Bu yazımızda en tehlikeli siber saldırı türlerinden olan DDoS saldırısının tanımını ve örneklendirmesini yapacağız. Örnek olarak 2016 Ekim ayında New World Hackers adlı hacker grubu tarafından gerçekleştirilen, DNS sunucularının ve nesnelerin interneti’nin hedef alındığı oldukça büyük çaplı bir DDoS saldırısını inceleyeceğiz ve bu saldırıyı gerçekleştiren hackerlardan Kaputsky ile yapılan röportaja göz atacağız. Herkese şimdiden keyifli okumalar diliyorum.
New World Hackers, ABD’de 2016 Ekim ayında gerçekleşen Twitter, Amazon, PayPal ve Netflix gibi siteleri etkileyen siber saldırıyı üstlenen hacker grubu olarak ismini duyurmuştu. O tarihlerde bu saldırı, internette bugüne kadar gerçekleştirilen en geniş DDoS saldırılarından biri olarak nitelendiriliyordu.
BBC, Spotify, Twitter, Amazon, PayPal, Netflix ve Pinterest’in de aralarında bulunduğu birçok medya ve teknoloji şirketini hedef alan bu saldırıda New World Hackers grubu, internete bağlanan güvenlik kamerası, televizyon ve ölçüm cihazları kullanmış ve bu da oldukça ses getirmişti.
21 Ekim günü birçok Amerikan vatandaşı sabah uyandıklarında internet erişimlerindeki sorunu fark ettiler. Netflix’e girilemiyordu, PayPal’a girilemiyordu, Sony PlayStation’un online platformuna bağlanılamıyordu. Bu sorunlar hakkında tweet de atılamıyordu çünkü Twitter’a da girilemiyordu. Türkiyede de birçok web sitesine ulaşım sağlanamamıştı.
FBI o sırada Çin ve Rusya’nın saldırıların arkasında olduğu hakkında araştırmalar yaparken, New World Hackers saldırıyı üstlenmişti. Grup, sosyal paylaşım sitesi Twitter üzerinden, “Siber saldırıyı biz gerçekleştirdik ve işi burada bırakmayı düşünüyoruz.” açıklamasında bulundu. Jullian Assange’nin kurucusu olduğu bilgi sızdırma sitesi Wikileaks’in “iyi bir dost” olduğunu belirten grup, “meşhur olmak için değil, bir sebepten dolayı” saldırıyı yaptıklarını ifade etti. Grubun kapak resminde ise “Yeni Nesil Hackerlar” ifadesi dikkati çekiyordu.
Genel olarak, 85 büyük internet sitesine girmeye çalışanlar sitelerden cevap alamadı. Bunun sebebi Amerikan İnternet sistemine yapılan saldırıydı. İlk dalga doğu yakasını etkiledi. İkinci dalga Kaliforniya’daki kullanıcıları ve orta bölgelerdeki kullanıcıları etkiledi. Son saldırı ise Dyn tarafından engellendi. Dyn bir DNS servis sağlayıcı şirketi ve bu üç saldırının da temel hedefi Dyn şirketiydi.
Müzik servisleri, medya ve birçok başka kaynak etkilendi. Amazon özel bir uyarı ile Batı Avrupa’dan gelen saldırılar sebebiyle sitesini bir süre için kapattı. Bu saldırının en önemli noktası, internete bağlanabilen her cihazdan ordu kurup bu ordu ile saldırılması oldu. Bu durumun adı bilişim alanında Nesnelerin İnterneti (Internet of Things – IoT) saldırısı olarak tanımlanmakta.
Şimdi, 3 aşamalı bu saldırı ile bu kadar cihaz nasıl manipüle edilebildi ve bu kadar site nasıl engellenebildi ? Bunu anlamak için öncelikle DNS’in ve DDoS’un ne olduğuna bakalım.
DNS ve DDoS Nedir ?
DNS Nedir ?
DNS, Domain Name System’in kısaltılmış halidir ve Türkçe karşılığı Alan Adı’dır. İnternet tarayıcınız ile gitmek istediğiniz siteyi bağlayan sistemdir. Temel olarak, her internet sitesi dijital bir adrese sahiptir. Bu adres internet sitesinin nerede yaşadığını gösterir. Örneğin; benim web sitem cemal mete hayırlı mülkü 174.141.228.24 IP adresinde yaşıyor.
DNS sunucusu bir nevi adres defteridir ve internet tarayıcınıza, gitmek istediğiniz internet sitesinin adresini söyler. Eğer DNS sunucusu sorunuza cevap vermezse, tarayıcınız internet sitesini nasıl bulacağını bilemez. Bu sebeple DNS sağlayıcıları (özellikle büyük firmalar)için İnternet yapısı için son derece önemlidir.
DDoS Nedir ?
