DoS, DDoS ZOMBİ BİLGİSAYAR VE BOTNET NEDİR

Transkript

1 DoS, DDoS ZOMBİ BİLGİSAYAR VE BOTNET NEDİR Son yıllarda teknolojinin gelişmesiyle birlikte, işlenen suç tipleri de değişmekte ve bilişim yoluyla işlenen suçların sayısı günden güne artmaktadır. Geçtiğimiz ay içerisinde de ülkemizin yaşamış olduğu siber saldırı neticesinde böyle bir yazı paylaşmayı makul gördüm. Malumunuzdur, tr alan adlarına almış olduğumuz saldırı, tüm tr uzantılı internet sitelerini ve çoğu bankayı etkilemiş ve zaafa uğratmıştı. Peki bu saldırı nasıl bir saldırıdır, bu saldırının adı nedir, nasıl yapılır ve nasıl tüm ülkeyi mağdur eder? Tüm bu soruların cevabı bu yazıda DoS ve DDoS Saldırısı Nedir? Bilişim alanında en çok görülen siber saldırıların başında DoS (Denial of Service) ve DDoS (Distributed Denial of Service) saldırıları gelmektedir. DoS saldırısı, kısaca, belli bir sunucunun belli bir şekilde hizmet bekleyen kullanıcılara hizmet verememesini sağlamak amacıyla, o bilgisayarın işlem yapmasını engellemek, bir başka deyişle hedef bilgisayarı bilişim sisteminin içerisine girmeksizin kilitlemektir. DoS işlemi, birden çok sayıda bilgisayar üzerinden yapıldığında, yani dağıtılmış (distributed) bir şekilde gerçekleştirildiğinde ise ortaya DDoS saldırısı çıkmaktadır.

2 2. Zombi Bilgisayar Nedir? Saldırılan Sistem Nasıl İşlemez Hale Geliyor? DDoS saldırısında, saldırgan, hacking yoluyla daha önceden ele geçirmiş ve hazırlamış olduğu birçok makine üzerinden, seçmiş olduğu hedef sistemin trafiğini arttırarak, o sistemin işleyemez hale gelmesini sağlamaktadır. Saldırganın hacking yoluyla ele geçirmiş olduğu ve görünürde hedef bilgisayarların sistemlerine saldıran bu makinalara zombi adı verilir. Zombiler esasen saldırganın daha önce bir açığını bularak ele geçirdiği (hack ettiği) ve saldırı sırasında kullanmak üzere içlerine program yerleştirdiği bilgisayarlardır. Bir başka deyişle, zombiler saldırının merkezinde bulunan, ancak saldırı fiilinden haberdar dahi olmayan ve güvensiz olduğu için saldırgan tarafından ele geçirilmiş makinalardır. Zombi programları, genellikle güvenliği zayıf olan sistemlere yerleştirilir.

3 3. Binlerce Zombi Bilgisayar Farkında Olmadan Saldırıya Katılıyor. Saldırgan tarafından zombiler üzerinde kurulan programlar (daemon) belirli bir kaynaktan gelecek DDoS komutlarını dinlemekte ve bu yolla hedef sisteme saldırıları gerçekleştirmektedir. (bkz. üstteki grafik) Binlerce bilgisayara yerleştirilen bu programlar, bilgisayarlara uzaktan kontrol (remote) imkanı vermekte, böylece saldırganın bu bilgisayarlar üzerinden istediği server a istediği sayıda veri göndererek o server ı çalışamaz hale getirmesine olanak sağlamaktadır Bin Kişinin Girebileceği Bir Web Sitesine, Aynı Anda 20 Bin Kişi Girmeye Çalışıyor. İfade ettiğimiz gibi saldırgan, bu zombi bilgisayarları kullanarak hedef olarak belirlediği sisteme (bilgisayara ya da hosta) aynı anda giriş yapmaya çalışmakta ve bu yolla kapasitesinin çok üzerinde istek gelen sistem tamamen kilitlenerek çalışamaz hale gelmektedir. (Bkz. bant

4 genişliğini hedef alan üstteki grafik) Örneğin, barındırma hizmeti veren bir firmadan belirli bir bant genişliği edinen ve buna göre azami olarak aynı anda 2 bin kişinin girebileceği bir web sitesine, aynı anda 20 bin kişinin girmeye çalıştığı ve girmeye çalışırken bu 20 bin kişinin ayna anda komut yolladığı durumda, bu web sitesine ulaşılması mümkün olmamaktadır. İşte DDoS saldırısı, aynı anda binlerce kişinin belli bir sisteme sürekli giriş yapmaya çalışması gibi, bu işi otomatize eden bir yazılımla hedef sistemi kilitlemekte ve çalışamaz duruma getirmektedir. 5. Rakamlarla "DoS, DDoS" Saldırıları 1. DoS/DDoS (Servis Dışı Bırakma / Dağıtık Servis Dışı Bırakma) ataklarının sayısı her yıl yaklaşık ikiye katlanıyor, 2. Saldırıların 2/3 ü 1 Gbps bant genişliğine sahip (çoğu kurumun internet çıkışından daha yüksek), 3. DDoS saldırılarının genişliği bir ISP yi bile durdurabilecek 300 Gbps bant genişliğine sahip olabiliyor, 4. Slow Post, ReDoS ve Buffer OverFlow gibi saldırılar büyük bir web sitesini bir ev kullanıcısı tarafından dahi çökertilmesine imkan verebiliyor, 5. DoS saldırılarının toplam maliyeti milyarlarca dolardan fazlayı bulabiliyor.

