27 Ekim Pazar günü saat 14:30 civarında bazı operatörlerin yurtdışı çıkışlarında performans kaybı görülmeye başlamasıyla fark edilen siber saldırı operatörlere, bankalara ve bu firmalardan hizmet alan son kullanıcıya kadar birçok noktada zor anlar yaşattı. Privia Security Kurucusu ve Siber Güvenlik Araştırmacısı Eyüp Çelik yaşanılan saldırının arka planı hakkında detaylı bilgi verdi.
Haber7-Özel
27 Ekim Pazar günü saat 14:30 civarında bazı operatörlerin yurtdışı çıkışlarında performans kaybı ve yüksek paket kaybı görülmüş ve bir siber saldırı olduğu anlaşıldı. Ülkelere zarar vermek isteyen siber suç çetelerinin sıklıkla DDoS saldırıları gerçekleştirmekte oldukları biliniyor. Aynı zamanda DDOS saldırıları farklı saldırı tekniklerini gizlemek veya koruma önlemlerini atlatmak için de kullanılabiliyor.
Böyle durumlarla karşılaşmamak için kurumların belirli periyotlarla Servis Dışı Bırakma (DoS/DDoS) testleri yaptırmaları tavsiye ediliyor. Bu testler sonucunda düzenleyici ve önleyici faaliyetlerin yapılması için önerilerde bulunuluyor. DDoS testleri ile kurum ağına yönelik gerçekleştirilecek bir servis engelleme saldırısı sonucunda, sistemlerin ne kadar süre ayakta kalabilecekleri tespit edilmeye çalışılıyor. Servis engelleme saldırısında kurum sistemlerinin reaksiyonu ile servislerin yanıt verme süreleri ölçümlenmekte ve kapasiteleri belirleniyor. Kontrollü bir şekilde gerçekleştirilecek bu servis dışı bırakma saldırıları hem uygulama katmanında (L7) hem de network katmanında (L4) gerçekleştirilerek sonuçlar raporlanıyor.
TÜRKİYE'DE ZORUNLU HALE GELDİ
Konu hakkında açıklama yapan Privia Security Kurucusu ve Siber Güvenlik Araştırmacısı Eyüp Çelik, “Kişisel verilerin korunması maksadıyla ülkemizdeki tüm banka ve benzeri kuruluşların bulut ortamındaki sistemlerinin ülke sınırları içerisindeki yerel veri merkezlerine aktarılması genelgeler ile zorunlu hale geldi. Ancak altyapılardaki eksiklik, yapılandırma hataları ve kapasite yetersizliği sebepleri ile maalesef ki bu ve benzeri türdeki servis dışı bırakma saldırılarına karşı savunmasız bir durumda kaldığımızı görüyoruz.
Yerli Cloud sistemler, servis dışı bırakma saldırılarını engellemek için, DDoS Protection, CDN (Content Delivery Network) ve Load Balancing (Yük Dengeleme) kullanarak gelen trafik boyutuna göre yeni sunucuların devreye girmesi sağlanmaktadır. Ancak yetersiz altyapılar, yüksek maliyetler ve doğru konfigüre edilmemiş sistemler nedeni ile DDoS saldırısı sonucu oluşan trafiğin veri merkezlerinde sıkışarak trafiği yöneten ISP’leri zor durumda bırakabildiğini görüyoruz.
Yaşadığımız bu saldırıda ise çok daha ciddi bir şekilde spoof (taklit) edilmiş IP adresleri ile servis dışı bırakma saldırıları gerçekleştirildiğini aktaran Eyüp Çelik, "Bu saldırı bilinen en ilkel yöntemlerden biridir. TCP 3way handshake (3 yollu el sıkışma) istekleri ile TCP oturumu sağlanmaya çalışılırken source (paket içerisindeki kaynak ip) adresi değiştirilmiş paketler hem hedef sunucuya saldırı gerçekleştirilmesini hem de hedef sunucunun da başka bir kuruma/şirkete saldırması sağlayarak, saldırının çok daha etkili olmasına neden oluyor. Normal şartlar altında gelişmiş DDOS koruma ürünleri varsayılan değerlerinde bu saldırıları kesebilecek niteliktedir. Ancak yukarıda belirtmiş olduğumuz sebepler nedeni ile bu ve benzeri durumlarla karşılaşabiliyoruz" dedi.
