Etiket arşivi: OpTURKEY

Makale & Analiz

Rusların bize ‘gör’ dediği

1 Yorum

Türkiye’yi hedef alan ve 14 Aralık’tan bu yana yoğunluğu giderek artan siber saldırılar gündemimizi uzun süre meşgul edeceğe benziyor. TR uzantılı domain isimlerine yönelik saldırının ardından 24 Aralık’ta kamu ve özel bankalara yapılan siber saldırılar ve sonrasında yaşananlar birçok soruyu beraberinde getiriyor.

Saldırıların arkasında olağan şüpheli olarak Rusya’nın bulunduğu konusunda oluşan genel kanı Anonymous’un yayınladığı video ile yıkılır gibi olsa da, işin içinde Kremlin’in güçlü müdahalesi olduğuna inanmamız için makul ve meşru göstergeler var.

Takvime bakmayı ihmal etmeyelim

Göstergelerden ilki tarih. Milyonlarca müşterisi olan bankaları vuran siber saldırganlar online işlemleri devre dışı bıraktıkları gibi POS cihazlarını dahi etkisiz hale getirdiler. Böyle geniş çaplı etkileri olan bir saldırı için hackerların Rus uçağının düşürülmesinden (24 Kasım) tam bir ay sonraya denk gelen günü seçmeleri ‘tamamen tesadüfle’ açıklanamaz. Uluslararası siber tatbikatlarda saldırı tarihlerine verilen özel önemi burada hatırlamakta fayda var.

Neden şimdi?

Saldırıyı üstlenen Anonymous’un yapısı ve yayınladığı mesajdan çıkarılacak önemli ipuçları var. Hacker grubu, Türkiye’den DAEŞ’e (IŞİD’i kullanmamalarında İslam’ı suçlamaktan kaçınma kaygısı anlaşılıyor) verdiği desteği sona erdirmesini talep ediyor. Anonymous’un IŞİD’in üstlendiği Charlie Hebdo (7 Ocak)  saldırısından sonra bu terör örgütüne karşı saldırılar düzenlediği biliniyor. Fakat o güne kadar IŞİD’e destek verdiği iddia edilen –Katar, Suudi Arabistan- gibi ülkelere yönelik bir saldırısı olmadı. Üstelik Türkiye’nin bu örgüte destek verdiği iddialarını Rusya Devlet Başkanı Putin’den önce dile getirenler olmuştu. Ama Anonymous nedense bunları ciddiye alıp bir saldırı başlatmadı.

Hedef, motivasyon ve saldırı tarzı geçmişten farklı

Anonymous’un bu zamana kadar ki saldırı motivasyonları ve hedeflerine bakıldığında son Türkiye saldırısının grubun izlediği genel stratejinin bariz şekilde dışında olduğu görülebilir. Grubun halen devam eden 11 operasyonu bulunuyor. İnternete uyguladığı sansürden dolayı Tayland Emniyet Müdürlüğü ve ve çitaların online satışıne izin veren birkaç Ortadoğu ülkesi dışında Anonymous’un saldırı düzenlediği bir devlet bulunmuyor. Saldırı motivasyonunları incelendiğinde de ifade özgürlüğü ile insan ve hayvan haklarının ön plana çıktığı görülüyor. Bu açıdan Türkiye’deki bankalara yönelik saldırı Anonymous’un genel saldırı pattern’inden ayrıştığı gözden kaçırılmaması gereken bir nokta.

Hedef ve motivasyonlar dışında Anonymous’un saldırı ve tehdti tarzının da Türkiye operasyonunda geçmişten ayrıştığı ileri sürülebilir. Saldırıları üstlenen grup Türkiye’nin DAEŞ’e yardımı kesmemesi durumunda askeri sistemler, havalimanları ve kamu sitelerine de siber saldırı düzenleyeceği tehdidinde bulundu. Bu zamana kadar tam bir hacktivist örgüt gibi davranan Anonymous, propaganda amaçlı saldırılar düzenlerken sivillerin normal yaşamlarını olumsuz etkileyecek saldırılar içerisinde yer almadı. Oysa saydığı hedefler arasında yer alan havalimanlarına yapılacak bir siber saldırı siviller açısından nasıl ciddi problemler çıkardığı bu sene Polonya’da tecrübe edildi.

