Şeyler saldırdı (Things attacked)

21 Ekim 2016 Cuma günü öğleden sonra bir sosyal medya platformu olan Twitter’a ulaşamayan herkes neler oluyor yine demeye başlamıştır. İlk akla gelen de ülkemizde Twitter’a erişim yasağı uygulanması olmuştur büyük ihtimalle. Neler oluyor dedirten Twitter’a ulaşılamamasıydı, halbuki ulaşılamayan sadece Twitter değildi, içlerinde Spotify, Shopify, AirBnB, Pinterest, Starbucks, Box, Github, CNN, The New York Times, Business Insider, Yelp, Wired, Reddit, Playstation Network ve daha birçok sayıda siteye de ulaşılamıyordu. Az bir zaman sonra sebebi belli oldu, Dyn isimli DNS servis sağlayıcısına yapılan DDoS saldırılarının sonucuydu olanlar.

Dyn bir DNS şirketi. Bu alanda hizmet veren çok sayıda şirketten en büyüklerinden bir tanesi. Dyn saldırıya uğradığında buradan hizmet alan herkes saldırıya uğramış oluyor. 21 Ekim akşamı Dyn saldırıya uğradığında buradan hizmet alanlara erişilemez oluyor.

DNS (Domain Name System : Alan Adı Sistemi), “Internetin Adres Defteri” olarak tanımlanabilir. Okunabilir adresleri Internet adreslerine çeviren bir sistem. Siz kullandığınız web tarayıcınıza bir isim yazdığınızda o isme ait siteye ulaşmanızı sağlayan bir adres defteri.

( Isc.sans.edu =>  66.35.59.249, 2607:f1c0:846:9100::15c )

Eğer bu hizmet sağlayıcı devre dışı kalıp hizmet veremez duruma gelirse, sizin web tarayıcınızdan yaptığınız istekler de adres defteri devre dışı kaldığından istenilen adresi bulamaz, erişemez.

Dyn hizmetini bir çok datacenter üzerinden vererek sağlayan ve sürekliliği/yedekliliği sağlamak için çok çeşitli teknikler kullanan bir DNS servis sağlayıcı. Dyn kadar büyük olunca başka türlüsü de düşünülemez zaten.

DDoS (Distributed Denial of Service – Dağıtılmış Hizmet Önleyici) saldırıları, pek çok farklı kaynak kullanarak, aynı anda çok sayıda talep göndererek hedef internet sitesini ya da bu örnekteki gibi bir DNS Servis Sağlayıcısının çalışmasını önlemeye yönelik saldırılardır. Amaç, hedef site ya da servisi çok sayıda oluşturulan taleple meşgul ederek erişilmesini yada çalışmasını engellemektir. Bu saldırı sürecinde normal bir kullanıcın talepleri de cevaplanamaz hatta mevcut durumun daha kötüleşmesine yol açar. Örnekleyecek olursak; İstanbul’da akşam trafiğinde köprüye normalden en az 10 kat aracın köprüye gidebilen tüm yollardan yöneldiği bir durumu düşünebiliriz. Köprü erişilmez olur, trafikte köprüye yönelen her araç ayrıca köprü trafiğinin daha da sıkışmasına yol açar. Ülke içinde trafikteki araçlardan üçte birinin tüm yollardan İstanbul’a yöneldiğini düşünün; İstanbul erişilmez olur.

Saldırıyı üstlenen olmadı ilk başlarda. New World Hackers isimli bir grup üstlendiğini açıkladı şimdiye kadar. Bu çaptaki saldırıları kim yapıyor sorusu her DDoS saldırısından sonra cevaplanmaya çalışılır. Her saldırı sonrası açıklanan da bağımsız(!) bir hacker grubu tarafından yapıldığıdır. Kim oldukları belirsiz, tanımsız ve de bağımsız(!) bir grup insan. Ya da saldırı yapılan ülkeye zarar vermeye çalışan bir terör örgütü. DDoS saldırıları sürekli olan saldırılardır. Son zamanlarda daha fazla sayıda örneğini görmeye başladık. 21 Ekim 2016 tarihindeki saldırıyı herhalde tüm kaynaklar şimdiye kadar olan en büyük saldırı olarak tanımlamıştır. Dyn ile birlikte alarma geçen ABD yönetimi saldırının sorumlularının tespit edilmesine yönelik gerekli çalışmaların yapıldığını açıkladı ve hala bir isim açıklamış değil.

