İnterneti nasıl ‘kırmazsınız’

Geçen ayın en önemli olayı devasa DDoS saldırısıydı. Bu saldırı ile 80’den fazla büyük internet sitesi ve online hizme sağlayıcısına erişilemedi. Bu saldırının en önemli noktası, internete bağlanabilen her cihazdan

Geçen ayın en önemli olayı devasa DDoS saldırısıydı. Bu saldırı ile 80’den fazla büyük internet sitesi ve online hizme sağlayıcısına erişilemedi. Bu saldırının en önemli noktası, internete bağlanabilen her cihazdan ordu kurup bu ordu ile saldırılması oldu. Biz buna Nesnelerin İnterneti (Internet of Things – IoT) diyoruz. Bu gönderimizde bu kritik konseptten ve bağlı olmamızın yarattığı durumlardan bahsedeceğiz.

Saldırı
21 Ekim günü birçok Amerika vatandaşı sabah uyandıklarında internette sorun olduğunu fark etti. Netflix’e girilemiyordu, PayPal’a girilemiyordu, Sony PlayStation’un online platformuna bağlanılamıyordu. Bu sorunlar hakkında twit de atılamıyordu çünkü Twitter’a da girilemiyordu. Saldırıların sonucunda ülkemizden de birçok siteye giriş yapamıyorduk.

Genel olarak, 85 büyük internet sitesine girmeye çalışanlar sitelerden cevap alamadı.

Bunun sebebi Amerikan İnternet sistemine yapılan saldırıydı. İlk dalga doğu yakasını etkiledi. İkinci dalga Kaliforniya’daki kullanıcıları ve orta bölgelerdeki kullanıcıları etkiledi. Son saldırı ise Dyn tarafından engellendi. Dyn bir DNS servis sağlayıcı şirketidir ve bu üç saldırının da temel hedefi Dyn’dir.

Müzik servisleri, medya ve birçok başka kaynak etkilendi. Amazon özel bir uyarı ile Batı Avrupa’dan gelen saldırılar sebebiyle sitesini bir süre için kapattı.

DNS ve DDoS
Şimdi, sadece üç saldırı ile bu kadar site nasıl engellenebilir? Bunu anlamak için öncelikle DNS’in ne olduğunu bilmek lazım.

DNS, Domain Name System’in kısaltılmış halidir ve Türkçe karşılığı Alan Adı’dır. İnternet tarayıcınız ile gitmek istediğiniz siteyi bağlayan sistemdir. Temel olarak, her internet sitesi dijital bir adrese sahiptir. Bu adres internet sitesinin nerede yaşadığını gösterir. Örneğin blog.kaspersky.com 161.47.21.156 IP adresinde yaşıyor.

DNS sunucusu bir nevi adres defteridir – internet tarayıcınıza gitmek istediğiniz internet sitesinin adresini söyler. Eğer DNS sunucusu sorunuza cevap vermezse, tarayıcınız internet sitesini nasıl bulacağını bilemez. Bu sebeple DNS sağlayıcıları (özellikle büyük firmalar) İnternet yapısı için son derece önemlidir.

Şimdi sıra DDoS’ta.

DDoS (Distributed Denial of Service – Dağınık Hizmet Engelleme) saldırıları, hizmete sürekli soru sorarak sistemi çalışmaz hale getirene kadar yapılır. DDoS saldırısı için, suçluların inanılmaz sayıda sorgu göndermesi lazım. Bunun için de çok cihaza ihtiyaçları var. DDoS saldırılar genelde hacklenmiş bilgisayalar, akıllı telefonlar, cihazlar ve internete bağlanabilen diğer şeylerden oluşturulmuş orduyla yapılır. Beraber çalışan (ama cihaz sahibinin haberi olmaz) cihazlar botnet oluştururlar.

Dyn’i patlatmak
Nasıl olduğunu anladınız değil mi? Birileri Dyn’ye saldırmak için devasa bir botnet ağı kullandı. İnternete bağlanabilen milyonlarca cihaz kullanıldı – IP kameralardan, reouterlara, yazıcılardan aklınıza gelebilecek her cihaza kadar. Dyn’nin sitesini saniyede 1.2 terabit sorgu ile doldurdular. Ortalama verdikleri hasar 110 milyon dolar civarı. Buna rağmen suçlular fidye ya da kendi yararlarına başka hiçbir şey istemediler.

Aslına bakarsanız saldırmaktan başka hiçbir şey yapmadılar, ipucu dahi bırakmadılar. New World Hackers ve RedCult isimli hack grupları saldırıyı üstlendi. Ayrıca RedCult daha büyük bir saldırı yapacaklarının sözünü verdi.

Sıradan kullanıcılar bunları niye önemsesin ki?
Dyn saldırısı sizi etkilememiş olabilir ama siz bu saldırının parçası olmuş olabilirsiniz.

Botnet kurabilmek için suçlular internete bağlı çok cihaza ihtiyaç duyar. İnternete bağlanabilen kaç tane cihazınız var? Olaya Türkiye standartlarında bakalım. En az bir tane akıllı telefon. Büyük ihtimalle bir tane de bilgisayar. Belki bir akıllı TV? Sizinle beraber yaşayanların telefonları? Peki onların bilgisayarları? Hadi biraz daha ileri gidelim. İnternete bağlanabilen buzdolabı? Ele geçirilmiş cihazlar aynı anda iki kişiye hizmet ederler: Kendi kullanıcılarına ve hackerlara. Normal çalışarak kullanıcının istediklerini yaparlar ama arkadan hackerların istedikleri sitelere saldırırlar. Bu şekilde ele geçilmiş milyonlarca cihazdan oluşan botnet Dyn’ye saldırdı.