İstanbul gibi uluslararası bir transit noktasının Noel tatili sırasında siber saldırıya maruz kalmasının sonuçlarını sorduğum bir uzman tek kelimeyle ‘kaos’ cevabını verebildi. 3 gün önce Sabiha Gökçen’e ‘düşen’ havan topunun şokunu atlatamayan havalimanı işletmecilerinin bir siber saldırıya tam anlamıyla hazır olmadığı rahatlıkla iddia edilebilir.

Peki Ruslar neden hesabı Anonymous’a ödetti?

Farklı açılardan Anonymous’un diğer eylemlerinden ayrışan bu eylemin arkasında Rusya desteği olduğu güçlü senaryolardan biri olarak önümüze çıkıyor. Anonymous’un saldırıdan sonra attığı ‘It was not Russians’ tweeti aslında tipik bir propagandist manevra olarak görülse de, grubun daha önce yaptığı hiçbir operasyon başka bir aktöre bu kadar mal edilmediği için böyle bir açıklama zorunluluğunun ortaya çıkmış olması bile saldırıların arkasındaki aktör hakkında fikir veriyor. Türkiye’de saldırı yiyen bankalar arasında Rus ortaklı bankaların olmaması, saldırı haberini en erken verenler arasında Rus güç merkezlerine yakın bir sitenin bulunması da bu perspektifi destekleyen yan unsurlar arasında sayılabilir.

Estonya saldırısını Russian Business Network üstlenmiş, Moskova hükümeti dünyanın en güçlü siber suç organizasyonu olan bu hacker grubuyla bağlarını reddetmişti. Aradan geçen 8 yılda RBN’in Rus hükümetiyle olan inorganik bağları ortaya çıktı. Daha önemlisi henüz bir emsal karar olmasa da, ülkeler arasında gerçekleşecek siber savaş ile ilgili güçlü hukuki dökümanlar (Tallinn Manuel 1 ve 2) oluştu. Dolayısıyla bir saldırıyı devlet destekli bir hacker grubuna mal etmenin maliyeti arttı ve Anonymous kimsenin şaşırmayacağı bir fail olarak olayı üstlendi.

BTC saldırısı ve vekalet savaşları

Rusya’nın Gürcistan’ın bir bölümünü işgal ettiği 2008 yılında, Gürcistan’dan çıkarak Türkiye’den dünyaya açılan Bakü-Tiflis-Ceyhan boru hattında bir patlama meydana geldi. Geçen yılın sonuna doğru Bloomberg’de çıkan bir haberde bu patlamanın Rus hackerlar tarafından petrol akışını sağlayan sistemlere müdahale edilmesi sonucu meydana geldiği iddia edildi. Halbuki 2008’de bu patlamayı PKK üstlenmişti. Bugünlerde yaşadığımız siber saldırıların Anonymous’un üstlenmesi uluslararası ilişkilerde sıklıkla görülen vekalet savaşlarının (proxy wars) siber alanda da yaşanmaya başladığının bir göstergesi olabilir mi?

Saldırganların Rus hükümetinden destek ve direktif aldığı senaryoyu güçlendiren başka bir argüman olarak 24 Kasım ile saldırıların başladığı 14 Aralık arasındaki zaman farkının üzerinde durulabilir. Bu süre boyunca Türkiye’yi hedef alan kapsamlı siber operasyonlar stratejisi hazırlandığı ve 14 Aralık’ta ilk perdenin sahneye koyulduğu değerlendirmesi yapılabilir. Nic tr saldırısından daha komplike bir atağın 10 gün sonra devreye sokulması ilerleyen günlerde yeni saldırılara hazırlıklı olmamızı gerektiren uyarıcılar olarak algılanmalı. Bundan sonraki hedefler arasında bilgi güvenliği açısından UYAP ve TAİ gibi stratejik yapıların siber güvenliğine daha fazla önem verilmesi gerekebilir.

