Bölüm 1: Olay Yeri İncelemesi – 15 Saniyede Dijital Kıyamet
İnternet dediğimiz o uçsuz bucaksız, sınırları belirsiz ve gözle görülemeyen evren, aslında modern dünyanın sinir sistemi gibi işlemektedir. Her saniye, her salise, milyarlarca veri paketi dünyanın bir ucundan diğer ucuna, okyanusların altındaki fiber kablolardan, uzaydaki uydulardan ve şehirlerin altını bir ağ gibi saran bakır tellerin üzerinden akıp gider. Bu akış, normal şartlar altında, bir nehrin yatağında sakince süzülmesi gibi huzurlu ve düzenlidir. İnsanlar sabah kalkıp telefonlarına baktıklarında, iş yerlerinde e-postalarını kontrol ettiklerinde ya da akşam evlerinde film izlemek istediklerinde, bu devasa veri trafiğinin karmaşıklığını asla hissetmezler. Her şey olması gerektiği gibidir, her şey bir düzen içindedir. Ancak Kasım 2025 tarihinde, Microsoft’un Azure bulut altyapısını hedef alan o meşum saldırı başladığında, bu sakin nehir bir anda önüne ne gelirse yıkıp geçen, tarihin gördüğü en korkunç dijital tsunamilerden birine dönüştü. Bu olay, sadece teknik bir arıza veya basit bir kesinti girişimi değildi; bu, dijital dünyanın fiziksel dünyadaki felaketlerle yarışabilecek boyutta, sismik bir sarsıntısıydı.
Olayın büyüklüğünü ve vahametini tam anlamıyla kavrayabilmek için öncelikle karşımızdaki sayının ne ifade ettiğini, insan zihninin sınırlarını zorlayan o devasa rakamı masaya yatırmamız gerekiyor. On beş nokta yetmiş iki terabit. Yazı ile ifade edildiğinde kulağa sadece teknik bir terim gibi gelen bu 15.72 Tbps ifadesi, aslında hayal gücümüzün sınırlarını zorlayan bir veri yoğunluğunu temsil ediyor. Günlük hayatımızda megabitlerle, şanslıysak gigabitlerle ölçülen internet hızlarına alışkınız. Evimizdeki internetin hızı genellikle 100 megabit civarındadır ve bu hızla bile bazen bir filmi indirmek dakikalar sürebilir. Oysa burada bahsettiğimiz hız, saniyede trilyonlarca bit verinin akışından söz ediyor. Bu durumu daha somut, daha elle tutulur bir hale getirmek için rakamların soğuk dünyasından çıkıp, zihnimizde canlandırabileceğimiz senaryolara geçiş yapmamız elzemdir.
Şöyle bir senaryo düşünelim: Şu an piyasadaki en yüksek görüntü kalitelerinden biri olan 4K çözünürlüğünde bir film izlediğinizi varsayın. Bu filmin her bir karesi, her bir pikseli, inanılmaz bir veri yoğunluğuna sahiptir. Normal bir internet bağlantısı, bu veriyi size kare kare, saniye saniye yetiştirmek için ciddi bir çaba sarf eder. Şimdi, bu 4K filmlerden sadece bir tanesini değil, tam üç bin tanesini yan yana koyun. Evet, yanlış duymadınız, tam üç bin adet, en yüksek çözünürlüklü, en net, en fazla veri barındıran film. Ve şimdi, bu üç bin filmin tamamının, aynı saniye içinde, tek bir kablodan, tek bir kapıdan içeri girmeye çalıştığını hayal edin. İşte 15.72 terabitlik saldırı tam olarak budur. Bu, bir insanın ömrü boyunca izleyebileceği film arşivinin tamamının, göz açıp kapayıncaya kadar geçen o kısacık bir saniyelik süre içerisinde bir sunucunun belleğine zorla, şiddetle ve acımasızca tıkıştırılmaya çalışılmasıdır. Bu, bir bilgi akışı değil, bir bilgi bombardımanıdır. Bu, dijital bir iletişim çabası değil, dijital bir boğma girişimidir.
Bu muazzam veri yükü, hedef sistemin kapısına dayandığında, orada bekleyen donanımların, işlemcilerin ve ağ anahtarlarının ne hissettiğini anlamak için stadyum analojisini kullanmak, durumu zihnimizde daha berrak bir hale getirecektir. Dünyanın en büyük futbol stadyumlarından birini, örneğin 100.000 kişilik kapasitesiyle devasa bir yapıyı gözünüzün önüne getirin. Maç günlerinde, bu stadyumun giriş kapılarında belirli bir düzen, belirli bir akış vardır. İnsanlar biletlerini okuturlar, turnikelerden teker teker geçerler, güvenlik kontrolleri yapılır ve herkes sırasıyla içeri alınır. Sistem, belirli bir yoğunluğu kaldırabilecek, insanları sıraya sokup içeri alabilecek şekilde tasarlanmıştır. Turnikelerdeki görevliler, bilet okuyucular, güvenlik kameraları, hepsi bu düzenin bir parçasıdır ve kapasiteleri bellidir.
Microsoft Azure’a yapılan bu saldırı sırasında yaşananlar ise, bu stadyumun tek bir giriş kapısına, aynı anda 500.000 kişinin, hatta belki daha fazlasının koşarak yüklenmesi gibidir. Ancak bu kalabalık, maçı izlemek isteyen, biletini almış, heyecanlı ama kurallara uyan taraftarlardan oluşmuyor. Bu kalabalık, gözleri dönmüş, tek amaçları o turnikeyi yerinden sökmek, kapıdaki görevliyi ezmek, metal bariyerleri bükmek ve stadyumun girişini tamamen kullanılamaz hale getirmek olan bir zombi ordusunu andırıyor. Bu kalabalığın derdi içerideki etkinlikle, yani sunucunun sunduğu hizmetle ilgilenmek değil. Onların tek derdi, kapıda öyle büyük bir izdiham, öyle büyük bir basınç yaratmak ki, gerçek bilet sahipleri, yani o hizmeti gerçekten kullanmak isteyen masum insanlar, o kapıya yaklaşamasınlar bile. İzdihamın yarattığı basınç o kadar büyüktür ki, kapıdaki görevli (yani sunucunun işlemcisi), kimin biletli seyirci kimin saldırgan olduğunu ayırt etmeye fırsat bile bulamaz. Gelen herkesi durdurmak, kapıları kapatmak ve içerideki düzeni korumak için çaresizce çırpınır. İşte DDoS, yani Dağıtık Hizmet Reddi saldırısı dediğimiz kavramın, fiziksel dünyadaki en net karşılığı, bu korkutucu izdiham görüntüsüdür.
Bu saldırının büyüklüğü karşısında insanın dehşete düşmemesi elde değil. Düşünün ki, bu 15 terabitlik veri seli, tek bir merkezden, devasa bir süper bilgisayardan gelmiyor. Bu, işin belki de en ürkütücü kısmını oluşturuyor ve sonraki bölümlerde bu konuya çok daha detaylı değineceğiz ama şimdilik şu kadarını söylemek yeterli: Bu sel, dünyanın dört bir yanına dağılmış, her biri tek başına zararsız görünen yüz binlerce küçük dereciğin birleşerek oluşturduğu dev bir nehirdir. Her bir veri paketi, okyanustaki bir su damlası gibidir. Tek başına bir damla size zarar veremez, sizi ıslatır geçer. Ama milyarlarca, trilyonlarca damla bir araya gelip üzerinize doğru, sesten hızlı bir şekilde hareket ettiğinde, bu artık su olmaktan çıkar; bu, önüne gelen her şeyi, betonu, çeliği, en sağlam yapıları bile parçalayıp geçen bir yıkım gücüne dönüşür. Microsoft’un bulut sistemi Azure, işte tam olarak böyle bir basıncın altında kaldı.
Saldırının gerçekleştiği o kritik saniyelerde, Microsoft’un güvenlik operasyon merkezlerindeki atmosferi tahmin etmek zor değil. Dünyanın en gelişmiş izleme sistemlerine sahip olsalar da, monitörlerdeki grafiklerin aniden dikey bir çizgi halinde yukarı fırladığını, kırmızı alarmların yanıp sönmeye başladığını ve ağ trafiğini gösteren ibrelerin, ölçeklerin dışına taştığını görmek, en deneyimli siber güvenlik uzmanının bile nabzını hızlandıracak bir durumdur. Bu, gökyüzünün aniden kararması ve ufukta devasa bir dalganın belirmesi gibidir. O an yapabileceğiniz şeyler sınırlıdır. Sistemlerinizin, önceden kurduğunuz bariyerlerin, dalgakıranların bu dev dalgayı karşılayıp karşılayamayacağını izlemekten başka çareniz kalmayabilir. 15.72 terabit saniye, sadece bir sayı değil, aynı zamanda modern mühendisliğin ve internet altyapısının dayanıklılık testidir. Eğer bu saldırı, yeterli koruması olmayan, daha küçük çaplı bir veri merkezine veya standart bir kurumsal ağa yapılsaydı, sonucu “hizmet kesintisi” olarak tanımlamak yetersiz kalırdı. O ağ, kelimenin tam anlamıyla buharlaşırdı. Yönlendiriciler (routerlar) kilitlenir, güvenlik duvarları (firewallar) çöker, sunucular aşırı yükten dolayı kendilerini kapatır ve o ağa bağlı olan her şey, sanki hiç var olmamış gibi dijital dünyadan silinirdi.
Bu noktada, “Microsoft nasıl ayakta kaldı?” sorusu akıllara geliyor. Bu devasa güce direnmek, bir binanın atom bombasına dayanması gibi bir şey. Ancak dijital dünyada, fiziksel dünyadan farklı kurallar işliyor. Burada devreye giren şey, saldırının büyüklüğüne eş değer bir “soğurma” kapasitesidir. Microsoft ve benzeri dev yapılar, bu tür dijital tsunamileri karşılamak için, trafiği tek bir noktada toplamak yerine, onu binlerce farklı kanala bölen, suyu sünger gibi emen ve zararsız hale getiren teknolojiler kullanırlar. Ama yine de, 15 terabit sınırının aşılması, savunma sistemlerinin limitlerini zorlayan, “Acaba bu sefer başarabilecek miyiz?” sorusunu sorduran bir eşiktir. Çünkü saldırganlar her seferinde çıtayı biraz daha yukarı taşıyorlar. Bugün 15 olan, yarın 30, öbür gün 50 olabilir. Bu yarış, hiç bitmeyen bir kedi fare oyunu gibi, ama oynanan oyunun bahisleri milyar dolarlar ve küresel iletişim altyapısı üzerine kurulu.
Biraz da bu saldırının zamanlaması ve yoğunluğunun, saniyedeki paket sayısı (pps) üzerindeki etkisinden bahsetmek gerekir. Verilen bilgilere göre saniyede 3.4 milyar paketten söz ediliyor. Bu, sadece verinin boyutu (terabit) değil, verinin parçalanma sıklığıyla da ilgilidir. Tekrar stadyum örneğine dönecek olursak; 15 terabitlik veri boyutu, kapıya yüklenen insanların toplam ağırlığı gibiyse, saniyedeki 3.4 milyar paket sayısı da bu insanların kapıya ne kadar hızlı ve sık vurduğunu gösterir. Bazen dev bir kaya parçasını kapıya fırlatmak (büyük veri paketleri) kapıyı kırabilir, ama bazen de milyarlarca küçük çakıl taşını makineli tüfek hızıyla kapıya fırlatmak (küçük ama çok sayıda paket) kapının menteşelerini eritip, kilit mekanizmasını tamamen işlevsiz hale getirebilir. Bu saldırıda her iki yöntem de bir nevi harmanlanmış gibi görünüyor. Bu kadar yüksek bir paket hızını işlemek, her bir paketi tek tek inceleyip “Sen dost musun, düşman mısın?” diye sormak, saniyenin milyarda birinde karar vermeyi gerektirir. İşte bu yüzden, olayın boyutu sadece “çok veri gelmesi” değil, “çok karmaşık ve yoğun bir trafiğin gelmesi” olarak ele alınmalıdır.
Ayrıca, bu tür bir saldırının “görünmez” doğası üzerinde durmak, olayın psikolojik boyutunu anlamak açısından önemlidir. Fiziksel bir savaşta, bir şehre 500.000 asker saldırdığında, bunu gözlerinizle görürsünüz. Top seslerini duyarsınız, dumanı koklarsınız. Ancak siber uzayda bu savaş tam bir sessizlik içinde gerçekleşir. O an Avustralya’daki Azure veri merkezinde bulunan bir teknisyen, belki de elinde kahvesiyle koridorda yürürken, sunucu odasındaki fanların sesinin biraz arttığını duymuş olabilir, ama dışarıdan bakıldığında hiçbir cam kırılmamış, hiçbir kapı zorlanmamıştır. Oysa o kabloların içinde, atomik seviyede bir kıyamet kopmaktadır. Elektronlar çılgınca hareket etmekte, işlemciler ısınmakta, soğutma sistemleri motorlarını son devire kadar zorlamaktadır. Bu sessiz ama ölümcül savaş, modern çağın en büyük paradokslarından biridir. Yıkım potansiyeli bu kadar büyük olan bir şeyin, duyularımızla bu kadar az algılanabilir olması, insanı ürperten bir gerçekliktir. Benim şahsi kanaatimce, bu görünmezlik, tehlikenin ciddiyetini toplum nezdinde azalttığı için aslında en büyük riski oluşturuyor. İnsanlar görmedikleri bir düşmandan korkmuyorlar, ta ki o düşman internetlerini kesip, hastane sistemlerini kilitleyene veya banka hesaplarına erişimi engelleyene kadar.
