Güvenlik Röportajları #27 “Huzeyfe ÖNAL”

ÜstNot: NGB(Netsec Güvenlik Bülteni) ni çıkaran arkadaşlar bana bir kıyak yaparak uzun zaman önce söz verdiğim fakat gerçekleştiremedigim DDoS röportajını bu sayıya eklediler. Zamanla bu şekilde spesifik konularda daha önce röportaj yapılmış arkadaşların fikirlerini tekrar röportajlarla okuyuculara sunmayı planlıyoruz.

Güvenlik kahvesinin bu haftaki konuğu Huzeyfe ÖNAL. Kendisi ile her zaman gündemde olan DDoS (Denial-of-service attack) konusunu konuştuk.

NGB:Bilişimcilerin özellikle son zamanlarda aşina olduğu bir kavram var: DOS/DDoS. Hep duyarız. Siz nasıl tanımlıyorsunuz bu kavramları? Nedir ne değildir?

Huzeyfe ÖNAL: DoS/DdoS saldırıları aslında yeni karşılaştığımız bir saldırı türü değil, 90’lı yıllarda çıktığından beri dönem dönem kendisini hatırlatan bir saldırı yöntemi. Aslında bilgi güvenliğini oluşturan temel bileşenlere bakıldığında bilginin erişilebilir olması güvenlik için temel şartlardandır. DdoS saldırıları bilgi güvenliğine ait en önemli katman olan erişilebilirliği hedef alır .

NGB:Söylediğiniz kadar etkili ve kötü bir silah mıdır DDoS?

Huzeyfe ÖNAL: Evet, erişilebilir olmayan bir bilginin güvenliğini sağlamak zorunda kalmayız.  Genellikle erişilebilirlik hep unutulur veya tüm senaryolar, tüm güvenlik önlemleri bilginin erişilebilir olduğu düşünülerek alınır. Oysa en temel problem bilginin erişilelemez olmasıdır ve malesef ki DdoS saldırıları bu amaç için sıkça kullanılır.

NGB: Peki şu ataklar olursa DOS/DDoS ‘tur , eğer olmazsa değildir gibi keskin çizgilerle ayırmak mümkün müdür?

Huzeyfe ÖNAL: Eğer bir işlem sonucunda sistem erişilemez hale geliyorsa buna DoS diyebiliriz. Yapılan illa saldırı olmasına gerek yok, bir programcının yapacağı basit bile  –eğer sistemde gerekli önlemler alınmamışsa- sistemin çalışamaz hale gelmesine sebep olabilir. Dolayısıyla DDOS/DOS saldırılarını diğer saldırılardan ayırt etmek için tek şey kullanıyoruz oda sistemin saldırı sonrası erişilebilir olup olmaması.

NGB: DOS/DDoS atakları kendi içinde kategorilere ayrılıyor mu yoksa hepsi tek tip olarak mı yapılıyor? Çeşitlendirme yapmak mümkün mü?

Huzeyfe ÖNAL: Her saldırı tipi kendi arasında kategorilendirilebilir. DdoS saldırılarında da piyasada çok bilinen, sık tercih edilen ve az bilinen saldırı tipleri olarak ikiye ayırmak mümkündür. Bilinen ve sık tercih edilen saldırı tiplerine örnek olarak syn flood, udp flood, http get flood verebiliriz. Az bilinen ve daha çok bilgi, beceri ve kaynak isteyen saldırı tiplerine de dns amplification saldırılarını örnek olarak verebiliriz.

NGB: DOS/DDoS ‘ları mevcut güvenlik sistemlerimizle (firewall,IDS/IPS, Linux,vs…) tamamen önlememiz mümkün mü?

Huzeyfe ÖNAL: Bilişim sektöründe kesin ifadeleri kullanmak ancak bilgi ve tecrübe eksikliğinden kaynaklanır. Bir sistem hiç bir zaman kırılamaz değildir, aynı şekilde her sistem de kırılacak diye kesin bir ifade kullanamayız. Saldırının tipine, şiddetine,  sahip olduğunuz bant genişliğine ve kullandığınız donanım/yazılıma bağlı olarak saldırılar engellenebilir veya engellenemez.

Mesela SYN flood saldırılarına karşı çoğu sistem syn cookie veya syn proxy özelliğine sahiptir. Eğer gelen saldırı çok şiddetli değilse ve SYN flood tipindeyse siz belirli orana kadar bu saldırıları ek çaa gerektirmeden bu özellikleri aktif ederek engelleyebilirsiniz. Ama gelen saldırı sizin bant genişliğinizden yüksek veya güvenlik sistemlerinizin kapasitesinden yüksekse o saldırı karşısında kuracağınız çoğu sistem işlevsiz kalacaktır.

NGB:O zaman şöyle klasik bir durum ortaya çıkıyor. Doğru bilinen yanlışlar var. Bunları sıralayabilir misiniz?

Huzeyfe ÖNAL: DdoS konusunda doğru bilinen yanlışlar fazlasıyla var. Bunun temel sebebi ddos konusunun efsanevi olarak kulaktan kulağa yayılarak öğrenilmesi ve genelleme ifadelerin kullanılması. DdoS denildiğinde hiç yoktan 10-15 adet saldırı tipi akla gelir, bir sistemin DdoS’u engelliyor demesi için bu saldırı tiplerinin hepsine karşı çözüm içermesi gerekir.