PR stratejisi ve yarın

Eğer gelecekte bir araştırmacı 14 Aralık’tan sonra yaşanan sürece geri dönüp bakacak olursa çok bariz şekilde tespit edeceği noktalardan bir tanesi saldırı yiyen kurumların yürüttüğü (?) başarısız halkla ilişkiler stratejisi olacaktır.

Günlerce bir açıklama gelmemesi, gelen açıklamanın tatmin edici yanı olmadığı için ciddiye alınmaması ve üstüne üstlük bankalara saldırıların başlamasının ertesi günü başbakan yardımcısının ODTÜ rektörüne yüklenmesi ve son olarak saldırıya uğrayan bankaların müşterilerine ve kamuoyuna açık ve net bir şekilde bir açıklama yapmaması ve doğru düzgün bilgi verilmediği için insanların panik halinde bu işi bilenleri araması…

Tüm bunlar yeni bir yazı konusu. Yarın için ne yapmalıyız? Sorusunun cevabı içerisinde düzgün bir halkla ilişkiler stratejisi hazırlamakla başlayabiliriz. Fakat benim yarından kastım önlemler değil öngörüler.

Örneğin, İsrail ile buzlar hazır erime sürecindeyken, her selam verdiğine İsrailli şirketlerin siber güvenlik çözümlerini satan İsrail Başbakanı Netanyahu Türkiye’yi yeni bir potansiyel müşteri olarak görmeye başlamış mıdır?

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

 

Makale & Analiz

Anonymous maskesi ardında kim var?

1 Yorum

Neredeyse son bir haftadır sürdüğü gözlenen, Türkiye’nin internet trafiğini ve tr. alan adlı sitelerin yönetildiği ODTÜ merkezli NIC.TR’yi hedef alan ve bu doğrultuda interneti yavaşlatmayı başaran siber saldırıların dünyanın her tarafından geldiği ve etkilerinin oldukça büyük olduğu biliniyor. Bahsedilen saldırının türü, alanda çalışanların çok yakından tanıdığı ‘DDoS saldırısı’ (distributed denial of service attack), Türkçe ifade etmek gerekirse çok sayıda ve farklı lokasyonlardan gelen hizmet engelleme saldırısı, bir diğer deyişle Dağıtık Hizmet Reddi Saldırısı. Bu saldırının asıl amacı kısaca, aynı anda 30.000 isteğe cevap verebilecek kapasitede bir sunucuyu, göndereceğiniz yaklaşık 35.000 istekle etkisiz ve erişilemez hale getirmek. DDOS saldırı araçları aslında herkes tarafından erişilebilen, yüksek bilgi düzeyi gerektirmeyen, bilgisayarınıza yükleyeceğiniz bazı programlarda evden dahi saldırı gerçekleştirmenize izin verecek nitelikte. Bu saldırıyı mümkün kılan Bot ağlarının internette, boyutuna göre 100 dolardan başlayan fiyatlara alınıp, satıldığı ya da geçici olarak kiralandığı da bilinen bir gerçek.