5 6. "DoS, DDoS" Saldırıları Çoğu Askeri ve İstihbarat Kurumunun İlgisini Çekiyor: yılında İngiltere istihbarat biriminin bir parçası olan GCHQ, Anonymous ve LulzSec gibi hacker gruplarının iletişim kurmakta kullandığı chat odalarına DDoS saldırı düzenledi yılları arasında Esad yönetimine bağlı çalışan istihbarat birimleri GSD ve AFID ele geçiremediği elektronik servislere sayısız DoS saldırı düzenledi yılında Orta Doğu Ülkelerini hedef alan Flame virüsünün, altyapı sistemlerini servis dışı bırakmayı amaçlayan NSA & GCHQ yapımı bir kötücül yazılım olduğu iddia edildi yılında ortaya çıkan Stuxnet in de, İran nüklüeer satrallerindeki Siemens SCADA sistemlere saldırıp santrifüj sistemlerinin çalışmasını aksatmayı başaran ve servis dışı bırakan NSA & MOSSAD ortak yapımı bir kötücül yazılım olduğu iddia edilmişti.

6 7. Saldırılar Bir Ülkeyi Felç Edebilir. İstihbarat Birimleri Bu Yeni Silahı Kullanıyor... Henüz sıcak bir savaş bile yokken yapılan bu saldırıların gerçek bir savaş durumunda bir bölgenin elektriğinin kesilmesine, suların boşa akıtılmasına, savaş uçaklarının rotasından çıkarılmasına ve kurumların iletişim altyapısının çökertilmesine ulaşması oldukça muhtemel lü yıllarda yapılan savaşlarda elektrik santralleri hedef alınır, barajlar tahrip edilir ve tren ve kara yolları gibi altyapı sitemleri bombalanırdı. Bu tip saldırılar fiziksel DoS saldırları olarak kabul edilirdi. Günümüzde ise bu saldırılar daha az maliyetle ve daha anonim bir şekilde gerçekleştirilebilmekte. NSA, GCHQ, ASD, BND, CSIS, CSEC, DGSE, FSB, GCSB, MISRI, MSS, NRO, PLA ve RAW gibi birçok istihbarat birimi bu yeni silahı çoktan kullanmaya başladı.

7 8. Botnet Nedir? Bot terimi, robotun kısaltmasıdır. Suçlular, bilgisayarınızı bir bot a, yani zombiye çevirebilen kötü amaçlı yazılımları dağıtırlar. Böyle bir durumda bilgisayarınız, sizin haberiniz olmadan Internet üzerinden otomatik görevleri gerçekleştirebilir. Suçlular genelde çok sayıda bilgisayarı etkilemek için bot kullanırlar. Bu bilgisayarlar da botnet adı verilen bir ağ oluştururlar. Botnetler, istenmeyen e-posta mesajları göndermek, virüsleri yaymak, bilgisayar ve sunuculara saldırmak ve diğer türlerdeki suçları işlemek ve sahtekarlıklarda bulunmak amacıyla kullanılabilir. Bir botnetin parçası olması durumunda bilgisayarınız yavaşlayabilir ve istemeden suçlulara yardımcı olabilirsiniz. Kısa Başlıklarla: - Zombilerdan oluşan yıkım ordularıdır. - Her an emir almaya hazır sanal askerlerden oluşur. - Uzaktan yönetilebilirler. - Sahibi adına istenen bilgileri çalar, saldırı düzenler. - Hiyerarşik yapıda değildir. - Genelde tek bir yönetici/komutan olur. - İnternet üzerinde çeşitli amaçlar için satılmaktadır.

8 9. Yeraltı Marketlerinde, Zombi Ordusu Kiralamanın Bir Saatlik Maliyeti: Dolar BotNet (Zombi Bilgisayar Orduları) sahibi hacker lar, yeraltı marketlerinde saatliği dolar arasında DoS saldırısı satın alma imkanı sunuyor. Aynı şekilde reklam networklerini de DDoS saldırıları için kullanmak mümkün. Bu yöntemi kullanarak 2013 yılında BlackHat konferansında iki kişi 300 dolar maliyetle Akamai ye 300 Gbps saldırı düzenlemeyi başarması bu tür saldırılara uygun bir örnek olarak gösterilebilir.