HAFTA İÇİ YAŞANSAYDI ZARAR ÇOK DAHA BÜYÜK OLURDU
Türkiye dışına çıkış ve geliş trafiklerinin denetime alınmasına rağmen, saldırının ülke içerisindeki bir bankanın IP adreslerinin taklit edilmesi (Spoof) sebebi ile bir süre daha Türkiye içinden devam ederek sistemlerin servis dışı kalmasına neden olduğu bilgisini veren Eyüp Çelik, "Yaşanan bu durumdan da anlaşılacağı üzere, siber saldırılar sadece yurt dışından gelmemekte, sistemler Türkiye içinden de diğer ağlara saldırı gerçekleştirebilmektedir. Pazar gününe denk gelen bu saldırı hafta içi yaşanmış olsaydı, hizmet kesintisinden kaynaklanan direk ve dolaylı zarar çok daha büyük olacaktı. Bu saldırıdan dersler çıkartılmalı ve ülkemizin güvenliğini sağlamak adına alt yapıdan başlanarak iyileştirmelerin bir an önce hayata geçirilmesi gerekmektedir" ifadelerini kullandı.
TÜRKİYE 87 BİN SALDIRIYA MARUZ KALDI
META (Ortadoğu, Türkiye, Afrika) bölgesindeki açıklanan 2019 yılının istatistiklerine dikkat çeken Çelik, "Türkiye'ye 150 milyondan fazla zararlı yazılım saldırısı gerçekleştirilmiştir. Bu istatistik değer göz önüne alındığında 2018 yılının ilk çeyreğine göre yüzde 8.2 artış gözlemlenmiştir. Ayrıca, META bölgesi göz önüne alınarak, Türkiye oltalama saldırısı, zararlı yazılım ve mobil zararlı yazılım saldırıları kategorilerinde birinci sırada yer almıştır. Türkiye'ye 3 ayda 1.2 milyondan fazla oltalama saldırısı yapılmıştır. 2018 yılının ilk çeyreği göz önüne alındığında oltalama saldırıları yüzde 70 oranında artmıştır. Yıllık 39 milyon civarında zararlı yazılım saldırısına maruz kalan Türkiye, 87 bin civarında ise mobil zararlı yazılım saldırısına maruz kalmaktadır" dedi.
BENZER SALDIRILAR OLABİLİR
"Son yıllarda güvenlik uzmanlarının bu konuyu sıkça dile getirdiği gibi, savaşlar siber dünyada da yaşanmaya başlıyor. Ülkemizin çıkarlarının korunması en temel amaçlarımızdan bir tanesidir" diyen Eyüp Çelik, şöyle devam etti:
"İlerleyen zamanlarda dün ve öncesinde yaşanan saldırılarda ortaya çıkan sonuçlarda görüldüğü gibi birçok benzer siber saldırılar yaşamaya devam edeceğiz. Geçmişte yaşanan uluslararası vakalara baktığımızda Estonya, Gürcistan ve Ukrayna’da benzer durumlar yaşandığını hatta bu ülkelerin yapılan DDoS saldırıları karşısında savunmasız kaldığına da şahit olduk. Ancak Estonya bu siber saldırılardan büyük dersler çıkarmış ve siber güvenlikte dünyadaki öncü ülkelerden biri haline gelmiştir. Geçen hafta Güney Afrika’daki bankalardan DDoS tehdidiyle fidye istenmiş fidyenin ödenmemesi ile birlikte benzer bir siber saldırı yaşanmıştır. Türkiye’ye gerçekleştirilen bu siber saldırı küresel siber terörizmin bir örneği olabilir ve saldırılar sıklaşabilir. Ayrıca bu saldırı ilerde olabilecek saldırıların denemesi olabilir. Siber suç çeteleri saldırı yapacakları ülkelerin önce ne kadar büyüklükteki bir trafikte çöktüğünü ölçerek esas saldırılarının boyutlarını buna göre belirlemektedirler.
Bu saldırıyı gerçekleştiren siber suçlular net olarak bilinmemektedir. Aynı zamanda bu saldırıyı gerçekleştiren kişi veya kişileri öğrenmemiz teknik tarafta mümkün görünmemektedir. Saldırıyı savunanlar ve “bir bela bin nasihatten iyidir” atasözümüzü ön plana çıkartan kişilerin, ülkemizin milli çıkarlarını gözetmek yerine teknolojiye dayalı ülke ekonomisinin ciddi zararlar görmesini istediğini veya bu tipteki saldırıları arka planda desteklediklerini düşünüyoruz.
Bu noktada siber güvenlik uzmanlarının üzerine düşen görev, teknolojik gelişmeler karşısında ülkemizin her koşulda çıkarlarını korumak için gerektiğinde yönlendirici uzman görüşleri sunarak, çözüm önerilerinde bulunmak ve gerektiği takdirde elimizi taşın altına koyarak her türlü desteği sağlamaktır.”
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.