DDOS Dosyası: Saldırı Ataklarında Hedef Kim, Nasıl Önlem Alınır?

Yazı dizimizin ilk bölümünde, Türkçe’ye ‘Dağıtık Servis Reddi’ olarak çevirilen DDOS (Distributed Denial of Service) saldırılarının DDOS’un asıl amacının, hedefteki sistemin ya da kurumun bir ya da birkaç servisini kesintiye uğratmak olduğunu söylemiştik.

DDOS ataklarının hedefindeki kurum(lar), etkilenen servis(ler), kesintinin zamanı, kesintinin süresi, servisi alan kullanıcılar, servisin yerel/global etkisi vb. göz önüne alındığında, bu saldırıların çok farklı amaçlar için yapıldığını söylemek mümkün.

Gelin şimdi DDOS ataklarının boyutlarına, ataklara karşı alınabilecek önlemlere birlikte bakalım:

Atakların hedefine dair:

Bu alanda faaliyet gösteren, ürün/teknoloji geliştiren kurumların raporlarına baktığımızda, son zamanlarda DDOS saldırılarının daha çok; jeopolitik gelişmeleri ve siyasi gündemleri etkilemek, fidye talep etmek, hayatı olumsuz etkilemek, rekabette avantajlı duruma geçmek için rakibi sekteye uğratmak ve ‘siber dünyadaki en etkin savaş aracı’ olarak kullanmak gibi amaçlarla düzenlendiğini görüyoruz.

Şu ana kadar açıklanan en büyük DDOS atağı GitHub isimli uygulama geliştiricileri tarafından çokça bilinen ve kaynak kodu yönetimi amaçlı kullanılan bir siteye, 2018 Şubat ayında yapıldı. Bunun yanı sıra; yine 2018 yılında, DDOS Engelleme Servisi veren firmalarca kayda geçen ancak; hedefin kim olduğu açıkça bilinmeyen bir DDOS atağı yaşandığı da tespit edildi.

Atak için kullanılan sistemlerin de her geçen gün ciddi değişimler gösterdiğini gözlemliyoruz. Bundan 4-5 yıl öncesine kadar bilerek ya da bilmeyerek yaratılan atağın bir parçası olan sistemler, ekseriyetle internete açık kullanıcı bilgisayarları ya da sunucular idi. Ancak 2016 Ekim ayında yaşanan ve ABD’nin doğu yakasını, Avrupa’yı ve dolaylı olarak da dünya çapında kullanılan başlıca sosyal medya uygulamalarını etkileyen bir atak yaşandı. ‘Alan Adı Hizmetleri' şirketi olan DYN Inc.’e yapılan ve DNS atağı olarak tarihe geçen bu atakta yoğun bir şekilde bilgisayar ya da sunucular yerine kapalı devre kamera sistemleri ve internetten erişilebilen kameralar -hemen hemen tümü de sahiplerinin bilgisi dışında- kullanıldı. Bu cihazların bütününe BotNet diyoruz (Robot Network – Robot Ağları) ve BotNet’ler her geçen gün daha sıklıkla kullanılıyor. DYN-DNS atağında Mirai isimli BotNet kullanıldı. Milyonlarca cihaz -yaygın bilinen adıyla IoT (Internet of Things – Nesnelerin İnterneti)- DYN servislerine milyarlarca internet paketi göndermek üzere bir merkezden ayarlandı ve yukarıda açıkladığımız kesintilere neden oldu.

Bu atakla başlayan bir trend ise artık daha da dikkat çekici hale gelmeye başladı. Akıllı ev sistemlerinden kameralara, cep telefonlarından modemlere kadar her gün ortalama 7,7 milyon IoT (Internet of Things) yani Nesnelerin İnterneti cihazının, internete bağlandığını biliyoruz. Maalesef birçok ürün yeterli güvenlik kontrollerini/fonksiyonlarını içermediğinden zafiyetler barındırıyor ve bu zafiyetler DDOS atakları için kötüye kullanılıyor.

Sistemler ya da yazılımlar üzerinde herhangi bir zafiyet fark edilip yayınlandıktan sonra, ortalama sadece 5 gün içerisinde bu zafiyeti içeren sistemler ele geçirip DDOS Atağı için kullanılacak bir “mühimmat” haline getirilebiliyor. Bu da DDOS ataklarının her geçen gün biraz daha uykuları kaçıran bir boyuta evrilmesine neden olacak gibi görünüyor.

