Füsun Sarp Nebil

16 Aralık 2015

Neden devlet servislerine erişim sıkıntısı yaşanıyor? Ruslar siber saldırı mı düzenliyor?

Rusya, Estonya'nın Lenin heykelini yıktığı sırada, ülkenin internet sistemine saldırmış ve 4 gün süreyle felç etmişti

Dün öğlen saatlerinden başlamak üzere, ".tr" uzantılı alan adlarının yönetildiği ODTÜ Bilgisayar Merkezi tarafından işletilen NİC.TR saldırı altında[1]. Saldırı halen devam ediyor. Network ve alan adı sunucularının (name servers), büyük ve dünyanın çeşitli bölgelerinden gelen bir dDOS saldırısına uğradığı ve saldırı nedeniyle satüre olduğu ve cevap veremez hale geldiği anlaşılıyor.

Saldırı nedeniyle, zaman zaman ".tr" uzantılı alan adlarını taşıyan web sitelerine ve e-maillere ulaşımda zorluklar çekiliyor.



Ayrıca saldırının yine ULAKBİM networkünü etkilediği görülüyor. Zaman zaman TC kimlik verilerinin doğrulanma işleminin yapıldığı sistemlerdeki aksamalar gibi olaylar da görülüyor.

Konuya yakın bir kaynak, büyüklük için rakam verememekle birlikte, saldırının çok büyük olduğu ve dünyanın her yerinden geldiğini söyledi. Bu arada saldırının Rus kaynaklı olabileceği de not ediliyor. Ancak bu konuda kesin bir delil bulunmuyor.

Bu tür saldırılara cevap vermek zor. Çünkü çok farklı noktadan gelince, her yeri kapatmak gerekiyor. Gördüğümüz kadarıyla ODTÜ de şu anda bununla uğraşıyor. Zaman zaman bazı telekom taşıyıcılarının bağlantısının kapatıldığı, bazı kök IP'lerin kara listeye alındığı görülüyor. 

 

Saldırı güvenliğin sorunlu olduğuna işaret ediyor



Saldırı ile ilgili olarak görüştüğümüz çeşitli uzmanlar, farklı noktalara işaret ettiler. Bunlardan birisi USOM ile ilgili. Ulusal Siber Olaylara Müdahele Ekibi olan ve TİB altında çalışan USOM'un bu olayı tam anlayamadığı düşünülüyor. Çünkü dün İnternet Servis Sağlıyıcılara gönderilen bir uyarıda, yurtdışına kapatılması istenmiş. Uzmanlar bu önlemin klasik web sitelerine doğru DDOS'lar için alınabilir bir önlem olduğunu belirtiyorlar. 

Oysa dünden bu yana süren saldırı, doğrudan ".tr" uzantılı alan adı sunucularına yönelik geliyor. Dolayısıyla yurtdışı hatların kapatılması, dünya çapındaki networklerin bu alan adlarını görememesi ve ".tr" uzantılı alan adlarına sahip web sitelerine yurtdışında erişimin durması anlamına geliyor. Zaten USOM daha sonra uyarıldı sanıyoruz, gece saatlerinde hatların açılması yönünde 2ci bir uyarı göndermiş.

USOM'a biz de sabah, bu saldırıya yönelik soru gönderdik. Cevap gelirse bu haberin altına güncelleme olarak vereceğiz. Ayrıca bir notumuz da şu; keşke USOM bu tür Ulusal çapta saldırıları ana sayfasından raporlasa da, herkes önlem alabilse[2].

Bu arada uzmanlara göre, diğer bir hata; ODTÜ'nün 1 tanesi hariç tüm alan adı sunucularını ve IP kontrollerini yapan sunucuların aynı lokasyonda tutması olarak veriliyor. Bu saldırı sırasında, yurtiçinde ".tr" uzantılı web sitelerine ulaşımın kesilmesinin nedeni de bu. Dediğimiz gibi bazı devlet servisleri de sorun bu nedenle yaşadı. Çünkü ODTÜ sunucularına gelen saldırı nedeniyle hatlar satüre oldu. 

Sonuç olarak USOM'un dış hatları kapatması, ODTÜ'nün sunucuların hepsini aynı yerde tutması, ülkemizin siber saldırı konusunda hiç de hazır olmadığını gösteriyor. 