DDoS (Distributed Denial of Service – Dağınık Hizmet Engelleme) saldırıları, hizmete sürekli soru sorarak sistemi çalışmaz hale getirene kadar yapılan bir saldırı türüdür. DDoS saldırısı için, suçluların inanılmaz sayıda sorgu göndermesi gerekir. Bunun için de oldukça fazla sayıda cihaza gereksinim vardır. DDoS saldırıları, genelde hacklenmiş bilgisayarlar, akıllı telefonlar, cihazlar ve internete bağlanabilen bütün cihazlardan oluşturulmuş bir orduyla yapılır. Beraber çalışan ancak cihaz sahibinin haberi olmadan çalışan cihazlar botnet oluştururlar. Botnet; Bilgisayarlardaki virüsleri dağıtan ve virüs bulaşmış bilgisayarlara çeşitli görevler veren yazılımlara verilen bir isimdir.
Bu saldırıda gerçekleştirilen eylemde de, Dyn’ye saldırmak için devasa bir botnet ağı kullanılmıştı. İnternete bağlanabilen milyonlarca cihaz kullanıldı – IP kameralardan, reouterlara, yazıcılardan aklınıza gelebilecek her cihaza kadar. Dyn’nin sitesini saniyede 1.2 terabit sorgu ile doldurdular. Bu saldırının verdiği ortalama hasar 110 milyon dolar civarındaydı. Buna rağmen suçlular fidye ya da kendi yararlarına başka hiçbir şey istemediler. Aşağıdaki röportajda, bu saldırıyı gerçekleştiren New World Hackers üyelerinden Kaputsky’nin anlatımına göre amaçları zarar vermek değil, şirketlere ve yetkililere sorumluluklarını hatırlatmaktı ve bu yüzden kendi kazançlarını düşünmediler.
Aslına bakarsanız saldırmaktan başka hiçbir şey yapmadılar, ipucu dahi bırakmadılar. New World Hackers ve RedCult isimli hack grupları saldırıyı üstlendi. Ayrıca RedCult isimli hack grubu daha büyük bir saldırı yapacaklarının sözünü de vermişti.
Nesnelerin İnterneti ile Birleştirme
DDoS oldukça popüler ve hasar payı yüksek bir saldırı türü. Bu tarz saldırılarda akıllı cihazları kullanmak siber suçlular için olayı daha geniş bir çerçevede gerçekleştirmek demek. Daha önce de bahsettiğimiz gibi; Nesnelerin İnterneti sistemsel açıklarla ve hatalarla dolu ve bu durum da saldırılara çok açık oldukları anlamına geliyor.
Şimdi de bu kadar büyük çaplı bir saldırıyı gerçekleştiren New World Hackers grubunun üyesi Kaputsky ile yapılan röportaja ve olayın iç yüzüne bakalım.
New World Hackers’ın Üyelerinden Kapustkiy ile Röportaj
Dyn Botnet saldırısı olarak internet tarihine geçen bu saldırının bir parçası olan Kapustkiy isimli hackerın, sorulan sorulara net ve mantıklı cevaplar verdiği görülüyor. Düzenlenen saldırıların arkasındaki motivasyondan tutun da, bir hackerın kafasının nasıl çalıştığına dair tüm detayları bu röportajda bulmak mümkün.
1. Soru: Kimsiniz?
Cevap: Adım Kapustkiy, kendimi bir araştırmacı ve penetrasyon testi yapan (yani firmaların kendi ağ yapılarına, kullandıkları uygulama ve sistemlerine sızma deneyleri yapan) biri olarak tanımlayabilirim.
2. Soru: Hack eylemlerine ne zaman başladın ve nasıl öğrendin?
Cevap: İlk gençlik çağlarımda LulzSec isimli bir guruptan etkilenerek başladım. O zamanlar oldukça gençtim ve hacking ile ilgili pek bir şey bilmiyordum. LulzSec’in yöntemleri ile ilgili bir dokümana internette rastladım ve bunu çalıştım. Bu benim ilk adımım oldu.
3.Soru: Yaptığın kanuni mi? Yakalanmaktan korkmuyor musun?
Cevap: İlk yaptığım iş Hindistan Elçiliklerinin sitelerine sızmaktı. O zaman haberlerde falan bu iş manşet olunca, yakalanacağım diye biraz korkmuştum. Çünkü bazı haber kaynakları IP adresimin bulunduğunu ve izimin sürüldüğünü yazmışlardı. O sırada verinin tamamını değil bir bölümünü sızdırdım. Benim düşünceme göre verinin bir kısmını sızdırmak tümünü sızdırmaktan daha güvenli. Böyle davranınca diğer guruplarda sana güveniyorlar. Yardım etmek istediğini anlıyorlar.
4.Soru: Seni motive eden nedir?
Cevap: Yöneticilerin ya da güvenlik birimlerinin işlerini iyi yapamıyor olduklarını göstermek. Zaten İtalyan ve Hindistan Elçiliklerine hangi noktalarda açık olduğunu ve nasıl kapatılması gerektiğini gösterince, bana teşekkür ettiler. Bu da beni çok gururlandırıyor.
