Nic.TR Saldırısı Hakkında

Devletlerin birbirleriyle olan ilişkileri pamuk ipliğine bağlıdır çoğu zaman.. Geçmişten gelen bir kültür yada soy bağı yoksa çoğu zaman küçük gelişmelerde bu ilişkiler ciddi zararlar görebiliyor. Bazı gelişmelerde kültür ve geçmişten gelen bağ dahi bu gelişmelerin gölgesinde kalabiliyor ne yazık ki.. Şaşırtıcıdır ki en küçük çıkar odağında bu ilişkiler olumlu yönde gelişim gösterebilmektedir. Dünya ülke liderlerinin her 2 kelimesinin 1’i barış olsa da dünya üzerinde savaş ve kanla beslenen belirli kesimler vardır. Bu kesimler savaşların bitmesine asla izin vermeyecektir. Oysa ki savaşlara harcanan parayla dünya üzerinde yoksulluğun son bulacağı mukayese yeteneğine sahip herkesin görebileceği bir gerçektir.

21.yy’da bu devletler arası ilişkilerin gerilmesi durumunda farklı ekosistemler üzerinde bu gerilimler konvansiyonel olmayan savaşların yaşanmasına sebebiyet vermektedir. Bu ekosistemlerin başında ise şüphesiz siber dünya geliyor. Günümüzde birçok hizmet ve erişim altyapı sistemi bu hızlı ve daha az maliyetli dünyaya taşınmıştır. Hal böyle olunca çeşitli sebeplerden ötürü değişen devletsel ilişkilerin yansıması olarak devletlerin siber saldırı ekipleri yada aktivist gruplar tarafından karşı devletin erişim altyapısını hedef alan saldırılar düzenlenmektedir. Bu erişim altyapıları spesifikleştirelebileceği gibi basitçe düşündüğümüzde ülkenin internete bağlı sistemlerini hedef alan saldırı vektörleridir.

24 Kasım 2015 saat 09.24’te SU-24 tipi Rus uçağını sınır ihlali sebebiyle angajman kuralları çevresinde 2 Türk F-16’sı tarafından düşürüldü. Rus yetkililer tarafından uçağın sınırı ihlal etmediği savunuldu. Ancak bu olayı Rusya tarafından aydınlatacak karakutunun çipleri hasar gördüğü için verilerin analiz edilemediği kamuoyuna açıklandı. Akabinde bu olay Rusya tarafınca farklı odaklara çekilerek uluslararası kamuoyuna, Türkiye Cumhuriyeti Devleti’nin DAEŞ terör örgütü odaklı petrol ticaretiyle bölgeki kandan çıkar sağlayan ve bölgedeki ateşi harlayan devlet pozisyonundaymış gibi lanse edildi. Akabinde kitlesel olarak IRC sunucularında ve siber yeraltı dünyasında belirli marjinallerin başı çektiği #OPTurkey #OpISIS tagları altında saldırı organizasyonları düzenlenmeye başlandı. Başka bir deyişle karapropaganda amacına ulaşmıştı. Bu saldırıların organizatörlüğünü çokta yabancı olmadığımız Anonymous adlı aktivist hack grubu üstlendi. Hatta küstahlıkta daha ileri seviyeye gidilerek kendi iç ağımızdan yurttaşlarımızdan da bu saldırıya destek verilmesi istendi. Hatta bunun için Türk kullanıcıların bilgisayarlarını botnet ağına nasıl dahil edeceklerine dair eğitici videolar yayınlanarak paylaşıldı.

nic-tr-1

nic-tr-214 Aralık itibarıyla Anonymous grubu düğmeye bastı. Saat 12’de neredeyse tüm .tr uzantılı sitelere erişilemiyordu. Saldırı akıllıca planmıştı. .TR uzantılı domainlere yanıt veren ODTÜ‘ye ait 6 DNS sunucusu hedef alınmıştı. (DNS sunucusu; internet ağını oluşturan her birim sadece kendine ait bir IP adresine sahiptir. Bu IP adresleri kullanıcıların kullanımı için www.siteismi.com gibi kolay hatırlanır adreslere karşılık düşürülür. Bu işlem DNS (Alan Adı Sistemi) sunucuları aracılığıyla yapılmaktadır.) Zamanla bu sunucular aşırı istek yoğunluğundan ötürü isteklere cevap veremeyecek duruma geldi ve tüm .TR uzantılı domainlere erişim kesildi. Tam olarak da temel olarak planlanan buydu ülkeyi karanlığa ve kaosa itmek. Doğrusu kısmen de bu başarılı oldu.

ODTÜ 2’si kendi, 1’i RIPE, 1’i ULAKBİM, 1’i Vodafone A.Ş, 1’i 3C1B Telekom olmak üzere 6 adet sunucu üzerinden DNS sorgularını yanıtlamaktadır. Bu sunucular eşgüdümlü çalışıp sorgulara senkronize şekilde yanıt vermektedirler. (Herhangi birinde aksaklık olursa diğerleri hizmeti sırtlıyor.)

16:30 sularında pratik çözüm bulunamadığı için BGP mesajıyla yurtdışı lokasyondan gelen istekler engellenme yoluna gidildi. (BGP request ile yurtdışından gelen isteğe böyle bir sunucu yok mesajını vermek) Bu çözüm yoluyla kısa vadede yurtiçindeki sorgular ve işlemlerin devamlılığını sağlamak amaçlandı. İzlenen bu yol kısmen başarılı oldu ancak büyük de bir prestij kaybı oluşturdu.

