1 ay önce Türkiye'deki internet altyapısına, Garanti Bankası'nı başrole koyan bir saldırı yapıldı[1]. 1 ay sonra siber güvenlik ile doğrudan ya da işi gereği uğraşan 8 farklı uzman ile durumu yeniden değerlendirdik. 2015 sonunda yani 4 yıl önce, Türkiye sunucularına yapılan DDoS saldırı ile de karşılaştırarak bunu yeniden inceledik [2].
Şimdi bu saldırı ile ilgili neler eksikti bunlara bakalım.
Ama önce Garanti Bankası saldırısından bir kaç gün sonra Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından bankalarla yapılan toplantıdan bazı notlar aktaralım:
* Toplantı sonucunda tüm bankalardan, yurtdışı bağımlı servislerin (yani envanterin) çıkarılması istenmiş
* Yurtdışı bağımlı servislerin mümkün olduğunca azaltılması gibi bir karar alınmış
* Bankaların DDoS hizmeti için operatörlere bildirdiği IP aralıklarının eksik olduğu durumlar varmış. Sadece internete yayın yapan IP aralıkları değil, tüm IP subnetler bildirilsin ve bildirilenler gözden geçirilsin diye karar alınmış
* Bankalarca yapılan dDOS testlerine, NTP, DNS, Mamcache, TCP Reflection senaryolarının katılması istenmiş.
Bunları USOM bankalara söylemiş. Ama biz uzmanlardan aldığımız bilgilerle duruma daha yakından bakalım. Önce yurtiçi altyapı ve yurtdışına bağlantılar (çıkışlar).
Yıllardır ihmal edilen Türkiye'nin internet-telekom şebekesi, hem eylül sonunda yaşadığımız deprem, hem de ekim sonunda yaşadığımız siber saldırı sırasında durumunu ortaya koydu. Fiber yatırım 15 yıldır her sene 200-250 bin km yapılmalıydı, oysa toplam 365 bin km.
Cumhurbaşkanı RecepTayyip Erdoğan, geçen hafta "fiber yatırımı engelleyen karşısında beni bulur"[3] dedi. Ama fiber şebekenin ihmal edilmesi tamamen AKP döneminde gerçekleşti. Bugün 3 ya da 4 milyon km düzeyinde olması gereken altyapı, maalesef serbestleşmenin ilan edildiği 2004 ve özelleştirmenin yapıldığı 2005 yıllarından bu yana gelişmedi. Duruyor. Oysa her bir yıl 200 ya da 250 bin km düzeyinde yapılmış olmalıydı.
Ama 2020 yılına ulaştığımız bugünlerde Türkiye'nin tüm yurtiçi fiber şebekesi sadece 1,5 yılda yapılması gereken düzeyde yani 365 bin km kadar.
Bugünlerde Türk Telekom günde 100 km döşediğini iletiyor[4]. Ama bu da 1 yıl boyunca her iş günü yapılsa bile 1 yılda ancak 22 bin km eder. Yeter mi?
Yerli içerik ve veri merkezi sektörü gelişemeyince yurtdışı bant genişliği dolu
Bu arada, USOM yetkilileri gayri resmi olarak yaptıkları konuşmalarda, "altyapı ile ilgisi yok, yurtdışından gelen saldırı yani yurtdışı çıkışlarla ilgili" dediğini biliyoruz ama bu ifade altyapının eksikliği yanında yurtdışı bant genişliğinin dolu olması sorununu da ortaya koyuyor.
Öncelikle bir şeyi vurgulayalım; sorunun altyapı ile ilgisi var. Şöyle ki; 365 km'lik altyapının küçüklüğü nedeniyle, bu tür bir dDOS saldırısında, oradan oraya saçılan paketler şebekeyi tıkıyor. Bunun bir nedeni de, trafiği rahatlatacak olan IDN yani trafik değişim noktasının 20 yıldır hala olmayışı[5].
USOM'cuların söylediği noktaya gelirsek; yurtdışı bant genişliği nedense gizli. Neredeyse 10 yıldır yurtdışı bant genişliği açıklanmıyor, vatandaştan ya da sektörden gizleniyor. Bu rakam, BTK'nın her çeyrek yayınladığı raporlara girmiyor.
Ama öğrendiğimize göre yurtdışı çıkışımızın büyüklüğü, 9'u Türk Telekom olmak üzere 16 TB düzeyinde. Bunun tamamı doluya yakın çalışıyor. Yedekli çalışması gerekirken, maalesef öyle değil. Saldırı sırasında ise doluluk nedeniyle başka yöne hareket etmek mümkün değil.
Yanlış (ya da olmayan) teknoloji politikaları sonucunda ve trafik değişim noktasının da olmaması nedeniyle yurtiçinde internet erişimi ve veri merkezi hizmetleri sadece sınırlı (az) değil aynı zamanda pahalı. Bu da yerli içerik ya da yurt içinde yerleşik içerik hizmetlerinin gelişememesi anlamına geliyor.
Bu nedenle de, Türkiye'nin yurtdışından "download" için gereken bant genişliği doygun durumda (satüre). Çünkü internete giren herkes yurtdışından bir şeyler okuyor ya da yazıyor. Aslında yedekli çalışması gerekirken, dediğimiz gibi tamamen dolmuş durumda. Bu da siber saldırının etkili olmasına yardımcı olan bir durum.
Bunu da hatırlatalım.
Siber saldırı ne gösterdi? 4 yıl öncekine nazaran gelişme var mı?
Bu bölümde 2019 siber saldırısının bize ne gösterdiğini, 2015 saldırısı ile[2] karşılaştırarak ileteceğiz. Ancak çok uzun olduğu için detayları başka bir yazıya aldık[6]. Burada sadece özet vereceğiz. Detayları merak ediyorsanız 6 nolu dipnota gidin.
(Not: Geçtiğimiz hafta içinde Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin siber güvenlik konulu bir çalıştay düzenlediğini duyduk. Bu çalıştayla ilgili olarak henüz elimize bir bilgi ulaşmadı. Bu çalıştaya sadece devlette çalışan uzmanların çağrıldığı bilgisi var. Dolayısıyla bize uzmanların gösterdiği eksiklerin konuşulup, konuşulmadığı ya da bu konularda görüşme yapılıp, yapılmadığı şeklinde bilgimiz yok. Bilgi ulaşırsa onu da yayımlarız.)
[1] 27 Ekim 2019 Siber Saldırısı
[2] DDOS Siber Saldırısı Türkiye’ye Ne Gösteriyor? Ne Öğretiyor?
[3] TELKODER: “Sayın Cumhurbaşkanı İle Aynı Görüşte Olmak Bizi Mutlu Etti”
[4] Portların % 33'ü Boşi Her Gün 100 Km de Döşüyoruz
[5] James Cowie ; İran ve Irak, Ermenistan Üzerinden Sofya’ya ve Avrupa’ya Bağlanıyor, Türkiye Oyun Dışı Kalıyor
[6] Garanti Bankası Siber Saldırısı Bize Ne Gösterdi – 2 (Detaylar)