“IoT cihazları çevrimiçi olduktan sadece 6 dakika sonra ele geçiriliyor”

Siber Güvenlik Danışmanı Cansın Yıldırım

Son aylarda karmaşık DDoS saldırılarının sayısında görülen ciddi artış siber güvenlik firmaları başta olmak üzere birçok kuruluşun dikkatini çekiyor. DDoS saldırılarına dair günümüzdeki tehdit ortamı hakkında yayınlanan çok sayıda istatistik, gelişen Nesnelerin İnterneti (IoT) dünyasını ve gittikçe daha fazla sayıda cihazın internete bağlanıyor olmasını artan saldırı sebeplerinin başında gösteriyor.

Dağınık Hizmet Engelleme (Distributed Denial of Service) saldırısı, birden fazla bilgisayarın tek bir noktaya saldırması anlamına geliyor. Deloitte Global’e göre, 2013’teki en büyük saldırı saniyede 300 gigabitti. 2014 yılında 400 gigabit, 2015 yılında ise 500 gigabitti. Fakat 2016 yılında büyük bir sıçrama oldu ve saniyede 1 Terabit/saniye eşiğini geçti.

Geçtiğimiz haftalarda ise isteyen herkesin yazılımların kaynak kodlarını paylaşabileceği bir depolama servisi olan Github, bu zamana kadar kaydedilen en büyük DDOS saldırısına maruz kaldı. Dakikalarca hizmet dışı kalan site, saniyede 1,35 terabayt trafikle saldırıya uğradı.

Durumu Siber Bülten’e değerlendiren Lostar’ın Siber Güvenlik Danışmanı Cansın Yıldırım’a göre, gerçekten de son yıllarda DDoS saldırılarında ciddi bir artış var. “Bu artış hem saldırıda kullanılan cihaz sayısı hem de gönderilen paket büyüklüğünde hissediliyor.” diyor Yıldırım.

Cihaz sayısındaki artışa 2016 yılındaki Mirai zararlı yazılımın gerçekleştirdiği saldırıyı örnek gösteren Yıldırım, varsayılan kullanıcı adı ve parola ile IoT cihazlarına bulaşan Mirai zararlısnını Fransız hosting firması OVH ve gazeteci Brian Kerbs’i hedef aldığını hatırlattı.

Teknoloji gazetesi The Register’daki bir habere göre IoT cihazları çevrimiçi olduktan sadece 6 dakika sonra ele geçiriliyor. “Her gün İnternet’e açılan cihaz sayısı göz önünde bulundurulduğunda Mirai gibi zararlı yazılımlarla ve onların saldırılarıyla sık sık karşılaşacağız gibi duruyor.” diye ekliyor Yıldırım.

28 Şubat 2018’de ise GitHub tarihin en büyük hizmet engelleme saldırısına maruz kalmıştı; saldırıda “Amplification Attack” denilen yöntem kullanılmıştı. Amplification yani yükseltme saldırıları sunucudan dönen yanıtın gönderilen istek paketinden çok daha büyük olmasından kaynaklanıyor. Ayrıca UDP protokolünün doğası gereği sunucudan dönen yanıtın saldırganın belirlediği hedef sisteme yönlendirilebildiği için az bant genişliği kullanarak istenilen hedefe büyük miktarlarda paket göndermek mümkün.

İnternet’e açık memcached sunucularının UDP portunu kullanılarak saniyede 1.3 Terabitlik bir yükseltme saldırısı sonucu GitHub sunucularını 10 dakika boyunca hizmet veremez duruma getirdiğini aktaran Yıldırım’a göre ister politik nedenlerden olsun isterse de maddi kazanç, hizmet engelleme saldırıları göz ardı edilemeyecek bir tehlike.

Dijital paraların hızla değer kazanmasının artan DDoS ataklarının en önemli sebeplerinden biri olarak lanse edilmesi konusunda ise Yıldırım şunları aktardı: “Bu ve benzeri saldırıları sadece dijital paraların değer kazanmasına bağlamak bence eksik bir ifade olur. Sonuçta hizmet engelleme saldırıları dijital paralar ortada yokken de gerçekleşiyordu ama elbette maddi kazanç saldırganlar için ciddi bir motivasyon kaynağı.”

‘Büyük saldırılar devam edebilir’

GitHub saldırısından sadece birkaç gün sonra ağ güvenliği firması Arbor Networks 1.7Tbps büyüklüğünde atak tespit ettiğini duyurdu. CloudFlare firmasının memcached saldırıları ile ilgili hazırladığı blog yazısında 15 byte’lık istek paketinin 750kB’lık cevap ürettiğini yazdığını hatırlatan Yıldırım’a göre bu da yaklaşık olarak 51 bin 200 katına tekabül ediyor.

Aynı blog yazısına referansta bulunarak, saldırının 120 farklı noktadan ama ağırlıklı olarak Avrupa ve Kuzey Amerika’daki büyük hosting firmalarından geldiğini belirten Lostar’ın güvenlik danışmanı sözlerine şöyle devam etti: “Arama motoru Shodan’a göre hala 88 bin memcached sunucusu İnternet’e açık Bu da ileride daha büyük saldırıların olabileceği anlamına gelebilir.”

DDoS’a karşı bu önlemleri alın!

Birçok istatistik, proaktif ve sürekli gelişen DDoS korumasının hayati önem taşıdığını gösteriyor. Yıldırım’a göre ise kullanılmayan servislerin kapatılması ve güvenlik duvarı gibi çözümlerin devreye alınıp, erişim yetkilerinin doğru yapılandırılması saldırı yüzeyini azaltacaktır.

“Bunun dışında ağ trafiğinin izlenmesi ve kayıt altına alınması olası saldırıyı tespit etmek ve engellemek adına önemli bir adım olacaktır. Bunlara ek olarak, saldırı simulasyonları gerçekleştirilerek kurumların bu tür hizmet dışı bırakma saldırılarına karşı yeterliliklerinin ölçülmesi gerektiği düşüncesindeyim.” diye ekliyor Yıldırım.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*