Mesele Anonymous ya da ODTÜ değil

Bunları konuşacağımıza... Yok Anonymous'u Ruslar yönlendirdi, yok ODTÜ eksik yaptı, zaten onlar fidanlıktan yol geçmesini engellediler...

Geçen hafta Çarşamba günü gözlerimin önünde, 12 dakika içinde, bir şirket çöktü.

Sadece itibarı yerle bir olmadı, aynı zamanda tüm şirket içi yazışmaları, personel bilgileri, finansal işlem bilgileri ve web sitesi bir hacktivist grup tarafından ele geçirildi.

Herşey bir DDoS (Denial of Service – Dağıtık Servis Kesintisi) atağı ile başlamıştı. Önce şirketin web sitesi çalışamaz hale geldi. Sonra şirketin sunucuları ele geçti. Ardından sistemin köküne sızıldı. Ve tüm bilgiler toplandı.

Bunlar olurken şirket savunma hamleleri yapmaya çalışıyordu ama bazı adımların atılması için artık çok geçti. Çok para harcandı ama ne itibar kurtarılabildi ne de mahrem bilgiler.

Anlattığım bu olay aslında bir kurmaca.

Price Waterhouse Coopers’ın şirketlere ‘siber güvenliğin önemini’ anlatmak üzere tasarladığı ‘Game of Threats’ adlı oyunun bir turunda yaşandı.

Ve, evet aynen öyle oldu: Bir şirket gözlerimin önünde darmaduman edildi.

**

Elbette çok ironik bir durum.

Zira bu oyun oynanırken, Anonymous adlı uluslararası hacktivist grup Türkiye’nin kamu sistemine saldırıyordu.

Herşey, aynı anlattığım Game of Threats oyunundaki gibi bir DDos atağı ile başlamıştı.

Önce kamu kurumlarının siteleri çalışamaz hale geldi, sonra bankalarda işlemler durdu. Yaklaşık 10 gündür süren bu saldırılara karşı kesin bir çözüm getirilememişti.

Hatta iş birbirini suçlamaya kadar varmıştı. Dünyaya karşı harika bir itibar gösterisi doğrusu!

Önce Ulaştırma Bakanı Binali Yıldırım, “ODTÜ yeterli önlemi almamış” dedi.

Sonra…

Başbakan yardımcısı Lütfi Elvan ‘içindekileri döktü’: “ODTÜ ulusal güvenliği savunacak durumda değildir, orası üniversitedir, bu sorumluluğu BTK'ya devretmelidir. ODTÜ, internetle ilgili uluslararası arenada bir sorumluk almıştı. Ancak zaman içinde biz Bilgi Teknolojileri ve İletişim Kurumunu (BTK) kurduk. BTK, Ulaştırma Bakanlığı aracılıyla ODTÜ'deki bu sorumluluğun, bu kuruma devredilmesi gerektiğini bildirdi, talep etti. Ancak ODTÜ bu konuda direniyor. Halbuki yasal düzenlemeler var, kendisini imparator zannediyor bu rektör zannedersem, herkes haddini bilmeli diye düşünüyorum.”

Burada devlet erkanının ‘direnen son bir kaç kurumdan biri’ olması hasebiyle ODTÜ’ye olan ‘sevgisiyle’ bir kez daha karşı karşıya olduğumuz kesin. Fakat şimdi o kısma dalıp kaybolmayalım.

**

Elvan’ın sözünü ettiği şey, Türkiye’deki ‘.tr’ uzantılı alan adlarını dağıtan sistemin ODTÜ tarafından yönetiliyor olması. Yaklaşık 15 yıldır bu böyle.

ODTÜ rektörü Prof. Ahmet Acar’ın hükümetten gelen suçlamalara karşı açıklaması şu şekildeydi: “Bizim 15 yıl önce önemini vurgulayarak altyapısını oluşturduğumuz 'güçler ayrılığı' ve 'çok paydaşlı yönetim' modelinin ne denli önemli olduğu, uluslararası çevrelerde son 4-5 yıldır konuşulur oldu. ODTÜ, '.tr' uzantılı internet adreslerinin tahsisine ilişkin yetkisini, uluslararası anlaşma kapsamında kullanıyor. Bu saldırı, sadece Alan Adı Yönetimi altyapısına yapılmadı, bunu söylememiz lazım. Hemen hemen tüm internet sağlayıcılarının altyapılarında sıkıntı yaşandı. Saldırı başlamaz başlamaz ODTÜ'nün sunucularını sistemden ayırdık. ODTÜ'deki 12 bilgisayar mühendisi, devamlı olarak sisteme destek veriyor. Bunlara ilaveten Enformatik Enstitüsü ve Bilgisayar Mühendisliği öğretim üyeleri devreye girdi. Enformatik Enstitümüz şu anda bir çok ülkenin uzmanlarına siber güvenlik eğitimleri veriyor. Ülkemizde bu kadar yoğun uzmanlık ve tecrübe ODTÜ'de var.”

