İnternette savaş tamtamları: Çin ve Rusya ABD'ye mi saldırdı?

ABD ve Batı Avrupa'ya yönelik büyük çaplı saldırının arkasında kim var? Devletlerin siber savaş birimleri mi? Yoksa fazla gelişmiş internet korsanları mı?
Eli David Koyuncu
Cumartesi, 29 Ekim 2016 10:08

21 Ekim 2016 tarihinde, ABD ve Batı Avrupa’daki pek çok şirkete DNS (Domain Name System) hizmetini veren Dyn adlı firma büyük çaplı ve şimdiye kadar görülmemiş yöntemler ile gerçekleştirilen bir siber saldırıya uğradı. Bu saldırılar sonucunda, Dyn üzerinden DNS hizmeti alan Netflix, Spotify, Reddit, CNN, PayPal, Twitter, the Guardian, the New York Times ve Pinterest gibi kurumların web sitelerine erişilemedi.

Bu “yeni nesil” siber saldırılar sonucunda, Avrupa ve ABD’nin Batı sahil kesimlerindeki Internet erişimi ve hizmetleri durma noktasına geldi. Konuyla ilgili olarak açıklama yapan Dyn firması, saldırıya ilişkin şu detayları verdi:

  • Saldırı, “Mirai Botnet” olarak da bilinen 100,000 kadar ağ ve bu ağlara bağlı on milyonlarca cihaz tarafından gerçekleştirildi. Aşağıdaki harita, hacker’lar tarafından ele geçirilmiş cihazlardan sadece bir kısmının küresel dağılımını göstermekte. (Hacker’ların denetiminde olan bu cihazlara, “booter” veya “zombi” de deniyor. Yazının devamında, “booter” terimini bolca kullanacağız)

  • Siber suçları takip eden Brian Kreps’e göre, booter’lar üzerinden Dyn sunucularına gerçekleştrilen DDoS (“Distributed Denial of Service”) saldırılarının boyutu saniyede 600 giga byte idi. (Geçen ay, bir Fransız firması olan OVH’a yapılan saldırının boyutu 1TB/sn idi).
  • 21 Ekim tarihinde, biri 11:10-13:00, diğeri de 15:00-17:00 aralığında olmak üzere iki büyük saldırı gerçekleştirildi. Saldırının hedefi, temel DNS alt yapısıydı. Saldırı, DNS sorgulamalarının yapıldığı (TCP/UDP) 53 nolu port üzerinden gerçekleştirildi. Saldırı sonrasında, “probing” olarak bilinen ve sistemin güvenlik kapasitesini çözme yönünde bilgi toplama amaçlı olarak kullanılan ek girişimler de oldu.

Olay hakkındaki soruşturma halen devam ediyor. Şu ana kadar saldırıları üstlenen herhangi bir grup veya kişi olmadı. Konuyla ilgili olarak görüşü alınan uzmanlar, hacker grubundan daha çok, Rusya ve Çin Halk Cumhuriyeti gibi ülkelerin bu işte parmağının olduğunu belirtiyor.

Aşağıdaki haritalarda, saldırı sonucunda ABD ve Avrupa’da etkilenen bölgeler gösterilmiş:

Kaynak: [3] HackerNews.com

Kaynak: [4] krebsonsecurity.com

SALDIRILARI GERÇEKLEŞTİREN KİM?

Bu uzmanlardan biri olan Bruce Schneier, “Birileri Interneti Nasıl Kapatacağını Öğreniyor” başlıklı makalesinde [1], özetle şunları söylüyor:

“2016 yılının ikinci yarısıyla birlikte, siber saldırılar daha karmaşık, daha sık ve kalıcı hale geldi. DDoS saldırılarının yanı sıra, özel şirketler ve bazı devlet kurumlarının Internet servisi sağlayan cihaz ve sunucularına yönelik ‘sondalama’ [2] faaliyetleri de arttı. Yani, saldıranlar, hedefteki kurumun savunma yetenek ve kapasitelerini de anlamaya çalışıyorlar.

