Etiket arşivi: siber saldırı

Türkiye

Garanti saldırısının ardından: Saldırı istihbaratı önceden alınabilir miydi?

Yorum yapın
Türkiye, Cumhuriyet Bayramı’ndan bir gün önce ülkenin en büyük bankalarından biri olan Garanti BBVA üzerinden yapılan siber saldırıyı konuştu. 100 Gbps’lik DDoS saldırısına hedef olan banka uzun sayılacak bir süre boyunca elektronik hizmetlerini müşterilerini sağlayamadı. Şirket neden olduğu mağduriyetten dolayı özür diledi.

Banka sistemlerine yapılan dolaylı olarak Türkiye’de faaliyet gösteren üç operatörü de etkileyen saldırının arkasından bir hafta geçmiş olmasına rağmen birçok soru cevapsız kaldı: Saldırının hedefi neydi? Jeopolitik gelişmeler ile birlikte nasıl değerlendirilmesi gerekiyor? Zamanlaması manidar mı? Saldırı yabancı kaynaklı mı?

Öncelikle saldırının nasıl yapıldığının net bir şekilde ortaya konması gerekiyor. Saldırı Garanti Bankası’ndan gelmiş gibi gözüken paketlerle yapıldı. Bu paketler gittikleri farklı sunuculardan Garanti Bankası’na cevap döndürdüler. Bu yoğun trafik ise hem Garanti Bankası’nı, hem de bankanın yedekli servis aldığı ülkemizin en büyük 3 operatörünü etkiledi.

Saldırının uluslararası siyasi bir boyutu var mı?

Saldırıyı bir bağlama oturtarak okumasını yapmak için sorulması gereken önemli sorulardan biri yapılan saldırının hedefinin ne olduğuyla ilgili. Bilindiği gibi Garanti Bankası’nın yüzde 49,85’ine 2 yıl önce İspanya ve Meksika’nın en büyük finansal kuruluşu olan BBVA sahip oldu. Bankanın ortaklık yapısında Doğuş Holding’in yüzde 0,5’lik sembolik bir payı bulunuyor. Yani bu açıdan bakıldığında Garanti artık yabancı ortaklı bir banka dolayısıyla Türkiye’ye yönelik siyasi hedefli bir siber saldırı için çok anlamlı bir hedef teşkil etmiyor. 2015 yılında Rus savaş uçağının düşürülmesinin ardından yaşanan saldırılarda Türkiye’deki kamu bankaları öncelikli hedefler arasında yer almıştı.

İlgili haber: Sizce şimdi Rus hackerlar ne yapıyordur?

Saldırının uluslararası politik bir gelişme olmadığına dair bir başka önerme de saldırının şiddetiyle ilgili. Uluslararası aktörlerin ya da geniş bir ağa sahip hacktivistlerin yaptığı düşünülen DDoS ataklarına baktığımızda saldırıların çok daha güçlü olduğunu görüyoruz. Geçtiğimiz yıl GitHub 1.35 Tbps’lik bir saldırı ile karşılaşmış, saldırı başladıktan 10 dakika sonra DDoS önleme sistemi devreye girmiş ve bu zamana kadar yapılan en güçlü DDoS saldırısı sadece 20 dk. sonra sona ermişti.

İlgili haber: GitHub dev DDoS saldırısını geri püskürttü

2016’da IoT cihazlarının bulunduğu Mirai Botnet’inin kullanıldığı DYN’yi hedef alan DDoS saldırısı da 1.2 Tbps gücündeydi. İki saldırının arkasında da devlet destekli ve/veya organize toplulukların olduğu tahmin ediliyor.

İlgili haber: IoT saldırıları: Dün Kerbsi bugün DYN yarın?

Saldırının zamanlamasına dair açıklamalara bakıldığında jeopolitik gelişmelerin saldırıyla ilgili olduğuna dair yorumlar çıkartılsa da, bu teori diğer bulgularla desteklenmiyor. IŞİD lideri Ebu Bekir el Bağdadi’nin 26 Ekim’de Türkiye sınırına yakın bir yerde öldürülmesi sonrasında bu siber saldırının gerçekleşmesi ile saldırının 29 Ekim Cumhuriyet Bayramı’ndan hemen bir gün önce olması saldırının siyasi bir mesaj içerdiğine dair argüman tamamlayıcı bilgilerle desteklenmiyor. Siber Bülten’e bilgi veren uzmanlar, saldırının Türkiye sınırları içerisinden devam ettiği ve zaten bu tür saldırıların zamanlamasının uzun tatiller seçilerek yapıldığına işaret ediyor.