Eylül ayında gerçekleşen ve 22 Terabit büyüklüğe ulaşan diğer saldırıyı da hatırlayacak olursak, Microsoft’a yapılan bu 15 terabitlik saldırının münferit bir olay olmadığı, aksine yeni bir normun habercisi olduğu anlaşılır. Sanki birileri, dijital dünyanın dayanıklılık sınırlarını test ediyor, “Bakalım bu duvarı yıkmak için ne kadar güç gerekiyor?” diye deneyler yapıyor gibidir. 15 saniye, 1 dakika veya 1 saat… Süresi ne olursa olsun, bu boyutta bir trafik akışı, internetin omurgasını oluşturan fiber optik kabloların fiziksel sınırlarını bile zorlayabilecek kapasitededir. Işık hızında hareket eden verinin yarattığı bu yoğunluk, sadece hedefi değil, o veriyi taşıyan aracı kurumları, internet servis sağlayıcılarını ve o sırada o otobanı kullanan diğer masum sürücüleri de etkiler. Trafik o kadar sıkışır ki, yan şeritten gitmeye çalışan ambulans (acil durum verileri) bile ilerleyemez hale gelebilir.
Sonuç olarak, olay yeri incelememizin bu ilk aşamasında karşımıza çıkan tablo şudur: Bilişim tarihinin en organize, en yoğun ve en yıkıcı güçlerinden biriyle karşı karşıyayız. Bu güç, tek bir tuşla harekete geçebilen, sınır tanımayan, gümrük kapılarından geçmeyen ve saniyeler içinde dünyanın öbür ucundaki bir dijital kaleyi kuşatabilen bir ordudur. 15.72 terabit, sadece bir istatistik değil, dijital çağın kırılganlığının bir kanıtıdır. Bu saldırı bize, üzerine tüm hayatımızı inşa ettiğimiz, bankacılık işlemlerimizi yaptığımız, sırlarımızı sakladığımız, sevdiklerimizle görüştüğümüz bu sanal dünyanın pamuk ipliğine bağlı olmasa da, kesinlikle sandığımız kadar sarsılmaz olmadığını göstermiştir. Dev bir okyanusun ortasında, dev dalgalarla boğuşan bir gemi gibi, Microsoft Azure bu saldırıyı atlatmayı başardı. Ancak fırtına dindiğinde, geriye kalan en büyük soru şu oldu: Bu dalgaları yaratan rüzgar nereden esiyor ve bir sonraki dalga ne kadar yüksek olacak? Olay yerindeki bu ilk tespitler, bizi suçun kaynağına, yani bu devasa dalgayı oluşturan o görünmez damlaların hikayesine götürecek. Çünkü bu saldırı, gökyüzünden inen bir felaket değil, bizzat bizim evlerimizin içinden, oturma odalarımızdan, iş yerlerimizden yükselen bir tehditti.
Bölüm 2: Silahın Adı – Aisuru ve Atası Mirai
Bir silahın isminin, onun yarattığı yıkımla bu denli tezat oluşturması, siber güvenlik tarihinin en ironik cilvelerinden biri olsa gerek. Bir önceki bölümde detaylarıyla incelediğimiz o devasa dijital kıyametin, o korkunç veri selinin arkasındaki mimarın adının Aisuru olduğunu öğrendiğimizde, kelimelerin anlam dünyasında garip bir boşluğa düşüyoruz. Japonca kökenli olan bu kelime, Türkçe’de “sevmek” fiiline, hem de derin, tutkulu ve kapsayıcı bir sevgiye karşılık gelmektedir. Normal şartlarda şefkati, birleşmeyi ve yapıcı bir duyguyu ifade etmesi gereken bu kelime, 2025 yılının o puslu Kasım gününde, internetin omurgasını kırmak için tasarlanmış, soğuk, acımasız ve tamamen mekanik bir yok edicinin adı olarak karşımıza çıktı. Bir hackerın, yarattığı veya geliştirdiği bu dijital canavara “Sevmek” adını vermesi, sıradan bir isimlendirme tercihi değil, başlı başına incelenmesi gereken patolojik bir psikolojinin, hatta belki de hastalıklı bir mizah anlayışının ürünüdür. Bu durum, bombanın üzerine çiçek resmi çizmeye veya bir giyotinin bıçağını pembeye boyamaya benzer. Ancak bu ismin seçimi tesadüf değildir; bu, bilişim yeraltı dünyasının, özellikle de botnet operatörlerinin sahip olduğu o kendine has, karanlık ve anlaşılması güç alt kültürün bir yansımasıdır.
Aisuru, gökten zembille inmiş veya bir gecede sıfırdan kodlanmış bir yazılım harikası değildir. Bilişim dünyasında hiçbir şey boşlukta var olmaz; her yeni tehdit, kendinden önceki bir tehdidin omuzlarında yükselir. Aisuru’nun genetik kodlarına, dijital DNA’sına mikroskopla baktığımızda, karşımıza çıkan yapı tanıdıktır. Bu yapı, 2016 yılında dünyayı sarsan, o güne kadar görülmemiş büyüklükte saldırılara imza atan ve nesnelerin interneti (IoT) güvenliği kavramını kökünden değiştiren efsanevi ve bir o kadar da lanetli “Mirai” yazılımının ta kendisidir. Aisuru’yu anlamak için, önce onun atası, babası, hatta belki de tanrısı sayılabilecek Mirai’yi ve onun mirasını derinlemesine analiz etmek gerekir. Çünkü Aisuru, Mirai’nin sadece bir kopyası değil, onun yıllar içinde evrim geçirmiş, steroid basılmış, hatalarından ders almış ve çok daha ölümcül hale getirilmiş, tabiri caizse “Turbo” versiyonudur.
Mirai hikayesi, aslında bir grup gencin Minecraft sunucularını ele geçirmek ve rakiplerini oyundan düşürmek için başlattığı, sonrasında kontrolden çıkarak küresel bir krize dönüşen dijital bir felaket öyküsüdür. Mirai, Japonca’da “Gelecek” anlamına gelmektedir. Bu ismin seçimi de tıpkı Aisuru’da olduğu gibi, popüler kültüre, özellikle de anime dünyasına yapılan bir göndermeydi. “Mirai Nikki” (Gelecek Günlüğü) adlı anime serisinden esinlenildiği düşünülen bu isim, yazılımın yaratıcılarının kimliği hakkında da ipuçları veriyordu: Genç, anime kültürüne hakim, teknik yetenekleri yüksek ama etik değerleri tam oturmamış bireyler. Mirai’nin ortaya çıkışı, internetin karanlık tarihinde bir dönüm noktasıydı çünkü o güne kadar siber saldırılar genellikle güçlü sunucular üzerinden yapılırdı. Mirai ise oyunu değiştirdi; o, kimsenin önemsemediği, köşede sessizce çalışan güvenlik kameralarını, modemleri, akıllı tost makinelerini birer silaha dönüştürme fikrini mükemmelleştirdi.
2016 yılının sonbaharında, Mirai’nin yaratıcıları, üzerlerindeki yasal baskıdan kurtulmak ve izlerini kaybettirmek amacıyla, belki de tarihin en büyük hatalarından birini yaparak (veya kasıtlı bir kaos planıyla) yazılımın kaynak kodlarını “Anna-senpai” takma adıyla bir hacker forumunda herkese açık olarak yayınladılar. İşte o an, Pandora’nın Kutusu ardına kadar açılmış oldu. O güne kadar sadece yaratıcılarının elinde olan bu nükleer silahın planları, artık internet bağlantısı olan ve biraz kodlama bilen herkesin erişimine sunulmuştu. “Gelecek” (Mirai) artık serbestti ve kontrolsüzdü. Bu kodların sızmasıyla birlikte, siber suç dünyasında bir “Altına Hücum” dönemi başladı. Her hevesli hacker, her suç örgütü, bu kodları indirdi, inceledi ve kendi ihtiyaçlarına göre modifiye etmeye başladı.
İşte Aisuru, bu modifikasyon sürecinin, bu vahşi evrimin dokuz yıl sonraki en gelişmiş, en korkutucu sonucudur. Mirai’nin kaynak kodları, geçen yıllar içinde sayısız mutasyona uğradı. Satori, Okiru, Masuta gibi yine Japonca isimler taşıyan onlarca türevi çıktı. Her biri orijinal kodun üzerine bir şeyler ekledi veya zayıf yanlarını güçlendirdi. Ancak Aisuru, bu evrim ağacının en tepesindeki yırtıcıdır. Orijinal Mirai kodu, cihazlara sızmak için genellikle “telnet” adı verilen eski bir iletişim protokolünü kullanıyor ve elindeki sınırlı şifre listesiyle (admin/12345, root/root gibi) kapıları zorluyordu. Aisuru ise bu ilkel yöntemi bir sanat haline getirdi. Atasının hantal yapısından kurtuldu, kodları optimize edildi ve tarama hızı inanılmaz seviyelere çıkarıldı. Mirai bir cihazı enfekte etmek için dakikalar harcıyorsa, Aisuru bunu saniyeler içinde, kurban cihazın işlemcisini yormadan, sessizce ve derinden halledebiliyor.
Aisuru’nun Mirai’den devraldığı en önemli miras, cihaz mimarisi çeşitliliğidir. İnternetteki cihazlar tek tip değildir; kimisi x86 işlemci kullanır, kimisi ARM, kimisi MIPS. Mirai, bu farklı dillere hitap edebilen çok dilli bir yapıya sahipti. Aisuru, bu yeteneği daha da ileri götürerek, günümüzde akıllı ev cihazlarında kullanılan neredeyse tüm yonga setlerine uyum sağlayabilecek bir esnekliğe kavuştu. Bu, onu sadece kameraları değil, akıllı buzdolaplarını, internete bağlı termostatları, hatta otomobillerin eğlence sistemlerini bile ele geçirebilecek potansiyelde bir virüs haline getiriyor. Atası Mirai, bir balyozdu; kaba, ağır ve yıkıcı. Aisuru ise o balyozun gücüne sahip ama bir neşter kadar hassas ve keskin bir suikast silahıdır.
İsimlendirme konusuna geri dönecek olursak, hacker kültüründe bu tür “kawaii” (sevimli) veya derin felsefi anlamlar taşıyan Japonca kelimelerin kullanımı, sosyolojik bir incelemeyi hak eder. Bu kişiler genellikle kendilerini toplumun dışında, kuralların üzerinde, sanal bir gerçekliğin efendileri olarak görürler. Japon popüler kültürü, anime ve mangalar, genellikle “seçilmiş kişi”, “gizli güçlere sahip dışlanmış genç” veya “dünyayı değiştirecek güce sahip anti-kahraman” temalarını işler. Botnet operatörleri, yarattıkları bu yıkım makinelerine bu isimleri vererek, kendilerini o animelerdeki kudretli karakterlerle özdeşleştirirler. Aisuru yani “Sevmek” isminin seçimi, muhtemelen “Cihazları o kadar çok seviyoruz ki, hepsini sahipleniyoruz, hepsini kendimizin kılıyoruz” gibi çarpık bir mantığın ürünü olabilir. Ya da daha nihilist bir bakış açısıyla, “Size sevgimizi gönderiyoruz” diyerek, gönderdikleri o terabitlerce yıkıcı veriyi, alaycı bir “sevgi paketi” olarak tanımlıyor olabilirler. Bu, kurbanla dalga geçmenin, gücünü gösterirken aynı zamanda olayı bir oyun gibi algılamanın en belirgin göstergesidir.
Aisuru’nun teknik yapısındaki bir diğer kritik fark, “Persistence” yani kalıcılık konusundaki yeteneğidir. Orijinal Mirai, hafızada (RAM) çalışan bir zararlıydı. Yani enfekte olmuş bir modemin fişini çekip tekrar taktığınızda, Mirai silinirdi (fakat cihaz şifresi değişmediği için saniyeler içinde tekrar enfekte olurdu). Aisuru’nun bazı varyantlarının, cihazın kalıcı hafızasına yazılabilme ve yeniden başlatmaya rağmen hayatta kalabilme yetenekleri üzerinde çalıştığına dair bulgular var. Bu, “sevgi”nin yapışkanlığına yapılan korkunç bir atıf gibidir; bir kez bulaştı mı, ondan kurtulmak, fişi çekmek kadar kolay olmayabilir. Bu durum, saldırının sürekliliğini ve botnetin hayatta kalma kapasitesini, Mirai dönemine göre katbekat artırmaktadır.