Peki, böyle bir şeyi kim yapar? Bu herhangi bir politik aktivistin, siber suçlunun veya araştırmacının işine benzemiyor. Özel şirket ve devlet kurumlarının güvenlik ve ağ alt yapılarının profilini çıkartmak, espiyonaj ve istihbarat toplama alanına girer. Büyük şirketlerin bu çapta bir işe kalkışması pek normal değil. Bu nedenden dolayı, ‘sondajlama’ girişimleri, şirket veya kişilerden daha çok, bu tür saldırıların arkasında devletlerin olabileceğini işaret ediyor. Sanki, bir ülkenin Siber-Komuta Kademesi, olası bir siber savaş öncesinde bilgi toplamaya ve ‘cephaneliğini’ geliştirmeye çalışıyor. Bu durum, bana ABD’nin Soğuk Savaş dönemindeki taktiklerini hatırlatıyor. ABD, Sovyet Hava Sahası üzerinde dolaştırdığı casus uçakları ile bu ülkenin radar ve hava savunma kapasitesini ölçmeye çalışıyordu.”

SALDIRI NASIL GERÇEKLEŞTİRİLDİ?

Dyn’ın DNS sunucuları ile birlikte ağ ve güvenlik alt yapısına yönelik bu saldırıların nasıl gerçekleştiğini açıklamadan önce, üç teknik konuyu açıklamamız gerekiyor:

- DDoS -- “Distributed Denial of Service”
- IoT – Internet of Things
- Botnet

Basit olarak açıklayacak olursak, DDoS saldırısı, çevrim içi olan bir sunucuya başedemeyeceği  kadar paket göndermektir. Bu saldırı, tek bir kaynaktan değil, hacker’ların kontrolü altına olan, “booter” veya “zombi” olarak bilinen yüz binlerce, hatta milyonlarca bilgisayar üzerinden yapılır. Bugünlerde bu iş ticarete de döndü. Hacker’lara “yüz binlik” veya “milyonluk” paket öneren booter servisleri de ayrı bir iş kolu olarak ortaya çıktı.

Botnet de, DDoS, adWare veya Spam saldırıları için kullanılan, ele geçirilmiş cihaz ve bilgisayarların olduğu ağdır.

IoT terimini sık sık duyuyoruz. Türkçe’mize “Nesnelerin Internet’i” olarak da kazandırılmış durumda. IoT; bir ağ üzerinden yönetilebilen CCTV, güvenlik alarmı, ısıtıcı kontrol ünitesi, vs. her türlü nesnenin (cihazın) birbirleriyle ve çevreleriyle iletişimini sağlayarak günlük hayatla bütünleştirilmesi olarak da tanımlanabilir.

Bu bilgileri aklımızda tutarak devam edelim...

Saldırının anna_senpai isimli bir hacker’ın [5] yönettiği Mirai Botnet üzerinden [6] gerçekleştirildiği iddia edilmektedir. Bu hacker’ın geliştirdiği sistemin özelliği, IoT cihazlarını hedef alması ve milyonlarca IoT cihazını DDoS saldırılarında kullanılabilecek “booter”lara dönüştürmesi.

Saldırılar, bu “zombileştirilmiş” IoT cihazları üzerinden gerçekleştirildi. IoT cihazlarının kullanılmasının ise üç basit nedeni var:

- Düşük güvenlik standartları,
- Cihazların güvenlik ve sistem yazılımlarının (“firmware”lerinin) neredeyse hiç yenilenmemesi,
- Her türlü saldırı ve manipulasyona açık olmaları

Bu anlamda, IoT dünyası, son derece güvensiz, saldırılara ve bu tür saldırılarda kullanılmaya açık. Örnek olsun; geçen Eylül ayında 1.5 milyon adet CCTV ele geçirilerek oluşturulan bir botnet, siber-güvenlik alanındaki yazıları ile tanınan ve hacker’ların baş belası haline gelen Brian Krebs’e yönelik saldırılar için kullanıldı [7].