ekran-resmi-2016-10-24-00-52-12

Bu saldırıdan etkilenen ülke en fazla ABD oldu. Ekonomik zararın en az 8 milyar doları bulduğu ifade ediliyor. Ekonomik olarak ortaya ciddi bir zarar çıksa da saldırıda hedeflenen ana amacın ABD ye ekonomik zarar vermek olmadığını düşünenlerdenim. En büyük bir DNS Servis Sağlayıcı üzerinden bir ülkenin siber uzayında neler yapılabileceğini gösteren, siber uzayının istila edilmesine yönelik bir prova yapıldı sanki.

Dyn tarafından yapılan resmi açıklamaya göre 21 Ekim 2016 11.10 UTC olarak başlayan saldırı aynı gün 22.17 UTC olarak sona erdi ve üç evre halinde gerçekleşti. İlk saldırı kısa bir süre içinde Dyn tarafından savuşturuldu, ancak saldırganlar buna hazırdı, hemen ikinci saldırıya geçtiler, ardından çok güçlü bir üçüncü saldırı yapıldı.

( https://www.dynstatus.com/incidents/nlr4yrr162t8 )

Bu çaptaki bir DDoS saldırısı için çok fazla sayıda istemcinin hedefe yönlendirilmesi gerekmekte. İlk başlarda nereden çıktı bu kadar istemci sorusu hemen oluşmuştu. Bu kadar çok kaynağı kullananların kaynak olarak şeylerin internet ağını (Internet of Things) kullandığı ortaya çıktı kısa bir süre içinde. İşin özeti; bildiğimiz klasik istemcilerle birlikte şeyler saldırdı. Internet of Things (IoT) başlığı altında çok 2-3 yıldır yoğun konuşmaya başladığımız bu küçük IP tabanlı cihazlarla akıllı bir sürü iş yapmayı düşünen bir durumdayken yavaş yavaş bu cihazların güvenlik konusunu da konuşmaya başlamıştık. Bu saldırı ile birlikte bunun ne kadar ciddi bir konu olduğu net bir şekilde ortaya çıktı. Yapılan tahminlerde 2020 yılına kadar 50 milyar gibi bir rakama çıkacağı varsayılan bu IoT cihazlar  nasıl oldu da böyle bir saldırıda kullanıldı? Üretimi ucuz olan bu cihazların, güvenlik konusunda da çok da başarılı bir şekilde yeterli şekilde güvenlik önlemleri alınarak (hem firmware hem de üzerindeki embedded işletim sistemi bazında) piyasaya sürüldükleri söylenemez. Bu olayda şu ana kadar belli olan Mirai adı verilen bir malware ile bu cihazların ele geçirildiği ve bu DDoS saldırısında kullanıldığı varsayılmaktadır. ( https://en.wikipedia.org/wiki/Mirai_(malware) ) Mirai ile ele geçirilen bu cihazlarla oluşturulan saldırı ağına “Botnet of Things” diyebiliriz. Mirai , İnternette tarama yaparak bulduğu cihazlarda bu cihazlar üretilirken konulan standart (default) kullanıcı adı ve şifre ile veya cihazın içine kodlanmış şifreleri kullanıp erişim ve kontrol sağlamış. Pek çok cihazın genelde ilk kurulumdaki şifre ile bırakıldığı bilinen bir gerçektir. Maalesef bir kısım üretici de firmware e gömülü olarak standart şifreler de bırakmaktadır.

Aşağıdaki resimde saldırıda kullanılan cihazların hangi ülkelerde ve hangi yoğunlukta olduğu görülmektedir.

cvdcmphwcaa3dkw 

IoT cihazların böyle bir saldırıda ilk defa kullanılmadığı, daha önce başka örnekler olduğu da görülmektedir. Kasım 2014 de Kore’de bir DDoS saldırısı sonrası yapılan analizlerde bu tür cihazların kullanıldığı tespit edilmiş durumda.

( http://www.slideshare.net/skim71/ddos-attack-on-dns-using-infected-iot-devices )

Şimdilerde herkes yoğun olarak Mirai ile etkilenen hangi cihazlar var diye incelemelerde bulunmakta. Bu sorunun cevabı şu anda ne tür ne de adet olarak belli değil.

