Yerli bulut'a hazırlıksız yakalandı, en ilkel saldırıda sistem alarm verdi

Türkiye, çok gündem olmasa da 27 Ekim'de önemli bir siber saldırıya maruz kaldı. Pazar günü saat 14:30 civarında bazı operatörlerin yurtdışı çıkışlarında performans kaybı görülmeye başlamasıyla fark edilen siber saldırı operatörlere, bankalara ve bu firmalardan hizmet alan son kullanıcıya kadar birçok noktada zor anlar yaşattı. Yaşananları daha önemli kılan nokta ise Türkiye'nin altyapısında henüz kimsenin fark edemediği ve tartışmadığı büyük bir açığın olmasıydı.

Karar'de yer alan haber şöyle: Siber Güvenlik Araştırmacısı Eyüp Çelik, Türkiye'nin siber güvenliği için alarm verilmesini gerektirecek saldırıyı analiz etti. Aynı zamanda siber güvenlik şirketi Privia Security Kurucusu olan Çelik, çok ilkel ve toplamda 400-500 doları geçmeyecek bir maliyetle yapılan saldırıyı hafta sonu olduğu için Türkiye'nin ucuz atlattığını belirtiyor. Ancak firmalara getirilen 'yerli bulut' zorunluluğu nedeniyle önlem alınmazsa bir sonraki saldırının 'yıkım' olacağı görüşünde.

ANALİZ ŞÖYLE:

Birçok durumda sızma işlemini başarıyla gerçekleştiremeyen saldırganların kurum ağına zarar vermek için DDoS (Dağıtık Servis Engelleme Saldırısı) saldırıları gerçekleştirdikleri görülmektedir. Aynı zamanda DDOS saldırıları farklı saldırı tekniklerini gizlemek veyahut koruma önlemlerini atlatmak için de kullanılabilmektedir. Geçtiğimiz Pazar günü saat 14:30 civarında bazı operatörlerin yurtdışı çıkışlarında performans kaybı ve yüksek paket kaybı görülmeye başlamasıyla yapılan bu siber saldırı tespit edilmiştir.

Böyle durumlarla karşılaşmamak için kurumların belirli periyotlarla Servis Dışı Bırakma (DoS/DDoS) testleri yaptırmalarını tavsiye edilmektedir. Bu testler mevcut risklerini görmek ve bu risklerin azaltılması için kullanılan testlerin başında gelmektedir. DDoS testleri ile kurum ağına yönelik gerçekleştirilecek bir servis engelleme saldırısı sonucunda, sistemlerin ne kadar süre ayakta kalabilecekleri tespit edilmeye çalışılmaktadır.

'YERİL BULUT' ZORUNLULUĞU SAVUNMASIZ BIRAKTI

Kişisel verilerin korunması maksadıyla ülkemizdeki tüm banka ve benzeri kuruluşların bulut ortamındaki sistemlerinin ülke sınırları içerisindeki yerel veri merkezlerine aktarılması genelgeler ile zorunlu hale geldi. Ancak altyapılardaki eksiklik, yapılandırma hataları ve kapasite yetersizliği sebepleri ile maalesef ki bu ve benzeri türdeki servis dışı bırakma saldırılarına karşı savunmasız bir durumda kaldığımızı görüyoruz.

Yerli Cloud sistemler, servis dışı bırakma saldırılarını engellemek için, DDoS Protection, CDN (Content Delivery Network) ve Load Balancing (Yük Dengeleme) kullanarak gelen trafik boyutuna göre yeni sunucuların devreye girmesini sağlanmaktadır. Ancak yetersiz altyapılar, yüksek maliyetler ve doğru konfigüre edilmemiş sistemler nedeni ile DDoS trafiği veri merkezlerinde sıkışarak trafiği yöneten ISP’leri zor durumda bırakabildiğini görüyoruz.

KLASİK ÜRÜNLER ENGELLERDİ AMA...

Yaşadığımız bu saldırıda ise çok daha ciddi bir şekilde spoof (taklit) edilmiş ip adresleri ile servis dışı bırakma saldırıları gerçekleştirilmiştir. Bu saldırı bilinen en ilkel yöntemlerden biridir. TCP 3way handshake (3 yollu el sıkışma) istekleri ile TCP oturumu sağlanmaya çalışılırken source (paket içerisindeki kaynak ip adresi) adresi değiştirilmiş paketler hem hedef sunucuya saldırı gerçekleştirilmesini hem de hedef sunucunun da başka bir kuruma/şirkete saldırması sağlanarak, çok daha etkili olmasını sağlayabiliyor.

Normal şartlar altında gelişmiş DDOS koruma ürünleri varsayılan değerlerinde bu saldırıları kesebilecek niteliktedir. Ancak yukarıda belirtmiş olduğumuz sebepler nedeni ile bu ve benzeri durumlarla karşılaşabiliyoruz.

Türkiye dışına çıkış ve geliş trafiklerinin denetime alınmasına rağmen saldırının ülke içerisindeki bir bankanın IP adreslerinin taklit edilmesi (Spoof) sebebi ile bir süre daha Türkiye içinden devam ederek sistemlerin servis dışı kalmasına neden oldu.

HAFTAİÇİ OLSAYDI ZARAR BÜYÜK OLACAKTI

Yaşanan bu durumdan da anlaşılacağı üzere, siber saldırılar sadece yurt dışından gelmemekte, sistemler Türkiye içinden de diğer ağlara saldırı gerçekleştirebilmektedir. Pazar gününe denk gelen bu saldırı hafta içi yaşanmış olsaydı, hizmet kesintisinden kaynaklanan direk ve dolaylı zarar çok daha büyük olacaktı. Bu saldırıdan dersler çıkartılmalı ve ülkemizin güvenliğini sağlamak adına alt yapıdan başlanarak iyileştirmelerin bir an önce hayata geçirilmesi gerekmektedir.

Son yıllarda güvenlik uzmanlarının bu konuyu sıkça dile getirdiği gibi, savaşlar siber dünyada da yaşanmaya başlıyor. Ülkemizin çıkarlarının korunması en temel amaçlarımızdan bir tanesidir. İlerleyen zamanlarda dün ve öncesinde yaşanan saldırılarda ortaya çıkan sonuçlarda görüldüğü gibi birçok benzer örnek de yaşamaya devam edeceğiz. Geçmişte yaşanan uluslararası vakalara baktığımızda Estonya, Gürcistan ve Ukrayna’da benzer durumlar yaşandığını hatta bu ülkelerin yapılan DDOS saldırıları karşısında savunmasız kaldığına da şahit olduk.

'BİR BELA BİN NASİHATTEN İYİDİR' BİZİ KURTARMAZ

Bu saldırıyı gerçekleştiren siber suçlular net olarak bilinmemektedir. Aynı zamanda bu saldırıyı gerçekleştiren kişi veya kişileri öğrenmemiz teknik tarafta mümkün görünmemektedir. Saldırıyı savunanlar ve “bir bela bin nasihatten iyidir” atasözümüzü ön plana çıkartan kişilerin, ülkemizin milli çıkarlarını gözetmek yerine teknolojiye dayalı ülke ekonomisinin ciddi zararlar görmesini istediğini veya bu tipteki saldırıları arka planda desteklediklerini düşünüyoruz.

Bu noktada siber güvenlik uzmanlarının üzerine düşen görev, teknolojik gelişmeler karşısında ülkemizin her koşulda çıkarlarını korumak için gerektiğinde yönlendirici uzman görüşleri sunarak, çözüm önerilerinde bulunmak ve gerektiği takdirde elimizi taşın altına koyarak her türlü desteği sağlamaktır.