Blog

Küresel DDoS Saldırı Raporu 2013

2013 yılının en çok karşılaşılan ilk 10 siber saldırı türleri içinde %23 ile en büyük payı DDoS saldırıları almaktadır. Bir önceki yıla göre toplam içindeki payını %5 artırarak saldırıların yaklaşık dörtte birini oluşturan bu siber saldırı türü, giderek ağırlığını arttırmaktadır.

http://hackmageddon.com/category/security/

Dağıtık Hizmet Engelleme (DDoS-Distributed Denial of Service), Bilgi Güvenliği unsurlarından “Erişilebilirliği” hedef alan saldırıları ifade etmektedir. Önceleri tek kaynaktan belirlenen hedefe doğru yapılan bu saldırılar (DoS-Denial of Service), zamanla olumsuz etkinin arttırılması için çok sayıda kaynaktan tek hedefe yönelen saldırılar şeklini almışlardır.

DoS/DDoS saldırıları, hedef aldıkları sistemlerin kapasitelerinin çok üzerinde servis talebinde bulunarak bu sistemleri taleplere cevap veremez hale getirerek ya da bağlantı hatlarının kapasitesini tamamen doldurarak erişilebilirliğini engellemiş olurlar.

Artık son derece kolay bir şekilde yapılabilir hale gelen DoS/DDoS saldırıları, fazlaca bir teknik uzmanlığa ihtiyaç duymaksızın herkesin internetten kolayca bulabileceği bazı programları kullanarak dünyanın herhangi bir yerinden gerçekleştirilebilirler. Bu nedenle, giderek yaygınlaşan DoS saldırıları önemli ve öncelikli tehdit haline gelmişlerdir. Bu saldırıya maruz kalan ve hizmet veremez duruma gelen şirket ve kurumlar önemli ölçüde maddi zarara ve itibar kaybına uğrayabilmektedirler.

DoS/DDoS saldırıları, aynı zamanda ülkeler arası siber savaşlarda da kullanılan savaş araçlarının en önemlilerinden biri haline gelmiş durumdadır.

Siber Güvenlik firması Prolexic tarafından yayınlanan “Prolexic Quarterly Global DDoS Attack Report (Q4 2013)”raporun bir özeti niteliğindeki aşağıdaki değerlendirmelere göre;

Bir önceki yıla göre 2013’de:
v DDoS saldırıları 2012’ye kıyasla 12 ayın 10’unda artış göstermiştir,
v Q4/2012’ye göre Q4/2013’de DDoS saldırılarındaki artış %26.09
v Layer 7 saldırıları yaklaşık %42, Layer 3&4 saldırıları yaklaşık %30 artmıştır,
v DNS, UDP ve CHARGEN saldırı vektörlerinde artış olmuştur,
v SYN ve ICMP floods saldırı vektörlerinde azalma görülmüştür,
v 100Gbps üstü çok sayıda yüksek bant genişlikli (max 179Gbps) saldırı görülmüştür,
v DrDoS (distributed reflection) amplification saldırıları, popüler saldırı metodlarından biri olmuştur,
v Mobil cihazlar ve uygulamalar DDoS saldırılarında kullanılmaya başlanmıştır,
v DDoS saldırılarına en çok Asya ülkeleri kaynaklık etmektedir.

Saldırıların sürelerinde önemli ölçüde (bir kattan daha fazla) artışlar söz konusu olmuştur, saldırı sürelerindeki bu artış hedeflenen kurumların hizmetlerinin kesinti süreleri anlamına gelmektedir.

ABD, DDoS saldırılarına kaynaklık etmesi bakımından Çin’i geride bırakmış olmasına rağmen Asya ülkeleri oransal olarak ön plandadır. Türkiye ise DDoS saldırıları kaynağı ilk 10 ülke içinde %5.84’lük oranla 7. sıradadır.

DDoS – İlk 10 Kaynak ülke Q4 2013

2013/Q4’te finansal kurumların da içinde bulunduğu birçok şirkete düzenlenen DDoS saldırılarına mobil uygulamaların da dahil olduğu belirlenmiştir. AnDOSid isimli Android tabanlı bir mobil uygulamanın HTTP POST flood saldırıları gerçekleştirdiği görülmüş olup 2014’te mobil uygulamaların DDoS saldırılarına artarak karışması beklenmektedir.

2012-Q4’a göre DDoS saldırılarındaki %26.09 sayısal artış ile birlikte toplam saldırı süresinin %28.95 düşmüş olması saldırıların daha etkin yapıldığını göstermektedir.

Layer 3&4 saldırıları toplam saldırıların %76.76’sını oluşturur, geri kalan %23.24 ise Layer 7 saldırılarıdır. Prolexic’te yer alan bu istastistik sonucunun oluşmasında, Layer 3&4 ve Layer 7 non-spoofed (analiz yoluyla ulaşılan) IP adreslerinin kullanılması etkili olmuştur.

UDP, UDP fragment, DNS, SYN ve HTTP GET floods genelde kullanılan saldırı tipleri olup CHARGEN protokolüne yönelik ‘reflection’ saldırılarında ciddi artışlar söz konusudur.

