Siber Güvenlikte DoS Saldırıları ve Hukuki Yaptırımları
Amazon, birçok web sitesinin dayandığı altyapıyı sağlayan çevrimiçi bulutunun tarihin en büyük DDoS saldırısını savuşturduğunu söylüyor. Amazon Web Servisleri (AWS) şubat ayındaki DDoS saldırısının 2.3 Tbps’yi aştığını söyledi.
BBC News
Analog devirden dijital çağa geçtiğimiz bu bilgi ve uzay çağında bilgiye ulaşmak o kadar kolaylaştı ki, artık bir bilgiye ulaşmak, bilgiyi değiştirmek ya da silmek parmaklarımızın ucunda. Son 30 yılda şahit olduğumuz teknolojik gelişim artık baş döndürür hale geldi. Gerçekten de 1200 yılıyla 1230 yılı arasındaki bilgi aktarımı gelişimi bu kadar kafa karıştırıcı değildi. 1990 ile 2020 arasında sadece bilgi aktarımı teknolojileri arasında o kadar fark var ki bu detayların yazı kapsamına alınması oldukça vaktimizi alacaktır. Kaldı ki bu 30 yılda gelişen tek şey bilginin kaynaklar arası aktarımı değil, bunlardan biri de bilginin insanlara aktarımı.
Yazının icadı yeni bir çağ başlattı. Peki bilgi teknolojilerinde yeni bir çağ açan neydi? İnsanlar neden 30 yıl içerisinde kütüphanelere gitmek yerine Google Search üzerinden sörf yapmayı tercih eder oldular? Herkesin aklına bu devrimin internetle başladığı gelse de internet, bu zincirin sondan birkaç önceki parçası. İnternetin icadından önce önem sırasıyla; verilerin depolanması ve bilgisayarın icadı geliyor.
Biz ise bu yazımızda internet halkasını inceleyeceğiz. Acaba siber dünyada bilgilere nasıl kolayca erişiyoruz? Bu aktarımın önüne geçen faktörler nelerdir?
İnternet Nasıl Çalışır?
Küçük bir örnekle internetin çalışma mantığını açıklamaya çalışalım; bir tez hazırlamanız gerekiyor ve teziniz için gerekli kaynakları iki şekilde edinebilirsiniz. Ya internette araştırma yapacaksınız ya da kütüphanede gerekli kitapları bulacaksınız. Bu durumda internet, kütüphane demek oluyor.
İnternet: Dünya genelinde çalışan IoT’nin (Internet of Things – Nesnelerin İnterneti), bilgisayarların ve bunlar gibi geniş ve yerel alan ağına bağlanabilme yeteneği olan ağ bileşenlerinin birbirleriyle iletişime geçmesiyle oluşan en geniş iletişim ağıdır. Wikipedia.com URL’sini tarayıcınıza girip Wikipedia üzerinden araştırma yapmakla iki telefon arasında kişisel erişim noktası açıp cihazları birbirlerine bağlamanız arasında internet ağı kurma yönünden bir fark yoktur. Sadece Wikipedia’ya bağlanmanız durumunda geniş alan ağından (WAN) yararlanırken kişisel erişim noktasıyla telefonlarınızı bağlamanız durumunda yerel alan ağından (LAN) yararlanırsınız. Bu iki yol ile internet bağlantısı kurmuş olursunuz.
Kütüphaneye girdiniz. Artık bir internet erişiminiz var. Peki istediğiniz bilgiye nasıl ulaşacaksınız? Tabi ki sorgulamak! Bunun için kütüphane görevlisine başvurmalısınız. Çünkü kütüphane görevlisi bulunduğunuz ağın yani kütüphanenin bir parçası. Ayrıca hangi kitabın hangi rafta olduğunu biliyor. Kütüphanenin kapısından içeri girdiniz, karşınıza iki kapı çıktı, biri direkt raflara doğru gidiyor diğeri ise kütüphane görevlisine çıkıyor. Siz kitabın nerede olduğunu bilmediğiniz için görevliye başvuracaksınız. Kütüphane görevlisine doğru giden kapıdan geçmeden önce kapıdaki güvenlik görevlisiyle tanıştınız ve aranızda şöyle bir diyalog geçti:
– Merhaba, ben Bahadır.
– Merhaba, ben de güvenlik görevlisi. Memnun oldum.
