Geçen yıl 27 ekim 2019'da ülkemize büyük bir internet saldırısı olmuştu. Saldırının temelini "yolu tıkayan internet paketleri" oluşturmuştu. Bir benzetme yapmak gerekirse; 15 Temmuz Köprüsü'ndeki 3 şerite 10 şerit araba göndermek gibi tanımlayabiliriz. Saldırı öğlen 13.30'da başlamış ve "tekel" olan internet şebekesinde yarattığı dengesizlik gece saatlerine kadar sürmüş, pek çok POS ve banka işlemi yapılamamıştı. O saldırının boyutu 100 GBps idi [1].

Amerika merkezli Akamai siber güvenlik şirketinin 2 gün evvel (25 haziran perşembe günü) açıkladığı ve 21 haziran pazar günü meydana geldiğini bildirdiği yeni bir saldırı ise yine Türkiye'yi hedefledi. Bu sefer saldırı paket sayısı ile dünya rekoru kırdı ve toplamda 418 GBps oldu [2]. Hedefin Türkiye olduğunu Dağhan Uzgur tweetleri ve yazdığı yazı ile duyurdu[3].

Normal bir iş gününde meydana gelse ve saldırı trafiği Akamai tarafından süzülmüyor olsa, Türkiye'nin internet altyapısını ve bağlı iş süreçlerini, geçen yıldan daha kötü etkileyecekti. İlginçtir yine pazar günü (Babalar Günü'nde) meydana geldi.

Bu fırsatla biz de öğrendik ki, geçen yıl meydana gelen saldırıdan ders alan Türkiye'deki tüm bankalar artık yabancı DDOS temizleme servisi kullanmaya başlamışlar. Geçen sefer bankalar yurt dışı trafik için Türk Telekom Ddos temizleme servisi kullanmışlar ve sorun yaşamışlardı. Bugün yine yurtiçi DDOS temizleme Türk Telekom olarak gözüküyor ama yurt dışından gelen saldırılarda Akamai Türk firmalarının servisini vererek herhalde bir hayli para kazanmış durumda.

AKP'nin "siber vatan" başlıklı bir rapor çıkarmasını [7], "neyse internete ilgi duyuyorlar" diye karşıladık. Ama bu raporun, sosyal medyadan önce internetin altyapısını, sorunlarını, ülkenin siber güvenliğini hesaba alması lazım. O zaman zaten AKP gençlerin de gönlünü kazanabilir. Cumhurbaşkanı Erdoğan dün gece yaptığı video konferansta gençlerin gösterdiği tepkiye bu noktadan bir bakmalı.

Nasıl bir saldırı?

Akamai yeni saldırıyı [2], PPS Ddos saldırısı olarak tanımlandı[4]. Kısaca özetlersek; saniyede attığı paket sayısı ile tanımlanan DDOS saldırı türü. Burada da saniyede 809 milyon paket gönderilmesi ile rekor kırıldı. PPS saldırılar doğrudan bulut servislerini/veri merkezlerini hedefleyen saldırılar olarak tanımlanıyor.

10 dakikadan az sürdüğü raporlanan saldırı, bankanın parasal hareketlerine ya da içine sızmaya yönelik değildi. Geçen yıl olduğu gibi bankaya giden trafiği (ya da belki banka üzerinden Türkiye trafiğini) engellemeye yönelikti.

Akamai bunun yeni çıkan bir botnet olduğundan şüpheleniyor. Çünkü kullanılan IP numaralarının yüzde 96'sının yeni olduğu kaydediliyor. PPS odaklı saldırılar açısından da rekor olduğu kaydediliyor. Önceki PPS saldırısı 580 milyon PPS olmuş, bu ise 809 milyona kadar çıktı.