Ayrıca IŞİD’in siber alandaki etkinliğini uzun zaman önce yitirdiğini de hatırlatmakta fayda var: FBI IŞİD’in dijital takımını tek tek avladı

Saldırı istihbaratı önceden alınabilir miydi?

Siber güvenliğin en önemli proaktif bileşeni şüphesiz siber istihbarat. Siber saldırganların kendi aralarında organize olduğu taktik ve strateji tartışmaları yaptığı iletişim kanallarına sızman siber istihbarat toplamanın önemli kaynaklarının başında geliyor. Türkiye’yi böylesine etkileyen bir saldırının hazırlık aşamasında saldırıyla ilgili istihbarat toplanıp toplanmadığı cevabı merakla beklenen sorular arasında yer alıyor.

Türkiye’den çıkan ve küresel çapta iş yapan siber istihbarat şirketlerinden biri olan Invictus’un saldırıdan günler önce 10 Ekim’de resmi hesabından attığı tweet saldırıyla ilgili istihbarat kaynaklarının hareketli olduğuna dair bir ipucu sunuyor.

Twitter gönderisinde, “Türk yetkililere yönelik büyük bir hacktivist saldırı dalgası tespit ettik. Özellikle geniş çaplı DoS saldırılar bekleniyor.” ifadeleri yer alıyor. Saldırının Garanti saldırısı olup olmadığına ilişkin başka bir bilgi verilmiyor. Şirket hesabından da konuyla ilgili o tarihten sonra başka bir gönderi atılmadı.

Siber istihbarat ile ilgili başka bir soru daha akla geliyor: Şayet istihbarat alınmış olsaydı bile telekom operatörlerinin altyapısı ve Garanti’nin sisteminde yeterli önlem kısa süre içerisinde alınabilir miydi?

 

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Saldırılar

Gürcistan’da siber saldırı 15 bin siteyi vurdu: Cumhurbaşkanlığı dahil bir çok kurum etkilendi

Yorum yapın
Türkiye’de başta Garanti BBVA ve Türk Telekom’u etkileyen siber saldırının etkisini henüz atlatmışken, başka bir siber saldırı haberi komşu Gürcistan’dan geldi.
Ülke genelinden etkili olan siber saldırının aralarında cumhurbaşkanlığının, sivil toplum kuruluşlarının, özel şirketlerin ve ulusal TV istasyonunun da bulunduğu 15 binden fazla web sitesinin olumsuz etkilediği açıklandı. Dava dosyalarının ve kişisel verilerin bulunduğu mahkeme web sitelerinin de saldırının hedefinde olduğu kaydedildi.
Ele geçirilen web sitelerinin ana sayfalarına Gürcistan’ın eski Cumhurbaşkanı Mikheil Saakashvili’nin fotoğrafı konularak, ‘Geri döneceğim’ notu eklendi.
2004 – 2013 yılları arasında Gürcistan Cumhurbaşkanlığı yapan Saakashvili daha sonra Gürcistan vatandaşlığından ayrılıp Ukrayna vatandaşlığına geçmiş, Odessa eyaletinde valilik yapmıştı.
Saldırının kaynağı konusunda henüz bir açıklama yapılmazken, BBC’nin haberine göre Gürcüler saldırının arkasında Ruslar olduğunu düşünüyor. Sosyal medyada saldırının Rusların işi olduğuna dair bir çok gönderi olduğuna dikkat çekildi.