– Ben de memnun oldum.
Güvenliği de geçtiniz ve kütüphane görevlisine doğru giden koridordan geçip görevlini yanına vardınız. Görevli ile aranızda şöyle bir diyalog geçti:
– Merhaba, ben Bahadır. Siber güvenlikle alakalı kitaplarınız ne tarafta?
– A koridorunda 5. rafta.
Bu cevabın üzerine A koridorunun 5. rafına doğru yola çıkıyorsunuz.
Verilen bu örneği internete göre yorumlamak internet sitelerinin çalışma mantığını anlamak için bize yardımcı olacaktır. Kütüphane görevlisi burada Yahoo, Bing veya Google gibi bir arama motoru görevini görüyor (kütüphanedeki bütün bilginin indeksli olduğu mecra). Eğer kitabın yerini biliyor olsaydınız ona başvurma gereği duymazdınız. Yani ağ içinde arama motorları olmazsa olmaz değildir. Kapıdaki güvenlik görevlisiyle aranızda geçen diyaloğa ise 3 – Way Handshake yani Üç Yollu El Sıkışma ismi veriliyor, bu sayede kendinizi kütüphaneye giriş için tanıtmış oluyorsunuz. Kütüphane görevlisine doğru giden koridor ise port görevini görüyor. Görevliye isteğinizi belirtmeniz http isteği (http request), görevlinin size cevap vermesi de http cevabı (http response) işlevini görüyor.
Bir istemci (client) olarak bir sunucuya (server) bağlanmak istediğiniz zaman, örneğin tarayıcınıza www.google.com yazmanız durumunda, istemci ile sunucu arasında bağlanılmak istenen porttan 3 – Way Handshake (Üçlü El Sıkışma) adı verilen ve üç cümlelik bir tanışma diyaloğuna benzeyen paket gönderimi meydana gelir. İstemci SYN dediğimiz paketi gönderir. Sunucu, eğer port yani sunucunun bağlantı kapısı açıksa istemcinin gönderdiği paketle beraber ACK dediğimiz bir paket gönderir. İstemci de bu ACK paketini yeniden ve son olarak sunucuya gönderir ve bağlantı sağlanmış olur.
Sunucuya bağlanıldıktan sonra tarayıcımıza istediğimiz görüntünün gelmesi için web tarayıcımızın web sunucusuna bir http isteği göndermesi gerekir. Örneğin Google üzerinden bir arama yaptığımız zaman Google’ın web sunucularına bir http GET isteği (http GET request) gönderilir. Google ise bunun karşılığında http cevabı (http response) göndererek isteğimize yanıt vererek bize sonuç ekranını gösterir. Bazen bu yanıtlar olumsuz olabilir. Bunların en meşhuru ise 404 Not Found hatasıdır. Talep edinilen sayfanın sunucu içerisinde olmadığı anlamına gelir.
Ayrıca şunu belirtmek de gerekli: Siz her sunucuya bağlandığınızda sunucu ile aranızda 3 – Way Handshake olayı gerçekleşiyor. Her yeni internet sitesine bağlandığınızda ise Üçlü El Sıkışma’nın yanında http metotları gönderiliyor. Bu saydığımız işlemler saliseler içerisinde meydana geliyor. Google’da hukuk aramasını yaptığınızda bu hıza şahit olabilirsiniz:
Yaklaşık 44.100.000 sonuç bulundu (0,66 saniye)
A koridorunun 5. rafındasınız. Artık o raftaki bütün kitapları özgürce okuyup bilgi edinme hakkınızı sonuna kadar kullanabilirsiniz. Burada rafın tamamı sunucuyu temsil ediyor. Siz de bilgiyi talep eden olarak istemciyi temsil ediyorsunuz. Raftaki kitaplar ise istemcilerle paylaşılan dosyalardır.
