Siber Güvenlik: Mirai Köleağ Saldırısı ve Çıkarılan Dersler

Siber Güvenlik: Mirai Köleağ Saldırısı ve Çıkarılan Dersler

21 Ekim 2016’da dünya genelinde, bilinen pek çok bilgiağı sayfasına erişilemedi. Olumsuz etkilenen sayfalar için Dyn adlı bir firmadan Alan Adı Sunucusu (DNS: Domain Name Server) hizmetinin alınmakta olduğu anlaşıldı. Dyn alan adı sunucuları, siber saldırıların ana hedefi olmuştu. Saldırıda, Dağıtımlı Hizmet Durdurma (DDoS: Distributed Denial of Services) yöntemi kullanılmıştı; ancak bu kez farklı olarak saldırıya internete bağlı akıllı aygıtlar da eşlik etmişti. Başka bir deyişle, ele geçirilebilen internet bağlantılı aygıtlardan köle ağ (botnet) oluşturulmuş, belirlenen bir hedefe, sonrasında pek çok hedefi de etkilemek üzere yönlendirilmişti. Bu arada, 2016 yılının sonuna kadar internete bağlı aygıtların sayısının (IoT: Internet of Things) 6,4 milyarı bulabileceği öngörülüyordu. 2025 yılında ise bu sayının 75 milyarı aşması bekleniyor. Ardına çok sayıda akıllı aygıtı da alan bu saldırının etkisi çok büyük oldu. Saldırının büyüklüğü 600 Gbps üzerine kadar çıkmıştı.Twitter, Amazon, Netflix, Spotify, GitHub, PayPal ve Reddit gibi çok bilindik firmalar bu saldırı sırasında hizmet veremediler.

Saldırıda kullanılan kötücül yazılımın adı ‘Mirai’ idi; adını Mirai Nikki adlı bir Japon çizgi film kahramanından alıyordu. “C” dilinde derlenmiş yazılım, Linux üzerinde çalışıyordu; bulaştığı sistemlerde solucan (worm) gibi çoğalıyordu. Görüntü izleme aygıtları, yönlendiriciler, internet kullanan telefonlar, TV’ler, yazıcılar ve daha pek çok akıllı sistem uzaktan denetimle köle bir ordunun birer savaşanı durumuna getirilebiliyordu. Aygıtın ele geçirilmiş olduğunu kullanıcısının bilmesi ya da anlaması çok zordu. Hizmet durdurma saldırılarında internete bağlı aygıtların kullanıldığı ilk kez görülüyordu. Çoğu aygıtın kullanıcı parolaları fabrika çıkışlı olarak, verildiği şekliyle duruyordu ve hiç değiştirilmemişti; ele geçirilmeleri de o denli kolaydı.  Ayrıca saldırganlar, hedef üzerinde yoğun internet trafiği yaratmanın yanında internet iletişim kurallarına ve uygulama düzeyindeki saldırı yöntemlerine dayalı olarak da farklı saldırılar geliştirebiliyorlardı.

Saldırı kaynağı araştırılırken Mirai yazılımının izlerinin bir oyun sunucusunda bulunmuş olması ise işin en çarpıcı noktasıydı. Sözkonusu kötücül yazılımın çıkış noktası, Minecraft oyununda diğer oyunculara karşı üstünlük sağlamaktı. Minecraft oyununda oyuncuların kendi sunucularını oluşturmasına izin veriliyordu. Sunucularını kuranlar oyuniçi sunucu kullandırma hizmetini de satabiliyorlardı. Mirai kötücül yazılımının ortak geliştiricileri; Paras Jha, Josiah White ve Dalton Norman Minecraft, sunucu hizmetinden aylık 100,000 Dolar gibi bir getiri elde ediyorlardı. İşin asıl ilginç tarafı üniversite öğrencisi olan Paras Jha’nın, dağıtımlı hizmet durdurma saldırılarını önleme amaçlı ProTraf Solutions adlı bir firmanın da kurucusu olmasıydı. Evet, Mirai yazılımı, rakip Minecraft sunucularını çalışamaz duruma getirmek için yazılmıştı. Adı geçen firmadan saldırı önleme hizmeti almayanlara ne mi olacaktı? Onlara da Mirai saldıracaktı, büyük olasılıkla.

Nasıl etkili bir saldırı gereci geliştirdiklerinin ayırdına vardıklarında bu üç genç hedef şaşırtmak amacıyla Mirai yazılımının kaynak kodunu İnternet’e sızdırdı. İşte, 21 Ekim 2016’da gerçekleşen büyük siber saldırının nedeni de açık kaynaktan uyarlanan Mirai yazılımının başka siber saldırganlar tarafından kullanılmış olmasıydı.

Sonuçta, Mirai kötücül yazılımının yazarlarından Paras Jha’nın, 13 Aralık 2017 tarihinde 6 ay hapis ve 8,6 milyon Dolar para cezası aldığı; 2500 saat toplum hizmetlerinden yoksun bırakıldığı haberlere yansıdı.

Bu tip saldırılara karşı hem kullanıcı tarafında hem de alan adı sunucu hizmeti verenler tarafında yapılabilecekler var; kısaca bunları irdeleyelim:

Önce Mirai saldırsına hedef olan Dyn firması tarafından izlenmiş olabilecek bazı yol ve yöntemlerden söz edelim; burada şu konular öne çıkmakta:

  • İnternet üzerinden Dyn sunucularına yönlendirilen trafik yoğunluğunun azaltılması için İnternet Servis Sağlayıcı (İSS) düzeyinde koruma gerekli,
  • Alan adı sunucu sayısınının artırılması ve farklı yerleşkelerde konumlandırılmasında yarar var,
  • İnternet Hizmet Sağlayıcı düzeyinde gerekli yedekleme işlemleri yapılmalı.

 

Simdi de akıllı aygıtların güvenliği konusuna değinelim;

  • Akıllı aygıtlarda, ilk kuruluşla birlikte gelen yetkili hesap parolaları değiştirilmeli,
  • Güçlü bir parola seçilmeli,
  • Aynı parola başka bir hesap için kullanılmamalı,
  • Parolalar kimseyle paylaşılmamalı,
  • Belli aralıklarla parolalar değiştirilmeli,
  • Güvenlik düzeyleri yüksek güncel teknolojiler kullanılmalı.

 

 

 

35
Önceki TBD Heyeti T.C. Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürü Sn. Dr. M. Mahir Ülgü'yü Makamında Ziyaret Etti
Sonraki Söyleşi: Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir ile Kişisel Verileri Koruma Kanunu’na İlişkin Her Şey
Kategori Ahmet PEKEL

Benzer Yazılar

Ahmet PEKEL

Siber Güvenlik – Hedefli Bir Oltalama Saldırısı ve Çıkarılan Dersler: Telefonunuzdaki Casus

14

Genel

Siber Güvenlik: “Bir Tedarik Zinciri Saldırısı” ve Çıkarılan Dersler

9

Ahmet PEKEL

Sunuş (Temmuz Sayısı)

9