Ayrıca, Mirai döneminde saldırı komutları daha basitti. “Şu IP’ye saldır” emri gelirdi ve saldırı başlardı. Aisuru ise, arkasındaki Komuta Kontrol (C2) sunucuları ile çok daha karmaşık, şifreli ve tespit edilmesi zor bir iletişim dili kullanıyor. Trafiğini gizliyor, kendini normal internet trafiği gibi gösteriyor ve güvenlik duvarlarını aşmak için sürekli şekil değiştiriyor. Mirai bir zombi sürüsüydü, şuursuzca saldırıyordu. Aisuru ise, başında taktiksel zekaya sahip generallerin olduğu, organize, eğitimli ve donanımlı bir ordu gibi hareket ediyor. Bu evrim, savunma tarafındakilerin, yani Microsoft veya Cloudflare gibi devlerin işini her geçen gün daha da zorlaştırıyor. Çünkü karşılarında artık sadece kaba kuvvet yok, aynı zamanda yapay zeka destekli savunma sistemlerini kandırabilen bir kurnazlık var.
İlginç ve bir o kadar da düşündürücü olan bir diğer detay ise, bu yazılımların kod yapısındaki “yorum satırları”dır. Programcılar kod yazarken aralara notlar alırlar. Mirai’nin kaynak kodları incelendiğinde, yaratıcılarının Rusça ve İngilizce karışık, bazen küfürlü, bazen de sevdikleri animelere selam gönderen notları görülmüştü. Aisuru’nun ele geçirilen örneklerinde de benzer bir kültürel iz sürülmektedir. Kodların arasında, siber güvenlik uzmanlarına “Bizi bulamazsınız”, “Daha çok çalışmalısınız” gibi mesajlar bıraktıkları, hatta bazen rakip botnet gruplarına hakaret ettikleri görülür. Bu, olayın sadece teknik bir saldırı olmadığını, aynı zamanda egoların çarpıştığı, dijital duvarlara “Buradaydım” yazılarının yazıldığı bir yeraltı savaşı olduğunu kanıtlar. Aisuru, bu savaşın şimdilik en güçlü silahıdır.
Aisuru’nun “Turbo Mirai” olarak adlandırılmasının bir sebebi de, enfeksiyon stratejisindeki agresifliktir. Mirai, belirli bir hızda tarama yapardı. Aisuru ise cihazın kaynaklarını sonuna kadar kullanarak, interneti çok daha hızlı tarar. Sanki kaybedecek vakti yokmuş gibi, sanki bir an önce tüm dünyayı “sevmek” istiyormuş gibi aceleci ve oburdur. Bu agresiflik, botnetin boyutunun çok kısa sürede 500.000 gibi devasa rakamlara ulaşmasını sağlar. Mirai’nin bu rakamlara ulaşması aylar almıştı; Aisuru ve benzeri modern türevler, doğru koşullar altında bu sayıya haftalar, hatta günler içinde ulaşabilirler. Çünkü artık hedef havuzu, yani akıllı cihaz sayısı 2016’ya göre katbekat fazladır. Mirai döneminde evlerde tek tük akıllı cihaz varken, bugün akıllı prizlerden ampullere kadar her şey internete bağlıdır ve bu da Aisuru için sınırsız bir beslenme kaynağı demektir.
Sonuç olarak, bu bölümün öznesi olan Aisuru, isminin taşıdığı naif anlamın tam aksine, dijital çağın Frankenstein canavarıdır. O, geçmişin hatalarından, sızdırılan kodlardan ve ihmal edilen güvenlik açıklarından beslenerek büyümüş, atası Mirai’yi gölgede bırakacak kadar güçlenmiş bir varlıktır. Hackerların ona “Sevmek” adını vermesi, belki de teknolojiyi kontrol etme arzularının, o tanrısal güce duydukları sapkın aşkın bir itirafıdır. Ancak bizler, yani bu saldırıların potansiyel kurbanları için Aisuru, sevgiyi değil, kaosun ve dijital karanlığın habercisidir. Mirai gelecekti ve o gelecek şimdi geldi; adı Aisuru ve sandığımızdan çok daha tehlikeli. Bu tehlikenin boyutunu kavradıktan sonra, şimdi gözlerimizi bu silahın mermilerine, yani o masum görünümlü ama aslında birer saatli bomba olan evimizdeki cihazlara çevirmemiz gerekecek. Çünkü düşman kapıda değil, bizzat oturma odamızın içinde, televizyonumuzun yanında, bebeğimizin odasında sessizce bekliyor.
Bölüm 3: Hain İçerde – Evimizdeki Zombiler
Modern çağın evleri, dışarıdan bakıldığında huzurun, güvenliğin ve teknolojinin konforla buluştuğu sığınaklar gibi görünür. Kalın duvarlar, çelik kapılar, alarm sistemleri ve site güvenlikleri ile fiziksel dünyadaki tehditlere karşı ördüğümüz o sağlam kaleler, aslında sanal dünyada kapıları, pencereleri ve hatta bacaları ardına kadar açık bırakılmış, savunmasız birer harabeden farksızdır. Önceki bölümlerde bahsettiğimiz o korkunç dijital tsunaminin, yani 15 terabitlik yıkım gücünün kaynağını ararken gözlerimizi uzaklara, karanlık sunucu odalarına veya gizli askeri tesislere çevirmemiz büyük bir hata olur. Çünkü düşman, Truva Atı misali çoktan içeri girmiştir. Hem de bu atı içeri biz aldık, fişini biz taktık ve internete biz bağladık. Bu bölümün konusu, o devasa saldırıyı gerçekleştiren ordunun askerleri, yani evimizin en mahrem köşelerinde sessizce çalışan, bize hizmet ettiğini sandığımız ama aslında efendilerine hizmet eden “zombi” cihazlardır.
Bir zamanlar internete bağlanan tek cihazımız masaüstü bilgisayarlarımızdı. O dönemde güvenlik basitti; bilgisayarınıza bir antivirüs programı kurardınız, arada bir tarama yapardınız ve kendinizi nispeten güvende hissederdiniz. Ancak teknoloji, “Nesnelerin İnterneti” (IoT) adı verilen bir devrimle evrildiğinde, oyunun kuralları tamamen değişti. Artık sadece bilgisayarlar ve telefonlar değil; buzdolapları, çamaşır makineleri, robot süpürgeler, bebek telsizleri, akıllı ampuller, termostatlar ve hatta akıllı diş fırçaları bile internete bağlı hale geldi. İşte Aisuru ve benzeri botnetlerin beslendiği, büyüdüğü ve bir canavara dönüştüğü yer tam olarak burasıdır. Bilgisayarınızda güçlü bir işlemci, gelişmiş bir işletim sistemi ve sizi korumak için sürekli güncellenen bir güvenlik duvarı bulunur. Peki ya internete bağladığınız o ucuz IP kamerada ne var? Veya salonunuzu haritalandıran robot süpürgenizde? Cevap korkutucu derecede basittir: Neredeyse hiçbir şey.
Bu cihazlar, siber güvenlik dünyasının “yumuşak karnı” olarak nitelendirilir. Bir saldırgan için Windows işletim sistemine sahip, güncel bir bilgisayarı ele geçirmek, yüksek güvenlikli bir banka kasasını soymaya çalışmak gibidir. Zahmetlidir, zaman alır ve yakalanma riski yüksektir. Oysa bir akıllı ampulü veya ucuz bir modemi ele geçirmek, kilidi olmayan, kapısı açık bırakılmış bir marketten sakız çalmak kadar kolaydır. İşte bu yüzden Aisuru, hedef olarak karmaşık sistemleri değil, bu basit, aptal ama sayıca çok fazla olan cihazları seçer. Bir bilgisayarı ele geçirmek için günlerce uğraşmaktansa, saniyeler içinde binlerce kamerayı ele geçirmek, saldırının toplam gücü (bant genişliği) açısından çok daha verimlidir. Bu strateji, niceliğin niteliğe karşı kazandığı bir savaştır.
Bu cihazların neden bu kadar savunmasız olduğunu anlamak için, üretim ve kullanım psikolojisine inmek gerekir. Teknoloji marketlerinde veya online alışveriş sitelerinde satılan, “Kur ve Unut” veya “Tak-Çalıştır” mantığıyla pazarlanan bu ürünlerin temel vaadi kolaylıktır. Üretici firma, maliyetleri düşürmek ve kar marjını artırmak için donanımın içine koyduğu çipi mümkün olan en ucuz versiyondan seçer. Bu çiplerin içinde çalışan minik işletim sistemleri (genellikle Linux’un çok kırpılmış, basitleştirilmiş versiyonlarıdır) güvenlikten tamamen arındırılmıştır. Çünkü güvenlik, ekstra işlem gücü, ekstra bellek ve sürekli yazılım desteği gerektirir; bu da maliyet demektir. 20 dolara satılan bir güvenlik kamerasından, 2000 dolarlık bir bilgisayarın güvenlik standartlarını beklemek teknik olarak imkansızdır. Ancak asıl sorun, bu cihazların internete çıkış kapılarının ardına kadar açık olmasıdır.
Kullanıcı tarafındaki ihmalkarlık ise işin en trajik boyutunu oluşturur. Bir tüketici yeni bir modem veya kamera aldığında, kutudan çıkarır, fişe takar ve çalışıp çalışmadığına bakar. Cihaz internete bağlanıp görüntüyü telefona aktardığı an, kurulum süreci o kullanıcı için bitmiştir. Oysa cihazın yönetim paneline girmek için fabrikasyon olarak belirlenen “kullanıcı adı” ve “şifre” genellikle standarttır. Neredeyse tüm dünyada bu ikili “admin/admin”, “root/12345” veya “admin/password” şeklindedir. Kullanıcıların %90’ından fazlası, bu varsayılan şifreleri değiştirme zahmetine girmez. Çünkü arayüze girmek zordur, menüler karışıktır veya sadece “bir şey olmaz” diye düşünülür. İşte bu “bir şey olmaz” düşüncesi, Aisuru’nun anahtarıdır. Saldırganın karmaşık şifre kırma algoritmalarına, süper bilgisayarlara veya dahi düzeyinde kodlama bilgisine ihtiyacı yoktur. Elindeki anahtar destesinde sadece “admin” ve “12345” yazan anahtarlar vardır ve bu anahtarlar, dünyadaki milyonlarca kapıyı açmaya yetmektedir.
Enfeksiyon süreci, yani cihazın bir “zombi”ye dönüşme anı, korku filmlerindeki gibi gürültülü veya belirgin değildir. Tam tersine, tüyler ürperten bir sessizlik içinde gerçekleşir. Aisuru yazılımı, internet okyanusunda sürekli olarak bir sonar gibi tarama yapar. Rastgele IP adreslerine sinyal gönderir ve “Orada telnet portu açık bir cihaz var mı?” diye sorar. Eğer sizin evinizdeki kamera veya modem bu soruya cevap verirse, yazılım hemen elindeki o basit şifre listesini denemeye başlar. Önce “admin/admin” dener. Olmadı mı? “root/root” dener. Bu işlem, insan hızıyla değil, makine hızıyla yapıldığı için saniyenin onda biri kadar sürer. Şifre tuttuğu anda –ki genellikle tutar– cihazın içine küçücük, birkaç kilobaytlık bir kod parçası enjekte edilir. İşte o an, cihazınızın ruhu ele geçirilmiş demektir.
Bu noktada en çok merak edilen ve yanlış bilinen husus, cihazın bozulacağı veya çalışmayı durduracağı yanılgısıdır. Kullanıcılar genellikle virüs bulaşan bir cihazın dumanlar çıkaracağını, kilitleneceğini veya garip sesler çıkaracağını düşünür. Oysa Aisuru gibi gelişmiş botnet yazılımlarının en büyük başarısı “kamuflaj” yeteneğidir. Salonunuzdaki o akıllı kamera, enfekte olduktan sonra da görevini mükemmel bir şekilde yapmaya devam eder. Telefonunuzdan baktığınızda bebeğinizi uyurken görmeye devam edersiniz. Robot süpürgeniz planlanan saatte çalışır ve evi temizler. Akıllı termostatınız odayı ısıtır. Cihazın asıl sahibi, yani siz, hiçbir şey fark etmezsiniz. Her şey normal görünür. Ancak perde arkasında, cihazın işlemcisinin bir kısmı ve internet bant genişliğinizin bir bölümü, artık korsanların emrindedir. Cihaz, sizin verdiğiniz komutları yerine getirirken, aynı anda efendisinden gelen “Şu IP adresine saldır” emrini de sessizce uygular. Bu ikili yaşam, cihazın fişi çekilip elektriği kesilene kadar (veya bazı yeni versiyonlarda kalıcı hafızaya yazıldığı için sonsuza kadar) devam eder.
