Geçen hafta yayımladığımız bir haber [1] Microsoft'un, ülkemizdeki bazı veri merkezlerine ait IP (aslında ASN) numaralarını blokladığı ve kendi Azure network'ünden gelen saldırıları da engellemediği  şeklindeydi. Şirkete bazı sualler yönlendirmiştik. Microsoft suallerimize bu hafta başında bir cevap gönderdi. Cevap şu şekilde:

Yani burada Microsoft özetle şöyle bir şey söylüyor:

"Spam engelemek için, spam yapan IP adresini değil, o IP'nin yayınlandığı veri merkezine ait tüm IP adreslerini engelliyoruz."

Açıklamada Azure'dan gelen saldırılar için ise bir cevap bulunmuyor. Oysa Azure saldırıları için satılan hesaplar gayet aleni bir şekilde, herkes tarafından görülebiliyor [2].

Özetle Microsoft'un ilk açıklaması gibi, bunda da bir çözüm yok. Biz daha önce sorunların Koronavirüs salgınının başladığı günlerden bu yana, yani 3 aydır çözülemediğini duymuştuk. Ama sorunun 1,5 yıldan beri sürdüğü de görülüyor. Bundan sonraki aşamada, Microsoft aynı konuda diğer ülkelerde nasıl uygulamalar yapıyor, araştıracağız. Ayrıca bu ülkelerde acaba, Microsoft'un verdiği hizmeti denetleyen bir kurum var mıdır, diye de bakacağız.

Biz bu cevabı sorunu yaşayan veri merkezilerinden birisinin sahibi ve aynı zamanda BİSİAD [3] Yönetim Kurulu Başkanı olan Dağhan Uzgur'a sorduk. Şunları söyledi:

"Microsoft’un Türk hizmet sağlayıcılara yönelik olarak e-posta trafiğini dünyada örneği az görülür şekilde engelleme girişimi yanında bulut sunucu hizmeti verdiği Azure sisteminden yine Türk hizmet sağlayıcılara yönelik siber saldırılara 1.5 yıldır engel olmadığını yakinen takip etmekteyiz.

Hotmail, Microsoft live, Office 365 e-posta servislerine gelen istenmeyen e-postalar ile mücadele amacı ile yapıldığı açıklanmaya çalışılan topyekun bloklama 2020 yılı teknolojileri ile zamanın oldukça gerisinde bir yöntem olduğu açıktır. Yapılan bu açıklamanın hangi niyetin perdelenmesi amacıyla yapıldığı da merak konusu. Binada bir kötü komşu var diye binanın kapısını mühürlemek ve bunu elindeki yaygınlık gücüyle dayatması kabul edilebilir değil.

Hizmet sağlayıcılardan alınan bilgilere göre hiçbir zaman kullanılmamış IP blokları dahi yapılan bu uygulamanın kurbanı olmaktadır. Özetle şirket kendi karar verdiği hizmet sağlayıcısına ait IP bloklarını e-posta göndersin veya göndermesin topyekûn bloklamakta, çözüm için çeşitli formlar doldurulmasını talep etmekte ancak bu süreçte dolduralan başvurulara yanıt vermektedir. Şirketle kurulan iletişimde ise iletişimi zayıf, dil bilgisi eksik çağrı merkezlerinden sürekli aynı yanıtlar verilmekte ve süreç geçiştirilip, sorun çözülememektedir. 4 ayı aşkın süredir ülkemizdeki neredeyse tüm hizmet sağlayıcılara uygulanan bu ambargonun sadece istenmeyen e-posta engelleme olarak açıklanması mümkün değildir."

Azure ağından gelen siber saldırılar

Siber saldırılarda saldırının etkili olması için ağ büyüklüğü/kapasite önem arz etmektedir. Durum böyle iken dünyada çeşitli kıtalara yayılmış Microsoft’a ait sistemler siber saldırı aracı olarak kullanılabilmektedir. Dakikalık olarak kiralanabilen sanal sunucular üzerinden yapılan bu saldırılarda saldırı kaynağı net olarak görülebilmektedir. Ancak şirket deneme hesaplarını ücretsiz dağıtması ve bu dağıtımı kontrolsüz olarak yaptığından sistemleri test amacıyla değil siber saldırı amacı ile kullanılmaktadır. İnternette bir çok forum sitesinde sadece 10TL’ye satışı yapılan 400 dolar kredi yüklenmiş test hesapları elde edilebilmektedir. Gerekli güvenlik denetimi yapmayan şirketten temin edilen bu hesaplar vasıtasıyla ülkemize yönelik en düşüğü 60 Gbps olan 200 Gbps’e kadar ulaşan siber saldırılar çok düşük maliyetlerle yapılabilmektedir. Sadece bir servis sağlayıcıya ait log kayıtlarından elde edilen siber saldırı analizinde; nisan 2019 - haziran 2020 tarihi arasında ilgili şirkete 13.000 tekil siber saldırı şikayet başvurusu yapıldığı, şikayetlerde detaylı log kaydıda eklendiği görülmektedir. Şirketin saldırı kayıtlarını aldığına dair otomatik e-postası ve çözüm bulunduğuna dair yanıtı sadece şikayetin yüzde 1’i kadar olup, herhangi bir önlem de alınmadığı saldırıların devam etmesinden anlaşılmaktadır.

En son ekim 2019’da bir bankaya düzenlenen siber saldırı, geçtiğimiz yıllarda düzenlenen .com.tr alan adı sistemine ve yine bankacılık sistemlerimizi hedefleyen siber saldırılar ülkemiz ekonomisine zarar vermeye yönelik girişimlerdir. Yapılan düzenli ve sürekli siber saldırılar aynı zamanda ülkemiz internet yurtdışı çıkışlarında da tıkanmaya sebep olmaktadır. İnternetin kalbinde olan dünyadaki gelişmeleri yakından takip eden internet servis ve hizmet sağlayıcılar olarak bizler, gelmekte olan tehlikelere karşı uyarı görevimizi de yerine getiriyoruz. Kaynağı, yöntemi belli olan bu siber saldırılar için ilk elden tekrar uyarımızı yapmak isteriz ki engellenmeyen bu siber saldırılar her an ülkemizin farklı servislerini hedefleyecek bir hâl almaya uygundur ve ilgilisi konuyu çözmekten uzaktır.

Bu problemlerin çözümü için uzun süredir bekleyen hizmet sağlayıcılar olarak USOM ve Bilgi Teknolojileri Kurumu ile her tür bilgi ve belge paylaşmaya hazır olduğumuzu konuyla ilgili devletimizin gerekli birimlerinin harekete geçmesini talep etmekteyiz.

[1] Microsoft Türkiye'deki veri merkezlerini blokluyor ve Azure networkünden gelen saldırıları engellemiyor mu?

[2] Microsoft Azure hesapları | Adet fiyatı 10₺

[3] BİSİAD – Bilişim Sektörü İş Adamları ve Profesyonelleri Derneği