CHARGEN protokolüne yönelik saldırılar Q4’te %92.31 artmıştır. Yaklaşık 110.000 CHARGEN sunucusu olduğu hesaplanmaktadır ve bunların saldırılara karşı zayıf olduğu bilinmektedir, bu nedenle bu protokole yönelik saldırılar popülerliğini koruyacaktır. Bilgisayarlar arası zaman senkronizasyonunu sağlayan NTP’ye (Network Time Protocol) yönelik saldırılar da oransal olarak artmaktadır. Layer 7 saldırıları bilgi ve karmaşıklık bakımından daha üst seviye saldırılardır, bu nedenle saldırıyı düzenleyecek kişi veya gruplar benzeri hedef sistem ile ilgili temel detayları ücret karşılığı diğer gruplardan satın alıp uyarlama yapma yoluna gitmektedir. NTP protokolü genel olarak işletim sistemlerinde, ağ altyapısındaki cihazlarda ve gömülü sistemlerde kullanılmaktadır. UDP yoluyla NTP’nin spoofing’e (başkasının ip adresini kullanarak TCP/IP paketleri oluşturma) duyarlı olduğu görülmektedir; bu yolla DDoS saldırılarına alet edilebilmektedir. Bu durum, sahte NTP güncellemesi isteği yapılıp sistemin verdiği cevapların saldırılacak hedef sisteme yönlendirilmesi suretiyle oluşmaktadır.

DDoS saldırı tipleri ve 2013-Q4 dağılımları

2013 ve 2012 için saldırı vektörleri karşılaştırılması aşağıda gösterilmektedir. UDP tabanlı saldırıların 2012 yılına göre arttığı görülmektedir. ICMP floods ve SYN floods saldırıları 2012 yılına göre azalmıştır.

Multi-Vector DDoS saldırılarını savunmak çok daha zordur, bu nedenle hacker’ların da bu tip saldırılara yoğunlaşmaya başladıkları görülmektedir. Saldırılarda kullanılan botnet’ler (zombi pc ağı) çoğunlukla Asyalı kullanıcıların bilgisayarlarından oluşturulmaktadır. Botnetlerin kaynağı, genellikle super-proxy ardına gizlenmektedir. Sıradan kullanıcılar da gizlilik adına süper-proxy kullanabilmektedir. DPI (deep packet inspection) teknolojisi kullanılarak sıradan kullanıcılardan gelen istekler ve botnet saldırıları bir ölçüde ayırt edilebilmektedir.

Yakın zamanda düzenlenen Layer-3 ve Layer-7’ye yönelik 12 farklı tipteki eş zamanlı saldırı karşısında DDoS önleyici cihazlar ancak deneyimli mühendislerin de desteğiyle saldırıları bloke edebilmiştir. Saldırılarda HEAD floods, GET floods, POST flood, SYN flood, DNS flood, UDP fragmentation flood, ICMP flood gibi vektörler kullanılmıştır. Bu saldırı metotlarının birlikte kullanımı, tekil saldırılara göre çok daha tehlikelidir.

2013 ve 2012 saldırı vektörleri kıyaslaması

Yapılan incelemelere göre botnetler habersiz katılımcılar kadar gönüllü katılımcılardan da oluşmaktadır. Saldırılarda AnDOSid ve LOIC (Low Orbit Ion Canon) gibi sıradan kullanıcıların erişip yükleyebileceği yazılımlar da kullanılmıştır. Alan ad sunucuları spoofing yoluyla DrDoS saldırıları yapmak amacıyla kullanılmıştır.

LOIC bilgisayar kullanıcılarının gönüllü olarak DDoS saldırılarına destek verebilmesi amacıyla yazılmış bir yazılımdır. Programı yükleyip sunucuya bağlandıktan sonra kullanıcılara ait bilgisayarlar saldırıyı düzenleyen gruplar tarafından IRC (internet relay chat) gibi servisler ile kontrol edilebilir duruma gelmektedir.

2013 yılında Layer-7 DDoS saldırı kitleri ve reflection saldırıları ön plana çıkmıştır. Herkese açık DDoS kodları Asyalı ülkelerde sıkça paylaşılmaktadır. DrDoS saldırıları 1:50 oranında kuvvetli olabilmektedir ve birçok kuruma kabus yaşatmaktadır. Tehditlerin etkilerinin azaltılabilmesi için sayıca çok büyük miktarlardaki CHARGEN ve NTP sunucularındaki hataların düzeltilmesi büyük önem taşımaktadır.

Mobil cihazlar zararlı yazılımlara karşı korunmasızdır. Cihaz sayısının çokluğu, zararlı yazılımların daha rahat yayılmasına da imkan vermektedir. Asya pasifik bölgesinde (yaklaşık 850 milyonu Çin’de olmak üzere) 3.5 milyara yakın mobil cihaz kullanımı mevcutdur. Bu cihazlara yüklenen zararlı yazılımlar genellikle finansal ve kişisel bilgileri hedeflemektedir. CNCERT (The Chinese National Computer Network Emergency Response Technical Team) raporuna göre tespit edilen 162.981 zararlı mobil yazılımın %82’si Android kullanıcılarına yöneliktir.