Bu devasa botnet Miari virüsü sayesinde kuruldu. Bu virüsün yaptığı şey gayet basit: internete bağlanabilen cihazları tarıyor ve bulduklarında parola deniyor. İnsanlar cihazlarındaki parolaları genellikle değiştirmedikleri için, bu cihazlar kolayca hacklenebiliyor – bu sayede Miari ve benzeri zararlı yazılımlar ile kolaylıkla bir zombi internete bağlı cihazlar ordusu oluşturulabiliyor.

Bu aynı zamanda şu anlama geliyor, internete bağlanabilen televizyonunuz botnetin bir parçası olabilir, daha kötüsü bunu asla öğrenemeyebilirsiniz.

Bu yıl Eylül ayında biri Mirai kullanarak BT güvenlik habercesi Brian Krebs’in bloğunu kullanılmaz hale getirmeye çalıştı. Sunucuya 380,000 zombileşmiş cihaz ile saldıran saldırgan saniyede 665 gigabyte sorgu yaptı. Sağlayıcı dayanmayı denedi ama sonunda pes etmek zorunda kaldı. Blog çalışmaya Google’ın dahil olup koruması ile tekrar başladı.

Bu saldırıdan kısa süre sonra, Anna-senpai kullanıcı isimli biri Mirai zararlı yazılımının kaynak kodunu bir yeraltı forumunda paylaştı. Bu forumu takip eden bütün suçlular bu kodu aldılar. O zamandan beri Mirai botlarının sayısı düzenli olarak artıyor, olayın üzerinden bir ay geçmeden Dyn saldırısı yapıldı.

Nesnelerin İnterneti ile birleştirme

DDoS çok popüler bir saldırı türü. Bu tarz saldırılarda akıllı cihazları kullanmak siber suçlular için olayı daha ilgi çekici hale getiriyor – daha önce de bahsettiğimiz gibi Nesnelerin İnterneti açık ve hata doludur. Ki bu da yakın bir zamanda değişecek bir şey değil.

Küçük cihazların geliştiricileri, ürünleri için küçük bir güvenlik ayarlarlar ama kullanıcılara bu küçük cihazların (kameraların, routerların, yazıcıların ve diğerlerinin) parolalarını değiştirmeleri gerektiğini söylemezler. Hatta büyük bir çoğunluğu kullanıcıların cihaz parolasını değiştirmesine dahi izin vermez. Bu da Nesnelerin İnterneti’ni saldırı için mükemmel hale getiriyor.

Bugün 7 ila 19 milyar arasında internete bağlı cihaz var. Yapılan hesaplamalara göre önümüzdeki beş yıl içerisinde bu sayı 30 ila 50 milyar arasına ulaşacak. Ve yüksek ihtimalle bu cihazların büyük bir çoğunluğu korunamayacak olacak. Ek olarak, Mirai’den etkilenen cihazlar hala kullanılabilir durumdalar – ordularına her geçen gün yeni cihazlar ekleniyor.

Uzun vadede neler olacak?
Suçlular genellikle endüstriyel yapılara, elektrik istasyonlarına, su tesislerine ve DNS sunucularına saldırırken botnet’i kullanır. Güvenlik araştırmacısı Bruce Schneier’in gözlemlerine ve düşüncelerine göre, çok güçlü DDoS saldırısı yapabilecek biri tüm interneti kapatabilecek.

Botnetler gittikçe büyüyor ve test saldırıları bittikten tüm güçleri ile yapabilecekleri saldırının şiddetini tahmin etmek pek zor değil. Dyn’ye yapılan saldırı kadar güçlü bir düzine saldırının aynı anda yapıldığını düşünün. Dünyanın birçok yerinde internet kullanılmaz hale gelebilir.



Botnet’in parçası olmak istemiyorum, ne yapabilirim?

Bir kişi Botnet’e karşı hiçbir şey yapamaz – ancak hep beraber olur ve Botnet’e dahil olmazsak, o zaman güzel şeyler başarabiliriz. Öncelikle cihazlarınızın Mirai ya da benzeri bir yazılım tarafından kontrol edilemez yapmanız lazım. Eğer herkes bunu yaparsa, Botnet ordusu önemsizleşerek azalık.

Routerınızın, yazıcınızın ya da buzdolabınızın bu internetin karanlığından kurtarmak için yapabileceğiniz birkaç basit adım var.

1.Tüm cihazlarınızdaki varsayılan parolaları değiştirin. Sağlam kombinasyonlar kullanın.

2.Cihazlarınızın ‘varsa’ güncellemelerini sürekli yapın.

3.Akıllı cihaz seçerken kendinize sorun: Gerçekten internet bağlantısına ihtiyacım var mı? Eğer cevabınız “evet!” ise, cihazı almadan önce özelliklerini ve yapabileceklerini çok iyi araştırın. Eğer parolası değiştirilemeyen bir modelse, başkasını almaya çalışın.

İpuçları