Sunucu genel tanımıyla, ağdaki bütün bileşenlerin erişimine açık olan bilgisayar demektir. Yerel ağdaki bir NAS sistemi de sunucudur, online bir video oyununda oyuncuların verilerini depolayan ve ağı oyuncularla paylaşıp aynı ortamda oynanmasını sağlayan bilgisayarlar da bir sunucudur. İstemci ise bilgiye erişen ve yetkileri sunucu tarafından belirlenen kullanıcılardır yani bizleriz. Bir web sitesini web sitesi yapan belgeler sunucuda tutularak istemciye istediği bilgiler getirilir. Örneğin bir haber sitesinde sadece haberleri okuyabiliyoruz çünkü sunucu biz istemcilere sadece verileri okuma yetkisi vermiş durumda. Ama bir forum sitesinde makale paylaşarak okumanın yanında yazma yetkisinin de sunucu tarafından bize verilmiş olduğunu anlayabiliriz. Buradaki fark, sunucuların farklı web sitelerinde istemcilere farklı haklar vermiş olmasıdır.
İnternet Siteleri ve DoS Saldırıları
Şimdi biraz geriye gidelim ve kurgumuzu değiştirelim. Kütüphanenin binasına giriş yaptınız. Kütüphane görevlisine başvurmak için görevlinin olduğu koridora doğru girmek istediniz ama koridorda büyük bir kalabalıkla karşılaştınız. Bir türlü sıra size gelmiyor. Hatta arkanızdan gelenler bile sizin önünüze geçiyorlar. Bu sırada kalabalıkla ilgilenen çalışanlar size yardımcı olmuyorlar, kitapların yerlerini öğrenmek için soru sorduğunuzda bir cevap alamıyorsunuz. Bu sırada her yeni giren sizi geriye atıp öne ilerlemeye çalıştığı için siz sürekli geriye doğru sürükleniyorsunuz ve en sonunda kendinizi kütüphanenin dışında buluyorsunuz!
Asıl konumuza geldik. Burada siber güvenlik sektörünün en önemli istismarlarından biri olan DoS (Denial of Service – Hizmet Reddi) saldırısını somutladık.
Hack çilingirlikse, DoS kapıya omuz atmaktır.
Anonim
Her sunucunun bir ağ trafiği kapasitesi vardır. Buna Bandwidth (Bant Genişliği) denir. Yukarıda saydığımız bütün paket atma işlemleri sırasında siz, ağ trafiğinde bir yer kaplarsınız. Saldırgan da bu bant genişliğini sunucunun yanıt vermesini beklemeden sürekli http veya UDP/TCP paketleri atarak istismar edip doldurur ve sunucunun diğer isteklere yanıt vermesini engeller. Bunun sonucunda sistem uzun süre çalışamaz hale gelir veya çöker. Eğer bunu tek bir kaynaktan yapıyorsa buna DoS saldırısı (Hizmet Reddi) denir.
Adli bilişimin gelişmesi ise DoS tekniğini eskitmiştir. Ancak adli bilişimin geliştiği kadar kötü niyetli saldırganlar da tekniklerini geliştirmiş durumdalar. Artık IoT ve Endüstri 4.0 dönemine geçtiğimiz bu yüzyılda her cihaz internete bağlanmaktadır. Bu da Botnet kavramını ortaya çıkarmıştır. Saldırganlar kendi bilgisayarlarından saldırı yapmak yerine zararlı yazılım yükledikleri bilgisayarlar (zombi) üzerinden hedef sisteme saldırılarını yapmaktadırlar. Bu sayede saldırgan kendisini saldırıdan izole edip anonimliğini korur. Bu saldırı tekniğine ise DDoS saldırısı (Distributed Denial of Service – Dağıtılmış Hizmet Reddi) ismi verilir.
Peki kim, neden bu saldırıları yapıyor? Bunun da tek bir cevabı yok. Bazen aktivist bir hareket olarak karşımıza çıkarken bazen de esas siber saldırıyı gizlemek, hedef şaşırtmak için bu saldırılar yapılıyor. Bu gibi basit saldırılar büyük hack grupları tarafından yapılırken, DoS saldırıları en kolay saldırı tekniklerinden biri olduğu için çaylak statüsündeki kişiler bile bu saldırıları yapabiliyor. Ne kadar kolay olsa da büyük şirketlere yapılan bu büyük saldırılar, internet sitesinin bir süre kullanılamaması sebebiyle milyon dolarlık zararlar verebiliyor.
DoS’dan Korunmazsak ne olur? Nasıl korunabiliriz?
Sivas Cumhuriyet Üniversitesi’nde koronavirüs salgını nedeniyle uzaktan eğitime geçilmesinin ardından bu sabah ara sınav sırasında sisteme siber saldırı yapıldığı duyuruldu. Siber saldırı yüzünden 09.00- 10.00 saatlerinde gerçekleştirilemeyen sınavlar, ertelendi.