Gürcüler ders 2008’den çıkartmamış

2008 yılında Rusya’nın Güney Osetya’yı işgal etmesinin ardından Rus hackerlar Gürcü siteleri hedef almış aralarında Gürcistan Dışişleri Bakanlığı da olmak üzere bir çok kamu kurumu savaş süresi boyunca çalışmamıştı. 11 yıl önce yaşanan geniş çaplı siber saldırıya rağmen, Gürcistan’daki web sitelerinin güvenliklerinin zayıf olması ve saldırılara açık halde bulunduğunu belirten siber güvenlik uzmanlarına göre, Estonya’nın tersine Gürcüler Rus saldırısından ders çıkartmamış.
Estonya, 2007 yılında Rus kaynaklı ciddi bir siber atak ile karşı karşıya kalmış, olay sonrasında atılan adımlar sayesinde ülke siber güvenlik konusunda Avrupa’da ve dünyada önemli bir konuma yükselmişti.
Gürcistan’da yaşanılan siber saldırıdan medya kuruluşları da nasibini aldı. Imedi TV’nin haber müdürü Irakli Chikhladze, Facebook’da yaptığı açıklamada TV istasyonunun sinyal alamadığını ve yayın yapamayacağını duyurdu. Başka bir TV kanalı olan Maestro’nun da bilgisayarlarının siber saldırıdan zarar gördüğü belirtildi.

 Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Saldırılar

Eyüp Çelik: “Saldırı ülke içerisinden devam etti”

Yorum yapın

Türkiye’de banka, operatörler ve internet servis sağlayıcıları etkileyen siber saldırı ile ilgili açıklamalar gelmeye devam ediyor. Türk Telekom GMY’si Yusuf Kıraç’ın saldırıyı durdurduk açıklamasının ardından Privia Security Kurucusu Eyüp Çelik de saldırıyla ilgili görüşlerini paylaştı.

Geçtiğimiz aylarda çıkan Bilgi ve İletişim Güvenliği tedbirlerine dair Cumhurbaşkanlığı Genelgesi’ne değinen Çelik, genelgenin internet servis sağlayıcıları üzerindeki baskıyı arttırdığını ilan etti.

“Kişisel veriler bahane edilerek ülkedeki tüm banka ve benzeri kuruluşların bulut ortamındaki sistemlerinin Türkiye’deki yerel veri merkezlerine aktarılması genelgeler ile zorunlu hale geldi.” diyen Çelik, altyapılardaki eksiklik ve kapasite yetersizliğini bu saldırılara maruz kalınmasının arkasındaki neden olduğunu söyledi.

Resmi Gazete’de 5 Temmuz Cumartesi günü yayınlanan genelgede, ‘kamu düzenine’ ve ‘milli güvenliğe’ etki edebilecek kritik verilerin güvenliğinin sağlanması amacıyla alınması gereken tedbirler açıklanmıştı. 21 maddelik ‘önlemler paketinde, bankalar ile ilgili direkt bir düzenlemem bulunmamaktaydı. Genelgede, vatandaşlara ait kritik bilgiler ile kamu kurum ve kuruluşlarına ait verilerin (nüfus, sağlık, iletişim bilgileri, biyometrik ve genetik veriler) güvenli bir şekilde yurt içinde depolanmasına dikkat çekilmişti.

İlgili haber: Bilgi ve İletişim Güvenliği tedbirlerine dair Cumhurbaşkanlığı Genelgesi neler getiriyor?

“Saldırı, Türkiye içerisinden devam etti”

Saldırı sırasında, Türkiye dışına çıkış ve geliş trafiklerinin denetime alınmasına rağmen saldırının ülke içerisindeki bir bankanın IP adreslerinin taklit edilmesi (Spoof) sebebi ile saldırı bir süre daha Türkiye içinden Türkiye’ye doğru devam ettiğini aktaran Çelik, siber saldırıların sadece yurt dışından gelmediğine, sistemler Türkiye içinde de diğer ağlara içten saldırı gerçekleştirebildiğine dikkat çekti.

 Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Saldırılar

Türk Telekom’dan siber saldırı açıklaması: ‘Saldırıyı durdurduk’

