Geçtiğimiz Cuma günü şiddetli hizmet engelleme saldırısı ABD’nin büyük bir kısmında internet kullanımını saatlerce durdurdu. DNS tedarikçisi Dyn’i hedefleyen IoT saldırısı, kullanıcıların Twitter, Netflix, Github ve Spotify gibi çok popüler internet servisine erişimini engelledi. Bununla birlikte, Fortune 500’de yer alan şirketlerin 30’u DNS çözümlemesinin kaybıyla oluşan çeşitli kesintiler sebebiyle mağdur oldu.
Kesintiye, Dyn altyapısına sürekli talep göndermesi için tasarlanmış akıllı ve çok tehlikeli bir Botnet sebep oldu. Bir hacker grubu Eylül ayında, genel özelliklere sahip internete bağlı cihazlara bulaşıp kontrol edebilen açık kaynaklı kötü amaçlı bir yazılım yayınlamıştı. Mirai isimli bu bot, korunmasız Telnet servisleriyle çalışan internete bağlı cihazlardan yararlanıyor ve bunları düzenli DDoS ataklarıyla kontrol ediyor. Mirai, akıllı cihazları hedefleyen herkes tarafından kullanılabiliyor ve düzenli DDoS atakları için güçlerinden yararlanılabiliyor.
Akıllı cihazların neredeyse yüzde 2’sinin Telnet bağlantısı esnasında ya çok zayıf şifreleniyor ya da hiç şifresi bulunmuyor. Bu oran her ne kadar az görünse de geniş bir perspektiften bakıldığında gayet korkutucu oluyor. Analiz firması Gartner’e göre dünya çapında 6,4 milyar internete bağlı cihaz bulunuyor. 6,4 milyar cihazın yüzde 2’si herhangi bir internet servisine çevrimdışıyken vuracak aşağı yukarı 128 milyon bota çevriliyor.
İnternete bağlı cihazlar alanında beliren tehditler Mirai botnetinin mümkün kıldığından çok daha fazlası. Savunmasızlık ve hassasiyet konularında internete bağlı yazıcılar, ağa bağlı depolama cihazları ve yönlendiricilerin en üst sırada yer alıyor. İnternete bağlı cihazların yüzde 69,5’inde bu tür bir savunmasız alan olduğu biliniyor. Bu alan güncellemeler ile kapatılmış olabileceği gibi, üretici tarafından bir güncelleme gelmediğinden yada kullanıcı güncellemeyi yüklemeyi başarmadığından savunmasız alan sürüyor da olabilir.
Geçtiğimiz Cuma günü Dyn’ye karşı gerçekleştirilen hizmet engelleme saldırısı bir aydan kısa bir süre içerisinde gerçekleştirilen aşırı yıkıcı “internet alt yapısını çevrimdışı vurma” girişimlerinin üçüncüsü oldu. Eylül ayının sonlarına doğru teknoloji yazarı Brian Krebs’in web sitesine gerçekleştirilen 620 Gbps DDoS saldırısı kendi türünde dünyanın en büyük saldırısı olarak nitelendirilmişti. Birkaç gün sonra Fransız internet servis sağlayıcısı OVH benzer bir saldırıyla yüzleşti ancak bu sefer zirve 1 Tbps idi. Cuma günü Dyn’e karşı gerçekleştirilen saldırı 1,2 Tbps gücünde önemsiz trafik ile global açıda yeni bir rekora imza attı.
Normal bir botnetin virüs bulaşmış bir bilgisayardan mağdurlarına bu kadar önemsiz trafik göndermesi imkansızdır. Bununla birlikte yazıcı, akıllı ampuller, ağa bağlı depolama cihazları veya termostatları botnete düzenli bir şekilde bağlandığında hackerlar bu yoğun trafiği lehlerine kullanarak çekirdek hizmet servislerini hedef alıp çevrimdışı hale getirebilirler.
Peki, deep web’de yayınlanan veya üzerinde çalışılan Mirai benzeri daha kaç botnet var? Bilmiyoruz. Ancak şunu biliyoruz ki, Cuma günü yapılan saldırıda uzmanların analizlerine göre 500 milyon civarında IoT cihazı kullanıldı. Yukarıda yaptığımız hesap sonucunda 128 milyon cihazın güvenliksiz veya az güvenlikli olduğunu bulmuştuk. Demek ki ya raporlarda hata var, ya da hackerlar IoT cihazların güvenliğini geçmenin bir yolunu buldular. Çünkü ortaya çıkan durum, yüzde 2’lik güvenliksiz cihazlar yerine neredeyse tüm IoT cihazların yüzde 8’inin kullanıldığını gösteriyor.
Çok acil bir şekilde mevcut IoT cihazların güvenlik prosedürleri yenilenmezse ve yeni bu prosedürler yeni IoT cihazlara da uygulanmazsa, internet kültürümüz çok kısa bir süre içerisinde karanlık Orta Çağ benzeri bir duruma dönüşebilir.