Biraz daha somutlaştırmak gerekirse, bir akıllı priz düşünün. Tek işi, üzerine takılı olan lambayı açıp kapatmaktır. İşlem kapasitesi bir hesap makinesinden bile düşüktür. Ancak bu priz internete bağlıdır ve kendine ait bir IP adresi vardır. Aisuru bu prizi ele geçirdiğinde, priz hala lambayı yakar. Ama aynı priz, Microsoft Azure sunucularına saniyede binlerce kez “ping” (veri paketi) göndermeye başlar. Tek bir prizin gönderdiği veri bir hiçtir, bir sinek vızıltısıdır. Ancak dünya genelinde 500.000 tane priz, tost makinesi ve kamera aynı anda vızıldadığında, bu ses bir jet motorunun gürültüsüne dönüşür. İşte “zombi” terimi buradan gelir; iradesi olmayan, sadece efendisinin emriyle hareket eden, kalabalıklar halinde saldıran ve tekil olarak zayıf ama sürü halindeyken ölümcül olan varlıklar.
Özellikle bebek telsizleri ve güvenlik kameraları, bu işin en ironik ve trajik kahramanlarıdır. İnsanlar bu cihazları “güvenlik” için satın alırlar. Evlerini hırsızlardan korumak, bebeklerini gözetlemek, sevdiklerini güvende tutmak isterler. Ancak güvenlik için aldıkları bu cihazlar, hiçbir güvenlik önlemine sahip olmadıkları için, aslında evlerini küresel bir siber savaşın cephesi haline getirir. Düşünün ki, bebeğinizi izlediğiniz kamera, aynı zamanda bir ülkenin elektrik altyapısını çökertmeye çalışan bir siber silahın parçası olarak kullanılıyor. Üstelik bu kameraların güvenliği o kadar zayıftır ki, sadece DDoS saldırılarında kullanılmakla kalmazlar, bazen görüntüleri de internete sızabilir. Ancak konumuz olan botnet saldırısında öncelik görüntü hırsızlığı değil, cihazın internet çıkış kapasitesini sömürmektir.
Modemler ve routerlar (yönlendiriciler) ise bu ordunun ağır makineli tüfekleridir. Evdeki diğer tüm akıllı cihazlar modeme bağlanır. Eğer Aisuru doğrudan modemi ele geçirirse –ki bu çok sık yaşanan bir durumdur– o zaman evdeki internet trafiğinin tam kontrolünü eline almış olur. Servis sağlayıcınızın (ISP) size verdiği o plastik kutu, aslında evinizin dış dünyaya açılan kapısıdır. Bu kapıdaki nöbetçi (modem yazılımı) uyutulduğunda veya kandırıldığında, evinizdeki internet bağlantısı, sizin haberiniz olmadan yasadışı işlerde kullanılan bir otobana dönüşür. İnternet hızınızın sebepsiz yere yavaşladığını, oyunlarda “ping” sürenizin arttığını veya videoların donduğunu hissettiğinizde, genellikle servis sağlayıcınıza kızarsınız. Oysa o sırada modeminiz, belki de o an gerçekleşmekte olan dünyanın en büyük siber saldırısına veri yetiştirmek için ter döküyordur.
Bu cihazların “zombileştirilmesi” sürecinde kullanılan bir diğer ilginç yöntem ise “solucan” (worm) mantığıdır. Aisuru bulaştığı bir cihazda uslu uslu oturmaz. Hemen o cihazın bağlı olduğu yerel ağı (evinizin içindeki ağı) taramaya başlar. “Acaba bu ağda başka akıllı cihaz var mı?” diye bakar. Eğer kamerayı ele geçirdiyse ve aynı ağda şifresi zayıf bir akıllı yazıcı varsa, virüs kameradan yazıcıya sıçrar. Oradan akıllı televizyona, oradan da buzdolabına… Böylece tek bir zayıf halka, tüm evi bir zombi yuvasına dönüştürebilir. Bu yanal hareket kabiliyeti, enfeksiyonun geometrik olarak büyümesini sağlar. Komşunuzun güvenli olmayan ağı bile, eğer sinyaller karışıyorsa veya ortak bir altyapı varsa risk altında olabilir, ancak genellikle bu yayılım internet üzerinden IP taramasıyla gerçekleşir.
Kullanıcıların bu durumu fark edememelerinin bir diğer sebebi de, bu cihazların arayüzlerinin olmamasıdır. Bilgisayarınıza virüs girdiğinde ekranda garip pencereler açılabilir, mouse kendi kendine hareket edebilir. Ama akıllı ampulün bir ekranı yoktur. Buzdolabının işlemci kullanımını gösteren bir “Görev Yöneticisi” yoktur. Süpürgenin “Bana virüs bulaştı” diyecek bir hoparlörü yoktur. Bu körlük, saldırganların en büyük avantajıdır. Cihazlar “kara kutu” gibidir; ne girdiğini bilirsiniz, ne çıktığını bilirsiniz ama içeride ne olduğunu asla bilemezsiniz. Bu durum, saldırının önlenmesini neredeyse imkansız hale getiren faktörlerden biridir. Bir sorun olduğunu anlamadığınız bir şeyi tamir edemezsiniz.
Benim şahsi gözlemime göre, bu durum aslında teknoloji endüstrisinin etik bir krizidir. Üreticiler, cihazlarının güvenlik açıklarını kapatmak için gerekli yatırımı yapmadıkları sürece, evlerimizdeki bu hainler var olmaya devam edecek. Bir buzdolabının 10 yıl boyunca kullanılması beklenir. Ancak o buzdolabının içindeki yazılımın güvenlik desteği genellikle 1-2 yıl sonra kesilir (veya hiç verilmez). Bu da, o buzdolabının önümüzdeki 8 yıl boyunca savunmasız bir zombi olarak internette dolaşacağı anlamına gelir. Eski, güncellenmeyen, unutulmuş milyonlarca cihaz… Aisuru’nun ordusu asla asker sıkıntısı çekmez çünkü bizler her gün marketlerden yenilerini alıp, eski ve güvensiz olanları fişe takılı bırakmaya devam ediyoruz.
Sonuç olarak, Microsoft Azure’u vuran o 15 terabitlik darbenin her bir biti, aslında bizim evlerimizden çıktı. O saldırı, uzaylıların veya süper kötülerin değil, bizim salonumuzdaki, mutfağımızdaki, yatak odamızdaki o “sevimli” ve “akıllı” yardımcılarımızın eseriydi. Onlar hain değiller, sadece çok saflar. Kendilerine ne fısıldanırsa onu yapıyorlar. Ve ne yazık ki, biz onların kulaklarını tıkamayı (şifrelerini değiştirmeyi, güncellemelerini yapmayı) unuttuğumuz için, kötü niyetli fısıltılara karşı tamamen savunmasızlar. Bu bölüm, düşmanın ne kadar yakında, hatta içimizde olduğunu göstermesi açısından kritikti. Şimdi, bu milyonlarca kör ve sağır askerin, nasıl tek bir beyin tarafından yönetildiğini, o kaosun içindeki korkunç düzeni inceleme vakti geldi. Çünkü yarım milyon cihazın aynı anda tetiğe basması, tesadüf olamaz; bu, bir komuta dehasıdır.
Bölüm 4: Komuta Merkezi (C2) – İpler Kimin Elinde?
Dijital dünyanın kaotik okyanusunda, yüz binlerce, hatta yarım milyon cihazın aynı anda, aynı saniyenin binde birinde tek bir hedefe kilitlenmesi, tesadüflerle veya şansla açıklanabilecek bir durum değildir. Önceki bölümlerde bu devasa ordunun neferlerini, yani evlerimize sızmış o masum görünümlü kameraları ve modemleri tanımıştık. Ancak bir ordu, ne kadar kalabalık olursa olsun, başında bir komutan ve o komutanın emirlerini ileten kusursuz bir iletişim ağı olmadığı sürece sadece bir kalabalıktan ibarettir. Başıbozuk bir kalabalık gürültü çıkarabilir, rahatsızlık verebilir ama Microsoft Azure gibi dijital bir kaleyi sarsacak o 15 terabitlik yıkıcı darbeyi indiremez. Bu darbenin inebilmesi için, o kalabalığın tek bir vücut, tek bir zihin gibi hareket etmesi gerekir. İşte bu bölümde, o görünmez iplerin tutulduğu, emirlerin verildiği ve kaosun matematiksel bir disiplinle yönetildiği karanlık odaya, yani Komuta ve Kontrol (C2) merkezine giriyoruz.
Yarım milyon cihazı yönetmek, lojistik açıdan bir kabustur. Düşünün ki, dünyanın her saat dilimine yayılmış, farklı internet hızlarına sahip, kimi zaman açık kimi zaman kapalı olan 500.000 farklı askeriniz var. Bunların her birine tek tek telefon açıp “Şimdi saldır” diyemezsiniz. Bu, insan kapasitesinin çok ötesindedir. İşte burada, siber suç dünyasının en kritik mimarisi olan C2 altyapısı devreye girer. C2, yani “Command and Control”, botnetin beyni ve sinir sistemidir. Enfekte olmuş her bir cihaz, yani her bir “zombi”, enfeksiyon anından itibaren bu merkeze göbekten bağlanır. Bu bağ, görünmez bir dijital göbek bağıdır ve cihaz fişten çekilmediği sürece asla kopmaz.
Bu sistemi zihnimizde canlandırmak için en uygun analoji, devasa bir senfoni orkestrasıdır. Ancak bu orkestra, ışıklı bir sahnede değil, zifiri karanlıkta, birbirini görmeyen müzisyenlerden oluşmaktadır. Müzisyenler, yani bizim bot cihazlarımız (kameralar, routerlar), ellerinde enstrümanlarıyla (internet bant genişlikleri) sessizce beklemektedirler. Hiçbiri ne zaman çalacağını, hangi notayı basacağını veya ne kadar süreyle çalacağını bilmemektedir. Hepsinin gözü, karanlığın içindeki o tek noktada, yani orkestra şefindedir. Şef, yani saldırıyı yöneten hacker veya hacker grubu, elindeki batonu kaldırdığında, o yarım milyon müzisyen aynı anda enstrümanlarına asılır. Ortaya çıkan ses, uyumlu bir melodi değil, kulakları sağır eden, camları patlatan ve binaları yıkan bir gürültü duvarıdır. İşte C2 sunucusu, şefin o batonu tuttuğu kürsüdür. Şefin zihnindeki “saldır” düşüncesinin, müzisyenlerin anlayabileceği bir harekete dönüştüğü yerdir.
Bu iletişim süreci, son derece sofistike ve sinsi bir protokol üzerinden yürür. Enfekte olan bir cihaz, yani “bot”, yazılımı içine aldığı ilk saniyede, kodlarının içine gömülmüş olan gizli bir adresi aramaya başlar. Bu adres, C2 sunucusunun adresidir. Cihaz, internet üzerinden bu sunucuya küçük, zararsız görünen bir sinyal gönderir. Biz buna teknik dünyada “Heartbeat” yani “Kalp Atışı” veya “Beacon” diyoruz. Bu sinyal, aslında botun efendisine tekmil vermesidir: “Ben buradayım, canlıyım, internete bağlıyım ve emrini bekliyorum.” C2 sunucusu bu sinyali alır, o cihazı devasa veritabanına “aktif asker” olarak kaydeder ve ona “Beklemede kal” komutunu döner. Bu işlem, gün boyunca on binlerce kez tekrarlanır. Cihaz sürekli “Efendim?” der, sunucu “Bekle” der. Bu trafik o kadar küçüktür ki, ne internet servis sağlayıcıları ne de cihazın sahibi olan kullanıcı bu fısıltıyı fark edebilir. Bu, fırtına öncesi sessizliğin dijital halidir.
Ancak asıl büyü, “Saldırı” emri verildiğinde gerçekleşir. Aisuru botnetinin arkasındaki güç, yani o “General”, Microsoft’u hedef almaya karar verdiğinde, kendi güvenli sığınağından, belki de dünyanın öbür ucundaki bir kafeden veya evinin bodrumundan C2 yönetim paneline giriş yapar. Bu panel, filmlerde gördüğümüz o karmaşık, yeşil kodların aktığı ekranlara pek benzemez. Aksine, modern botnet yönetim panelleri, şaşırtıcı derecede kullanıcı dostu, şık tasarımlı ve basittir. Sanki bir e-ticaret sitesinin yönetim panelini veya bir oyunun menüsünü andırır. Ekranda, o an emre amade kaç bot olduğu (örneğin 524.108 Cihaz), bu botların hangi ülkelerde yoğunlaştığı ve toplam saldırı kapasitesi grafiklerle gösterilir. General, hedef kısmına Azure sunucusunun IP adresini yazar, saldırı türünü (örneğin UDP Flood veya TCP SYN Flood) seçer, süreyi belirler ve “BAŞLAT” butonuna tıklar.
O butona tıklandığı an, siber uzayda ışık hızında bir emir komuta zinciri çalışmaya başlar. Generalin emri önce ana C2 sunucusuna gider. Ancak güvenlik güçlerinin takibinden kaçmak için genellikle tek bir sunucu kullanılmaz. Hiyerarşik bir yapı vardır. Emir, “Master” sunucudan çıkar, altında çalışan onlarca “Worker” veya “Proxy” sunucuya dağıtılır. Bu ara sunucular, emri alır ve kendilerine bağlı olan binlerce bota iletirler. Bu dağıtım mekanizması, piramit satış sistemine benzer; tepedeki bir kişi fısıldar, alttaki katmanlar bunu bağırarak çoğaltır. Saniyeler içinde, Avustralya’daki bir güvenlik kamerasından Brezilya’daki bir modeme, Türkiye’deki bir akıllı prizden Japonya’daki bir buzdolabına kadar 500.000 cihaza aynı mesaj ulaşır: “HEDEF: MICROSOFT. YÖNTEM: TAM GÜÇ. SÜRE: SÜREKLİ. BAŞLA!”