CNN Türk
Türkiye, pazar günü siber saldırılarla karşı karşıya kaldı. Siber saldırıda Garanti BBVA ve Türk Telekom dahil bazı kurumlar hedef alındı.
NTV
Bilginin dijitale döküldüğü bu zamanlarda bu saldırılardan korunmak son derece önemlidir. Koronavirüs salgını sebebiyle neredeyse çoğu kurum ve kuruluş online eğitim, sınav ve toplantı gibi çözümlere gitmiştir. DoS açıklarının kapatılmaması sebebiyle çoğu sistem çökmüş ve erişilemez hale gelmiştir.
Bu gibi sorunlar yeni önlemler alınması gerektiğini bizlere apaçık göstermektedir. Binaenaleyh hosting hizmeti veren şirketler ve siber güvenlik firmaları (Cloudflare, Project Shield, Verisign vb.) DoS koruması hizmeti de veriyor. Art arda istek gönderen IP adreslerini tespit edip sistemden uzaklaştırıyor veya o IP’nin bağlantılarını engelliyor. Buna rağmen her sistemin bir açığı olduğu unutulmamalıdır. Bu bulunan her açık için geliştiriciler sıklıkla güvenlik yaması yayınlamaktadır. Bu sebeple kullandığınız sistemlerin yazılımını güncel tutmanız siber güvenlik açısından oldukça önemlidir.
DoS Saldırılarının Cezai Yaptırımı
Türk Ceza Kanunu’nda bilişim suçları 243 – 246 maddeleri arasında düzenlenmiş durumdadır. DoS saldırılarını ilgilendiren madde 244. maddedir ve genel olarak düzenlenmiştir:
Sistemi engelleme, bozma, verileri yok etme veya değiştirme
Madde 244
(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.
TCK m. 244
Görüldüğü gibi DoS saldırılarıyla alakalı özel bir hüküm yok ancak DoS saldırılarının da bilişim sistemlerini engelleme, bozma; verileri erişilmez kılma ve bozma gibi özellikleri olduğundan DoS saldırısı suçunun müeyyidesi kanunda sayılan cezalar olabilir.
Ancak DDoS için yani zombi bilgisayarlar kullanılan saldırılar için nasıl bir hükme bağlanacağı kanunlarda belli değildir. Zaten şu anki tekniklerle DDoS saldırılarının ardındaki saldırganları bulmak oldukça zordur. Kaldı ki bir web sunucusuna girmek isteyen binlerce kişi sitenin bant genişliğini dolduracağından site kullanılmaz hale gelebilir. Örneğin YKS sınavının açıklandığı gün ÖSYM’nin sitesinin çökmesi durumunda sunucuya bağlanmak isteyen öğrenciler suçu oluşturmuş olur mu? Veya bir sızma testi uzmanının bir web sitesini test ederken siteye DDoS atakları yapıp açığı tespit etmesi ve bunu bildirmesi de suç unsurunu oluşturur mu? Hukuki güvenliği sağlamak için siber güvenlik alanının kanunlarda yer alması gerektiğinin önemini görmek zor olmayacaktır.
Kanın gövdeyi götürdüğü (!) internet ortamında kanunen bile korunması zor olan bu gibi saldırılardan korunmak için gerekli önlemleri zamanında almak ve her bir bireyin bilgiye rahatça ulaşmasını sağlamak her kurum ve kuruluşun görevidir. Siber güvenlik sektörü dünyanın dijitalleşmesi ve veriye erişimin öneminin giderek artması sebebiyle hafife alınmamalıdır.
Bu yazılarımız da ilginizi çekebilir:
Bu makaleye şu şekilde atıf yapılması önerilir: Mehmet Bahadır Savaş (2020). Siber Güvenlikte DoS Saldırıları ve Hukuki Yaptırımları, hukukcukafasi.com/siber-guvenlikte-dos-saldirilari-ve-hukuki-yaptirimlari, (Erişim Tarihi: … ).
Mehmet Bahadır Savaş
Mehmet Bahadır Savaş (Tümünü gör)
- Siber Güvenlikte DoS Saldırıları ve Hukuki Yaptırımları - 30 Temmuz 2020