Türkiye’nin Botnet Durumu

 

Türkiye’nin EMEA bölgesinde botnet barındırma sıralamasında ilk sırada olduğunu gösteren bir rapor yayınlandı. Şehirler sıralamasında ise İstanbul ve Ankara en fazla botnet bulunan ilk iki şehir.

turkey-botnet

Kaynak: Symantec EMEA DDoS Report

Saldırganların botnet kullanım amaçları ve yöntemlerini daha iyi anlamamız gerekiyor. Son zamanlarda çok bahsettiğimiz hedefli saldırılardan öncesinde saldırganlar da yaygın bir kitleye ulaşmayı hedefliyorlardı.

Botnet’ler eskiden beri sadece DDoS saldırıları için kullanılmıyorlar. Bulaşılan sistemdeki kredi kartı bilgilerini, e-posta hesap bilgilerini veya saldırgan için yararlı olabilecek çeşitli verileri almak için de kullanılmaktalar.

Son yıllarda çoğunlukla hedefli saldırıların engellenmesindeki zorluğu aşmayı belki de bir teknik bir becerinin göstergesi ve rekabet gördüğümüz için çok odaklandık ama geleneksel tehditler de yakamızı bırakmış değil. Teknikler geleneksel olsa da, yeni altın madeni bulaşılan sistemdeki bilgi olduğu için, saldırganlar da “serpme” yaptıktan sonra bulaşılan sistemleri tek tek inceliyorlar. Bu sistemlerin bir banka çalışanının veya kamu görevlisinin bilgisayarı olup olmadığını, sistemlerde kaldıraç olarak kullanabilecekleri herhangi bir bilgi kırıntısı bulunup bulunmadığına bakıyorlar. Eğer bulaştığı sistem “kayda değer bilgiler” barındırıyorsa veya yayılmaya değer bir ağa bağlıysa; bu sistemlerle özel olarak ilgilenmeye içeride yayılmaya başlıyorlar. Buraya kadar hedefli olmayan ve rastgele yayılan saldırganın adımları bu aşamadan sonra gelişmiş hedefli saldırılardaki “kill-chain” dediğimiz ölüm zincirinin devamı oluyor.

 

Hedefli Saldiri Zinciri

 

Botnet’lerin/zararlı yazılımların sadece DDoS saldırıları sayesinde oluşturdukları etkileri çeşitli küresel şirketlerin hizmet veremez hale gelmesinde uzaktan görmüştük. Rusya ile yaşanan uçak krizinin hemen akabinde de DDoS saldırılarının bankalarımız ve kamu sistemlerimizdeki etkisini kendi ülkemizde yaşamış olduk. Bu esnada ortaya çıkan bazı veriler, DDoS saldırılarını gerçekleştiren botnet’lerin ciddi bir kısmının da Türkiye’de konuşlanmış olduğuydu; yani içeriden vurulduk.

Botnet’ler/zararlı yazılımlar eliyle DDoS saldırısı yapabilme kabiliyetinin artık stratejik bir güç veya en hafif değerlendirmeyle siber operasyon kabiliyeti olarak tanımlandığı bir dönemdeyiz. Ofansif olarak bu güce sahip olmak gerektiği gibi, defansif olarak hem DDoS’la hem de bunun asıl kaynağı olan botnet’lerle mücadeleye yoğunluk vermemiz gerekiyor. Botnet’lerle mücadele edilmesi hem ülke içi ağlardan kaynaklanacak DDoS saldırılarının önüne geçecek hem de serpme saldırılarla kritik verilerin sızdırılmasını engelleyecektir.

EMEA botnet istatistiklerinde şehir sıralamasında Ankara’nın ikinci sırada olması kabul edilebilir bir durum değil. Ankara’daki sistemlerin büyük oranda kamu ve üniversite sistemleri olduğunu düşünürsek, botnet bulaşma adedinin EMEA’da ikinci sırada olması demek; kamu sistemlerimizin ve akademik ağlarımızın botnet’e dahil olmak bir yana; zararlı yazılım kaynadığını gösteriyor. Bu zararlı yazılımlarla bilgi çalma ve izleme operasyonları yapılabileceği, bulaşılan kurumlarda saldırganların yatay ve derinlemesine erişim elde etmeye devam edeceği de düşünülürse aslında siber casusluk için deney tahtası haline geldiğimiz değerlendirmesini yapmak isabetli olur.

Botnet ile mücadele etmek elbette kolay değil. Sadece ISP’lerle çözülebilecek bir konu da değil. Son kullanıcının bilinçlendirilmesi de bu işin bir bacağı, ISP’lerin zararlı yazılım yayılmasını engellemek için tehdit istihbaratı üretip, trafik analizi ve zararlı yazılım tespit sistemleri kullanmaları da bu bu işin bir bacağı. Çok boyutlu ve katmanlı yaklaşım gerektiriyor.

