdışından gelen saldırı yani yurtdışı çıkışlarla ilgili” dediğini biliyoruz ama bu ifade altyapının eksikliği yanında yurtdışı bant genişliğinin dolu olması sorununu da ortaya koyuyor.
Öncelikle bir şeyi vurgulayalım; sorunun altyapı ile ilgisi var. Şöyle ki; 365 kmlik altyapının küçüklüğü nedeniyle, bu tür bir dDOS saldırısında, oradan-oraya saçılan paketler şebekeyi tıkıyor. Bunun bir nedeni de, trafiği rahatlatacak olan IDN yani trafik değişim noktasının 20 yıldır hala olmayışı [5].
USOM’cuların söylediği noktaya gelirsek; Yurtdışı bant genişliği nedense gizli. Neredeyse 10 yıldır yurtdışı bant genişliği açıklanmıyor, vatandaştan ya da sektörden gizleniyor. Bu rakam, BTK’nın her çeyrek yayınladığı raporlara girmiyor.
Ama öğrendiğimize göre yurtdışı çıkışımızın büyüklüğü 9’u Türk Telekom olmak üzere 16 TB düzeyinde. Bunun tamamı doluya yakın çalışıyor. Yedekli çalışması gerekirken, maalesef öyle değil. Saldırı sırasında ise doluluk nedeniyle başka yöne hareket etmek mümkün değil.
Yanlış (ya da olmayan) teknoloji politikaları sonucunda ve trafik değişim noktasının da olmaması nedeniyle yurtiçinde internet erişimi ve veri merkezi hizmetleri sadece sınırlı (az) değil aynı zamanda pahalı. Bu da yerli içerik ya da yurtiçinde yerleşik içerik hizmetlerinin gelişememesi anlamına geliyor.
Bu nedenle de, Türkiye’nin yurtdışından “download” için gereken bantgenişliği doygun durumda (satüre). Çünkü internete giren herkes yurtdışından bir şeyler okuyor ya da yazıyor. Aslında yedekli çalışması gerekirken, dediğimiz gibi tamamen dolmuş durumda. Bu da siber saldırının etkili olmasına yardımcı olan bir durum.
Bunu da hatırlatalım.
Siber Saldırı Ne Gösterdi? 4 Yıl Öncekine Nazaran Gelişme Var mı?
Bu bölümde 2019 siber saldırısının bize ne gösterdiğini, 2015 saldırısı ile [2] karşılaştırarak ileteceğiz. Ancak çok uzun olduğu için detayları başka bir yazıya aldık [6]. Burada sadece özet vereceğiz. Detayları merak ediyorsanız 6 nolu dipnota gidin.
(Not : Geçtiğimiz hafta içinde Cumhurbaşkanlığı Dijital Dönüşüm Ofisinin siber güvenlik konulu bir çalıştay düzenlediğini duyduk. Bu çalıştayla ilgili olarak henüz elimize bir bilgi ulaşmadı. Bu çalıştaya sadece devlette çalışan uzmanların çağrıldığı bilgisi var. Dolayısıyla bize uzmanların gösterdiği eksiklerin konuşulup, konuşulmadığı ya da bu konularda görüşme yapılıp, yapılmadığı şeklinde bilgimiz yok. Bilgi ulaşırsa onu da yayınlarız)
| 2015 Saldırısında | 2019 Saldırısında | ||
| Devletin Sorumlulukları | TOPTAN bir Telekom Politikası-Stratejisi | YOKTU | hala YOK |
| Siber Güvenlik Stratejisi ve Eylem Planı | 2014’de Bitmişti. Saldırı sırasında YOKTU | 2016’da yapılan 3 yıllık strateji ve eylem planı 2019 sonunda Bitiyor. 2020 sonrası için henüz görünürde YOK. | |
| Halkı-Kamuoyunu Bilgilendirme | YOKTU | Siber Saldırı konusunda bu sefer de bir açıklama-bilgilendirme YOK | |
| Pro-Aktif Yaklaşım | YOKTU | Hala YOK. 2011’de kurulan USOM hala pasif (bilgilendirme) düzeyinde çalışıyor | |
| Siber Güvenlik Açısından Kritik Varlık Envanteri | YOKTU | Hala YOK | |
| Uluslararası Güvenlik Firmaları ve Güvenlik Kurumları ile İşbirliği | YOKTU | HALA YOK | |