Ağırlıklı olarak Çin’li bir üreticinin ürettiği cihazların etkilenmesinden dolayı gözler biraz daha fazla Çin’e doğru çevrilmiş durumda. Aynı problem sadece adı geçen Çin’li üreticinin ürettiği cihazlarda değil aslında bir çok cihazda aynı problem bulunmakta.

Bu olayda bu cihazlar hedeflenmiş bir DDoS saldırısı için sadece bir istemde bulunmak için kullanıldılar. Bu güvenlik zafiyetini kullanarak bu olayda kullanılan cihazlar içinde bulunan IP tabanlı güvenlik kameralarından görüntüler de elde edilebilir, ya da fırını çalıştıran akıllı ev sistemindeki cihazla fırın sıcaklığı en üst düzeye de getirilebilinir diye de düşünmek gerekmez mi?

İyimser rakamlarla 2020 yılında 50 milyar adete ulaşacağı düşünülen IoT tabanlı cihazlar için güvenlik kritik bir parametredir, üzerinde önemle durulmalıdır. Aksi, bu kadar çok bir sayıya ulaşacak cihazlarla internet tamamen kullanılamaz hale bile getirilebilir.

Bu olay açıkça göstermiştir ki; DNS, internet için bir kritik altyapıdır ve güvenliğini/sürekliliğini sağlamak için tekrar bir şeyler düşünmek/tasarlamak gerekmektedir.

DDoS saldırılarını savuşturmak için ülkeler her şeyi baştan düşünmek ve koordine etmek zorunda kalacaklar ve anti-DDoS servis sağlayıcılarla ortak hareket edecek yollar/yöntemler bulmak zorunda kalacaklardır.

Çok büyük ölçekli DDoS saldırılarını ciddi bir yardımlaşma olmadan atlatmak/savuşturmak artık çok zordur.

21 Ekim 2016 saldırısı ülkelerin siber güvenlik stratejilerini gözden geçirmeyi zorunlu hale getirecektir.

DDoS saldırılarını savuşturmak için ülkeler her şeyi baştan düşünmek ve koordine etmek zorunda kalacaklar ve anti-DDoS servis sağlayıcılarla ortak hareket edecek yollar/yöntemler bulmak zorunda kalacaklardır. 

Bulut dönüşümün yaşandığı bir süreçte bu tip bir erişme problemi e-dünyada ne tür aksaklıklar yaratır sorusu da ortadadır.

 

İnsanlara etkili mobil çalışma ortamları hazırlamak gerekiyor…

Günümüz itibariyle artık çalışma ortamı ofislerle sınırlı değil. Çalışanlar artık sürekli

hareket halindeler. Eskiye gore de herzamankinden daha fazla bir şekilde ellerindeki

“akıllı” cihazlarla işlerini gerçekleştirmek talebindeler. Forrester’a gore (1) bilgi

işçilerinin %61i ofis dışında çalışıyor ve ek olarak home ofis olarak çalışanların sayısı

da önümüzdeki 5 yılda %63 gibi bir oranda artış gösterecek.

Devamını Oku

Sony Pictures’ın hack edilmesi ve “ayrıcalıklı” hesaplar

2014 yılında yaşanan en ciddi bilgi güvenliği ihlali nedir diye sorduğunuzda birçok

kişi Sony Pictures diyecektir. Çok ciddi gündem oldu/oluyor ve hatta ülkeleri bile

karşı karşıya getirdi.

 

Sony Pictures’ın hack edilmesine yönelik bugüne kadar bir sürü şey söylendi,

söylenmeye de devam ediyor. Benim gördüğüm ise en kesin söylenebilecek lerin,

Sony Pictures’da kötü korunan, yapılandırılmamış tonlarca veri olduğu ve bu

saldırıyı yapanların verilere erişmek için ayrıcalıklı (privileged) hesapları

kullandığıdır.

Görünen o ki, Sony’de 2000li yılların başından beri oluşan veriler bulunuyordu.

 

Peki, bu veriler/dökümanlar açıkta ne yapıyordu? Niye açıkta duruyorlardı?

 

Bu kadar eskiden beri oluşan bu verilere günlük olarak erişilmesi gereken

durumlar ve erişmesi gereken Sony çalışanları mı vardı?

 

Devamını Oku