Türkiye'de eksik ve tekel telekom altyapısı, KnowHow birikimini engelliyor

Yazı yazdığım her yerde 10 yılı aşkın zamandır, tekel telekom yapısının ülkenin geleceğine verdiği zararı anlatmaya çalışıyorum. Ama sesim anlaşılan duyulmuyor. Bir yandan da hep aynı şeyleri yazmak insanı üzüyor. Daha önceki saldırı sonrasında "alınması gereken dersler" başlıklı bir yazı yayınlamıştık[5][6]. Çok detaylı o yazıyı burada tekrarlamayalım ("ben demiştim" sendromu) ama bu olayın bize vermesi gereken en önemli mesajların şunlar olduğunu belirtelim;

1. Saldırılar orada bekliyor ve her an meydana gelebiliyor
2. Altyapımız yeterli değil
3. Teknik KnowHow'ımız, liyakat dışı yaklaşımlar ve sektördeki firmaların korunmaması (serbestleşmenin desteklenmemesi) sonucunda gelişmiyor, var olan da azalıyor
4. Bu nedenle de, saldırılara karşı biz yerelden korunamıyoruz, ancak yabancılar bizi koruyor. Yarın o yabancılarla ters düşersek, nasıl korunacağız?

Şuna da işaret edelim; tekeli koruyalım derken, yurt dışına akıttığımız para miktarı yükseliyor. Üstelik de kalıcı bir çözüm yerine gitgide zayıflıyor oluyoruz.

Konu ile ilgili hem saldırının yönlendiği banka, hem de uzman görüşleri aldık. Aşağıda bunları da okuyabilirsiniz.

Banka ne diyor?

Bankanın kimliği önemli değil. Çünkü saldırı yaygın bir bankanın ağını kullanarak Türkiye'ye mesaj vermek, zarar vermek ya da meşgul edip, başka bir şey yapmak olabilir. Biz yine de ilgili bankaya sorduk. Aşağıda cevapları görebilirsiniz;

• Akamai'nin raporladığı saldırı konusunda bilgi verir misiniz?

21 Haziran tarihinde 400 Gbps üzerinde bir atak aldık ve bu atak Akamai tarafından engellendi. Bu süreçte herhangi bir servis kesintisi/etkisi yaşamadan atak bertaraf edildi.

Atak sonrası yapılan analizlerde bu atağın pps açısından oldukça yüksek bir değer içerdiğini gördük. 25 Haziran’da Akamai blogunda yayınlanan makalede de bu atağın "şu ana kadarki rekor pps" değerini içerdiği açıklandı.

• Bu saldırıyı geçen yıl ekim ayında aldığınız saldırı ile karşılaştırır mısınız? 

2019 Ekim ayında da Türkiye’ye yönelik benzer karakterde bir atak yaşanmıştı. 21 Haziran’da gerçekleşen atak da yine çoğunluğu yurt dışı kaynaklı trafiği barındırıyor. Akamai’nin raporunda da görüldüğü üzere, bu atak geçen yıl yaşadığımızdan oldukça yüksek, çok kısa sürede rekor seviyede gerçekleşti. Garanti BBVA olarak teknolojiye ve dolayısıyla siber güvenlik alanına uzun yıllardır ciddi ölçekte yatırım yaptık ve yapmaya da devam ediyoruz. Bu kapsamda aldığımız katmanlı önlemler sonucunda da bu rekor seviyedeki atak engellendi.

• Eğer Akamai'den hizmet almıyor olsaydınız, bu saldırı yine Türkiye trafiğini çöktürür müydü?

Bildiğiniz gibi bu tarz hiçbir atak birbirinin aynısı olmuyor. Bu konuda bir karşılaştırma yapmak, çıkarımda bulunmak pek mümkün değil. Teknik anlamda en doğru değerlendirmeyi sektörümüzün düzenleyici kurumları ve Türkiye’deki operatörlerin yapabileceği görüşündeyiz.

• Özel olarak bulut servislere saldırıların arttığını görüyoruz. Bunu nasıl değerlendiriyorsunuz? Sizin bulut servisiniz neden hedefleniyor olabilir?

Son zamanlarda yayımlanan açıklar nedeniyle "zombie-botnet" adetlerinin arttığını görüyoruz. Söz konusu atakta çok yüksek oranda ilk kez kullanılan botnet IP’leri yer alıyor. Bu da bir anlamda DDoS ataklarının artışta olacağını gösteriyor. Bu tarz atakların hedefinde finansal servisler kadar, telekom, online oyun, turizm-otelcilik gibi sektörlerin de olduğunu gözlemliyoruz.