| 3 Büyük Operatör ve Devlet Dışındaki Yerel Uzmanlardan Yararlanma | YOKTU | Olduğunu duymuyoruz | |
| Yerel Yazılım ya da Donanım Firmalarına Özel Teşvikler ve Destekleme Yok | YOKTU | Bu firmaların çoğunun ürünleri hala kamu ihalelerinde öncelikli olamıyor | |
| İnsan Kaynakları yaratmak ve korumak için Plan Yapmak | YOKTU | Hala YOK. Olduğu Söylenemez | |
| Telekom Sektörünün Görevleri | Altyapının Güçlendirilmesi | 250.000 km civarı Fiber Vardı (ZAYIF) | 365.000 km civarı Fiber var (ZAYIF) |
| Knowhow ve İnsan kaynakları Gelişimi | ZAYIFTI | Duopol yapı (mobil ve sabit internette tekel sürmesi) İnsan Kaynaklarını dışarı itiyor. Dolayısıyla knowhow güçlenemiyor (bunu arıza tamirat sürelerinden anlayabilirsiniz) | |
| Yurtdışı Bağlantılar satüre durumda ve yedekli güzergah yok | O gün de satüre idi ve yedekli değildi | Bugün yine satüre ve yedekli değil. Yurtdışı çıkışları Bulgaristan ya da Med Nautilus üzerinden | |
| Yurtdışı Bağlantılar bütün değil, parçalı | 100 Gbps’lik bağlantılar örneğin 10 Gbps x 10 şeklindeydi | Bugün hala benzer durumda | |
| Yurtdışından gelen trafik için Yönetim yapılmıyor | YOKTU | Bugün hala aynı | |
| dDOS Temizleme (ve de Botnet temizleme) Yetersiz | Yoktu | Bugün İstanbul ve Ankara’dan bu servis var ama yetersiz olduğu konuşuluyordu. Garanti bankası saldırısında yetersiz olduğu onaylandı | |
| Uluslararası Taşıyıcılar Ülkemizde Servis Veremiyor | YOKTU | Hem tekel sürdürülmek için engelleniyor. Hem de hukuk ve Düzenleyici çerçevesi nedeniyle bu firmalar gelmiyor | |
| Trafik Değişim Noktası YOK | YOKTUu | Hala YOK. Ülke para, knowhow ve politik güç (dünyanın verilerinin ellenmesi) imkanını eliyle geri itiyor. Üstelik siber saldırıda bir ön cephe görevi görür. | |
| Üniversitelerin Görevleri | Marka Bağımlı Eğitime Son verilmeli | Yıllardır “bilmemne markası akademisi” ile övünen üniversiteler var | Bugün hala programına tarafsız siber güvenlik bilimini alan bölüm yok gibi |
| Devlete strateji üretilmek | YOKTU | Bugün hala devlete siber güvenlik konusunda rehberlik yapan, özgün makale ve özgün kitap, ülkeye özgün siber güvenlik bilimi yayınlayan bölüm yok sayılır | |
| İnsan Kaynağının Güçlendirilmesi | YOKTU | Bugün bilgisayar bölümlerinden mezun öğrenciler içinden siber güvenlik konusunda lisans sonrasına geçen sayısı YOK sayılabilir. O kadar az. | |
| Vatandaşın ve Özel Sektörün Görevleri | Siber Güvenlik Konusunda Bilincin Yükselmesi | YOKTU | Hala Zayıf |
| Telekom Hizmetleri Kullanım Bilincinin Yükselmesi | YOKTU | Bugün hala ben neden bu kadar düşük hızda internet kullanmak zorunda kalıyorum diye soran YOK. Ya da soranlar kendi kendilerine soruyor, herhangi bir çaba YOK | |
| Sahte Haber de Bir Siber Saldırı Farkında mıyız? | YOKTU | Son olarak bunu hatırlatalım. Çünkü önümüzde, bu tür yani siber saldırı olduğunu farkedemediğimiz toplumu ayrıştıran, provoke eden saldırılar göreceğiz. Bunu farkedebilecek miyiz? | |
[1] 27 Ekim 2019 Siber Saldırısı
[2] DDOS Siber Saldırısı Türkiye’ye Ne Gösteriyor? Ne Öğretiyor?
[3] TELKODER: “Sayın Cumhurbaşkanı İle Aynı Görüşte Olmak Bizi Mutlu Etti”
[4] Portların % 33’ü Boşi Her Gün 100 Km de Döşüyoruz
[6] Garanti Bankası Siber Saldırısı Bize Ne Gösterdi – 2 (Detaylar)
Kaynak : 