“Yeni Nesil” olarak tanımladığımız türdeki DDoS saldırıları, aslında, kapitalizmin bir zaafiyetinden kaynaklanıyor: bu ucuz cihazları üreten ve satan da memnun, alan da. Şöyle ki; IoT cihazları, binlerce mekana, evlere, hastanelere, okullara, fabrikalara, iş yerlerine ve hatta sokaklara kuruluyor. On binlerce cihazdan bahsediyoruz. Bu ucuz cihazların hiçbirinde en ufak bir güvenlik yazılımı yok. Olan da bir işe yaramıyor zaten. Çevresi ile etkileşen ve birbirleri ile konuşan bu cihazların kullandığı güvenlik protokolleri de, cihazların donanımlarından dolayı, çok basit seviyede. Yani, evinizdeki ağa bağlı ısı kontrol sistemi üzerinde çalışan ağ yazılımı veya web servisi, düşük düzeyde bir hacker için bile kolay hedef. Cihazlar ucuz olduğu için, alıcı da memnun; alıcılar da bu cihazların sahip olmadığı güvenlik protokolleri konusunda endişelenmiyorlar. Onlar için önemli olan, aldıkları cihazın 10 Dolar’ı geçmemesi.

Bu konuda, Bruce Schenneir da şunu diyor [8]: “Bu cihazların yazılımı ve güvenliği son derece basit ve amatörce. Ve bu durum, ne alıcının ne de satıcının umurunda. Bu konuda hükümetimiz herhangi bir yasal düzenleme ve zorunluluk getirmedikçe, yapabileceğimiz bir şey yok”.

İşin özeti şu: ABD ve Batı Avrupa devletlerinin hükümetleri IoT güvenliği konusunda kalıcı adım atmadıktan, IoT üreticisi ve hizmeti veren firmaları bu konuda önlem almaya zorlamadıkları sürece böyle saldırılar olacak. Ve şimdilik bunun bir çözümü de yok!

ANNA_SENPAI & MIRAI

Peki, anna_senpai isimli hacker kimdir? Bruce Schneier’in iddia ettiği gibi bir devletin Siber Savaş Birimi’nden midir, yoksa kapitalizmin çarkına çomak sokan siber-aktivist veya –tam tersine- suçlu mudur?

21 Ekim Saldırılarından sonra, Hack Forums’da Mirai Botnet’in kodlarını GitHub üzerinde yayınladığını duyuran [9] anna_senpai ile ilgili pek çok spekülasyon var.

Peki, anna_senpai bu konuda ne diyor?

“Herkese merhaba!

DDoS ortamlarına ilk girdiğimde, amacım fazla kalmak değildi. Bu işten güzel para yaptım. Gözler IoT konusuna çevrilmiş durumda. Şimdi, s..ktir olup gitmenin zamanıdır. (...)

Evet, bugün sizin için kodları yayınlıyorum. Mirai ile, 380 bin adet bot istemciyi Telnet ile yönetebilirsiniz. (...)”

Sonuç olarak, sadece DDoS saldırısı değil, bu saldırı sonrasında yürütülen “sondajlama” girişimleri de hacker ve siber savaş hazırlığındaki devletlere önemli veriler sağlamakta. Özellikle, her anlamda güvenliksiz ve savunmasız IoT ağlarını kullanarak özel şirket ve resmi kurumların ağlarına saldırma pratiği, önümüzdeki günlerde yeni güvenlik önlemleri ile ilgili tartışmaları da körükleyecek nitelikte.

KAYNAKLAR

[1] "Someone Is Learning How to Take Down the Internet", Bruce Schneier, https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html

[2] Probing olarak da bilinir.

[3] "Massive DDoS Attack Against Dyn DNS Service Knocks Popular Sites Offline", http://thehackernews.com/2016/10/dyn-dns-ddos.html

[4] "Hacked Cameras, DVRs Powered Today’s Massive Internet Outage", https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-m...

[5] anna_sappai, Hack Forums, https://hackforums.net/showthread.php?tid=5420472

[6] Mirai Botnet Kaynak Kodları, https://github.com/jgamblin/Mirai-Source-Code

[7] "How 1.5 Million Connected Cameras Were Hijacked to Make an Unprecedented Botnet", https://motherboard.vice.com/read/15-million-connected-cameras-ddos-botn...

[8] "Security Economics of the Internet of Things", https://www.schneier.com/blog/archives/2016/10/security_econom_1.html

[9] "Source Code for IoT Botnet ‘Mirai’ Released", https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-rel...