 

Dağhan Uzgur: Servis sağlayıcıların bilgi ve deneyimlerinim gözardı edilmemesi lazım



Konuyla ilgili gelişmeleri blogundan izleyen[1] ve dakika dakika raporlayan Bursa konumlu DGN Teknoloji Veri Merkezi işletmecisi Dağhan Uzgur konuyla ilgili görüşlerini şöyle iletti :

İsim servislerinin sağlıklı çalışmadığı andan itibaren müşterilerimiz tarafımıza bize ulaşan geri dönüşler neticesinde başlattığımız teknik takipte problemin bir ağ saldırısı nedeniyle oluştuğuna emin olduk. Bu tip süreçlerde doğru veri akışının önemi problemin sağlıklı yönetilmesi için büyük önem arz eder iken neredeyse 24 saat süren bir zamanda resmi bir açıklama yapılmamış olması ve tamamen kendi olanaklarımız ve bilgimiz çerçevesinde problemi tespit ediyor olmamız öncelikle sıkıntılardan biriydi.

Yaşanan süreçte bir diğer problem; isim servisi gibi dış dünyadan saldırıya açık ve istediğiniz zaman kapatamayacağınız bir servisin akademik ağ üzerinden sunuluyor olmasıydı. Gelen bu saldırı nedeniyle Ulaknet ağı tamamen saldırı kaynaklı problem yaşadı. Sonrasında genellikle yurtdışı kaynaklı internet saldırılarında uygulanan yurtdışı erişimi kapatma (null route) işleminin Nic.tr isim sunucu ipleri için uygulanması ile .tr uzantılı hiçbir alan adına uzun süre yurtdışından erişilemedi, e-posta trafiği durdu.

ODTÜ’nün Nic.tr servisinin yaşadığı bu siber saldırı ile Türkiye’de siber saldırı konusunda artık profesyonelleşmiş ağlar bulunmasına karşın ilgili sunucuların dağınık yapıda olmaması ve ağırlıklı olarak akademik ağda tutulması, akademik ağın kaynaklarının bu saldırıya hazır olmaması problemin çözümünü daha da zorlaştırdı. 

Son dönemdeki siber tehditlere karşı devlet kurumları ve ulusal sistemlerin hazırlıklarının tam ve eksiksiz olma zorunluluğu yaşanan bu durum ile birlikte bir kez daha ortaya çıkmış oldu. Özellikle hayati önemdeki bu servislerin işletilmesi sürecinde oluşabilecek problemlere yönelik tedbirler için ülkedeki servis sağlayıcıların bilgi ve deneyimlerinin göz ardı edilmemesi ise çok önemli.


 

Saldırı Rus'lardan mı geliyor?



Saldırı ile ilgili gelişmelere yakın bir kaynak, saldırının Rus kaynaklı olduğuna dair kesin bir kanıt olmamakla birlikte, bu konunun gözardı edilmemesi gerektiği düşüncesinde.

Bilindiği gibi Rusya, Estonya'nın Lenin heykelini yıkması olayı sırasında, ülkenin internet sistemine saldırmış ve 4 gün süreyle felç etmişti. Son Rus-Türk uçak olayının da buna yol açabileceği düşünülüyor. Özellikle de, ".tr" alan adlarının sunulduğu sisteme saldırılması bu izlenimi güçlendiriyor.

Hatırlayacağınız üzere, bir süre önce Rus'ların 5 silahı - Türk'lerin 5 silahı başlıklı bir yazı yayınlamıştık. Orada dikkat çekilen konulardan birisi de buydu. Yani Rus'ların siber gücü. Bunu hiç hafife almamak lazım[3]. 

 

nic.tr saldırısı RIPE'ı bile etkilemiş

 

Dün başlayan ve bugün de süren nic.tr saldırısı, anlaşılan o ki, uluslararası bölgesel internet sunucularını da etkilemiş. RIPE'dan yapılan açıklama, internet bloklarını tanımlayan şirkette, saldırı sırasında olanlar anlatılıyor. 

RIPE yani "Regional Internet Registry for Europe" bilindiği gibi, internet servis sağlayıcı firmalar, telekom frmaları, devlet kuruluşları ve diğer büyük kurumların kullandığı internet bloklarını belirleyen ve kaydeden, kar amacı gütmeyen bir teknik kuruluştur.

RIPE'dan 13:35 (CET) saati itibariyle ve RIPE NCC Global Altyapı ekibinden sorumlu yönetici Romeo Zwart imzasıyla yapılan açıklama[1] şu şekilde;

14 Aralık 2015 Pazartesi günü boyunca, RIPE NCC Yetkili DNS servisleri erişimi zorlayan sorunlarla karşılaştı. Problem, NCC'nin ev sahipliği yaptığı bir ccTLD'ye ait ikincil DNS sunucusunu barındırmamız nedeniyle oluştu. 