15 Aralık sabahı 09:40 sularında yurtdışı erişimi aktif edildi. Buna binaen saldırılar katlanarak devam etti ve yer yer 200+ Gbps anlık link bant genişliklerine ulaşıldı. (Dünya’da görülen en yüksek DDoS saldırılarından biri.)
nic-tr-3Bu trafiği kaldıramayan sunucular yeniden hizmet veremeyecek duruma geldi. Bu durum yoğun saldırıdan diğer anterleri ve dolaylı ağları etkilenen RIPE (Regional Internet Registry) .TR uzantılı hizmet veren DNS sunucusunu kapatmak zorunda olduğunu duyurmaya itti ve RIPE, nic.tr DNS sunucusunu kapadı.

Saldırıların spooflanmış adreslerden TCP/UDP/DNS sorgu paketleri şeklinde kombinlenmiş halde geldiği görülmüştür. Bu saldırılar ULAKNET (Ulusal Akademik Ağ)‘i de olumsuz etkilediği için üniversitelerin iç ağında internet erişimi, mail aktarımı gibi çeşitli sorunlar görülmektedir. An itibarıyle saldırılar yoğun bir şekilde devam etmekte olup sorunun büyük ölçüde çözülmüş olduğu görülmekte ve nic.tr’nin normal hizmetine devam ettiği teyit edilmiştir.

nic-tr-4

 

Görülmesi Gerekenler

– Saldırı ciddi ve kritik boyutta bir DDoS saldırısıdır (200+ Gpbs), olaya ve akabinde gerçekleşebilecek durumlara karşı duyarlı olunmalıdır.

– .TR domain kaydını yapan ODTÜ BİDB bu saldırıların çevik olarak engellenmesinde tek başına sorumlu tutulamaz. Servis sağlayıcısı ODTÜ ile beraber TÜBİTAK, Vodafone ve 3C1B Telekomünikasyon bu olayda ODTÜ kadar sorumludur. Bu ISP servis sağlayıcıları ve Upstream operatörlerin bu tarz stratejik barındırmalar yaptığı için önceden çalışılmış kademeli saldırı engelleme stratejisi uygulamaları gerekmektedir. Aşırı güven ve alınmayan önlemler kriz kapıyı çaldığında faciaya dönüşmüştür.

– Alınan yoğun saldırıda iç anterlerin dışarıya kapatılması devletin üniversitelerine network erişimi yapan, üzerinde devletin alan adına Root DNS hizmeti veren ULAKBİM’in “ben yurtdışına cevap vermek zorunda değilim, önemli olan yurtiçi erişimidir” demesi gerçekten komik bir durumdur. “Bu ağları devlet korumayacakta ben mi koruyacağım?” sorusu ister istemez akla gelmektedir. Dışa erişim kapatılması bile başlı başına bir yetersizlik durumudur ve kismi fişi çektik mesajıdır.

– Saldırılar spooflanarak yani sahte IP adresleri kullanılarak dağınık biçimde yapıldığı için engellenmesi cidden güç saldırılardır. Ancak uluslararası arenada bu tarz saldırıları engelleyen kuruluşlar ve organizasyon şemaları mevcuttur. Bu trafik çeşitli Cloud güdümlü sistemlerde dolaştırılıp süzülerek iç ağa yansıtılabilirdi.

– Son yapılan hamle olarak sunuculara ANYCAST tekniği uygulanarak DNS sunucuların sayısı arttırılma yoluna gidilmiştir. Sayısı 6 olan sunucular 11 adede çıkarılmış ve alt dallanmalarla daha fazla sunucuya bölünmüştür. Eklenmesi gereken bir başka önlemde Web Browser dışı sorguların cevaplanmayacağı yönündedir.

– Ülkenin .TR domainlerini barındırma yükümlülüğünde olan böyle bir kuruluşun ve alt yüklenicilerinin periyodik olarak işin uzmanlarından çeşitli “Sızma Testleri” ve özellikle “DoS/DDoS saldırı testleri hakkında hizmet almıyorlar mı?” sorusunu sormadan geçemeyeceğiz.

– Yurtdışı erişimin kapatılıp bunun bir çözüm yöntemiymiş gibi kamuoyuna aktarılması bile başlı başına büyük bir yanlıştır. Bu tür çözümleri basit veri merkezleri yapmaktadır. Türkiye Cumhuriyeti bu kadar çaresiz bir ülke değildir! Amerika Birleşik Devletleri’nde çeşitli üçüncül firmaların bu ağı sorunsuzca yönetebilecek yetkinlikte olduğu gerçeği de kanıksanmamalıdır.

– ODTÜ ve üçüncül çalıştığı firmalar sınıfta kalmıştır. Her sene yapılan siber güvenlik eylem planının sadece aktivite olarak kaldığı net bir şekilde görülmüştür. Devletin teknik elemanları eksi not almıştır. Buradan çıkarılacak derslere iyi çalışılması gerekmektedir.

– Ülkemizde güvenlik hizmeti veren firmaların, Firewall vb. ürünleri sattığını düşünürsek çözüm üretemememizin ülkenin sadece satışın yapıldığı bir pazar olduğunu ve bu alanda üretmekten yoksun olduğunu göstermektedir.

Bu mesajlarımız iyi algılanmalıdır ve tüm devlet sistemlerinde özellikle siber güvenlik için artık ciddi bütçelerin ayırılması gerekmektedir.

Bu saldırı Ruslar öncülüğündeki Anonymous’un “fişide çektiririz” mesajıdır ve önlem alınmaya devam edilmezse bu bize çokta uzak değildir.

 

Yazan: Oğuzhan AKKAYA
Düzenleyen: İsmail SAYGILI

 

Ayrıca bknz. SİBER FARKINDALIK MANİFESTOSU

Pin It

6 thoughts on “Nic.TR Saldırısı Hakkında

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.