5.Soru: Neden kendini bir hacker değil de bir penetrasyon testçisi olarak tanımlıyorsun?
Cevap: Çünkü benim amacım firma içindeki güvenlik durumunun tespit edilmesi ve tespit edilen açıkların raporlanması. Böylelikle durumun yetkili kişilere bildirilmesi ve bu sayede dışarıdan gelebilecek herhangi bir tehdide karşı hazırlıklı olabilmelerini sağlamak. Ben her zaman Web/Network Güvenliği konusunda uzmanlaşmak istedim, hacker olmak için çok şeyi biliyor olmak gerekiyor.
6.Soru: Başka hack gruplarıyla dostluğun var mı?
Cevap: Eskiden Powerful Greek Army gurubunun üyesiydim. Elbette birçok tanınmışhack guruplarından birçok insan tanıyorum. Çoğunlukla bu kişilerle konuşur ve yeni sistemler üzerine tartışırız.
7.Soru: Peki, Nasıl para kazanıyorsun?
Cevap: Sistemlerde boşluklar arıyor ve buluyorum. Site yöneticilerine bu açıkları göstererek düzeltmelerine yardımcı oluyorum. Bunu bir hizmet olarak yapıyorum. Karşılığını da alıyorum tabii. Özellikle bankalar ve üniversiteler en iyi müşterilerim.
8.Soru: Sistemleri kırdığın zaman ne bulacağını umuyorsun?
Cevap: En önemli veri sitelere üye olanların kişisel bilgileridir. Bu bilgilere kolayca ulaşabiliyorsam herkes ulaşabilir demektir. Adresler, telefon numaraları, banka bilgileri vs. Bu bilgilere ulaşabilmek bir kullanıcı adı ve şifreye ulaşmaktan çok daha değerli.
9.Soru: Peki, bu bilgilere ulaşınca ne yapıyorsun?
Cevap: Ben asla kişisel bilgilere dokunmuyorum adresler, telefon numaraları ve özellikle banka hesap bilgileri ile işim olmuyor. Ancak dediğim gibi güvenlik birimlerini uyarıyorum.
10.Soru: Son Dyn Botnet saldırısında amacınız neydi?
Cevap: Bazı önemli ve artık niş olmuş şirketlere onların güvenlik anlayışlarının dikkatsiz ve savruk olduğunu göstermekti. Sosyal paylaşım sitesi Twitter üzerinden, “Siber saldırıyı biz gerçekleştirdik ve işi burada bırakmayı düşünüyoruz” dediğimiz anda mesajın alındığına inanıyoruz.Sosyal mecralar güvenlik konusunda onlarca açığa sahipler. Ama hiçbir sorun yokmuş gibi kendilerini pazarlamaya devam ediyorlar. Biraz da kullanıcıların gözlerinin açılmasını istedik.
Yukarıdaki röportajda Kaputsky mahlasını kullanan hacker’ın aslında amaçlarının zarar vermek olmadığını, ellerindeki bilgilerle farkında oldukları bir yanlışı nasıl düzeltmeye çalıştıklarını gördük.
Oldukça ciddi bir saldırı türü olan DDoS saldırıları, eylemi gerçekleştiren kişinin amacına göre değişen ölçeklerde zararlar verebilmekte. Konuyla ilgili gerçekleştirilen bir araştırma da, bu saldırıdan önce 2014 yılında 127 hacker’ın katılımıyla yapılmış, saldırıların amaçları ve kişilerin düşünce yapıları anlaşılmaya çalışılmıştı.
BT güvenlik firması Thycotic’in, 2014 yılında kendilerini siyah şapkalı olarak tanımlayan hackerları, tanımlayabilmek, eylemlerinin amaçlarını anlayabilmek ve çalışma stratejileri ile ilgili bilgi sahibi olabilmek adına gerçekleştirdiği araştırmada ” bilgisayar korsanlarının neden yaptıklarını anlamak, hassas verilerinizi izinsiz erişime karşı daha iyi korumaya yönelik ilk adımdır ” sloganı ön plana çıkmıştı.
Thycotic’in araştırma sonucunda elde ettiği verilerde;
- Çoğu hacker’ın heyecan tarafından motive edildiği,
- Çok küçük bir yüzdenin yakalanma endişesi olduğu,
- Kapsamlı medya analizlerine, şirketlerin iç eğitim çabalarına ve BT departmanları tarafından uygulanan tüm güvenlik önlemlerine rağmen, bilgisayar korsanlarının hala %99’luk bir kısmının Kimlik Avı gibi temel taktikleri kullandığı
- %50’ye yakın bir kısmının da sofistike yaklaşımlar üzerinde çalıştığı elde edilmişti.
İlk yorum yapan olun