Saldırı trafiği 08:00 UTC civarında başladı. NCC personeli konuyla ilgili olarak gün boyu çeşitli önlemler aldı. Bu yaklaşımlar bir süre etkili oldu. Ama günün sonuna doğru gelen saldırının büyüklüğüne karşı önlemlerimiz etkisini kaybetti ve ana internet gelişlerimiz etkilendi. 

Oluşan bu durum karşısında internet servis sağlayıcılarımız (uplink provider) saldırının engellenmesi ve yönetilmesi için bize yardımcı oldular. Saldırının yapıldığı ccTLD servisi dışındaki problem saat 18:30 (UTC) itibariyle çözüldü. Saldırı halen devam etmekte olup, elimizden gelen en iyi şekilde engellemeye çalışmaktayız. 

Gelen saldırının sahte IP adresleri üzerinden(spoof) yapılmakta olup, bu konuyla ilgili olarak servis sağlayıcılar tarafında gerekli önlemlerin alınması önem arz etmektedir. Kaynak adres doğrulaması ve BCP-38 uygulanmalı ve bu yolla şebekelerin zorlanması azaltılmalıdır. 

Diğer yandan saldırının düşük düzeyli de olsa devam ettiği, ancak Akademik Ağ üzerinde olması nedeniyle toplumda fazla hissedilmediği not ediliyor. Ulak.Net'in bir tarafında 40 GB'lik Superonline bağlantısı varken, diğer taraftan da Avrupa'daki Akademik Ağa bağlı. 

Servis Sağlayıcılar Saldırılara Hazır mı?

Saldırının ortaya koyduğu en önemli sonuç; internet servis sağlayıcılarımızın ve UlakBİM'in hazırlıklı olmadığı şeklinde yorumlanıyor. Çünkü saldırı "alan adı sunucularına yönelik" desek de, sunuculardan çok "DNS trafiği" yaratmaya yani bağlantıları doldurmaya yönelik olarak gözüküyor. RIPE da açıklamasında bunu "IP Spoofing" diyerek onaylıyor. 

Dünya sanayi çağından geçti, bilgi toplumu çağından geçti, bugün "data-driven" diye tanımlanan verilerin toplumu peşinde sürüklediği bir çağda yaşıyoruz. Bu çağda önemli olan "farkındalık". Yani önemli olan "çabuk cevap verebilen" bir toplum olmamız. Aksi tadirde, dalganın üzerinde surf yapmak yerine dalganın altında kalırız.

Bu sözleri şu nedenle söylüyorum; sabahtan beri konuştuğumuz kurumlar arasında, "önemli bir sorun yok" diyenler var. RIPE'in bile etkilendiği bir ortamda, bu cümle ancak "ne olup bittiğini bile anlayamamışlar" ya da "hatanın üstünü örtmeye çalışıyorlar gibi yorumlanabilir. 

Biz yurtiçinde kendi kendimizi kandırabiliriz ama ya yurtdışındaki gözlemciler, ya saldırganlar?

Diğer yandan olayla ilgili sorularımıza cevap vermeyenler de, "yanlış yazılmış" yorumu yapabiliyor. Oysa madem bir saldırı olayı var ve birileri bu konuda soru soruyor. Cevap verilise, biz de memnuniyetle yazarız. Ama cevap alamazsak, öğrendiğimiz diğer kaynaklardan gelen bilgileri yazmak durumunda kalırız. Yanlışlık olan konu varsa da, her zaman buradayız ve düzeltiriz. 

Ama sonuç olarak, bir DDOs saldırısı var ve bu olayı biz farkındayız, takip ediyoruz. Başkası farketmese de, takip etmese de.

ODTÜ'den gelen açıklama;

**********************************

TR'nin DNS sunucuları;

2 x ODTÜ

1 x Superonline

1 x Vodafone

1 x Ulakbim

1 x RIPE 

olarak yapılandırılmışdır. Artık e-postada, rahat haberleşme için hızlı cevap formu var

[1] USOM

[2] .TR Alan Adları (Domain) Problemi

[3] Suriye Sorunu Sürerken; Türkiye'nin Korkması Gereken 5 Rus Silahı, Rusya'nın Korkması Gereken 5 Türk Silahı