Bu senkronizasyonun mükemmelliği, saldırının başarısının anahtarıdır. Eğer cihazlar rastgele zamanlarda saldırsaydı, Microsoft’un savunma sistemleri bunları tek tek avlar, IP’leri bloklar ve saldırıyı etkisiz hale getirirdi. Ancak 500.000 cihazın aynı milisaniyede veri paketlerini fırlatması, savunma duvarında bir şok etkisi yaratır. Bu, bir kaleye ok atan 500.000 okçu gibidir. Oklar tek tek gelirse kalkanlarla engellenir, ama hepsi aynı anda gökyüzünü karartarak gelirse, o kalkanların dayanma şansı yoktur. Aisuru’nun C2 altyapısı, bu zamanlamayı ayarlamak için cihazların saatlerini bile senkronize edebilir veya “Şu saatte başla” gibi zaman ayarlı bombalar yerleştirebilir.
Peki, bu C2 sunucuları nerede? Neden polis gidip bu sunucuların fişini çekmiyor? İşte işin en karmaşık ve sinir bozucu kısmı burasıdır. Botnet operatörleri, C2 sunucularını asla kendi evlerinde barındırmazlar. Bu sunucular, genellikle “Bulletproof Hosting” (Kurşun Geçirmez Barındırma) adı verilen hizmetleri sağlayan, yasal denetimlerin zayıf olduğu ülkelerdeki veri merkezlerinde tutulur. Veya daha kurnazca bir yöntemle, bizzat hacklenmiş başka masum sunucular kullanılır. Yani polis IP adresini takip ettiğinde, karşısına bir üniversitenin kütüphane sunucusu veya bir hastanenin veritabanı çıkabilir. Hacker, bu sunucuyu sadece bir paravan, bir yansıtıcı olarak kullanmaktadır. Asıl beyin, bu paravanın arkasında, belki de Tor ağı gibi gizli katmanların ardında saklanmaktadır. Bir sunucu kapatılsa bile, sistemin “Yedeklilik” (Redundancy) özelliği devreye girer. Botlar, ana sunucuya ulaşamazlarsa, kodlarında gizlenmiş yedek adreslere, B planı sunucularına yönelirler. Bu, kafası kesildiğinde yerine yenisi çıkan mitolojik Hydra canavarı gibi, öldürülmesi neredeyse imkansız bir yapıdır.
Aisuru’nun atası Mirai’den aldığı bir diğer miras ise, bazı varyantlarında merkezi C2 yapısından uzaklaşıp, “Peer-to-Peer” (P2P) yani eşten eşe iletişim modeline geçebilmesidir. Bu modelde, tek bir komutan yoktur. Her zombi cihaz, aynı zamanda bir komutandır. Emirler, kulaktan kulağa oyunu gibi bir cihazdan diğerine aktarılır. Kamera modeme, modem komşunun yazıcısına emri iletir. Bu durumda, merkezi bir sunucu olmadığı için, polisin kapatabileceği, fişini çekebileceği bir “karargah” da yoktur. Ağı durdurmak için 500.000 cihazın tamamını temizlemek gerekir ki bu da pratikte imkansızdır. Aisuru’nun bu son Azure saldırısında, hibrit bir yapı (hem merkezi hem P2P) kullandığına dair şüpheler, onun neden bu kadar zor durdurulabildiğini açıklamaktadır.
Ayrıca, C2 iletişiminin gizliliği konusunda da değinmek gerekir. Hackerlar, emirleri “Saldır” diye açık metin olarak göndermezler. Bu trafik, güvenlik duvarlarına ve antivirüs yazılımlarına yakalanmamak için şifrelenir. Bazen bu trafik, normal bir web sitesi ziyareti gibi (HTTP/HTTPS) görünür. Ağ yöneticisi trafiğe baktığında, kameranın bir web sitesine bağlanıp güncelleme kontrolü yaptığını sanır. Oysa o sırada kamera, C2 sunucusundan saldırı koordinatlarını indirmektedir. Hatta bazı gelişmiş tekniklerde, emirler sosyal medya paylaşımlarının içine, resim dosyalarının piksellerine (Steganografi) veya Twitter gönderilerine gizlenebilir. Bot yazılımı, belirli bir Twitter hesabını takip eder ve oradaki anlamsız görünen harf dizilerini çözerek emri alır. Bu yaratıcılık, savunma tarafını her zaman bir adım geride bırakmaktadır.
C2 altyapısının bir diğer işlevi de “Bot Yönetimi ve Güncelleme”dir. Aisuru, ele geçirdiği cihazları sadece saldırmak için kullanmaz, aynı zamanda onları günceller. Evet, ironik bir şekilde, cihazın üreticisinin yapmadığı güncellemeyi virüs yapar. Ancak bu güncelleme güvenliği sağlamak için değil, rakip hackerların virüslerini temizlemek ve cihazın sadece kendisine ait olmasını sağlamak içindir. C2 sunucusu, bota “İçindeki diğer virüsleri sil ve kapıları kilitle, artık sadece benimsin” emrini gönderir. Bu sayede hacker, ordusunu korur ve başka bir generalin askerlerini çalmasını engeller. Bu, sanal dünyadaki çete savaşlarının en somut örneğidir; her çete, kendi bölgesini (cihazını) korumak için dijital nöbetçiler diker.
Bu noktada benim şahsi yorumum şudur ki, C2 mimarisi, modern zamanların en etkileyici ama en korkutucu mühendislik başarılarından biridir. Etik dışı ve yasadışı olması, bu sistemin arkasındaki zekayı ve organizasyon yeteneğini görmezden gelmemize neden olmamalıdır. Yarım milyon farklı noktayı, tek bir irade altında birleştirmek, Google veya Facebook gibi teknoloji devlerinin bile büyük mühendislik ekipleriyle yönettiği bir süreçken, bunu birkaç kişinin kurduğu bir yazılım altyapısının başarması, tehdidin boyutunu gözler önüne serer. Bu sistem, merkeziyetsizliğin gücünü, merkezi bir otoritenin emrine vererek paradoksal bir silah yaratmıştır.
Sonuç olarak, Microsoft Azure’a doğru yola çıkan o 3.64 milyar paket, rastgele bir rüzgarın savurduğu yapraklar değildi. Onlar, karanlık bir odada, klavyesinin başındaki bir “orkestra şefinin” yönettiği, her notası yıkım, her ölçüsü kaos olan, ölümcül bir senfoninin parçalarıydı. C2 sunucuları, bu senfoninin notalarının yazıldığı ve dağıtıldığı yerdir. Şef batonu indirdiğinde, müzik susar. Ancak şef hala oradadır, nota sehpası hala oradadır ve müzisyenler hala ellerinde enstrümanlarıyla beklemektedir. Tek yapmaları gereken, bir sonraki “Başla” işaretini beklemektir. Ve maalesef, bu işaretin gelmesi genellikle çok uzun sürmez. İpler hala o görünmez ellerde ve o eller, bir sonraki hedefin kim olacağına çoktan karar vermiş olabilir.
Bölüm 5: Motivasyon – Neden Yapıyorlar?
Daha önceki bölümlerde, internetin derinliklerinden yükselen o korkunç dalganın fiziğini, onu oluşturan zombi cihazların kimyasını ve bu kaosu yöneten orkestra şefinin kullandığı görünmez ipleri inceledik. 15.72 terabitlik bir veri selinin nasıl oluştuğunu ve nasıl yönlendirildiğini teknik ve lojistik açıdan anlamak, tablonun sadece yarısını görmemizi sağlar. Asıl ve belki de insan doğası gereği en çok merak uyandıran, en çok tüyler ürperten soru, teknik detayların ötesinde, psikolojinin ve ekonominin karanlık dehlizlerinde saklıdır: Neden? Bir insan, bir grup veya bir organizasyon, neden böyle devasa bir efor harcayarak, binlerce dolarlık sunucu maliyetine katlanarak ve uluslararası kanun uygulayıcıların hedefi haline gelme riskini alarak Microsoft gibi bir teknoloji devine saldırır? Bu dijital vandalizmin, bu siber yıkımın arkasındaki itici güç nedir? Cevap, sandığımızdan çok daha karmaşık, çok katmanlı ve modern dünyanın çürüyen etik değerleriyle doğrudan ilişkilidir. Bu bölümde, saldırganların zihnine girip, onları bu suça iten motivasyonları; paranın kirli yüzünü, rekabetin vahşiliğini, egonun sınır tanımazlığını ve hepsinden daha korkuncu, bu saldırının aslında bir pazarlama stratejisi olduğu gerçeğini masaya yatıracağız.
İnsanlık tarihi boyunca suçun temel motivasyonu neredeyse hiç değişmemiştir ve siber dünya da bu konuda bir istisna değildir. İlk ve en baskın motivasyon, şüphesiz ki paradır. Dijital çağda banka soymak için artık kar maskesi takıp elinize silah almanıza, güvenlik görevlilerini etkisiz hale getirmenize gerek yoktur. Aisuru botneti gibi devasa bir gücü elinde bulunduranlar için para kazanmanın en yaygın yolu, modern çağın haracı olarak adlandırabileceğimiz DDoS fidyeciliğidir. Senaryo genellikle şöyle işler: Büyük bir e-ticaret sitesinin, bir bahis şirketinin veya finansal işlem yapan bir platformun yöneticileri, sıradan bir iş gününde e-posta kutularına düşen tehditkar bir mesajla sarsılırlar. Mesajda, “Sitenizin güvenliğini test ettik ve çok zayıf bulduk. Eğer 24 saat içinde şu kripto cüzdan adresine 50 Bitcoin göndermezseniz, siteniz süresiz olarak kapatılacaktır” yazar. Çoğu yönetici ilk başta bunu ciddiye almaz, bir blöf olduğunu düşünür. Ancak saldırganlar, “Demo” adını verdikleri kısa süreli, belki 10-15 dakikalık bir saldırı başlatırlar. Bu süre içinde sitenin trafiği kilitlenir, müşteriler alışveriş yapamaz, işlemler durur ve şirket dakikalar içinde milyonlarca dolar zarar eder. İşte o an, tehdidin gerçekliği soğuk bir duş etkisi yaratır. Şirket sahibi, günlerce kapalı kalıp itibarını ve müşterilerini kaybetmektense, istenen fidyeyi ödemeyi “ticari bir maliyet” olarak görmeye başlar. Kripto paraların sağladığı anonimlik sayesinde, paranın izini sürmek neredeyse imkansızdır ve bu durum, saldırganlar için riski minimize ederken kazancı maksimize eder. Aisuru’nun gücü, bu tehdidi reddedilemez bir boyuta taşır. Çünkü 15 terabitlik bir saldırı tehdidi karşısında, “Bizim güvenlik duvarımız var, bize bir şey olmaz” diyebilecek şirket sayısı bir elin parmaklarını geçmez.
Ancak motivasyon her zaman doğrudan gasp veya fidye değildir. Bazen bu saldırılar, kapitalizmin en vahşi, en kuralsız yüzünü temsil eden “haksız rekabet” aracı olarak kullanılır. Özellikle “Black Friday” (Efsane Cuma) gibi alışveriş çılgınlığının yaşandığı, dakikaların bile milyonlarca dolar ciro anlamına geldiği dönemlerde, rekabet acımasız bir savaşa dönüşür. A Firması, rakibi olan B Firmasının o gün satış yapmasını engellemek için Aisuru gibi botnet sahiplerini kiralık katil gibi tutabilir. Bu, dijital dünyanın “kiralık haydut” modelidir. Saldırgan için hedef fark etmez; parayı verenin gösterdiği hedefi vurur. B Firmasının sitesi, indirimlerin başladığı saatte yoğun trafikten dolayı çökmüş gibi görünür. Müşteriler “Site açılmıyor” diye şikayet ederken, aslında arka planda devasa bir saldırı yaşanmaktadır. Müşteriler, açılmayan siteden vazgeçip, sorunsuz çalışan A Firmasının sitesine yönelirler. Bu senaryoda saldırgan sadece bir araçtır, asıl suçlu ise takım elbiseli, saygın görünümlü bir iş insanıdır. Bu durum, siber suçun sadece karanlık bodrumlarda yaşayan hackerların değil, plaza katlarındaki beyaz yakalıların da dahil olduğu bir ekosistem olduğunu gösterir. Aisuru’nun kapasitesi, en büyük e-ticaret sitelerini bile saatlerce servis dışı bırakabilecek düzeydedir ve bu hizmetin “Dark Web” üzerindeki fiyat listesi, rakibini batırmak isteyenler için oldukça cazip olabilir.
