27 Ekim Pazar günü Türkiye siber saldırılar konusunda ciddi bir sınava girdi. Sınavı geçti mi kaldı mı söylemek bizim karar verebileceğimiz bir durum olmasa da sizlere dün neler yaşandı Türkiye de kimler siber saldırıdan etkilendi ?
14:30 – 16:00: Pazar günü Türkiye saati ile saat 14:30 da ilk yapılan tespitlere göre Turk Telekom yurt dışı çıkışlarında yoğun bir trafik sonucu paket kayıpları görülmeye başlandı. Bu trafik ‘in büyük bir bölümünün Garanti Bankasına geldiği ifade edilirken Garanti bankasını web servislerinde erişim sorunları yaşandığı tespit edildi. Saat 16:00’a kadar süren çalışmalar ile Türkiye yurt dışı bağlantılarında paket kayıpları yaşanarak erişim sağlanmaya devam edildi.
Gerekli müdahale ve önlemler alınırken paket kayıplarının mobil hatlar üzerinde de yaşandığı görülmüş Gsm operatörlerinde de anlık iletişim sorunları yaşandığı görülmüştür.
Yapılan incelemeler ve müdahaleler sırasında gelen yoğun trafiğin sebebinin DDoS saldırısı olduğu tespit edilerek gerekli önlemler için servis sağlayıcıları düğmeye basarak önlemlerini arttırmıştır. Gelen saldırının 100-150 GBit arasında olduğu ve up time sürekliliğinde sorunlar yarattığı net bir şekilde görülmüştür.
17:00-19:00: İlerleyen saatlerde yurt dışı bağlantılarında devam eden paket kayıpları ve Garanti bankasının web servislerinin sürekliliğinin stabil olmaması dikkat çekerken Garanti Bankası “Garanti BBVA” resmi twitter sayfasından 17:56 da bir açıklama yaparak “Dijital hizmetlerimize yönelik yoğun internet trafiği nedeniyle dijital kanallarımızda erişim sıkıntısı yaşamaktayız. İnternet servis sağlayıcılarımızla beraber sorunu gidermek için çalışıyoruz. Müşterilerimizin yaşadığı mağduriyet için özür dileriz.” bilgisini paylaştı.
Resim-1
19:00-22:00: Müdahale süreçleri devam ettiği bu saatlerde SPOOF IP yöntemi kullanılarak Garanti bankası IP adresleri taklit edilerek bir çok Türkiye’nin önde gelen bir çok servis sağlayıcısına ataklar gelmeye başladığı tespit edilmiştir. Saat 20:00 yaklaşırken yurt dışı trafiğinde artan paket kayıpları ve erişim sorunları sonunda Türkiye internet alt yapısında ciddi servis sürekliliği sorunları yaşanmış ancak kısa süre içerisinde USOM, SOME yetkilileri ve geri bildirim yapan servis sağlayıcılarının aldıkları ortak kararlar ile saldırı boyutları minimum seviyeye indirildiği bilgisi paylaşılmıştır. Bizlerinde yakından dahil olduğu bu süreçte alınan önlemler sonrası trafiğin normale döndüğü ve ilgili güvenlik servislerinde anlık yapılan düzenlemelerle bir çok servis sağlayıcı hızlı bir aksiyon göstererek saldırıdan en az seviyede trafik alarak yada hiç bu saldırılardan etkilenmeyerek atlatmıştır.
23:00 – 00:00: 23:00dan sonra yapılan incelemelerde yurt içi ve yurt dışı trafiklerinin normale döndüğü görülmüştür. Gece boyunca takip edilen trafik akışlarında tekrar bir yükselme görülmemiştir.
Bir çok sitede yazıldı çizildi ancak net olan bir durum var ki Türkiye bu çaplı bir saldırıda Turk Telekom ve benzeri sağlayıcıların hazırlıksız olduğudur. Yapılan açıklamalar hep alt yapımız uygun gerekli müdahaleleri gerçekleştiriyoruz yönünde olsa da eksik olan yolunda gitmeyen süreçler olduğu ortada olduğunu düşünüyorum. Doğru analiz ve doğru stratejiler ile süreçlerin yönetilmesi durumunda doğru cihazlar ile engellenemeyecek bir saldırı değildi.
Garanti Bankası neden hedef seçildi bilmiyorum ancak risk yönetimi kapsamında servislerini çok doğru yöneten Garanti Teknoloji ekibi risk almadı ve servis sürekliliğini gözden çıkarsa da bilgi güvenliğini ön planda tutarak güvenli olmayı tercih etti ve bence doğru bir strateji izledi.
Garanti Bankası’nın bugün yaptığı resmi açıklama ile aşağıdaki mesajı paylaştı.
Resim-2
Ek bilgiler:
DDoS nedir? Siber Saldırı Nedir ?
Distributed Denial of Service (DDoS) saldırıları adıyla bilinir. Bu tür saldırılar, bir şirketin web servisi yada uygulamasının çalışmasını sağlayan altyapı hedef alarak trafik yada kaynak kullanım kapasitesini artırıp web kaynağına birden çok istek paketleri göndererek web uygulamasının çok sayıda gelen talebe cevap verme kapasitesini aşmayı ve doğru şekilde işlemesini engellemeyi amaçlar.
SPOOF IP nedir?
İstenilen IP adresinden trafik gönderebilme işlemine IP spoofing , IP sahteciliği denir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
USOM Nedir ?
USOM, ülkemizde siber güvenlik olaylarına müdahalede ulusal ve uluslararası koordinasyonun sağlanması adına kurulmuştur. İnternet aktörleri, kolluk güçleri, uluslararası kuruluşlar, araştırma merkezleri ve özel sektör arasındaki iletişim ve koordinasyon USOM vasıtasıyla gerçekleştirilmektedir. USOM siber güvenlik olaylarına yönelik alarm, uyarı, duyuru faaliyetleri yapmakta, kritik sektörlere yönelik siber saldırıların önlenmesinde ulusal ve uluslararası koordinasyonu sağlamaktadır.
SOME Nedir ?
Kurumsal SOME’ler kurumlarına doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlüdürler. Kurumsal SOME’ler, siber olayların önlenmesi veya zararlarının azaltılmasına yönelik olarak, kurumlarının bilişim sistemlerinin kurulması, işletilmesi veya geliştirilmesi ile ilgili çalışmalarda teknik ve idari tedbirler konusunda öneri sunarlar.
Referanslar
TAGs: 27 Ekim siber saldırısı, Garantiye siber saldırı, 27 Ekim DD0S saldırısı, DDos Saldırısı, Spoof IP nedir, DDos Nedir,USOM Nedir,SOME Nedir?,Türkiye siber saldırı altında mı?,DDoS saldırısı nasıl yapılır?
Ozan Bey anlatımınız için çok teşekkürler