İzlediğimiz aksiyon filmlerindeki banka soygunu sahnelerini hatırlayalım. Azılı soyguncular amaçlarını gerçekleştirmek için bir banka belirler ve daha sonra o bankanın kapısından sert bir giriş yaparak; “kimse kıpırdamasın, bu bir soygundur!” der ve kasadan paraları çantalara doldurmaya başlarlar. Daha sonra oradan ışık hızıyla tüyerler… Bu ilkel bir banka soygunu modelidir…

 

Günümüzde bu model bir laptop ile bu kadar aksiyona girilmeden birkaç mouse tıklaması ile yapılabilen siber banka soygunları haline evrildi… 


İlkel yöntemde gerçekleştirilen yukarıdaki banka soygununda soyguncular birçok noktaya el izini ve güvenlik kameralarına da görüntülerini bırakmıştır aslında. Olayın gerçekleştiği bankaya gelen olay yeri inceleme, kriminal ve diğer birim polisleri hem kamera görüntülerini hem de soygunculara ait el izlerini inceleyerek bu suçluları tespit edebilir.

 

Bilişim yolu üzerinden yapılan siber saldırılarda el izi ya da güvenlik kameralarına ait görüntülerin; suçlunun yakalanmasına yönelik direkt bir etkisi yoktur. Çünkü o bankaya soyguncu girmemiştir. Bütün aksiyon uzaktan yapılan bağlantılar ile gerçekleşmiştir. Ancak siber saldırgan için daha önemli bir husus vardır; Dijital izler. Ağda bırakılan hareketler…

 

Siber saldırılarda saldırganların tek vizyonu gizliliktir. Anonimliktir. Kaynak kimliklerin bilinmemesi ve duyulmaması gerekir. Yapılan aksiyonların fark edilmemesi ve izlenmemesi gerekir… Bunlar için de birçok teknik ve taktik kullanırlar. Ancak daha profesyonel hareket eden saldırganlar özelikle “Ülke Atlatma” yöntemini denerler!

 

Ülke atlatma yöntemi, saldırı amacı güden suçluların, bilişim ortamı üzerinden, özellikle ağlar yardımı ile gerçekleştirdikleri saldırılarda kaynak kimliğini gizlemek ve bu saldırı sürecinin dijital ortama bırakılan izlerini karıştırmak ya da yok etmek amacıyla başka ülkelerin lokasyonlarını ve gerekirse bilgi teknolojileri altyapılarını kullanması sürecidir. 

 

Örnek verelim. A etiketli siber saldırgan İstanbul konumundadır. Saldırı düzenleyeceği B isimli Bankanın konumu ve sunucuları da İstanbuldadır. Yani iki unsurun bulundukları ülke Türkiye’dir. Siber saldırgan, gerçekleştireceği siber saldırıda ifşa olmamak ve takip edilmemek için VPN (Sanal Özel Ağ) kullanacaktır. Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi VPN, kullanıcıların internete farklı bir konumdan erişmelerine olanak tanır ve bu sayede çevrimiçi faaliyetlerini gizleyerek onlara anonimlik sağlar. Böylelikle bu araç yardımı ile siber saldırgan da konumunu başka bir ülkenin konumu ile değiştirmiş olacaktır. Oysaki gerçek konum Türkiyedir! 

 

Siber saldırgan bankanın sunucularına sızmak için ataklarını gerçekleştirir. Bu atakların kaynağına bakıldığında lokasyon Hindistan’ı gösterir. Saldırı Hindistan’dan yapılıyor zannedilir. Aslında saldırgan bu saldırıyı bankanın bulunduğu konumdan sadece 500 metre ilerdeki bir cafe’de kahvesini yudumlarken yapmaktadır. Böylelikle ilgili dijital muhasebe dosyalarına sızıp ilgili finansal kaynakları “bu bir soygundur!” demeden elde edebilir. 

 

Şimdi, makaleye girişte anlatılan o soygun anlarını bu soygun yöntemiyle kıyaslayın. İşler çok değişti… Kolaylaştı… Olabilitesi arttı… Olayın gerçekleştiği bankaya gelen polis departmanları ne bir el izi ne de bir görüntü bulabilecektir… Çünkü her şey ağ üzerinde gerçekleşmiştir…

 

Peki, ağ üzerinden gerçekleşen bu siber saldırılar ve kim tarafından yapıldığı tespit edilemez mi? Tabii ki edilir. Her gelişen siber saldırıların kendine özgü savunma ve tespit yöntemleri vardır.  Bu kapsamda tavsiyelerim şunlar olacaktır;

 

Bu tür saldırılarda sıklıkla farklı ülkelerden gelen ve giden ağ trafiği olacaktır. Bunları iyi bir dinleme ve izleme ile takip etmek gerekir. Ülke atlatma yönteminin belirgin bir özelliği sık sık ve ani değişen lokasyon bilgileridir. Örneğin, bir kullanıcının normalde Türkiye'den bağlandığını ancak aniden Hindistan'dan ile değiştiğini görmek, ülke atlatma saldırısını işaret edebilir. Bu absürt durum, yapılacak analiz çalışmaları ile hızlıca rapor edilebilir. Aslında en önemli husus; bu tür kurumların siber güvenliğini sağlamak için 7/24 anlık olarak sürekli ağ trafiğini izlemesi ve dinlemesi gerekir. Bu çok önemlidir. Böylece gelişen atakların varlığını, sonuç vermeden o an görebilir ve gerekli savunma planlamasına geçilebilir. Bu tür önemli konumda olan kurumların bunu görmezden geleceğini düşünemiyorum…

 

Günlük Log kayıtlarının her daim düzenli bir şekilde incelenmesi gereklidir. Kurum network sisteminin standart kalıplar içerisinde bir işleyişi vardır. İlgili kurum içerisinde bulunan cihazların MAC adresleri, bağlantıların IP adresleri, kaynak dosyalar veya paketler, kullanıcı yetkilendirmeleri, o yetkilendirmelere ait gerekli dijital bilgiler ve tanımlamalar bellidir. Bunların dışında tanımlanmamış içerikler anomali bir durum gösterir. İzlemede tespit edilen kalıpların dışındaki farklı MAC, IP ve trafik akışı aslında potansiyel bir saldırının işareti olabilir.

 

Ülke atlatma saldırılarında ağ trafiği hareketlerinde farklı grafiksel desenler oluşur. Nedir ve nasıldır bu desenler? Örneğin sunucularda belirli saatlerde hareket trafiği düşüktür. Yani giriş ve çıkış yapılma durumları azdır. Bu durum grafik desenlerini alt seviyelerde gösterirken, anlık farklı konumlardan yapılan girişler sunucularda yoğunluk oluşmasını sağlayacaktır ve böylece grafiksel desenlerin keskin değişimi söz konusu olacaktır. Bu grafiksel desen hareketliliği ortada anomali bir durumun olduğunu bize anlatabilmektedir.

 

Eve hırsız girmemesi için kilit mekanizması birden çok olan kapılar kullanılıyorken, özellikle finansal döngünün bulunduğu önemli şirketlerin kapısının dahi olmaması akla ve mantığa sığıyor mu? Evet, bu tür şirketler bazen siber güvenliklerini bu denli önemsemeyebiliyorlar…

 

Günler geçiyor, teknoloji her şeyden hızlı ilerliyor, siber dünya büyüyor, cihazlar akıllanıyor... Siber Güvenlik artık bir ihtiyaç haline geliyor… Ve geldi.




Yorumlar