Paranın ve ticaretin ötesinde, insan psikolojisinin en ilkel dürtülerinden biri olan “Ego” ve “Gövde Gösterisi”, bu saldırıların arkasındaki bir diğer güçlü motordur. Hacker dünyası, kendi içinde hiyerarşisi, kuralları ve şöhret basamakları olan kapalı bir toplumdur. Bu dünyada saygı görmek, “en iyi” olduğunu kanıtlamak ve adını efsaneler arasına yazdırmak, birçok genç hacker için paradan çok daha değerlidir. Microsoft, Google, Amazon veya Cloudflare gibi teknoloji devlerine saldırmak, bu dünyanın Everest’ine tırmanmak gibidir. “Neden Microsoft’a saldırdın?” sorusunun cevabı, Everest’e tırmanan dağcının cevabıyla aynıdır: “Çünkü oradaydı ve çünkü en büyüğü oydu.” 15 terabitlik bir saldırıyı Microsoft’un Azure bulutuna yönlendirmek, bir nevi dijital grafiti yapmaktır. Saldırgan, dünyanın en güçlü teknoloji şirketinin duvarına “Buradaydım ve beni durduramadınız” yazmak ister. Bu saldırı başarısız olsa, Microsoft trafiği temizlese bile, sadece bu girişimi yapabilmiş olmak, o devasa trafiği oluşturabilmek bile forumlarda büyük bir prestij kaynağıdır. Özellikle Aisuru gibi yeni bir botneti yönetenler, “Bakın benim silahım Mirai’den daha güçlü, benim ordum daha büyük” diyerek rakiplerine meydan okurlar. Bu motivasyon, genellikle rasyonel bir kazanç beklentisi içermez; tamamen narsistik bir tatmin, gücün sarhoş edici hazzı ve kaos yaratma arzusudur. Bir düğmeye basarak dünyanın öbür ucundaki sunucuları kırmızıya boyamak, onlara tanrısal bir güç hissi verir.
Ve geldik motivasyonların en ilginç, en paradoksal ve Aisuru olayını en iyi açıklayan türüne: Pazarlama. Evet, yanlış okumadınız. Microsoft Azure’a yapılan o tarihi saldırı, aslında küresel bir reklam kampanyasıydı. Bir ürününüz olduğunu düşünün; bu ürün, dünyanın en güçlü dijital yıkım makinesi. Bu ürünü potansiyel alıcılara, yani rakiplerini batırmak isteyen şirketlere, devletlere veya suç örgütlerine satmak istiyorsunuz. Onlara “Benim botnetim çok güçlü” demeniz yetmez, bunu kanıtlamanız gerekir. Peki, gücünüzü kanıtlamanın en iyi yolu nedir? Elbette en güçlüye kafa tutmaktır. Aisuru’nun sahipleri, Microsoft Azure’u bir test tahtası, bir vitrin mankeni olarak kullandılar. Amaçları Microsoft’u tamamen yok etmek veya Microsoft’tan fidye istemek değildi. Amaçları, “Bakın, biz Microsoft’un o milyar dolarlık savunma sistemlerini bile zorladık, 15 terabiti gördük. Eğer Microsoft’a bunu yapabiliyorsak, sizin hedefinizdeki o küçük bankayı, o alışveriş sitesini veya o devlet kurumunu saniyeler içinde toz duman ederiz” mesajını vermekti. Bu saldırı sırasında alınan ekran görüntüleri, trafik grafikleri ve sunucu hata raporları, daha sonra “Dark Web” forumlarındaki satış ilanlarında “Referanslarımız” başlığı altında gururla sergilenecektir. Bu, bir tank üreticisinin, tankının zırhını göstermek için ona bazukayla ateş etmesi ve bunu videoya çekip müşterilerine izletmesi gibidir. Azure saldırısı, potansiyel müşterilere sunulan canlı, kanlı canlı bir demoydu. Saldırının Eylül ayında Cloudflare’e, Kasım ayında Microsoft’a yapılmış olması tesadüf değildir; botnet sahipleri, portföylerine büyük isimleri ekleyerek, hizmetlerinin (“DDoS-for-Hire” veya “Booter” hizmetleri) fiyatını artırmayı hedeflemektedirler. Bu motivasyon, siber suçun artık amatör bir uğraş olmaktan çıkıp, pazarlama departmanı, müşteri hizmetleri ve ürün demoları olan profesyonel bir endüstriye dönüştüğünün en korkutucu kanıtıdır.
Benim bu konudaki şahsi gözlemim şudur ki, pazarlama motivasyonu, diğer tüm motivasyonlardan çok daha tehlikelidir. Çünkü fidye isteyen biriyle anlaşabilirsiniz, egosu için saldıran biri hevesini alınca durur. Ancak işin içine pazarlama girdiğinde, saldırılar bir “ürün geliştirme” sürecine dönüşür. Saldırganlar, müşterilerine daha iyi hizmet sunabilmek, “Rakiplerimizden daha fazla terabit sunuyoruz” diyebilmek için sürekli olarak botnetlerini geliştirmek, daha fazla cihaz ele geçirmek ve daha büyük hedeflere saldırmak zorunda hissederler. Bu, hiç bitmeyen, kendi kendini besleyen bir döngüdür. Müşteri memnuniyeti odaklı çalışan bir suç örgütü, kulağa absürt gelse de bugünün gerçeğidir. Aisuru’nun “Auru” diye duyulan o isminin altında yatan “Sevgi” ironisi, belki de “Müşterilerimize sevgilerle” anlamını taşıyan, bu sapkın ticaret anlayışının bir yansımasıdır.
Sonuç olarak, 500.000 cihazı bir araya getirip Microsoft’un üzerine sürmenin arkasındaki neden, tek bir kelimeye indirgenemeyecek kadar karmaşıktır. Bu, açgözlülüğün, kibrin, ticaretin ve yıkıcı insan doğasının dijital bir kokteylidir. Aisuru operatörleri için Microsoft Azure, bir düşman değil, sadece bir basamaktır. Para kazanmak, şöhret elde etmek ve en önemlisi “mallarını” pazarlamak için kullandıkları devasa bir billboarddur. Bu saldırının başarısız olması veya Microsoft tarafından püskürtülmesi onlar için bir kayıp değildir; aksine, “Biz denedik ve şu kadar hasar verdik, şimdi sıra sizde, satın alın ve gücü hissedin” diyebilecekleri bir başarı hikayesidir. Bu motivasyonların varlığı, teknik önlemler ne kadar gelişirse gelişsin, saldırıların asla bitmeyeceğini garanti eder. Çünkü insan doğasındaki kazanma hırsı, tanınma arzusu ve yıkma güdüsü var olduğu sürece, dijital dünyada her zaman birileri o butona basmak için bir sebep bulacaktır. Ve ne yazık ki, Aisuru sadece bir başlangıçtır; motivasyonu bu kadar yüksek, pazarlaması bu kadar agresif olan bu yeni nesil tehditler, gelecekte motivasyonlarını daha da çeşitlendirerek karşımıza çıkmaya devam edecektir.
Bölüm 6: Saldırı Anı – “Ping” Yağmuru
Siber savaşların doğası, fiziksel dünyadaki çatışmalardan radikal bir biçimde ayrılır. Fiziksel dünyada bir kaleyi ele geçirmek veya bir yapıyı yıkmak için karmaşık stratejiler, ağır silahlar ve patlayıcılar gerekirken, dijital dünyada bir sistemi çökertmek bazen şaşırtıcı derecede basit, ilkel ama bir o kadar da durdurulamaz bir mantığa dayanır. Önceki bölümlerde bu saldırının arkasındaki motivasyonu, onu yöneten karanlık zihinleri ve saldırıyı gerçekleştiren zombi ordusunu tanımıştık. Şimdi ise mikroskobumuzu olayın tam kalbine, yani o 15 saniyelik kıyamet anında kabloların içinde neler yaşandığına, verinin kendisine ve kullanılan silaha çevireceğiz. Bu silah, karmaşık şifre çözücü algoritmalar veya bilim kurgu filmlerindeki gibi yeşil kodların aktığı bir hackleme işlemi değildir. Bu silah, internetin en temel, en masum ve en eski iletişim biçiminin, yani “Ping”in ve veri paketlerinin ölümcül bir silaha dönüştürülmüş halidir. Microsoft Azure sunucularının maruz kaldığı şey, teknik bir arıza değil, dijital bir boğulma, nefessiz kalma halidir.
Bu saldırının teknik mantığını kavramak için öncelikle internetin nasıl konuştuğunu, cihazların birbirleriyle nasıl anlaştığını en temel düzeyde anlamamız gerekir. İnternet, devasa bir okyanus gibidir ve bu okyanusta yüzen milyarlarca gemi (cihaz) vardır. Bir gemi, diğerinin orada olup olmadığını, iletişim kanalının açık olup olmadığını anlamak için sonar sinyali gönderir. İşte “Ping” dediğimiz şey tam olarak budur. Teknik adıyla ICMP (Internet Control Message Protocol) yankı isteği olan bu sinyal, aslında dijital bir nezaket kuralıdır. Bir bilgisayar diğerine “Merhaba, orada mısın?” der. Karşıdaki bilgisayar, eğer çalışıyorsa ve ulaşılabilir durumdaysa “Evet, buradayım” cevabını verir. Bu, internetin kalp atışıdır. Ağ yöneticileri, sistemlerin sağlığını kontrol etmek için bu basit soruyu kullanırlar. Ancak Aisuru saldırısında, bu masum soru, tarihin en büyük tacizine dönüşmüştür.
Düşünün ki evinizde oturuyorsunuz ve kapınızın zili çalıyor. Kalkıp bakıyorsunuz, kapıda kimse yok veya birisi “Evde misin?” diye sorup kaçıyor. Bu, günde bir kez olursa sadece hafif bir rahatsızlık verir. Ancak saniyede 3.64 milyar kez kapı zilinizin çaldığını, saniyede milyarlarca kişinin aynı anda camınıza vurup “Orada mısın?” diye bağırdığını hayal edin. İşte o an, evinizde oturamaz, televizyon izleyemez, ailenizle konuşamaz hale gelirsiniz. Gürültüden kulaklarınız sağır olur, kapı zili ısınmaktan yanar ve siz, kapıya cevap vermeye çalışmaktan yorgun düşüp yere yığılırsınız. DDoS (Dağıtık Hizmet Reddi) saldırısının temel mantığı budur: Hedef sistemi, cevaplayabileceğinden çok daha fazla soruyla meşgul ederek, asıl işini yapamaz hale getirmek. Microsoft Azure sunucuları, bu saldırı sırasında, kendisine hizmet almak için gelen gerçek müşterilerini, yani o kapıyı gerçekten kullanması gereken insanları, bu devasa gürültü ve kalabalık yüzünden duyamaz hale gelmiştir.
Bu saldırıda kullanılan ve olayın vahametini artıran en kritik teknik detaylardan biri “UDP Flood” (UDP Tufanı) yöntemidir. İnternet trafiği genellikle iki ana protokol üzerinden akar: TCP ve UDP. TCP, kibar ve kurallı bir konuşmadır. İki cihaz önce el sıkışır, birbirlerine “Veri gönderebilir miyim?”, “Evet gönderebilirsin”, “Tamam gönderiyorum”, “Aldın mı?”, “Aldım” gibi teyitler verirler. Bu güvenlidir ama yavaştır. UDP (User Datagram Protocol) ise, internetin kaba saba, sabırsız ve gürültülü çocuğudur. UDP’de el sıkışma yoktur, teyit yoktur, “Aldın mı?” sorusu yoktur. Veri paketleri, karşı tarafın hazır olup olmadığına bakılmaksızın, bir makineli tüfek gibi hedefe fırlatılır. Tıpkı üzerine yazılmış bir notla tuğlayı birinin penceresinden içeri atmak gibidir; camın kırılıp kırılmadığı, içerideki kişinin notu okuyup okumadığı göndericinin umurunda değildir. Tek amaç, o tuğlayı atmaktır.
Aisuru botneti, Microsoft Azure’a saldırırken ağırlıklı olarak bu UDP protokolünü tercih etmiştir. Çünkü saldırganların amacı sunucuyla sohbet etmek değil, onu susturmaktır. UDP Flood saldırısında, zombi cihazlar (kameralar, modemler), hedef sunucunun rastgele portlarına (giriş kapılarına) sürekli ve devasa boyutlarda veri paketleri gönderirler. Sunucu, doğası gereği her gelen paketi incelemek zorundadır. “Bu paket hangi kapıya geldi? O kapıda bekleyen bir uygulama var mı?” diye kontrol eder. Eğer o kapıda kimse yoksa, sunucu nezaketle “Burada kimse yok, bu paket ulaşmadı” diye bir hata mesajı (ICMP Destination Unreachable) dönmeye çalışır. İşte tuzak buradadır. Saldırganlar o kadar çok paket gönderirler ki, sunucu gelen paketleri işlemekle mi uğraşsın, yoksa onlara “Ulaşmadı” cevabı yazmakla mı uğraşsın bilemez. Sunucunun işlemcisi (CPU), bu anlamsız döngü içinde %100 kapasiteye ulaşır. Tıpkı bir ofis çalışanının masasına saniyede binlerce evrak bırakılması gibidir; çalışan evrakları okumasa bile, sadece onları çöpe atmak için harcadığı enerjiyle tükenir ve asıl yapması gereken işleri yapamaz hale gelir.
