Bu yazımda, bilen ya da bilmeyen ama çoğunlukla bilmeyenlerin fikir sahibi olduğu konu olan, siber saldırılar hakkında yazacağım. Geçtiğimiz hafta, devlet kurumlarının internet sitelerine bir dizi saldırı düzenlendiği haberlerini okumuşsunuzdur. Rusya ile yaşanan uçak gerginliğinden sonra giderek artan ve bazı sistemleri ciddi biçimde etkileyen bir siber savaşın içerisine girdik bile. Evet, doğru okudunuz bu tam manasıyla bir siber savaş.
Ben bu durum başka bir tabir bulamadım. Belki de farkında bile değilsiniz, çünkü asıl soru şu; bu saldırılar sizin günlük hayatınızı ne kadar etkiledi? Belki de bu son saldırılardan etkilendiniz ama neden olduğunu bilemediğiniz için fark etmediniz yine bir adsl sorunu diye düşündünüz. Fakat bu sefer öyle değildi. Bir kaç örnek sıralamak gerekirse; geçtiğimiz hafta bazı kullanıcılar bazı saatlerde internet bankacılığı yapamadı veya bazı attığınız mailler reverse dns (ip isim kaydı) kaydı olmadığı gerekçesi ile ulaştırılamadı ya da sonu .tr ile biten bazı sayfalar ya çok geç açıldı ya hiç açılmadı.
Peki, yaşadığımız bu sorun aslında neydi? Nedir bu siber saldırılar?
Birçok saldırı çeşidi var, ancak bu yazımda en popüler olanından ve ayın başından itibaren Odtu Nic.tr’ nin başına gelenden; DDoS (Distributed Denial of Service attack)’tan bahsedeceğim. Bu saldırı tipi diğer saldırı tiplerine kıyasla çok basit gibi gözükse de çok büyük internet servislerini durduracak güçtedir. Diğer teknik makalelerdeki gibi teknik detaya girmeden herkesin anlayacağını düşündüğüm şekilde açıklamaya çalışıyorum. DDoS saldırısı, temelde internet sunucularına kaldıramayacakları sayıda istek göndererek cevap veremez hale dönüştürmeyi temel alan bir saldırı tipidir. Örneğin, bir internet siteniz var, anlık ziyaretçi sayınız 100, sizde bu sayıya uygun bir sunucu ve bağlantı hızı olan altyapıya sahipsiniz. Eğer bir hacker grubu size kafayı takarsa ve sizin yayın yapmanızı engellemek isterse yapacağı en klasik saldırı DDoS olacaktır. Sizi durmak için yapması gereken tek şey sitenize anlık sınırınız olan 100 istek yerine 1000 istek veya 1.000.000 istek göndermek olacaktır. Böyle bir talep geldiğinde sunucu ya da sunucularınız talebe cevap veremeyecek ve bir süre sonra duracaktır veya hizmet aldığınız ISP saldırı yapıldığını anlayacak, başkalarının da zarar görmesini önlemek için bağlantınızı kesecektir. Nic.TR nin başına gelen de aynen buydu. Yanlış hatırlamıyorsam saniyede 5.000.000 adet istek gönderiliyordu ve Nic.TR nin altyapısı bunu karşılayamıyordu. Sorunuzu duyar gibiyim nasıl oluyor da bu saldırıların kaynağı bulunup saldırı kesilemiyor. İşiler de tam bu noktada karışıyor. Normalde biz ağ uzmanları ne yaparız? Eğer bize bir noktadan zararlı trafik gelirse bunun IP adresini veya adreslerini tespit ederiz ve firewall (güvenlik duvarı) cihazımızdan engelleriz. Ama burada durum biraz daha farklı. Büyük hacker toplulukları dünyanın birçok noktasında bulunan zombi diye tabir ettiğimiz bilgisayarları/sunucuları kullanarak bu saldırıları gerçekleştirirler. Yani böyle bir saldırı ile karşılaştığınızda hangisi gerçek trafik kaynağı, hangisi hacker saldırısı ayır edemezsiniz. Tabi bu saldırıları engelleyecek başka yöntemler de var ancak şuan konumuz bu olmadığı için daha detaya girmiyorum.
Asıl dikkat çekmek istediğim artık ülkelere veya kurumlara zarar vermek için topa ya da tüfeğe ihtiyaç yok. Tek yapmanız gereken dünyanın her noktasında bulunan standart bilgisayarlar. Evimizde birden fazla çekirdeğe sahip tüm bilgisayarlar neredeyse süper bilgisayar gücüne yakın. Hiç değilse bu işler için çok fazla. Buna bir de internete bağlı ve gerekli koruması olmayan milyonlarca bilgisayarı ekleyince ihtiyacınız olan zombi bilgisayar ordusunu toplamış oluyorsunuz.
Peki Ne Yapmalı?
Birçok kurum (bunlara devlet kurumları dahil) sadece bilgi güvenliği standartları uygulamanın yeterliği olduğunu düşünüyor. Son açıklamasında da anlaşıldığı gibi buna Odtü’ de dahil. Burada suçu kurumlara yüklemekte pek doğru değil, konunun asıl muhatapları bilgi teknolojileri yöneticileri ve bu yöneticileri yönlendiren bilgi güvenliği danışmanları. Danışman demişken bazı olayı tam anlamamış ve şov yapmak uğruna ortamı yangın yerine çeviren ama hiçbir çözüm önerisinde bulunmayan şarlatanları konu dışında tutmak lazım çünkü onlara danışman bile denmemesi lazım : )
Günümüzde bilgi güvenliği yönetiminin, gerek devlet kurumlarında gerekse büyük şirketlerde yaşayan bir süreç olarak ele alınması gerekmektedir. Bilgi güvenliğinde birinci öncelik, olay anında olaya hangi hızda müdahale ettiğiniz ve hangi hızda kaynağı tespit ettiğinizle ilişkilidir. Sorunun kaynağını ne kadar hızlı tespit ederseniz o kadar hızlı karşı adım atabilirsiniz. Tabi ki olay olmadan öncede tüm önlemlerinizi aldığınızı varsayıyoruz. Başka bir önerimde, artık geleneksel yöntemlerden kurtularak ülkemizde de bu konularda uzman insanlar olduğunu unutmamak ve bu kişilerden yardım istemek. Çünkü şov yapmak isteyen ama işten gerçekten uzaktan yakından anlamayan birçok insan, sorun anında ortadan kaybolur ve sorun yokken hep yanınızdadır. Eminim ki son yaşanan Nic.TR olayında yerel servis sağlayıcılarda çalışan birçok gönüllü ağ uzmanı yardımcı olabilirdi ve belki de sorunu atlamak bu kadar uzun vakit almazdı.
Burada yazımı kesiyorum umarım çok uzun olmamıştır. Zaten bu konu bir yazıda anlatılacak kadar da kısa değil : )
Saygılarımla,
- İbrahim Ünyeli