Telekom operatörleri seviyesinde DDoS ile mücadele etmek için güvenlik önlemleri alınsa da; ülke içerisindeki botnet’lerle, zararlı yazılımlarla mücadele etmedikçe hem ülke içinde kaynağı olan DDoS saldırılarına karşı anlamlı bir çözüm elde edemeyiz hem de siber espiyonaj için herhangi bir tedbir almamış oluruz.

Siber kabiliyetlerin caydırıcı güç olarak kullanıldığı, devletler arası ilişkilerde artan gerginlikte bir kademe olarak kullanıldığı çağdayız. Bunun kabiliyetin en görünüz yüzü DDoS, arkasındaki altyapı ise zararlı yazılımlarla oluşturulan botnet’ler. Hem kurumların hem de güvenlik çözümleri sağlayanların öncelikleri belirlerken bu konuya ağırlık vermesi gerekli.

 

 

Milli Güvenlik Kurulu Bildirisinde Siber Tehditler

Sonunda “devletin” en üst makamlarının koordinasyonunun sağlandığı Milli Güvenlik Kurulu’nun gündemine “Siber Tehditler” de alındı ve artık resmi olarak tehdit algısı olarak kaydedildi.

Milli Güvenlik Kurulu’nun 19 Ekim tarihli bildirisindeki son madde şu şekilde:

“Toplantıda son olarak, küresel düzeyde ciddi boyutlara ulaşan siber tehdit ve bu tehdidin ülkemizin güvenliğine etkileri değerlendirilmiş, bu tür tehditlerin engellenmesi ve siber güvenliğimizin sağlanmasına yönelik ulusal düzeyde koordinasyon ve uluslararası düzeyde işbirliğinin gerekliliğine vurgu yapılmıştır.”

Duyduğuma göre UDH Bakanı Binali Bey de bu konuda bir sunum yapmak üzere MGK’ya davet edildi ve konuyla ilgili brifing verdi.

Güzel gelişme, sonraki adım artık “Ulusal Siber Koordinasyon Kurulu”‘nun resmi olarak faaliyete geçmesi.

 

USB Stick Bomb!

Regeneration

Kaçınılmaz olan değişim, yöntemleri iyice sivriltiyor. Savaşın kuralları, kuralların doğası değişiyor. Vazifesi korumak olanın sığınak aramaya başladığı günlerdeyiz, sadece kuvvetli şekilde dillendirilmiyor bu durum.

^^

Asimetrik savaşa henüz yeni adapte olmaya çalışan devletler, asimetrik savaşın çok daha farklı bir türüyle karşı karşıya kalınca elbette şaşırdılar. Bu aslında devletlerin kendi eliyle teşvik ettiği teknolojinin ve internetin yan ürünüydü. Otuz yıldır siber savaş üzerine senaryolar, bilim kurgu filmleri ve romanları üretilmesine rağmen; son gelinen noktada devletlerin istihbarat birimlerinin dahi bu asimetrik savaşta kendi gizli bilgilerini koruyamadığını görüyoruz.

Otuz yıldır bu konu her alanda insanın aklına işlendiği ve artık gerçekleşebilir olarak etiketlendiği halde hala bu konuda yüksek zafiyete sahip olunması, hala asimetrik savaşı sadece geleneksel yöntemlerle bekleyen ve bu şekilde engellemeye çalışan şeflerin mi kabahati? Yoksa bu konuda interneti teşvik ettiği kadar kendisinin ve halkının güvenliğini umursamayan daha üst iradenin eksiği mi? Veya bunu kasıtlı olarak çarpık büyüten ve ileride bu zaafımızı kullanmak isteyen düşmanların çabası mı?

Şu anda bu konunun idaresindeki en yetkili kişiler, geleneksel sistemlerle ömrünü geçirdiler. Onlar belki de soğuk savaş yöntemlerinin uzmanı. Belki de 90’larda değişen dengeleri, değerleri, yeni düşman tanımlarını en iyi anlayan ve belki de şekillendirenler. En nihayetinde, elektronik sistemleri ve teknolojiyi sadece yan araç olarak kullanmış kişiler.

Korunmaya çalıştıkları kişilerse doğumuyla birlikte bilgisayarla, bilgisayar oyunlarıyla, elektronik sistemlerle yaşamaya başlamış ve onları anlayabilen insanlar. Bilgisayarla, elektronikle tüm hayatını şekillendirmiş kişiler. İnternet, siber kültür, hacking, cyberpunk, onların zaten doğal yaşam ortamı.

Bu senaryo tıpkı Vietnam’da düzenli ordunun gerilla savaşı karşısında hezimete uğramasına benziyor. Sizin için savaş ve korku demek olan bir bölge, sizin düşmanınız için doğal yaşam alanı. Onun nefes aldığı, avucunun içi gibi bildiği yer. En kabiliyetli generalin bile yapabilecekleri, vasatın üzerine çıkamaz.

Nesil değişiyor, yöntemler değişiyor. Eski yaklaşımların, yeni nesil savaşta ve müdafaada yeri yok. Ayak uydurmayan komik duruma düşer.