Doğru bilinen yanlış(eksiklikleri)ları kısaca sayacak olursak:

  • Linux sistemler DdoS’a karşı dayanıklıdır
  • Bizim güvenlik duvarı DdoS’u engelliyor
  • Bizim Saldırı Engelleme Sistemi DdoS’u engelliyor.
  • DdoS saldırıları engellenemez
  • HTTP GET flood saldırılarında IP spoofing yapılabilir

NGB:Klasik savunma yaklaşımlarının çok etkili olmadığı bu saldırı tipine karşı önlem almada en temel amaçlar neler olmalı sizce?

Huzeyfe ÖNAL: En temel önlem bu işe hazırlıklı olmaktır. Yoksa ne kadar iyi sistem kullanırsanız kullanın bir işe yaramaz. Bunun örneklerini hem Türkiye’den hem de dünyadan fazlasıyla verebiliriz.  Eğer DdoS saldırıları hakkında kulaktan dolma bilgilerin ötesine geçip, altyapınızı iyi çıkarıp bir saldırı esnasında neler yapılacağını bir prosedüre dökerseniz en ciddi saldırılarda bile ayakta kalma şansınız olur. Bu prosedürü dökebilmek için ağ altyapısının iyi bilinmesi, hizmet alınan ISP’deki iletişimlerin iyi kullanılması , TCP/IP bilgisi mutlaka gerekmektedir. Yoksa kağıt üzerinde güzel duran ama gerçekte işlemeyen bir prosedür olur.

Prosedür sonrası yapılacak ilk işlemlerden birisi teknik olarak kapasitenin ölçülmesi, altyapının buna göre –gerekiyorsa- tekrar dizayn edilmesi ve güçlü sistemlerin kullanılması olmalıdır. DdoS saldırıları genellikle oturum bilgisi tutan sistemlerde daha fazla işe yarar. Dolayısıyla oturum bilgisi tutan (TCP/UDP) tüm sistemlerin dökümantasyonları dikkatlice okunarak iyileştirmeler yapılmalıdır.

NGB: Bir DOS/DDoS saldırısı önlenmez ya da engellenmezse bu bize hangi anlamda yansır?

Huzeyfe ÖNAL: Prestij, maddi kayıplar, stres. Çok uzapa gitmeye gerek yok, Türkiye’de DdoS yüzünden hizmet veremeyip 3 günde 200.000 TL kaybeden şirketler biliyorum.

NGB: Bu durumda Türkiye’de bu saldırı türüne karşı önlem almalar ve bilinç açısında durum nedir? Yeterince ciddiye alıyor mu kurumlar?

Huzeyfe ÖNAL: Sadece Türkiye’de değil dünyanın çoğu ülkesinde DdoS saldırıları çok ciddiye alınmamaktadır. Bunun sebebi aslında her gün karşılaşılan bir saldırı tipi olmamasından ve insanların DDOS’u çözümsüz bir saldırı olarak bilmesinden.  Türkiye online işlem hacmini en hıslı arttıran ülkelerden birisi ama malesef ki online işlem servislerinde alınan güvenlik önlemlerinin çoğu bilginin/servisin gizliliğine yönelik, bilginin/servisin erişilebilir olup olmadığı genelde yaşanan kötü tecrüneler sonrası değerlendirilmekte.

NGB:Günümüz DOS/DDoS saldırıları çeşitlerine örnekler verebilir misiniz?

Huzeyfe ÖNAL: 2009-2010 yılları arasında ek sık karşılaşılan DdoS saldırıları: Syn flood, udp flood, icmp flood, http get flood ve dns flood .

NGB: Peki sizin kullanmış olduğunuz özel araçlar/sistemler var mı? Önereceğiniz ya da tavsiyede bulunabileceğiz araçlar var mı?

Huzeyfe ÖNAL: Ticari olarak DdoS’u engelleyen çok sistem var(ddos engellediğini iddia eden diyelim). Eğer iyi yapılandırılırsa bu sistemler belirli oranda ddos saldırılarına karşı çözüm olabilir. Ama burada anahtar kelime “iyi yapılandırılabilirse”. İyi yapılandırmak tamamen TCP/IP bilgisine ve ağ alt yapısınınhakimiyetine bağlıdır.

NGB: Son olarak hem DOS/DDoS  özelinde hem de genel anlamda güvenlik dünyasında dikkat çekmek istediğiniz konu ve tavsiyeleriniz nelerdir?

Huzeyfe ÖNAL: DdoS saldırıları bilgi güvenliği projelerinin, ötesinde tüm online projelerin en önemli bacağını oluşturur.  Bu bilinçle hareket eden yöneticiler sürprizlerle karşılaşmazlar, en ciddi saldırıda bile ne olacağını ve buna karşı neler yapılacağını daha önceden çıkarmışlardır. Geriye adım adım uygulamak kalır.

Benim tavsiyem güvenlik konusunda bir iş, proje yapmadan bunun gerçekten bilgi güvenliğine ne kadar uygun olduğunun ölçülmesi, kullanılacaksa ticari yazılımların mutlaka ciddi testlerden geçirilmesi ve ona göre karar verilmesi.

Burada bir nokta daha ön plana çıkıyor: ülkemizde teknik kapasitesi yüksek eleman sayısı çok az, bu kapasiteye sahip olanlar ya olmaları gereken yerlerde iş bulamıyorlar ya da daha iyi imkanlar sağladığı içib yöneticilik hevesiyle teknik çalışmalarını bırakıyorlar. Teknik olarak çalışan elemanların ek üstünde tutulmadığı bir ortamın ileriye doğru emin adımlarla gitmesi şans olur.

NGB: Röportajımıza vermiş olduğunuz samimi cevaplardan ve bizi kabul etmenizden dolayı teşekkür ederiz.

This entry was posted in DOS/DDOS, Röportajlar and tagged , , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

ten − 5 =