Dün öğlen saatlerde başgösteren DDoS saldırısı sonrasında Garanti BBVA ve telekom operatörleri hizmetlerini verememe noktasına geldi. En büyük mağduriyeti Garanti müşterilerinin yaşadığı çökme sorunu henüz tamamen çözülmüş değil ve pek çok hizmet hâlâ sağlıklı biçimde sunulamıyor. Yaşanan bu saldırı ve sonrasında ortaya çıkan sorunlarla ilgili dünden beri pek çok iddia ortaya atıldı. Türk Telekom ve Garanti BBVA'dan "standart" kriz açıklamaları geldi. Sosyal medyada ve Ekşi Sözlük'te, ilgili kurumlarda çalıştığı anlaşılan kişiler suçu birbirine attı. Oluşan genel intiba, sorumluluğun telekom operatörlerinde olduğu yönünde.
Garanti BBVA'dan kimseye bu konuda ulaşamadım. Üst yönetimden tanıdığım kişiler de, muhtemelen başları çok kalabalık olduğu için iletişim çabalarıma cevap vermediler. Türkiye'den ve yurt dışından iki siber güvenlik uzmanıyla, bu konuyla ilgili olarak görüşme yaptım. Her ikisi de dünyanın en büyük finans kuruluşlarıyla çalışan kişiler olduğu için konuyla doğrudan ilgileri var.
"Garanti BBVA'nın bir günahı yok"
Türkiye'deki kurumsal siber güvenlik uzman bağlantım, dün düzenlenen saldırıyı "DNS protokolü üzerinden gerçekleşen bir saldırı" olarak nitelendirdi. DNS'in çalışma prensibi kaynaklı olan saldırıda Garanti BBVA'nın doğrudan hedef alındığını söyleyerek, "DNS sunucularına sorgu gönderiyor. 'Ben Garanti'den geliyorum, bana şu DNS'i çözümle' diye sorgu gönderiyor. Buradaki DNS sunucular da 'tabii abi, cevap bu' DNS'e cevap veriyor. Şirketin yapabileceği bir şey değil. Bu biraz daha kökten çözülmesi gereken bir problem. İçeriden çözülebilecek bir şey değil bu." sözleriyle durumun banka tarafı dışında geliştiğine işaret ediyor.
"Siber saldırıyı gerçekleştirenler dışardan atağı büyüterek, çok az bant genişliği kullanarak yapıyor. Megafonla bağırmak gibi düşün. Böyle olunca hem yurt içinden hem yurt dışından Garanti'ye DNS cevapları geliyor. Garanti, tüm operatörlerden hizmet alıyor. Diyelim ki Garanti'nin 1'er Gigabitlik üç tane hattı var, operatörlerin de 10'ar Gigabitlik birer hattı var; 30 Gigabit ediyor. Gelen trafik 100 Gigabit. Gelen trafik taşıyor. Garanti'nin yapabileceği hiçbir şey yok."
Sorun teknoloji değil, insan kaynağı sorunu var!
Yaşanan bu sorunun sebebini teknolojik değil, insan kaynakları sorunu olarak ifade eden uzman, şöyle bir örnekle durumu izah ediyor: "Örneğin sen evinin güvenliğini sağlıyorsun. Sokak kapını açıyorsun, saniyede 1 kişi girebilecekken 100 kişi girmeye çalışınca izdiham oluyor. Telekom operatörleri bunu regüle edemiyor. Yani aslında Telekom operatörlerinde kalifiye olmayan çalışanlar sebebiyle oluyor. Telekom operatörleri bu kalifiye çalışanları Türkiye’de tutamıyor. Böyle olunca operatörler kafa kafaya verip konuyu çözmeye çalışıyor."
"Tecrübe ve kalifiye insan gücü bizim alanımızda hayati öneme sahip. Zaten siber güvenlik sektöründe kalifiye insan eksikliği var. Böyle bir sistemin başında durmak ister misin? İstersin elbette, tatmini yüksek istersin ancak 7/24 çalışmak gerekiyor. Telekom şirketleri de böyle mühendislere çok para vermiyor. Mühendisler de yurt dışına gidiyor. Operatörlerdeki yetersiz yönetim de bu adamların gelişmesine pek imkan sağlamıyor. Bu yüzden global sorunlarda global performans gösteremiyoruz."
Peki bu saldırıları engellemenin yolu ne?
"Temel sorun, bu saldırıları anlayıp soruna intikal etmekte çıkıyor. DDoS saldırılarına karşı korunma sağlayan teknolojilerden Telekom operatörlerinde var. Yapmaları gereken, böyle bir atak var, o zaman elimizdeki yazılımı ona göre konfigüre edelim ki bu tip bir atağı engelleyebilelim demek oluyor. Böyle durumlarda yurt dışından mühendis gelsin sorunu çözsün oluyor. Kısa zamanda çözmek gerekiyor bu sorunu. Bu yüzden ya atağın geçmesini bekliyorlar, ya da atağın taktiğini anlayıp çözüm buluyorlar. Bu tür durumlarda operatörlerin acil danışmanlık hizmetleri oluyor. Hatta sen saldırıya uğrayınca trafiğini bana yönlendir ben senin trafiğini sürerek veririm diyenler de var."
"Evde biri grip oldu mu herkes hasta"
Avrupa'daki bilgi kaynağım olan siber güvenlik uzmanı da Türkiye'deki bilgi kaynağıma yakın açıklamalamar yaptı. O da sorunu "uzmanlık ve tecrübe" olarak ortaya koyuyor. Türkiye'de "erteleme" ve "bize bir şey olmaz" anlayışının yaygın olduğunu da söyleyen yabancı uzman, dün gerçekleşen saldırının Spoofing ve botnet ile DDoS karışımı bir saldırı olduğunu iddia etti.
"Genel kanı, DDoS en iyi daha çok bant genişliği ile bertaraf edilir. Olmadı ürün alınır" olduğu için teknolojik silahlanma yarışında Türk operatörleri geri kalıyor. Bir de, Türkiye'deki operatörlerin tedbirleri yurt dışındaki DDoS saldırıların karşı hazırlanmış durumda. Operatörler kendi müşterilerine bakmıyor. X müşterisi, Y müşterisine saldırı yapabiliyor mesela. Bu da ciddi bir sorun."