• Bankalara saldırılar olduğu biliniyor ama neden bu büyük saldırılar sadece size geliyor?

Bu tarz saldırıların amacını kesin olarak tanımlamak pek mümkün olmadığından, bu sorunun net yanıtını bulmak da mümkün değil. Sadece bize değil, hemen tüm büyük bankalar bu ataklara maruz kalabiliyor. Ancak bu son atakla ilgili olarak da İspanya’daki merkezi ekipleriyle birlikte hemen araştırmalarımıza başladık, bu konuyla ilgili çalışmalarımız devam ediyor.

Veri Merkezleri ne diyor?

Grid Telekom kurucusu Hakan Akan ise bu konuda şunları söyledi;

"Ülkemizde maalesef diğerlerinin sorunları üzerine gelir sağlamaya yönelik bir ticari model var. Bu ticari modelin de devam etmemesi için, insanların şirketlerin zarar görmemesi için önlem almak yerine büyük telekom operatörlerinin daha fazla gelir elde etmesine yönelik bir politika izleniyor.

Öncelikle bu tür saldırıları yurtiçinden gelen ve yurt dışından gelen olmak üzere ikiye ayırmak lazım. Birçok yabancı operatör, uluslararası taşıyıcı artık saldırılarda belirli oranda temizlenmiş kapasite taşıyorlar. Tier-1 olarak adlandırılan trafik sağlayıcıların birçoğundan artık filtrelenmiş trafik geliyor. Ayrıca bu operatörlerin diğerleri ile bağlantıları büyük çoğunlukla IDN'lerden geçtiği için buralarda temizleniyor. Ancak yurtiçine geçtiğinizde durum böyle değil. Bu ülke bir türlü Internet Değişim Noktası kuramadı. Kurmuş olsa saldırılar burada bloke edilecek ve büyük krizler yaşanmayacaktı.

Diğer bir sorunda kamunun malware konusuna bir türlü ilgi göstermemesi. Oysa artık savaşlar bu tür botlarla gerçekleştiği için bu botları takip etmek ve saldırmadan önlem almak neredeyse ülke güvenliği ile aynı seviyede tutuluyor.

Eğer bir IDN kurulur, işletmecilerin iki operatör arasında trafiklerini bu altyapı üzerinden aktarması sağlanır, burada siber savaş önlemleri alınırsa, devletin siber güvenlik birimleri malware odaklı bir çalışma modeline geçerlerse ağır hasarlar yaşanmaz."

Son olarak belirtelim, ülke olarak böylesine yoğun bir saldırıyı "hasarsız" atlatmış durumdayız ama bu bizim marifetimizden değil. Yabancı bir siber güvenlik servisinin başarısı. Dolayısıyla başlığa tekrar bakarsanız; "Her şey yolunda mı?" cevap: "Hayır, aksine büyüdüğü görülüyor". Hamasi laflarla ya da yarışmalarla çözemeyeceğimiz bir durumdayız. Yukarıda da bahsettik; AKP'nin "siber vatan" dediği raporun, sosyal medyadan önce internetin altyapısını, sorunlarını, ülkenin siber güvenliğini hesaba alması lazım [7]. Çünkü o saldırı eğer Türkiye'yi hedefliyorsa, başarısız olunca başka yöntem arıyor olabilirler.

[1] 100 Gbps Siber Saldırı Var, Operatörler Hazırlıksız Yakalandı
[2] LARGEST EVER RECORDED PACKET PER SECOND-BASED DDOS ATTACK MITIGATED BY AKAMAI
[3] AKAMAI’nin açıkladığı Büyük DDoS Saldırısında Hedef Kimdi?
[4] DDOS (Dağıtık Hizmet Reddi) Saldırısı
[5] Garanti Siber Saldırısı Türkiye’nin 4 Yıl Sonra Hala Ödevlerini Yapmadığını Gösterdi
[6] Garanti Bankası Siber Saldırısı Bize Ne Gösterdi – 2 (Detaylar)
[7] AKP Siber Vatan Raporu Hazırladı