9 Dolara Ömür Boyu "DDoS" Saldırı Paketi Xbox ve PSN servislerini günlerce devre dışı bırakarak tüm dünyada ses getiren hacker grubu Lizard Squad; Geçtiğimiz günlerde artık "DDoS" saldırılarını ücret dahilinde herkese vereceklerini açıkladı. Hatta bu anlamda detaylı bir çalışma çıkartmışlar. Hack hizmeti alacak kişilere yönelik çalışmada, sunulan hizmetlerin fiyat tarifesi de mevcut. 11. DoS/DDoS Hakkında Yanlış Bilinenler!

10 Başlıklarla: - Bizim Firewall tek başına DDoS u engeller. - Bizim IPS tek başına DOS/DDoS u engeller. - Linux DDoS a karşı dayanıklıdır. - Biz de DDoS engelleme ürünü var, korunuyoruz! - Donanım tabanlı firewallar DDoS u engeller. - Bizde antivirüs programı var. - DOS/DDOS Engellenemez. - DDoS saldırıları sizin trafiğinizden daha yüksek boyutta olduğu için engellenemez. - Yapılan çalışmalar DDoS saldırılarının çok küçük bir bölümünün bandwith şişirme yöntemiyle gerçekleştirdiğini ortaya koymaktadır. 12. Saldırılardan Korunma Yolları DDoS saldırısını önlemek güçtür, zira saldırılar çok çeşitli kaynaklardan gelmekte ve zombiler üzerinden yapıldığından kaynak saldırgan çoğu kez tespit edilememektedir. Ancak, DDoS saldırısını önlemeye yardımcı olacak yöntemler de vardır. - DDoS saldırısı farkedildiğinde, ilk yapılması gereken, saldırının geldiği IP adreslerinden gelen bağlantı isteklerini reddetmektir. Ancak, sistemin tümden kapatılması zaten saldırganların ana amacı olduğundan, DDoS saldırısından korunurken, sistemin mümkün olduğunca açık ve çalışır vaziyette kalmasını içerecek tekniklerin kullanılması gerekmektedir. - Rate Limit adı verilen teknik, bir hedef bakımından, belli bir zaman içerisindeki trafik miktarının sınırlandırılmasıdır. Bu yöntemle normal zamandaki trafik öğrenilir ve bu trafiğe uygun bir değer limit olarak kabul edilir. Böylece kabul edilen değerin üzerindeki trafik düşürülür ve DDoS saldırısının sistemi kilitlenmesinin önüne geçilmiş olunur.

11 - Çok sık uygulanmayan bir yöntem olmakla beraber IP engellenme de DDoS saldırılarından korunmak için kullanılan bir metottur. Hedef sistem, erişmesi gereken kaynakları belli bir aralıkta toplayabilme imkanına sahipse veya IP adresleri tek tek bilinebilecek durumdaysa, bunlar için bir liste oluşturulur ve bunlar dışındaki bütün IP ler engellenip tüm trafik durdurularak, sisteme bilinmeyen IP ler üzerinden saldırılmasının önüne geçilmiş olunur. - Saldırı sırasında kullanılan zombi bilgisayarların saldırıyı farkedip saldırganın önceden bilgisayarına kurduğu daemon ları ortadan kaldırması da saldırıyı keseceğinden, etkili bir yoldur. Ancak DDoS saldırılarında genelde çok sayıda ve birbirinden bağımsız zombiler kullanıldığından, birkaç zombinin uygulayacağı bu yöntem çoğu kez saldırının şiddetini engellemekte yeterli olmamaktadır.

12 13. Microsoft'un Bireysel Kullanıcılar İçin Tavsiye Ettiği Korunma Yöntemleri

13 Saldırganlar, bilgisayarınızı bir Botnet'e şu şekillerde kaydedebilir: - Kötü amaçlı yazılımı, resim veya film sandığınız yüklemelerle veya e-posta ya da anlık mesajlaşma (IM) ya da bir sosyal ağda tıkladığınız bağlantılarla ileterek. - Bilgisayarınızda virüs olduğuna dair sahte uyarılar veren bir düğmeye veya bağlantıya tıklamanız konusunda sizi korkutarak. 14. Botnet Kullanarak "DoS/DDoS" Saldırısı Gerçekleştirmek TCK'ya Göre Suçtur! DDoS saldırısı, bir bilişim sisteminin işleyişinin engellenmesi olarak düzenlenen TCK m. 244 uyarınca suçtur. Saldırı yaptığından şüphelenilen kişilerin bilgisayarlarına, CMK m. 134 uyarınca el konulduğunda ve bilgisayarların harddisklerinde inceleme yapıldığında, DDoS saldırısının yapıldığına dair teknik delil elde edilmesi mümkündür. DDoS saldırısı failinin ceza sorumluluğunun dayandığı TCK m. 244 ün taksirli hali ceza kanununda özel olarak düzenlenmediğinden, DDoS failinin manevi unsuru hiç şüphe yok ki kasıttır. Kast, TCK nun 21/1. maddesinde Suçun kanuni tanımındaki unsurların bilerek ve istenerek gerçekleştirilmesi olarak tanımlanmıştır. Kaynak :