2015 yılının sonlarında, Rusya ile yaşadığımız "uçak krizi" doğal olarak internete de yansıdı. Her ne kadar kaynağı net bir biçimde bilinemese de, Türkiye internetine yurt dışı kaynaklı büyük bir siber saldırı hareketi başladı. Bu saldırılarda ilk hedef Türk bankaları oldu; pek çok büyük bankanın internet servisleri hizmet veremez hale geldi.
Peki ama bu saldıralar neden ve nasıl yapıldı; etkileri ne kadar büyük oldu; gerekli önlemleri almayı başardık mı? Tüm bu soruların cevabını, ADEO Bİlişim Danışmanlık Hizmetleri A.Ş. kurucularından olan Halil ÖZTÜRKCİ ile yaptığımız çok özel söyleşide bulmaya çalıştık. Umarız bu özel söyleşimiz, sizin kafanızda oluşan soru işaretlerini de giderecektir...
CHIP Online: Türkiye'ye yapılan siber saldırıların kaynağı neresi?
Halil ÖZTÜRKCİ: Bu tür saldırıların doğasından kaynaklı olarak orijinini tespit etmemiz neredeyse imkansız fakat bu saldırının arkasında Rusya'nın olduğu söyleniyor. Bu olası bir ihtimal ve Rusya'nın geçmişte yaptıklarına baktığımızda bu ihtimal daha da güçleniyor. Rusya'nın zamanında Estonya, Gürcistan ve Ukrayna'da yaptıkları ortada.
CO: Saldırıları üstlenen gruplar hangileri?
HÖ: Saldırıyı ilk günlerde üstlenen olmadı fakat birkaç gün sonra Anonymous'un bu saldırıyı üstlendiğine dair haberler geldi. Anonymous'un bu seviyede bir gücü var mı bilinmez ama bu işi organize edecek bir gücü olduğunu söyleyebiliriz. Ayrıca bu eylem başkaları tarafından gerçekleştirilmiş ve Anonymous tarafından üstlenilmiş de olabilir.
CO: Saldırılarda hangi yöntemler kullanıldı?
HÖ: Gerçekleşen ilk saldırıda DNS yükseltme saldırısı olarak bilinen ve dağıtık servis dışı bırakma saldırısı türünde olan bir saldırı yöntemi kullanıldı. Bu saldırıda kaynak IP adresi spoof edilmiş yani sahte bir IP adresi ile değiştirilmiş DNS sorgu paketleri kullanıldı ve DNS cevapları da spoof edilmiş IP adresine yani saldırganın ikinci hedef olarak seçtiği IP adresine gönderilir. Sonraki saldırıların yani özellikle birkaç bankayı hizmet veremez duruma getiren saldırıların da bir çeşit dağıtık servis dışı bırakma saldırısı olduğunu söyleyebiliriz.
"Ciddi bir itibar kaybına uğradık"
CO: Saldırılarla amaçlanan tam olarak neydi?
HÖ: Eğer bir ülkede siber ortam üzerinden yapacağınız saldırılar ile kargaşa veya kaos çıkartmak istiyorsanız hedefiniz kritik altyapı sistemleri olur. Siber saldırganlar da bu durumu çok iyi bilip özellikle finans, ulaşım, enerji gibi kritik altyapıları hedef alırlar ve bu sayede sokaktaki insanın hayatına da dokunacak bir saldırıyı gerçekleştirmiş olurlar. Amaç tam olarak buydu ve biraz da olsa hedeflerine ulaştılar.
CO: Saldırılara önlem olarak neler yapıldı; neler yapılmalıydı?
HÖ: Öncelikle ilk tepki olarak yurtdışından gelen DNS trafiğinin kesildiğini biliyoruz. Sonrasında ise dağıtık lokasyonlara yerleştirilmiş daha fazla sunucu ile hizmet verilmeye başlandı ve bu sayede saldırı bertaraf edildi. Yapılması gereken buydu bence ve yapıldı da. Burada eleştireceğimiz noktalardan biri şu; bu tür saldırılar ilk defa gerçekleşmedi dünyada ve NIC.TR yönetimi böyle bir saldırı için hazırlıklı değildi. Umarım işin ciddiyetini anlamışlardır.
