Türkiye'ye
Yapılan DDOS Saldırısının Hatırlattıkları
Türkiye saldırı boyutu ve
teknikleri olarak çok ta ileri olmayan hatta Savunma Sanayii Müsteşarlığı’nın
iştiraklerinden biri olan Savunma Teknolojileri Mühendislik ve Ticaret A.Ş'nin
(STM) Genel Müdürü Davut Yılmaz'ın tepitlerine göre: "Bugünlerde DDOS
için 400 Gbps büyüklüğündeki saldırılar bile normal karşılanırken, 40 Gbps
büyüklüğündeki bir saldırıyla tüm ülke trafiğinin durma noktasına gelmesi,
ülkemiz adına hiç iyi bir durum değil. İleride daha büyük sorunların
yaşanmaması için ilgili uzmanların da yakından bildiği birtakım sorunların
acilen çözülmesi gerekiyor"
Ama yine de ülke olarak ciddi
etkilendik. İş işten geçtikten sonra da Güvenlik Uzmanları! ve Danışmanlar
çıktı medyada şöyle oldu böyle oldu dediler.
Tamam F1 plotundan ders
alıyorsunuz diye onun gibi süremeyebilirsiniz hatta F1 arabasını satın alsanız
da F1 plotu kadar hızlı süremeyebilirsiniz ama konu can alıcı ise ya sürücüyü
ya da eğiticiyi değiştirirsiniz, olduğu kadar demezsiniz herhalde.
Bütün bu yaşananlar uzmanı olduğum
SIEM konusunun Türkiye'deki durumunu aklıma getirdi. Çünkü bu saldırıya uğrayan
bu kurumların hepsinde KORELASYON yapan bir log yönetimi ürünü (Özellikle SIEM
demiyorum)
var. SIEM olarak kullanan yok gibi zaten. Çoğunluk log search etmek için veya kim logon olmuş, hangi dosyaya erişmiş vb.. uyumluluk raporlarını görse yetiyor.
Günlük milyarlarca logun içinde kayda değer veya kritik bir şeyi search ederek bulmak imkansız zaten.
var. SIEM olarak kullanan yok gibi zaten. Çoğunluk log search etmek için veya kim logon olmuş, hangi dosyaya erişmiş vb.. uyumluluk raporlarını görse yetiyor.
Günlük milyarlarca logun içinde kayda değer veya kritik bir şeyi search ederek bulmak imkansız zaten.
Sektörü algılar ve reklam
yönlendiriyor. Jeff Bezos: ”Eski dünyada zamanın %30'unu harika bir hizmet
sunmaya %70'ini de onun reklamına harcardık. Yeni dünyada hepsi tersine döndü.”
demiş ama bizde sanırım daha dönmedi.
Örnek vereyim. Aşağıda bir
Firewall logu var.
Feb 15 22:01:35 [xx] aaaaa:
NetScreen device_id=aaaaa [Root]system-alert-00016: user=erugrul.akbas From
X.Y.Z.W:ABCD to E.F.G.H:KLM, proto TCP (zone Untrust, int untrust). Occurred 1
times. (2015-02-15 22:09:03)
Türkiye'deki projelerde bu logunu
kaynak IP si şu, Hedef IP bu, hedef ve kaynak portlar da bunalar, kullanıcı da
bu şeklinde ayırmak ve istendiğinde bunun üzerinde arama (search) yapabilmek
yeterli.
Ama aslında bu bir tarama logu ve
örnek olarak SureLog bun logu " Reconnaissance->Scan->Host "
şeklinde kategorize edip bunu gösterebiliyor ve
kullanıcıya tarama yapan varsa haber ver diyebiliyor. Ama kaynak IP , Hedef IP , hedef ve kaynak portlar ve kullanıcı ya bakarak veya search ederek sisteminize bir tarama yapıldığını bulamazsınız.
kullanıcıya tarama yapan varsa haber ver diyebiliyor. Ama kaynak IP , Hedef IP , hedef ve kaynak portlar ve kullanıcı ya bakarak veya search ederek sisteminize bir tarama yapıldığını bulamazsınız.
Bugüne kadar yaklaşık 500 projede
bu ayrımı soran 2-3 tane kişi dışında kimseyle karşılaşmadığım gibi anlatmaya
çalışınca da bir fark oluşturmuyor veya hatta size rakipte olmayan şeyleri
şartnameye yazdırmaya çalışan uyanıklar olarak ta görebiliyorlar ki bu
özellikler global ürünlerde mevcut olan şeyler. Sadece algılar ve reklam yön
veriyor piyasaya. Ayrıca biz Türklerin egosu çok çok yüksek. Her şeyi en iyi
biz biliyoruz ama adam 40 Gbps DDOS ile ülkeyi kitliyor .
Tekrar DDOS saldırısına dönersek;
bu saldırıyı engelleyemeyen kişi veya kurumlar bir bedel öder mi? Sanmıyorum.
Türk toplumunda böyle bir olgu yok.
"Neyse! kış geldi hiç yağmur
yağmadı kuraklık olmasa bari. Hem sonra her gün zirai don oluyor. Umarım
ağaçlar zarar görmez. Patates tarlada 30 kuruşa düşmüş..."
(Alıntıdır)
Hiç yorum yok:
Yorum Gönder