**

Dönelim başa… Şu Game of Threats oyununa… Artık dünyada her gün yaşanan bir siber saldırının simülasyonuydu o oyun.

O nedenle o oyunu Türkiye’ye getiren Price Waterhouse Coopers’ın siber güvenlik lideri Burak Sadıç’ın Anonymous saldırısı ile ilgili görüşünü aldım: “Saldırıların DNS'lere yönelik olan bölümünde ODTÜ'nün iyi iş çıkardığını düşünüyorum. Tabii ki daha iyi yapılabilecek şeyler de vardı, ama teknik olarak yaptıklarına külliyen yanlış demek haksızlık olur. Hem nic.tr DNS yönetiminden hem de rektörden yapılan detaylı teknik açıklamalar da bu konuda iyi bir gösterge.”

Peki neler eksikti?

Şöyle cevaplıyor Sadıç: “En ciddi sorun koordinasyon eksikliği. Bakanlığın ODTÜ’yü suçlaması da bunu gösteriyor. Teknik olarak DNS yapısını kimin yönettiğinden bağımsız olarak bu konunun ülke çapında koordine edilmesi gerekiyor. DNS dışında bunun ‘backbone’ yani ülke internet bağlantıları kısmı da var. DNS'ye çok kaba bir tabirle adres defteri diyebiliriz, ya da şirketin telefonlarını bağlayan operatörü… Ama bu tip bir DDOS saldırısında operatörler ne kadar iyi çalışırsa çalışsın telefon hatlarının da çok yoğun taleplerle devre dışı kalma ihtimali mevcut. Şu an Türkiye'de yaşanan tam olarak bu.”

**

ODTÜ’yü suçlamak kolay. Fakat dikkat buyurunuz…

10 günü aşkın süren bir siber saldırı sonucunda koordinasyon ve kamuoyunun bilgilendirmesinden sorumlu olan Ulusal Siber Olaylara Müdahale Merkezi'nden çıt çıkmadı.

Lütfen gidip bakın Twitter adresine (@TRCert) ya da web sitesine (usom.gov.tr). Sanırsınız onlar başka bir ülkenin siber saldırı müdahale merkezi. Tamamen ilgisiz bir gündemle neredeyse kermes düzenleyecekler. Böyle iş mi olur Allahaşkına…

Dünyanın ve özel olarak bizim Türkiye olarak geldiği nokta itibariyle siber saldırıların her türlüsüyle her an karşılaşabiliriz.

Yurt çapında koordineli bir sistem kurulmadığı, devletin tüm özel sektörü içine alan genel bir kamu özel sektör işbirliği ve koordinasyon çerçevesi oluşturumadığı zaman işimiz iş!

Sadıç diyor ki; “Maalesef bu saldırı da gösterdi ki ülke olarak kritik altyapılarımız ciddi tehlike altında. Ve bu tarz saldırılar gerçek bir "siber savaş"a dönüştüğünde ne özel sektörün, ne de kamunun bu savaşta çarpışmaya yetecek sayıda yetişmiş insan gücü var. Hem yerli siber güvenlik teknolojisi geliştirmek konusunda ciddi teşvikler yapılması, hem de ciddi bir eğitim seferberliğine girişilmesi gerekiyor, daha da fazla zaman kaybetmeden...”

Bunları konuşacağımıza…

Yok Anonymous’u Ruslar yönlendirdi, yok Anonymous IŞİD’e destek verdiğimiz yalanına kandı…

Yok ODTÜ eksik yaptı, zaten onlar fidanlıktan yol geçmesini engellediler, zaten mescit yapılmasına da karşılar, zaten solcular noktasına geldik.

Mesele Anonymous ya da ODTÜ değil, hala anlamadınız mı?