Bu yazıda, 1 TB’lık büyüklüğü ile bugüne kadar ki en büyük olarak kayda geçen Cuma akşamki siber saldırının 3 yönünü inceleyeceğiz. Birinci yönü saldıranlar kim, ikinci yönü saldırının hedefi-methodu, üçüncü yönü saldırının araçları.
Saldırıyı Yapanlar Kim?
Saldırıyı yapanlar kendilerine “New World Hacker” ismini veren bir grup. Bu grup bir süre önce 602 GB’lık BBC saldırısı ile adlarını duyurdular [1]. Cuma günkü saldırı ile bu rekoru egale etmiş durumdalar. Kendileri bu saldırıda 100.000 cihaz (printer, modem vs) kullandıklarını iddia ediyorlar ama uzmanlar meydana gelen saldırının büyüklüğüne bakıp, en az 500 bin cihazın kullanılmış olduğunu tahmin ediyorlar.
Bu arada ABD tarafından saldırının bir devlet saldırısı olmadığı açıklandı ama yine de ABD’nin çok kısa bir süre önce Rusya’yı resmen siber saldırıdan suçladığını hatırlayalım [2]. Acaba Ruslar, bu New World Hacker grubu ile işbirliği yapıp, ABD’ye göz dağı vermiş, bu arada da kendilerini gizlemiş olabilirler mi?
DNS Sunucularına Yapılmış 1 TB’lık dDOS Saldırısı
Saldırının hedefi ve methodu; Türkiye’ye aralık sonunda Rusya’dan yapıldığından şüphelenilen DNS saldırısı ile aynıydı. Yani hedef DNS sunucular, method ise kendini katlayarak arttıran dDOS idi. Dolayısıyla saldırı methodu ve hedefinde bir yenilik yoktu. Sadece 1 TB büyüklüğü ile saldırı kayıtlarına rekor olarak geçti. Bir fikir versin diye söyleyelim; Nic.TR’ye aralık 2015’de yapılan saldırı 40-60 GB bandındaydı [3]. Yani bu saldırının18-20 kat zayıfıydı.
Printer’ların Saldırısı
Türkiye’de geç saatlerde Twitter’a erişimin zorlaşması ile farkedilen saldırının en ilginç yönünü böyle tanımlayabiliriz “Printer’ların saldırısı” ya da bilgisayarcıların diliyle “IoT saldırısı”.
Son zamanlarda bilgisayarcıların moda bir kaç deyimi var; “Bulut”, “Mobilite”, “IoT” yani “Nesnelerin interneti”. Buna printerlar başta olmak üzere, herşeyi dahil edebilirsiniz. Otonom arabalar, robotlar, evinizdeki akıllı TV’lar, drone yani insansız hava araçları, güvenlik kameraları, otopark sistemleri hatta oyuncaklar. Başka bir deyişle akıllı diye tanımlamaya başladığımız her şey.
“Peki bunlar nasıl saldırıyor?” derseniz; bilişimle ilgili her şeyin temelinde yazılım vardır. Bu yazılım donanımdan bağımsız ya da gömülü olabilir. Makinayı bir yere bağlamazsanız sadece kendi çapında verilen işi yapar. Mesela çamaşır makinanız istediğiniz programı yerine getirerek çamaşırlarınızı yıkar.
Ama bunların akıllı olmasını istiyorsanız, bu yazılımların internete bağlanması gerekir. Örneğin, işten çıktınız, fırındaki yemeği pişirmek, evinizi soğutacak olan klimayı çalıştırmak istiyorsunuz. Artık bu mümkün. Uzaktan cep telefonunuzla yapabilirsiniz. Ya da TV’ununuzla buluttan film izleyebilirsiniz. Çünkü artık “akıllı ev” ve hatta “akıllı şehir” çağında yaşıyoruz.
Ama ne dedik; bunların hepsinde yazılım var. Bu yazılımların da mutlaka açıkları var. Korunmaları lazım. Eğer bunları güncellemezseniz (kiiiii kim, neyi güncelleyecek? Bu ancak firmaların otomatik güncelleme yapması ile mümkün olur) bunların açıkları kullanılabiliyor.
Ya da şifrelerin zayıflığı söz konusu. Güvenlik firmaları Dünya’da 6,4 milyar internet bağlı cihaz olduğunu ve bunların 128 milyonunun botnete bağlı olabileceğini iddia ediyorlar.
Son olayda bu oldu. 1 TB’lık büyüklüğe erişmenin yolu, dünya çapında belki binlerce cihaza sızan trojanların oluşturduğu bir Botnet. İsmi Mirai olarak açıklanan ve 100 bin IoT’nin dahil olduğu iddia edilen Botnet ortalığı dağıttı. Sitelere erişimin yoluna adeta çığ gibi düştü.
Türkiye Neresinde?
Saldırı Türkiye’de çok geç hissedildi. Bunun bir nedeni ISS’lerin cache bellekleri. Bu teknoloji ile ilgili bir şey. Yani internetin hızlı işlemesi için, bağlantı kuran aletlerin beyninde, en fazla kullanılan Twitter, Facebook gibi sitelerin IP adresleri kalmış oluyor. Ama bu adresler zaman zaman değişir, o nedenle sabit değildir, güncellenir. İşte bu güncellemeye kadar geçen sürede biz sitelere eriştik ama güncelleme olduğunda erişim zorlandı.
Diğer yandan Türkiye’nin bu tür olaylara fazlasıyla hazırlıksız olduğunu söyleyelim. 2 sene aradan sonra bu eylül başında hükümet bir “Siber Güvenlik Stratejisi ve Eylem Planı” yayınladı [4] ama baktığımızda bu stratejinin devlet memurlarınca oluşturulduğunu gördük. Oysa Obama’nın siber güvenlik komisyonuna bir göz atın [5]. 1 kişi dışında hepsi özel sektör. Siber güvenliği eğer “yeni bir komisyon çıktı yaşasın, yeni bir koltuk, yeni bir görev” diye değerlendiriyorsak vah bize.. AKP hükümetlerinin en büyük açığı bu; “işi ehline vermeyi bir türlü düşünemiyorlar”.
IoT Botnetleri Nereye Gider?
Bir de fantastik birşeyler söyleyelim; Bir film seyretmiştim; Eagle Eye isimli flimde ikizi bir trafik kazasında öldükten hemen sonra birden bire hesabında 750.000 dolar ve evinde bir oda dolusu silah bulan Shia LaBeouf’a bir telefon gelir. Telefondaki ses, “30 saniye içinde evini FBI basacak, çabuk orayı terket” der ve film devam eder. Sonunda ne görürüz; hadi söylemeyeyim de güzel bir film seyretmenin heyecanını söndürmeyeyim. Ama 2008’de çevrilmiş olmasına rağmen, heyecanlı bir bir IoT saldırısı kurgusu görmek istiyorsanız filmi seyredin [6].
[1] 602 GBps İle En Büyük dDOS Saldırısı Gerçekleştirildi
[2] Sonunda ABD, Rusya’yı Resmen Politik Siber Saldırı Yapmakla Suçladı
[3] ODTÜ .TR Alan Adları Saldırısı Konusunda Açıklama Yayınladı
[4] 2016-2019 ULUSAL SİBER GÜVENLİK STRATEJİSİ
[5] Announcing the President’s Commission on Enhancing National Cybersecurity