Gerçek Hayatta "Mr. Robot" ve Dijital Dünya'da Teknolojik Tehditler: DDoS Saldırısı Nedir?

21 Ekim 2016 Cuma günü, internetin pratik olarak en aktif kullanılan bölümleri saatlerce çevrimdışı kaldı! Bu, birçok firma için kabul edilemez olduğu gibi, bu kadar geniş çapta bir "çöküş" nadiren rastlanan bir olay. İşin endişelendirici tarafı ise, bu saldırıların çok daha büyüklerinin yakın gelecekte tekrarlanabileceği gerçeği... 

21 Ekim 2016'da yapılan saldırıyla ilgili bilindiği kadarıyla saldırının ardındaki korsanlar, Dyn adındaki bir şirketi hedef aldılar. Bu şirket, içerisinde Twitter, Reddit ve Amazon'un da bulunduğu yüzlerce internet sitesi için "omurga" görevi görüyor. Dyn bu işi, bilgisayarların rakamsal IP adresleri ile hergün ziyaret ettiğiniz metin tabanlı alan adları (örneğin, www.evrimagaci.org) arasındaki noktaları etkili şekilde birleştirerek, Alan İsim Sistemi (DNS) sunucusu olarak adlandırılan bir kavrama davranarak yapıyor. Bu çok önemli hizmet gerçekleştirilmeden, ziyaret etmek istediğiniz sitelere gitmeniz imkansız. Bu yüzden 21 Ekim saldırısı sonrasında ABD ve Avrupa'daki milyonlarca insan, Spotify, Tumblr, PayPal, EA ve CNN gibi birçok siteye saatlerce erişemedi.

Temel olarak olan şu: Dyn'yi hedef alan üç adet eş zamanlı saldırı yüzünden bu sitelerin web rehberi çöktü ve web altyapısının aşırı şekilde yüklenmesine neden oldu. Bu saldırılar, Dağıtılmış Hizmet Reddi (DDOS) olarak biliniyor ve korsanlar bunu yapmak için birçok bilgisayar veya cihaz kullanarak, devasa bir sahte ziyaret sayısıyla hedefteki bir internet sitesine eş zamanlı olarak baskın yapıyorlar. Bu durum gerçekleştiği zaman, yüz binlerce insanın tamamı aynı anda bir internet sitesine erişmeye çalışıyor gibi oluyor; ve internet sitesi sunucusu sahte ziyaretleri gerçek ziyaretlerden ayıramıyor. Kısa bir zaman dilimi içinde siteye aşırı yüklenme oluyor ve hiçbir talebe cevap veremez hale geliyor. 

Dyn gibi bir şirketin DDOS saldırılarıyla mücadele edecek sistemleri bulunuyor, fakat 21 Ekim saldırısını çok tehlikeli yapan şey, yöntem için yeni bir taşıyıcı seçmiş olması: Bu bilgisayar ağı, masaüstü veya dizüstü bilgisayarlar gibi cihazlardan değil, internete bağlı olan diğer tür dijital cihazlardan oluşuyor! Genelde Nesnelerin İnterneti (IoT) olarak anılan bu cihazların arasında akıllı TV'ler, dijital video kaydedicileri, güvenlik kameraları, web kameraları, bebek izleme cihazları ve internete bağlı olan termostatlar, kahve makineleri ile buzdolapları gibi her türlü 'akıllı' ev aleti yer alıyor.

Bu cihazların çok büyük bir kısmı internete bağlı halde, fakat zayıf bir güvenliğe sahipler; çünkü insanlar bunları satın aldıkları zaman, varsayılan kullanıcı ismi ve şifrelerini hiç değiştirmiyorlar, yazılımlarını güncellemiyorlar veya bu cihazlar sadece korsanlığa karşı savunmasız şekilde kodlanmış oldukları için kolaylıkla kırılıyor. 