CO: Saldırılara karşı alınan önlemler yeterli oldu mu?
HÖ: DNS yükseltme saldırıları için konuşursak şu an için yükü dağıtarak önlem alınmış gibi. Ama yeterli mi diye sorarsanız bu tür saldırılar için daha farklı önlemler alınabileceğini düşünüyorum ve bu konuda da çalışmaların başladığını biliyorum.
CO: Neden özellikle bankalar hedef alındı?
HÖ: Yukarıda da bahsettiğim gibi amaç bir ülkenin kritik altyapılarını servis veremez duruma getirip sokaktaki vatandaşın hayatına dokunacak kadar bir kargaşa ve kaos ortamı oluşturmak. Bunun için de ülkenin finans altyapısına yapılacak bir saldırı hem çok ses getirecek hem de ciddi manada maddi zararlara sebep olabilecekti ve bunları düşünerek seçildi.
CO: Saldırıların 2016 yılında devam etmesi bekleniyor mu?
HÖ: Ben saldırıların süreceğini ön görüyorum. Ne kadar sürer bunu kestirmek zor. Ayrıca yeni saldırıların öncekiler gibi servis dışı bırakma saldırısı olarak değil de daha hedefe odaklı ve gizli bilgileri ele geçirmeyi amaçlayan saldırılar olabileceğini düşünüyorum.
CO: Yapılan saldırılar, Türkiye'ye ne kadar zarar verdi?
HÖ: Öncelikle ciddi bir itibar kaybına uğradık ülke olarak. Ayrıca devam eden saldırılarla birlikte bunun maddi açıdan da kayıplarını gördük. Ama bence en önemlisi sokaktaki vatandaşa ilk kez bu kadar dokunan bir saldırı oldu. Kredi kartlarını kullanamadığı için benzincide mahsur kalan ya da ATM cihazlarından para çekemeyenleri gördük. Bütün bunları yan yana koyduğumuzda da bu saldırının ilerde gelebilecek daha büyük bir saldırının habercisi olduğunu söyleyebiliriz.
Halil ÖZTÜRKCİ kimdir?
15 yıldır IT sektöründe değişik görevlerde çalışan Halil ÖZTÜRKCİ, 13 yıldır güvenlik alanına yoğunlaşmış şekilde çalışmalarına devam etmektedir. Sektöründe lider olan bir çok kuruluşa ve kolluk kuvvetlerine eğitim ve danışmanlık hizmeti vermiş ve güvenlik projelerinde aktif rol üstlenmiştir.İlgilendiği konulardan bazıları; Bilgisayar ve Ağlarda Adli Bilişim (Computer and Network Forensic), Zararlı Kod Analizi (Malware Analysis), Network ve Uygulama Sızma Testleri (Network and Application Penetration Tests), IT Altyapılarında Regulasyon ve Uyumluluk Yönetimi (Regulation and Compliance Management for IT Systems).
ADEO Bİlişim Danışmanlık Hizmetleri A.Ş. kurucularından olan Halil ÖZTÜRKCİ, Microsoft tarafından son 8 yıldır Enterprise Security alanında "En Değerli Profesyonel" (MVP) ünvanına layık görülmüştür. Sahip olduğu diğer sertifikalar ise şunlardır: CISSP, GCFA, GPEN, GREM, CEH, CHFI, CCNP, CCSE, MCSE, HPCI.
Bahçeşehir Üniversitesi'nde Siber Güvenlik Yüksek Lisans Programında ve Bilgi Üniversitesi'nde Bilişim ve Teknoloji Hukuku Yüksek Lisans Programı'nda ve TOBB Üniversitesi'nde Bilgi Güvenliği Yüksek Lisans Programında öğretim görevlisi olarak rol alan Halil ÖZTÜRKCİ, aynı zamanda http://www.guvenliktv.org adresi üzerinden yayın yapan Güvenlik TV'nin yapımcı ve sunuculuğunu üstlenmektedir...