Yorum yapın
Türkiye’nin 27 Ekim 2019 Pazar gününden itibaren yaşadığı siber saldırıyla ilgili ülkenin en büyük internet servis sağlayıcısı Türk Telekom’dan açıklama geldi. Teknoloji Genel Müdür
Yardımcısı Yusuf Kıraç’ın yaptığı yazılı açıklamada böyle bir siber saldırının dünyada pek çok kurum ve devletin dâhi başına gelebilecek bir saldırıya uğradıklarını ve Türk Telekom’un uzmanları tarafından saldırının durdurulduğu belirtildi.
“Ülkemizin en büyük Siber Güvenlik Merkezine sahip olan şirketimizin aldığı önlemlerle yurt içi ve yurt
dışı internet trafiği herhangi bir olumsuzluğa meydan vermeksizin normal seyrinde devam
etmektedir. Diğer operatör ve servis sağlayıcılarını da etkilemiş olan saldırıya karşı bu kuruluşlar da bildiğimiz kadarıyla gereken çalışmaları yürütmektedirler.” ifadelerinin yer aldığı açıklamadan Türk Telekom’un diğer operatör ve servis sağlayıcılar ile saldırı konusunda bir operasyonel bir iş birliğine gitmediği anlaşıldı.

Garanti BBVA’dan ses yok

Siber Bülten’e bilgi veren uzmanlar, siber saldırının hedefinde olan Garanti BBVA Bankası’nın spoof edilmiş IP adresleri ile DDoS saldırısına uğradığını söyledi. TCP 3way handshake istekleri ile TCP oturumu sağlanmaya çalışılırken kaynak adresi manipüle edilmiş paketler hem hedef sunucuya saldırı gerçekleştirilmesini hem de hedef sunucunun da başka bir yere saldırmasının sağlandığı bu tür saldırılarda Garanti sunucularından diğer kurumlara DDoS saldırıları yönlendiriliyor.
Garanti BBVA ise, en son pazar günü attığı Tweet ile açıklama yaparak “Dijital hizmetlerimize yönelik yoğun internet trafiği nedeniyle dijital kanallarımızda erişim sıkıntısı yaşamaktayız. İnternet servis sağlayıcılarımızla beraber sorunu gidermek için çalışıyoruz. Müşterilerimizin yaşadığı mağduriyet için özür dileriz” ifadelerini kullanmıştı.

“Benzer durumlar her zaman olabilir” 

Türk Telekom’dan yapılan açıklamaya şöyle devam edildi:
“Benzer durumlar her zaman olabilir. Önemli olan buna karşı hazırlıklı olmaktır. Türk Telekom’un her
türden saldırıya karşı savunma sistemi sağlamdır. Vatandaşlarımızın iletişim teknolojilerinden huzur içinde yararlanması birinci önceliğimizdir.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Saldırılar

‘Şehir hacklemek’ moda oldu: Saldırganlar Johannesburg için 4 Bitcoin istedi

Yorum yapın
ABD’de yerel hükümetlere yönelik siber saldırıların hafızalardaki yeri henüz tazeyken benzer bir haber bu sefer Güney Afrika’nın en büyük şehri Johannesburg’dan geldi.
Kendilerine ‘Shadow Kill Hackers’ adını veren siber saldırgan grubu, şehrin yönetimine gönderdikleri mesajda Johannesburg’un hassas bilgilerini ve sunucularını hacklediklerini iddia ederek ‘Şehrin içerisinde bir çok arka kapı açıklığına sahibiz. Şehrinizdeki her şeyin kontrolü bizde…’ ifadelerini kullandılar.
Şehir yönetiminde görevli olan çalışanların bilgisayarlarında görünen mesaj:
Saldırganlar ellerindeki verileri internete yüklememek için yerel saate göre, pazartesi akşam 5’e kadar süre verip 4 Bitcoin istediler.
Yönetim ise tüm IT altyapısını offline’a çekerek saldırıya ilk karşılığını vermiş oldu. Ödeme portallerinden, web sitelerine kadar tüm elektronik hizmetler askıya alınmış oldu.

Dört ay içerisindeki ikinci saldırı

Johannesburg şehir yönetimi Temmuz ayında çalışanların bilgisayarların şifrelendiği başka bir fidye yazılım saldırısı ile karşı karşıya kalmıştı. Şehrin elektrik dağıtım hatlarını da hedef alan saldırı sonucu insanlar bir kaç gün boyunca elektriksiz kalmıştı. Temmuz saldırısının aksine son saldırı da çalışanların bilgisayarları şifrelenmedi.
Bu arada Güney Afrika’nın iki büyük bankasına da DDoS saldırıları gerçekleşti. Uzmanlar, bu saldırıların şehir yönetimini hedef alan saldırıdan bağımsız olduğunu düşünüyor.

 Siber Bülten abone listesine kaydolmak için formu doldurunuz