Bu saldırı anında gerçekleşen “bant genişliği doygunluğu” (bandwidth saturation) kavramı da hayati önem taşır. Her sunucunun, internete bağlandığı bir boru, bir kapasite sınırı vardır. Microsoft gibi bir devin borusu, okyanusları taşıyabilecek kadar geniştir. Ancak 15.72 terabit, okyanusun kendisidir. Saldırı başladığı anda, o devasa boru tamamen çöp verilerle, yani “Ping” ve UDP paketleriyle dolar. Gerçek bir kullanıcı, örneğin bir hastane veya bir banka, Azure üzerindeki verilerine ulaşmak istediğinde, boruda kendisi için yer bulamaz. Trafik sıkışıklığı o kadar yoğundur ki, ambulans bile ilerleyemez. Veri paketleri çarpışır, kaybolur ve zaman aşımına uğrar. Kullanıcı ekranında “Sayfa görüntülenemiyor” veya “Bağlantı zaman aşımı” hatasını görürken, arka planda sunucu, kendisine doğru gelen 3.64 milyar paketin altında nefes almaya çalışmaktadır.
Saldırının “yansıtma ve yükseltme” (reflection and amplification) teknikleriyle birleştiği durumlarda ise felaketin boyutu katlanarak artar. Aisuru’nun bazı varyantlarında görülen bu taktikte, saldırganlar doğrudan hedefe saldırmak yerine, üçüncü parti sunucuları (örneğin DNS veya NTP sunucuları) aracı olarak kullanırlar. Bot cihazı, bu aracı sunucuya küçük bir soru sorar ama sorunun “gönderen adresi” kısmına kendi adresini değil, kurbanın (Microsoft Azure) adresini yazar. Aracı sunucu, bu soruyu Microsoft sormuş sanır ve cevabı Microsoft’a gönderir. İşin korkutucu yanı, sorunun boyutu 1 birimken, cevabın boyutunun 50 veya 100 birim olabilmesidir. Böylece saldırgan, elindeki 1 taşla 100 taşlık etki yaratır. Azure sunucusu, hiç sormadığı soruların devasa cevaplarıyla boğuşmak zorunda kalır. Bu, birinin sizin adınıza binlerce pizza siparişi vermesi ve tüm pizzacıların aynı anda kapınıza dayanması gibidir. Siz sipariş vermediniz ama kapınızdaki kalabalık ve kokuyla uğraşmak zorundasınızdır.
Bu 15 saniyelik saldırı sırasında, sunucu odalarındaki donanımların fiziksel durumu da göz ardı edilmemelidir. Her ne kadar biz olayı “sanal” olarak nitelesek de, işlenen her veri paketi elektrik tüketir ve ısı açığa çıkarır. İşlemciler, gelen milyarlarca paketi analiz edip çöpe atmak için tam güçle çalıştığında, sunucu odalarındaki sıcaklık hızla yükselir. Soğutma fanları çığlık atar gibi en yüksek devire çıkar. Bu saldırı, sadece yazılımsal bir kilitlenme değil, donanımları fiziksel olarak yıpratan, enerji tüketimini zirveye çıkaran bir süreçtir. Microsoft’un veri merkezleri bu yükü kaldırabilecek kadar güçlü olsa da, daha küçük bir veri merkezi bu yoğunluk altında sigortalarını attırabilir veya donanım arızaları yaşayabilirdi.
Bir diğer önemli nokta, saldırının “asimetrik” doğasıdır. Bu, saldırı anının en adaletsiz gerçeğidir. Saldıran taraf (botnet), bu işi yapmak için neredeyse hiç efor sarf etmez. Zombi cihazlar zaten başkalarının elektriğini ve internetini kullanmaktadır. Saldırganın tek maliyeti, komuta sunucusunu yönetmektir. Ancak savunan taraf (Microsoft), bu saldırıyı karşılamak için devasa bir işlem gücü, bant genişliği ve enerji harcamak zorundadır. UDP Flood saldırısında, paketi göndermek (saldırmak) çok ucuzdur, ancak paketi alıp, inceleyip, zararlı olduğuna karar verip bloklamak (savunmak) çok pahalıdır. Saldırgan sadece “fırlatır”, savunmacı ise “yakalamak, analiz etmek ve imha etmek” zorundadır. Bu asimetri, siber savaşların neden bu kadar yıkıcı ve saldırganlar için cazip olduğunu açıklar. Bir kişi, milyonlarca dolarlık yatırımı, basit bir script ve ele geçirilmiş kameralarla dize getirebilir.
Saldırı anında kullanılan paketlerin içeriği de aslında boştur. Normal bir veri paketi, bir resim, bir yazı veya anlamlı bir kod taşır. Ancak Aisuru’nun fırlattığı paketler, genellikle anlamsız “çöp” verilerden (junk data) oluşur. Bu paketlerin tek amacı yer kaplamaktır. Bir otobüse binen ve koltuklara oturan ama hiçbir yere gitmeyen, sadece koltukları işgal edip gerçek yolcuların binmesini engelleyen mankenler gibidirler. Sunucu, paketin içini açıp bakana kadar onun çöp olduğunu anlayamaz. İçini açtığında ise iş işten geçmiştir, işlemci döngüsü harcanmış, o anlık kapasite tüketilmiştir. Saldırganlar bazen bu paketlerin içine alaycı mesajlar da gizlerler, ancak çoğu zaman rastgele üretilmiş sayılar ve harflerden ibarettir.
Ayrıca, saldırının dağıtık yapısı (Distributed), savunmayı daha da zorlaştırır. Paketler tek bir IP adresinden gelse, Microsoft o adresi saniyesinde engeller ve saldırı biter. Ancak saldırı 500.000 farklı adresten gelmektedir. Hangi IP gerçek kullanıcı, hangisi saldırgan? Endonezya’daki bir IP adresi gerçekten Azure’a girmeye çalışan bir turist mi, yoksa bir zombi kamera mı? Bu ayrımı saniyenin binde birinde yapmak zorundasınız. Eğer yanlışlıkla gerçek kullanıcıyı engellerseniz (False Positive), saldırgan amacına ulaşmış demektir; hizmet aksamıştır. Eğer saldırganı içeri alırsanız (False Negative), sunucu çöker. İşte saldırı anında, Microsoft’un yapay zeka destekli savunma algoritmaları bu ölümcül ikilemle savaşır. Her paket bir şüphelidir ve milyarlarca şüpheli aynı anda kapıdan geçmeye çalışmaktadır.
UDP protokolünün “durumsuz” (stateless) yapısı, saldırganlara bir avantaj daha sağlar: IP Spoofing (IP Sahteciliği). UDP’de bir bağlantı kurulmadığı için, saldırgan paketin üzerine istediği gönderici adresini yazabilir. Yani paket Rusya’dan geliyordur ama üzerinde “Ben ABD’den geliyorum” yazıyordur. Bu, savunma sistemlerinin kafasını karıştırır. Microsoft, saldırının kaynağını tespit etmeye çalıştığında, sahte adreslerle dolu bir harita ile karşılaşır. Gerçek kaynağı bulup engellemek, bir hayalet avına dönüşür. Saldırganlar sürekli maske değiştirerek, savunma duvarlarının kurallarını atlatmaya, filtrelerden sızmaya çalışırlar.
Sonuç olarak, 15.72 terabitlik “Ping” ve UDP yağmuru, teknik bir operasyondan ziyade, dijital bir doğal afet gibidir. Bu, mantığın ve diyaloğun bittiği, sadece kaba kuvvetin ve gürültünün konuştuğu bir andır. Sunucular, kendilerine sorulan milyarlarca “Orada mısın?” sorusu altında ezilirken, aslında internetin ne kadar kırılgan bir protokol (TCP/IP) üzerine kurulu olduğu bir kez daha yüzümüze çarpar. Bu protokoller, herkesin iyi niyetli olduğu, kimsenin kimseye bağırmadığı bir dünya için tasarlanmıştı. Ancak Aisuru gibi botnetler, bu iyi niyeti bir zafiyete, bu nezaketi bir silaha dönüştürmeyi başarmıştır. O 15 saniye boyunca, Azure bulutu sadece veri paketleriyle değil, insanlığın yarattığı teknolojinin kendi kuyruğunu yediği, kendi kurallarıyla vurulduğu paradoksal bir gerçeklikle savaştı. Ve ne yazık ki, bu yağmur dindiğinde bile, bulutların arkasında bir sonraki fırtınayı bekleyen kara bulutlar, yani o 500.000 cihaz hala orada, sessizce bir sonraki “bağır” emrini beklemeye devam ediyordu.
Bölüm 7: Kalkanlar – Azure ve Cloudflare Nasıl Savunuyor?
Saniyede 15.72 Terabit gibi akıl almaz bir veri selinin, Microsoft Azure gibi devasa bir bulut altyapısını yerle bir edememiş olması, modern mühendisliğin en büyük zaferlerinden biri olarak tarihe geçmiştir. Önceki bölümlerde saldırının o korkunç boyutunu, onu yaratan mekanizmaları ve saldırı anındaki kaosu detaylandırmıştık. Şimdi ise madalyonun diğer yüzüne, yani savunma hattına odaklanacağız. Nasıl oluyor da saniyede 3.64 milyar adet veri paketi, yani saniyede milyarlarca sanal kurşun, hedefine ulaşamadan veya ulaştığında etkisiz hale getirilerek buharlaşıyor? Bu, sadece kalın duvarlar örmekle açıklanabilecek bir durum değildir; bu, dijital bir aikido sanatıdır. Gelen gücü karşılayıp, onu yönlendirip, zararsız hale getirip, sistemin dışına atma becerisidir. Bu bölümde, Microsoft ve Cloudflare gibi teknoloji titanlarının, Aisuru gibi canavarlara karşı geliştirdikleri “Scrubbing Center” (Yıkama Merkezleri) teknolojilerini, yapay zeka destekli kalkanlarını ve o kritik saniyelerde gerçekleşen “dijital arıtma” işlemini mercek altına alacağız.
Saldırı anında yaşananları daha iyi anlamak için, fiziksel dünyadan bir analojiyle başlamak en doğrusudur. Bir şehrin içme suyu şebekesini düşünün. Normalde borulardan temiz, içilebilir su akar. Ancak bir felaket anında, baraj kapakları patlar ve şebekeye tonlarca çamurlu sel suyu karışır. Eğer bu çamurlu su doğrudan evlerin musluklarına ulaşırsa, tesisat tıkanır, insanlar zehirlenir ve şehir yaşanmaz hale gelir. İşte Microsoft Azure ve Cloudflare’in yaptığı iş, bu sel suyu şebekeye girmeden hemen önce, devasa bir “arıtma tesisi” kurmaktır. Bu tesise teknik dilde “Scrubbing Center” yani Yıkama Merkezi denir. İnternet trafiği, yani o veri seli, doğrudan sunuculara gitmez. Önce bu devasa, güçlü ve akıllı süzgeçlerden geçer.
Bu yıkama merkezleri, dünyanın dört bir yanına stratejik olarak yerleştirilmiş, inanılmaz işlem kapasitesine sahip veri kaleleridir. Saldırı başladığında, örneğin Avustralya’daki Azure sunucusu hedef alındığında, Microsoft’un küresel ağı (Global Network) bunu milisaniyeler içinde fark eder. “BGP Anycast” adı verilen bir teknoloji sayesinde, saldırı trafiği tek bir noktaya yığılmak yerine, dünya üzerindeki onlarca farklı yıkama merkezine dağıtılır. Yani 15 terabitlik yükü tek bir tesisin omuzlaması beklenmez. Saldırı, coğrafi olarak parçalanır, bölünür ve yönetilebilir küçük parçalara ayrılır. Bu, bir nehri denize dökülmeden önce binlerce küçük kanala ayırarak hızını kesmeye ve debisini düşürmeye benzer. Ancak asıl sihir, trafik bu merkezlere girdiğinde başlar.
Yıkama merkezinin içinde, gelen her bir veri paketi, yani o 3.64 milyar parçacık, saniyenin milyarda biri kadar kısa bir sürede sorguya çekilir. Bu sorgulama işlemi, insan müdahalesiyle yapılamayacak kadar hızlıdır; burada devreye yapay zeka ve makine öğrenimi algoritmaları girer. Sistem, gelen pakete bakar ve ona şu soruları sorar: “Sen kimsin?”, “Nereden geliyorsun?”, “İçinde ne taşıyorsun?” ve en önemlisi “Sen bir insana mı aitsin, yoksa bir robota mı?”. Yapay zeka, bu soruların cevabını bulmak için paketin “Header” (Başlık) bilgisini, geliş süresini (Time-to-Live), boyutunu ve davranış kalıbını analiz eder.
