İspanya Merkez Bankası’na Yapılan saldırıdan Çıkartılacak Dersler

“La Casa de Papel” dizisinden aklımızda genel olarak İspanyol polisinin basiretsizliği kalmıştı. Diziyi izleyenlerin hatırlayacağı gibi peş peşe yapılan amatörce hatalar nedeniyle [dikkat spoiler] hırsızlar paralarla kaçabiliyordu. İspanyol merkez bankası olan Banco de Espana (İspanya Bankası) geçtiğimiz haftasonu yoğun bir DDoS (dağıtık hizmet dışı bırakma) saldırısı sonucunda hizmet veremez hale geldi. Saldırıyı Anonymous adına “Anonymous Catalonia” Twitter hesabı üstlendi.

Reuters tarafından yayınlanan haberde bankanın hizmetlerinin aralıklarla etkilendiği belirtilirken, para çalınmış olma ihtimalinin olmadığı vurgulanmış. Bankanın basın sözcüsü ise Banco de Espana’nın ticari bir banka olmadığı için saldırının müşterilerine verilen hizmetlerde aksamaya neden olmadığı ve Avrupa Merkez Bankası başta olmak üzere, saldırının diğer bankalarla iletişimlerini aksatmadığını söyledi.

Bu saldırının hedef üzerinde etkili olmamasının nedenlerini saymaya devam edebiliriz ancak hizmet dışı bırakma saldırıları ticari kuruluşlar için gerçek bir tehdit oluşturmaktadır.

Hedef alınan ticari bir banka veya bir online alışveriş sitesi olsaydı gerçek anlamda maddi kayıpların yanında itibarları da zarar görebilirdi.

“Hacker” forumlarının bir dönem tartışmasıydı “DDoS hack midir?” ve günlerce sürerdi. Dağıtık hizmet dışı bırakma (Distributed Denial of Service) saldırıları hedef sistemin kaynaklarının tüketilerek hizmet veremez hale getirilmesini sağlar. Arbor firması tarafından yürütülen bir araştırma sonucunda yayınlanan raporda 60 Dolara alınancak 1 günlük DDoS saldırısının 720,000 Dolar zarara neden olabileceği açıklandı. “Booter” veya “Stresser” olarak adlandırılan ve güvenlik testi kılıfı arkasına gizlenen bu saldırı hizmetlerinin reklamları pek çok platformda açıkça yapılmaktadır. Adını bir kaç yüksek profilli saldırı ile duyuran LizzardSquad tarafından verilen DDoS hizmetinin ele geçirilen ev modemlerini kullanarak yapıldığı ortaya çıkmıştı.

Rus yeraltı forumlarında kiralanan benzer bir hizmeti inceleyen uzmanlar 1 günlük kira bedelini yol açtığı hasar miktarıyla karşılaştırdı. Araştırmaya konu olan ve kendine “Forceful” diyen grubun 2014 yılının Kasım ayından beri çeşitli sitelere reklam verdiği de tespit edilmiş.

Aşağıdaki ilanda görüldüğü gbi 270 Gbps boyutuna kadar saldırılar düzenleyebildiğini iddia eden grup günlük fiyatlarını 60, haftalık fiyatlarını ise 400 Dolar olarak belirlemiş. 500 Dolar üzeri siparişlerde %10, 1,000 Dolar üzerindeki siparişlerdeyse %15 indirim de uyguluyorlarmış. 5-10 dakikalık testleri ücretsiz de yapabileceklerini belirtmeyi ihmal etmişler.

 

DDoS Koruması
Dağıtık hizmet dışı bırakma (DDoS – Distributed Denial of Service) saldırıları hepimizi hedef alabilir. DDoS saldırılarına her an hazır olunmalı ve Siber Olaylara Müdahale Ekibi (SOME) bu saldırı türü için ayrıntılı bir müdahale planı geliştirmiş olmalıdır.

DDoS saldırılarına karşı alınabilecek bazı tedbirler şunlardır;

Saldırı türünü anlamak
Kuruluşunuza yönelik yapılan bir DDoS saldırısının türünü tespit edecek bir yapı kurulmalıdır. Çok karmaşık (bkz. pahalı) bir çözüm olmasına gerek yok, basitçe SYN Flood, UDP flood, vb. belli başlı DDoS türlerinden hangisiyle karşı karşıya olduğumuzu anlayacak kadarı yeterli. Bunun için gelen trafiğin içerisindeki paketleri görmenizi sağlayan herhangi bir çözüm fazlasıyla yeterli olacaktır. Bu paketleri incelemek saldırı kapsamında gelen paketleri normal internet trafiğinden ayrıştırmak için kullanabileceğimiz özellikleri tespit etmemizi sağlar.

Karadeliğe göndermek
“Black-holing” veya “sinkholing” olarak da bilinen bu yöntemle saldırı trafiği var olmayan bir hedefe yönlendirilir. Bunu yaparken bir ölçüde normal paketlerin (örn: site ziyaretçileri) bir kısmının da buraya gidebileceğini düşünmekte fayda olabilir. Bu işlem için firewall vb. cihazlar yerine daha yüklü ağ trafiğini kaldırabilecek “application delivery” (F5, Citrix, A10, vb.) kullanılması daha doğru olur.

Firewall ile DDoS engellemek
Firewall ve routerlar temel bazı DDoS türlerini (örn: ping saldırılarını) durdurmak için kullanılabilir. Bu cihazların el verdiği ölçüde bu ayarların, bir saldırı yaşamadan önce, yapılmasında fayda vardır. IPS/IDS çözümlerinin de bu sürece dahil edilmesi daha gelişmiş saldırıları da (bu cihazların anormallik tespit etme yeteneği sayesinde) firewall üzerinde durdurma imkanı verebilir.

Güvenlik tedbirlerini almak
İnternet hizmet sağlayıcılarının hemen hepsi DDoS saldırılarına karşı belli koruma hizmetleri sunuyor. Kuruluşunuz ciddi bir DDoS tehdidi ile karşı karşıyaysa (örneğin  internete açık hizmetlerinizin aksaması size para ve/veya itibar kaybettirecekse) bu hizmeti almanızı öneririm. Kamu ve finans gibi hizmet aksamalarına tahammül edemeyecek sektörlerin, bu hizmete ek olarak, kuruluş ağının girişine bir DDoS engelleme çözümü konumlandırmalarında fayda vardır.

Kameralara dikkat
Geçtiğimiz hafta tekrar gündeme gelen “Mirai” zararlı yazılımı sistemlere bulaşmak için fabrika çıkışlı kullanıcı adlarını ve parolalarını deniyor. Sızma testleri sırasında kuruluş ağında fabrika çıkışlı parolası ile kullanılan kamera, yazıcı, video konferans sistemlerine sıkça rastlıyorum. Bu fırsatı bulmuşken, bu kullanıcıların, en azından parolalarının, değiştirildiğinin kontrol edilmesini öneririm.

DNS sunucularını unutmayın
DDoS saldırılarında hedef alınabilecek DNS sunucularının güvenliği konusunda yapılması gerekenleri yapmakta fayda var.

 

SOME ekiplerinizin kuruluşunuzu hedef alması muhtemel bir DDoS saldırısına hazır olması için eğitimler ve mevcut durumunuzun test edilmesini sağlayacak çeşitli hizmetler sunuyoruz. Bunlar hakkında ayrıntılı bilgi almak için basaranalper@gmail.com adresine bir e-posta göndermeniz yeterlidir 

Hits: 409

1 yorum

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*