Fakat bu güvenlik eksikliğinin bedeli yüksek olabilir. Dyn'nin DDOS saldısı üzerine yaptığı resmî açıklamada stratejilerden sorumlu üst yönetici Kyle York, şirketin saldırıda on milyonlarca IP adresi belirlediğini söyledi; aslında, Dyn'nin DNS hizmetlerini çöktürmek için kocaman bir cihaz ağı oluşturulmuştu. 

Böyle bir şeyi kim başarabilirdi? Suçlunun kimliği henüz belirlenmiş değil; fakat bunu nasıl yaptıklarını açıklamak daha kolay.

Daha geçen ay, Mirai adlı kötü amaçlı bir yazılımın kaynak kodu internette yayınlanmıştı. Mirai, temel olarak herhangi birinin kendi "cihaz ağı ordusu"nu oluşturmasına olanak sağlıyor ve özellikle akıllı TV'ler ile web kameralar gibi şeyleri kullanmak üzere tasarlanmış. Ayrıca kaynak kodunun çevrimiçi olarak dağıtılmış olması nedeniyle, korsanların Mirai'yi kullanarak internet sitelerini ve hizmetleri aşırı şekilde yüklemeye çalışmaları daha kolay; işte geçen hafta Dyn'ye olan şey buydu. Meşhur bir ABD'li güvenlik yazarı olan Brian Krebs şöyle açıklıyor:

Mirai, internette, fabrikada ayarlanan kullanıcı adları ve şifrelerden daha fazla korumaya sahip olmayan internet cihazlarını didik didik arıyor. Ardından bu cihazları kullanarak, çevrimiçi bir hedefe, artık yasal ziyaretçiler veya kullanıcıları barındıramayacak hale gelene kadar sahte trafik yağdırıyor.

Çin elektronik şirketi XiongMai, Cuma günkü saldırının ardından kendi ürettiği gözetleme kameralarının saldırı için gaspedildiğini keşfetti ve ürünlerini geri çağırmaya başladı. Bu ismi tanımamanız, evinizdeki internete bağlı güvenlik kameralarının veya web kameraların, saldırının bir parçası olarak seçilmediği anlamına gelmiyor: XiongMai, kendi teknolojisini diğer şirketlere satıyor ve ardından bu kameraların üzerine diğer markaların ismi basılıyor. Güvenlik şirketi Flashpoint'ten araştırmacı Allison Nixon, şöyle diyor: 

Fiilen bütün bir şirketin ürün yelpazesinin, şimdi ABD'ye saldıran bir bilgisayar ağına dönüştürülmüş olması olağanüstü bir şey. Bazı insanlar, saldırıya birden fazla bilgisayar ağının katıldığına dair teori üretiyorlar. Bizim söyleyebildiğimiz şey, saldırıya katılan bir Mirai bilgisayar ağı görmüş olduğumuz.

Dyn, 21 Ekim 2016 günü Twitter, Spotify ve Amazon gibi hizmetlere erişimi tekrar sağlayarak kendi hizmetlerini onarmayı başarsa da, uzmanlar en kötüsünün henüz gelmemiş olabileceği konusunda uyarıyor. Mirai gibi yeni bilgisayar ağlarının sahip olduğu çok yönlülük, web kameraları ve internete bağlı kahve makineleri gibi cihazların inanılmaz derecede zayıf güvenlik önlemleri ile birleştiğinde, bu durum, gerçekleşmeyi bekleyen bir felaket halini alabilir. Krebs şöyle açıklıyor: 

Güvenliksiz internet cihazları, saldırıya açık olan sistemleri geri çağırmak ve internet kaldırmak amacıyla büyük ve küresel bir çaba gösterilmeden ve gösterilene kadar, kötü bir kaşıntı gibi peşimizden gelecekler. Benim nacizane görüşüme göre, bu küresel temizleme çabasının sermayesi, çoğunlukla, bu ucuz, zayıf güvenliğe sahip olan donanımları, açıkça pazarı ele geçirme teşebbüsüyle pazara yığan şirketler tarafından sağlanmalı. Yani, temizleme çabaları da onlara verilmeli.