Atakların hedefine de biraz değinelim. Aynı raporda, yılın aynı dönemine göre; uydu ve kablosuz haberleşme sistemlerine yapılan DDOS ataklarında %255 ve %193 oranında artış görülüyor. Haberleşme sektörüne bu ilginin dikkat çekici olduğu vurgulanıyor. Sektör sıralamasını Şekil 2’de görebilirsiniz.

Bazı enteresan hedeflerden de bahsedelim:

Üniversite öğrencileri sınavlara çalışmak yerine BotNet kiralayarak sınav sitelerini kesintiye uğratabiliyor ve sınavları erteletebiliyor. Ya da online oyun yarışmalarında, oyuncular rakiplerinin erişimini yavaşlatarak oyunu yeterince hızlı oynamamasını ya da tamamen oyun dışında kalmasını sağlıyor. Bu tür saldırılara da rastlamak mümkün…

Neler yapılıyor/yapılmalı?

Yazımızın son bölümünde ise DDOS ataklarına karşı ne tür önlemler alınabileceğine değinelim istiyorum. Sanırım önlemleri açıklamanın en güzel şekli, yazımızın ilk bölümünde de yer verdiğimiz gibi yine pizza üzerinden olacak. Site güvenliğinin binlerce pizza siparişiyle baş edemeyeceği duruma düşmemek için yapılacak birkaç şey var. Önerilerimiz pizza restoranlarının süreçlerine yönelik olmayacak tabii ki.

‘Güvenli pizza teslimatı’ analojisi üzerinden teknik yaklaşımları açıklamaya çalışacağız.

Birincisi pizza sipariş sürecini daha güvenli hale getirebiliriz. Örneğin; verilen her siparişi, pizzayı yola çıkarmadan hatta pişirmeden önce hem arayan numarayı hem de teslimatı alacak kişiyi arayarak teyit edersek; yollara binlerce pizza motoru göndermenin önüne geçebiliriz. Burada anlatmaya çalıştığımız konu; geliştirilen tüm teknolojik ürün, servis ve cihazın gerekli güvenlik kontrollerini içerdiğinden emin olmak ve konunun bu boyutunu sıkı ve düzenli olarak test etmek ihtiyacıdır. Ancak bu sayede; ürün, servis, protokol zafiyetlerinin önüne geçebilir ya da cihazların BotNetlere dahil edilerek DDOS ataklarında kullanılmasını engelleyebiliriz.

Diğer bir önlem ise yollar üzerinde alınacak tedbirleri içeriyor. Tüm pizza motorları bizim sitenin kapısına gelmeden önce caddelerde ya da sokaklarda bu anormal pizza motoru trafiğini fark edebilecek, bir gözlem/uyarı fonksiyonu olsa ve bu motorları bizim mahalleye gelmeden geri gönderebilsek sitenin güvenliği muhtemelen pek yoğunluk yaşamayacaktır. İnternet üzerinde bu kontrolleri; her şirket, her internet servis sağlayıcı kendi ağının giriş/çıkış kapılarında uyguladığında, bir DDOS saldırısı daha erken fark edilip engellenecek ve etkisi daha düşük olacaktır.

Günümüzde gerek uluslararası gerekse ulusal telekom servis sağlayıcılarına bu noktada önemli bir sorumluluk düşüyor. Servis sağlayıcıları yapılan teknoloji yatırımları, 7/24 izleme ve operasyon süreçleriyle hem müşterilerine gelebilecek atakları bertaraf etmeye çalışıyor hem de her ülke için kritik olan iletişim altyapısının ayakta kalmasına gayret ediyorlar. Bu önemli sorumluluk ve yaratacağı etkiden ötürü, Şekil-2’de de görüldüğü üzere iletişim altyapıları DDOS saldırılarının önemli hedefi olmuş ve olmaya da devam edecekmiş gibi görünüyor.

Sizlere bu yazımızda DDOS konusunu anlatmaya çalıştık. Umarız daha güvenli, daha zafiyetsiz işletilen; servis, ürün, cihazlar geliştirerek ve kullanarak, bu atakların ‘bir parçası/kurbanı olmak’ yerine yayılımının ve etkisinin azaldığı günleri görürüz.

Sonuçta hepimiz evimizde istediğimiz zaman, istediğimiz malzemeyle sadece istediğimiz kadar sıcak pizza yemek, yoğurt ve ekmek tatmak isteriz… :)

Son olarak dilerseniz NetScout Threat Intelligence Report-2019’a buradan ulaşabilirsiniz.

Güvenli günler dileğiyle…