AnDOSid isimli bir uygulamanın, Android tabanlı cihazlarda DDoS saldırıları için kullanılan bir yazılım olduğu belirlenmiştir. Kullanıcılarına penetrasyon testi yaptırabilmesinin yanısıra POST floods (bir çeşit Layer-7 saldırısı) için de kullanılmaktadır.

Mobile LOIC Google Appstore’dan Aralık’13 itibari ile indirilebilen bir uygulamadır; kullanıcılarının saldırılara destek verebilmesini sağlamaktadır. Mobil işlemci hızlarındaki artış ve benzeri mobil teknolojilerdeki gelişim, yaygınlaşan uygulamalar ile birlikte mobil cihazların DDoS saldırılarında ve botnet oluşumlarında daha yaygın olarak kullanılacağını göstermektedir.

Saldırı izlerine bakıldığında korsan grupların artışı ve DDoS saldırılarına Asya-Pasifik bölgesinde katılımların politik destekli verildiği yönünde bulgular mevcuttur.

Çin’de internet suçları nedeniyle 46 milyar dolarlık ekonomik kayıp oluşmuştur. Ülkede yer alan 8.73 milyon alan adı, 2.5 milyon web adresi aynı zamanda hackerlar için kaynak durumundadır. Çin’de kaçak yazılım kullanım oranı %80’dir. İşletim sistemlerinin %60’ı Windows XP’dir, ve Microsoft Nisan 2014’ten itibaren bu işletim sistemine destek vermeyecektir. 330 milyon IPv4 adresi mevcuttur. 2012 yılında 388 milyon mobil kullanıcı kayda geçmiştir, 162.981 zararlı yazılım bulunmuştur. En az 13.000 CHARGEN sunucusu vardır. Ülkede yazılmış ve Q4’daki saldırılardan sorumlu birçok DDoS kiti ve kod parçası vardır. Bütün bunlar zararlı akımlar için iyi bir kaynak oluşturmaktadır. Ülke, WordPress ve sanal ortamda özgürlüğü savunan çeşitli web adreslerine yapılan DDoS saldırılarına sponsorluk etmekle itham edilmektedir.

Türkiye ise, siber saldırıların hem kaynağı hem de hedefi olan dünyanın ilk 10 ülkesi arasında yer almaktadır. 2013 yılında Türkiye, genelde kamu kurumlarına yönelik ve genelde politik amaçlı olmak üzere bir ülkeyi hedef alan en büyük boyutlu saldırıya maruz kalan ülke olmuştur.

http://hackmageddon.com/category/security/

Türkiye ise, Siber saldırılara kaynaklık eden ülkeler sıralamasında %4,7’lik pay ile dünya 3. durumundadır. Lisanssız yazılım kullanımının yüksek olması, evlerde kullanılan bilgisayarlarda ve akıllı cep telefonlarında büyük ölçüde anti-virüs koruma programları kullanılmaması, özellikle akıllı cep telefonu uygulamalarının kullanımının hızla artmasının da bir sonucu olan bu durum aynı zamanda Türkiye’yi hedef ülke haline getirmektedir.

http://www.techspot.com

Sonuç ve Öneriler;

  • Siber saldırıların hem kaynağı hem de hedefi olarak dünyanın ilk 10 ülkesi arasında yer alan Türkiye, son bir-iki yıl içinde bu konuda yapılan bazı idari düzenlemelerin hızla eyleme dönüşmesine ihtiyaç duymaktadır. Kamu ve özel sektörün tamamını kapsayacak bu eylem planları çok etkin bir şekilde uygulanıp sonuçları sürekli izlenmelidir.
  • Giderek yaygınlaşmakta olan akıllı Mobil cihazlar DDoS saldırılarının yeni mücadele alanı olacaktır. Bu tür cihazların özellikle iş için kullanımı konusunda ciddi düzenlemelere ihtiyaç vardır.
  • Lisanslı yazılım ve anti-virüs koruma programı kullanımının teşvik edilmelidir.
  • Akıllı cep telefonu ve tabletlere indirilen (öncelikle Türkçe) uygulamaların güvenliği bir uzman kuruluş tarafından değerlendirilerek kullanıcıları risklere karşı uyarıcı bir mekanizma oluşturulmalıdır.
  • Türkiye hızla siber saldırılara kaynaklı eden ülke olmaktan çıkartılarak saldırıların hedefi olması önlenmelidir.

Kaynakça;

  1. http://www.prolexic.com/knowledge-center-ddos-attack-report-2013-q4.html
  2. http://hackmageddon.com/category/security/
  3. http://www.techspot.com
Tarih: 03.03.2014 00:00 Yazar: Ahmet Hamdi Atalay

Yazar'a Soru Sorun!

eBülten Üyeliği

Tüm yeniliklerimizden haberdar olmak için eBültenimize kayıt olun!