İLGİLİ YAZI >> SİZCE RUS HACKERLAR ŞİMDİ NE YAPIYORDUR

Doğası gereği birden fazla noktadan hedefe yönlendirilen istekler, DDOS saldırılarına etkili bir savunma yapmak imkansızlaşırken, şüpheliler de oldukça başarılı biçimde gizlenebiliyor.  Tam da bu yüzden saldırıların başladığı tarihten bu yana kesin bir kanıt olmamakla birlikte şüphelerin, düşürülen Rus uçağı ardından ilişkilerimizin çıkmaza girdiği Rusya etrafında toplandığı görüldü. Gerek geçmişte aynı tip saldırılarla devlet ve özel organların etkisiz hale getirildiği 2007 Estonya, 2008 Gürcistan ve 2014 Ukrayna siber saldırılarında baş şüphelinin o anda üç ülkenin de ters düştüğü Rusya olması, gerek en büyük siber suç şebekelerinin (Russian Business Network gibi) Rusya’dan çıkması, gerekse Rusya’nın son dönemde geliştirdiğini gizlemediği siber gücü tahminleri haklı kılan gerekçelerden bir kaçı olarak sıralanabilir. Genel kanı saldırının Rusya kaynaklı olduğunu yönünde olsa da, Anonymous bir kaç gün önce 26 Kasım’da başlattığı #opTurkey ve Paris saldırıları sonrası başlattığı #opISIS’i gerekçe göstererek saldırıları üstentlendiği açıkladı. Geçmişte Anonymous tarafından yürütülen saldırıların çoğunun DDOS yöntemi kullanılarak gerçekleştirildiği düşünülürse, Anonymous’un açıklaması çok da sıradışı gözükmüyor. Ancak yine de göz ardı edilmemesi gereken bazı noktalar var.

İLGİLİ HABER >> ANONYMOUS’UN IŞİD OPERASYONUNUN PERDE ARKASI: HAYAL KIRIKLIĞI?

Bu saldırı türüyle sıklıkla karşılaşılsa da Türkiye’yi hedef alan DDOS saldırılarının farklı bir yönü var. Ortalama bir DDOS saldırısında hız saniyede 2gb iken, Türkiye’deki saldırı saniyede 40gb civarında, bu da saldırının şimdiye kadar gözlenen saldırılara kıyasla ciddi bir büyüklükte olduğunu gösteriyor. Bir diğer farklılık, saldırının süresi; günlerdir Türkiye internet trafiğinden tutun da bölgesel internet sağlayıcılarına kadar ulaşan etkide bir saldırıyı motor bir sistem olmaksızın, amatör saldırganların gerçekleştirildiği düşünülemez. Bu nitelikte, nokta atış Türk DNS sunucularını vuran bir saldırı, ancak gelişmiş sunucular kullanılarak gerçekleştirilmiş olabilir, güçlü sunucular da güçlü bir teşvikçi gerektirir. Bu bilgiler ışığında bakıldığında Anonymous adı altında başlatılan geçmiş DDoS saldırılarının gücünün ya da süresinin bu boyuta ulaştığı görülmüyor. Ancak Anonymous, adı üstünde anonim ve seçilmiş bir lideri olmayan bir yapılanma. Bu nedenle Rus fanatiklerin veya profesyonel hacker gruplarının, Anonymous adı altında bir saldırı başlatmış olması elbette muhtemel.

İLGİLİ HABER >> DDOS ÇOCUK OYUNCAĞI OLDU

Özellikle yayınladıkları vidyoda öne sürülen tehditler incelendiğinde bu ihtimal daha da güçleniyor. Kök DNS sunucularına, devlet sitelerine, kritik bankacılık altyapılarına, havaalarına saldıracaklarını, askeri varlıkları (military assets) ve özel devlet bağlantılarını hedef alacakları yönünde tehdit savuran Anonymous, gerçekten tüm bunları sistematik olarak, aynı güçle gerçekleştirebilecek kapasitede mi? Belki de bu süreçte, görünen internet aksamalarından ayrı olarak en dikkat edilmesi gereken konu, bu saldırıların tek başına gelmeme olasılığı. Ne yaptığını bilen saldırganların, DDOS arkasından saldırı yaparak (SQL injection gibi) daha büyük zararlar verdiği, veri hırsızlığı yaptığı veya verilerin bütünlüğünü bozduğu biliniyor. Bu noktada, tüm devlet kurumlarına ve USOM’a bu saldırıları önlemek adına büyük iş düşüyor. Hızlı ve etkin cevap verilmemesi durumunda, saldırılar Türk iç ve dış politikasını etkileyecek sonuçlar doğurabilir.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

https://www.youtube.com/watch?v=EdgLA3ICvuc