Özgeçmişime kısa bir bakış atanların bileceği gibi, daha önce 5 yıl TC Cumhurbaşkanlığı Sistem İletişim Md. Yrd. olarak çalıştım. Bu süre boyunca Cumhurbaşkanlığı çeşitli siber saldırılara maruz kaldı. Artık koruma görevini devrettiğimi göz önünde bulundurursak hatıralardan bahsetmenin zamanı geldi diye düşünüyorum.
Öncelikle yapılan saldırılar ile ilgili sosyal mühendislik saldırı haricinde hiç hacklenmediğimizi ifade etmeliyim. Zaten sosyal mühendislik saldırıları için henüz bilinen bir çare yok 🙂 Bunun haricine türlü türlü atak aldığımızı söyleyebilirim. Bir çok kişinin IP aralığımızı ve web sitemizi izinsiz olarak zafiyet tarama araçları tarafından taradıklarını, Anonymous ve RedHack gibi hacker gruplarının DoS/DDoS saldırıları yaptıklarını söylemem gerekiyor. Bu saldırıların hiçbiri başarıya ulaşmadığı için hiçbir IP adresi için suç duyurusunda bulunmadığımı da söyleyip saldırı yapanların merakını buadan gidermiş olayım.
Kamu kurumları içinde web sitesi hacklenmeyen tek kurum olduğumuz için birçok siyah şapkalı hacker veya grubun hedefi haline gelmiştik. Hemen her gün bir zafiyet tarama aracı tarafından sitemiz üzerinde SQL Injection, XSS, LFI/RFI veya command injection açıkları arandığını görüyordum. Çoğu otomatik araç kullanıp IP adresini gizleme zahmetinde bulunmayan acemi hacker ve vatansever(!) kişilerden oluşuyordu. Bir kısmı tarama araçlarının ürettiği false pozitive sonuçları bize “bir dost” olarak gönderiyordu. Gerçek bir zafiyet bulan olmamıştı.
Zafiyet taraması yapanların zamanlaması pek tahmin edilebilir olmasa da DoS/DDoS saldırılarının zamanı genellikle toplumda rahatsızlık oluşturan kanunların onaylanmasına denk geliyordu. En büyük saldırı vatandaş desteğinin de yoğun olduğu 2011 yılında çıkan “Güvenli İnternet Yasası(!)” zamanında olmuştu. Saldırı büyüklüğü pik zamanında 12Gbps’ye ulaşmıştı. Aynı saldırının asıl odak noktası olan TİB bu saldırı karşısında çaresiz kalmıştı. Yaklaşık 25Gbps saldırı altında çaresiz bekliyordu. Sürekli servisleri restart ediyordu. İşin garibi saldırıların olduğu zaman Cumhurbaşkanlığında savunma yaparken çıkarılan yasaya ben de karşıydım.
Diğer saldırılar ise Gezi olayları ve 17-25 Aralık sonrası hazırlanan “İnternet Yasası” zamanına denk gelmişti. Bu olaylar sırasında 6Gbps ve 5Gbps saldırı almıştık. Saldırıları başarıyla savunmamıza rağmen TT tarafında yapılan yanlış yapılandırma sonrasında UDP Port 0’dan gelen 600Mbps saldırı bizi kısa süreliğine de olsa ters köşeye yatırmıştı. Bu saldırılar sırasında asıl maksadın DoS/DDoS saldırıların arasına saklanarak ulaşılmak istenen hedef saldırıları gerçekleştirmek olduğunun farkındaydık ve bu saldırılara odaklanıyorduk.
DoS/DDoS saldırılarının yetersiz kaldığını fark eden hacker grupları sıkıcı olmaktan biraz sıyrılıp aradaki güvenlik cihazların üstesinden gelmeye çalışmaya başlamıştı. TT’den aldığımız DoS koruma hizmetinin 120 saniyede devreye girdiğini anlayan hacker grupları saldırıları 90 saniyelik periyotlarla gönderip Arbor’u atlatmak için gayret ediyorlardı. Doğrusu bu yaklaşımı görmek beni şaşırtmıştı.
Saldırılar sırasında birçok kişinin IP adresini tespit etmiştik ancak yapılan bu tür saldırıları yol kapatma eylemi gibi düşünüyordum ve suç duyurusunda bulunmak gerektiğini düşünmüyordum. Bu nedenle hiçbir IP adresi hakkında savcılığa suç duyurusunda bulunmadım. Ancak “Cumhurbaşkanına Yazın” uygulamasından Sn. Cumhurbaşkanına küfür derecesinde hakaret edenler hakkında sayısız davalar açıldığını biliyorum. Pastane, Internet Kafe, NAT ve 5651’e göre log tutulmaması gibi birçok nedenle çoğu dava sonuçsuz kaldı.
Bu kadar çok saldırıya maruz kalmak sonunda beni iyi bir güvenlikçi ve forensic araştırmacısı yaptı. Emeği geçen arkadaşlara teşekkürler 🙂
Siber Bülten Haftalık Raporuna abone olmak için formu doldurunuz
[wysija_form id=”2″]