Gerçek bir kullanıcı ile bir bot arasındaki farkı bulmak, samanlıkta iğne aramaktan daha zordur ama imkansız değildir. Örneğin, gerçek bir insan bir web sitesine girdiğinde, tarayıcısı belirli bir sırayla istek gönderir; önce HTML kodunu ister, sonra resimleri, sonra CSS dosyalarını. Bu doğal, insani bir ritimdir. Ancak Aisuru’nun kontrolündeki bir zombi kamera, bu ritme uymaz. O, doğrudan ve sadece tek bir dosyayı, binlerce kez arka arkaya ister. Veya gönderdiği paketin başlık bilgisi eksiktir, hatalıdır ya da anlamsızdır. Microsoft’un savunma algoritmaları, bu anormallikleri (anomalileri) tespit etmek üzere eğitilmiştir. Sistem, “Bu paket, Vietnam’daki bir IP kamerasından geliyor ve saniyede 500 kez aynı isteği gönderiyor. Bu bir saldırı!” teşhisini koyduğu anda, o paketi “Drop” eder, yani çöpe atar. Paket, sunucunun kapısından içeri giremeden, dijital boşlukta yok olur.
Bu işlem sırasında “False Positive” (Yanlış Pozitif) riski her zaman vardır. Yani sistemin, saldırı sırasında siteye girmeye çalışan masum bir kullanıcıyı da yanlışlıkla saldırgan sanıp engelleme ihtimali. İşte teknolojinin en ince ayarı buradadır. Microsoft ve Cloudflare, bu riski minimize etmek için “Challenge” (Meydan Okuma) yöntemini kullanır. Şüpheli gördüğü bir trafiğe, hemen kapıyı kapatmak yerine bir test sunar. Bu test, bazen ekranda gördüğümüz “Ben robot değilim” kutucuğu (CAPTCHA) olabilir, bazen de tarayıcının arka planda çözmesi gereken matematiksel bir JavaScript bulmacasıdır. Zombi cihazlar, yani o basit kameralar ve modemler, genellikle bu JavaScript kodunu çalıştıracak zekaya veya tarayıcı yeteneğine sahip değildir. Gerçek bir kullanıcının tarayıcısı bu bulmacayı milisaniyeler içinde çözer ve “Ben gerçeğim” cevabını verirken, zombi cihaz bu testte takılır ve sessizliğe gömülür. Böylece sistem, kurunun yanında yaşın yanmasını engeller, çamuru süzerken temiz su damlasını kaybetmez.
Cloudflare’in “Magic Transit” adını verdiği ve Microsoft’un da benzerini kullandığı teknolojiler, bu koruma kalkanını bir adım öteye taşır. Bu sistemler, trafiği sadece filtrelemekle kalmaz, aynı zamanda öğrenirler. Saldırı devam ederken, yapay zeka saldırganın taktik değiştirdiğini fark edebilir. “Aha, şimdi UDP paketlerini bıraktılar, TCP SYN paketlerine geçtiler” veya “Paket boyutlarını değiştirdiler” gibi gözlemler yapar ve savunma kurallarını (WAF kuralları) anlık olarak, canlı canlı günceller. Bu, savaş sırasında düşmanın silahına göre zırh değiştirebilen bir asker gibidir. Aisuru saldırısı sırasında, botnetin sürekli olarak yöntem değiştirdiği, farklı portları denediği, ancak Azure’un savunma sisteminin her hamleye anında karşılık vererek kalkanı deldirmediği raporlanmıştır. Bu dinamik savunma, statik bir duvardan çok daha etkilidir; yaşayan, nefes alan ve adapte olan bir organizmadır.
Donanım seviyesinde ise, bu savunmayı mümkün kılan şey FPGA (Field-Programmable Gate Array) ve özel tasarlanmış ASIC (Application-Specific Integrated Circuit) çipleridir. Normal işlemciler (CPU), genel amaçlı oldukları için paketleri tek tek incelerken yavaş kalabilirler. Ancak bu özel çipler, sadece ve sadece ağ trafiğini analiz etmek için tasarlanmıştır. Donanıma gömülü mantıkla çalışırlar. Bir paketin iyi mi kötü mü olduğuna, yazılım katmanına çıkmadan, elektrik devresi seviyesinde karar verirler. Bu, bir kapı görevlisinin her gelene kimlik sorması (Yazılım) ile kapının metal dedektörlü olması (Donanım) arasındaki fark gibidir. Donanım tabanlı savunma, 15 terabitlik yükü, sistemin ana işlemcisini yormadan, daha kapı eşiğinde eritir. Microsoft’un Azure altyapısında kullandığı bu özel donanımlar, saldırı trafiğinin %99’unu daha işletim sistemine ulaşmadan yok etme kapasitesine sahiptir.
Savunmanın bir diğer boyutu da “Bant Genişliği Kapasitesi”dir. Bir saldırıyı emebilmek için, saldırıdan daha büyük bir boruya sahip olmanız gerekir. Eğer sizin borunuz 10 terabitlikse, 15 terabitlik saldırı geldiğinde ne kadar iyi filtreleme yaparsanız yapın, boru tıkanır. Microsoft ve Cloudflare, dünyanın en büyük “Backbone” (Omurga) ağlarına sahiptir. Toplam kapasiteleri 100-200 terabitleri bulabilir. Bu devasa kapasite, onlara manevra alanı sağlar. Saldırı geldiğinde, “Tamam, 15 terabit geliyor ama benim hala boşta 100 terabitlik yerim var” diyebilirler. Bu, devasa bir süngere sahip olmak gibidir; ne kadar su dökerseniz dökün, sünger onu emip, sızdırmadan tutabilir. Küçük şirketlerin veya yerel servis sağlayıcıların bu tür saldırılarda çökmesinin ana sebebi, filtreleme teknolojilerinin eksikliği değil, bu devasa “boru genişliğine” sahip olmamalarıdır. Aisuru gibi bir canavarla dans edebilmek için, en az onun kadar büyük bir cüsseye sahip olmanız gerekir.
Ayrıca, bu savunma sistemleri “Tehdit İstihbaratı” (Threat Intelligence) ağlarıyla beslenir. Microsoft, sadece kendi verilerine bakmaz. Dünyadaki diğer saldırıları, botnetlerin aktivitelerini sürekli izler. “Şu IP adresleri şu an Çin’de bir bankaya saldırıyor, bunları kara listeye alalım” diye önleyici bir koruma sağlar. Yani Aisuru’nun ordusundaki 500.000 cihazın IP adresi, daha saldırı Microsoft’a ulaşmadan önce, belki de dakikalar önce “tehlikeli” olarak işaretlenmiş olabilir. Bu proaktif yaklaşım, savunmanın reaktif (olay olunca tepki veren) değil, önleyici olmasını sağlar. Saldırganlar “Sürpriz!” diye saldırdıklarında, aslında Microsoft onları kapıda “Sizi bekliyorduk” diyerek karşılar.
Bir diğer ilginç savunma tekniği ise “Anycast Routing”dir. Bu teknikte, dünyanın her yerindeki Azure sunucuları aynı IP adresini paylaşır. Saldırganlar tek bir IP’ye saldırdıklarını sanırlar ama aslında o IP, binlerce farklı fiziksel sunucuyu temsil eder. Saldırı trafiği, coğrafi olarak en yakın sunucuya gider. Yani Vietnam’daki botların trafiği Vietnam’daki Microsoft sunucusuna, Brezilya’daki botlarınki Brezilya’daki sunucuya gider. Böylece saldırı, tek bir noktada yoğunlaşamaz, küresel ağ üzerinde seyrelir. Bu, düşmanın ordusunu tek bir cepheye yığmasını engelleyip, onları binlerce küçük cepheye dağıtarak güçlerini bölmek gibidir. Bölünen güç, yönetilebilir hale gelir.
Şunu da belirtmek gerekir ki, bu savunma sistemlerinin maliyeti astronomiktir. Bu “yıkama merkezlerini” kurmak, o özel çipleri tasarlamak, yapay zekayı eğitmek ve o devasa bant genişliğini hazır tutmak, milyarlarca dolarlık yatırım gerektirir. Microsoft Azure’un bu saldırıyı atlatması, sadece bir teknoloji başarısı değil, aynı zamanda finansal gücün bir göstergesidir. Bu durum, internetin geleceği hakkında da bir ipucu verir: Güvenlik, artık zenginlerin kalesidir. Küçük oyuncuların bu fırtınalarda hayatta kalması giderek zorlaşırken, devler daha da devleşerek, kendi güvenli internetlerini, kendi “Intranet”lerini oluşturmaktadırlar.
Sonuç olarak, 15.72 terabitlik saldırının “emilmesi”, dijital dünyanın gördüğü en karmaşık mühendislik harikalarından biridir. Bu süreçte, yapay zeka, özel donanımlar, küresel ağ mimarisi ve akıllı algoritmalar, mükemmel bir uyum içinde çalışmıştır. Çamurlu sel suyu, yıkama merkezlerinin o sıkı filtrelerinden geçmiş, içindeki her bir zombi paketi tek tek ayıklanmış, paketlenmiş ve dijital çöplüğe atılmıştır. Geriye kalan temiz, berrak veri akışı ise, hiçbir şey olmamış gibi Azure sunucularına ulaşmaya ve kullanıcılara hizmet vermeye devam etmiştir. Saldırı anında bir Azure kullanıcısının hissettiği tek şey, belki sayfanın yüklenmesinde yarım saniyelik bir gecikme olmuştur. Oysa o yarım saniyelik gecikmenin arkasında, titanların savaşı, milyonlarca doların yandığı bir enerji ve insan zekasının kaos karşısındaki zaferi yatmaktadır. Aisuru saldırdı, Microsoft kalkanını kaldırdı ve fırtına, o kalkanın yüzeyinde parçalanıp yok oldu. Ancak kalkanı tutan kol, her saldırıda biraz daha güçlenirken, saldırganlar da kalkanı delecek yeni silahlar aramaya devam edecektir. Bu, kılıç ve kalkanın sonsuz dansıdır.
Bölüm 8: Neden Yakalanamıyorlar? – Dijital Sis
Bir suç işlendiğinde, klasik polisiyenin altın kuralı “izi takip etmektir”. Katil olay yerinde bir parmak izi bırakır, hırsız bir saç teli düşürür veya kaçış arabasının lastik izleri polise yön gösterir. Ancak siber dünyanın, özellikle de Aisuru gibi devasa botnetlerin karanlık evreninde, “iz” kavramı, fiziksel dünyadaki karşılığını tamamen yitirir. Burada izler silinmez, izler çoğaltılır, çarpıtılır ve o kadar karmaşık bir düğüm haline getirilir ki, o düğümü çözmeye çalışmak, bir okyanusu çay kaşığıyla boşaltmaya benzer. 15 terabitlik bir saldırı gerçekleştiren, milyonlarca dolarlık zarara yol açma potansiyeline sahip bir suç örgütünün neden elini kolunu sallayarak dolaşabildiği sorusu, adalet duygumuzu zedelese de, cevabı internetin mimarisindeki “anonimlik” ve uluslararası hukukun çaresizliğinde gizlidir. Bu bölümde, saldırganların kendilerini nasıl görünmez kıldıklarını, polisin neden yanlış kapıları çaldığını ve “Dijital Sis” adını verdiğimiz o aşılmaz perdenin arkasında nelerin döndüğünü inceleyeceğiz.
Polisin veya siber suçlarla mücadele ekiplerinin bir saldırıyı araştırırken karşılaştıkları ilk ve en büyük engel, “Suçlu kim?” sorusunun cevabının teknik olarak “Herkes ve Hiç Kimse” olmasıdır. Microsoft Azure’a saldıran IP adreslerinin listesini çıkardığınızda, elinizde 500.000 adet adres olur. Bu adreslerin izini sürdüğünüzde, karşınıza çıkan manzara bir suç örgütü karargahı değil, sıradan insanların evleridir. İstanbul’da emekli bir öğretmenin evindeki modem, Tokyo’da bir öğrenci yurdunun koridorundaki kamera, Londra’da bir kafenin Wi-Fi noktası veya Brezilya’da bir hastanenin bekleme salonundaki televizyon… Polis bu kapıları çaldığında, karşısında şaşkın, teknolojiden bihaber ve suçsuz insanları bulur. “Sizin kameranız Microsoft’a saldırmış” dendiğinde, o insanlar muhtemelen Microsoft’un ne olduğunu bile tam bilmemektedirler. Bu, bir banka soygununda kullanılan silahın, haberi olmadan çantasından çalınan birine ait olması gibidir. Silah onundur ama tetiği çeken o değildir. Botnet yapısı, gerçek suçluyu (Hacker) ile suç aletini (Zombi Cihaz) birbirinden hem fiziksel hem de dijital olarak o kadar uzaklaştırır ki, arada bir bağ kurmak imkansızlaşır. Saldırıyı yapan cihaz suç mahalli değildir; o da bir kurbandır. Gerçek suçlu ise bu cihazın binlerce kilometre uzağında, güvenli bir sığınaktadır.
Saldırganların kendilerini gizlemek için kullandıkları yöntemler, “Soğan Kabuğu” (Onion Routing) veya “Zıplama Tahtası” (Jump Server) metaforlarıyla açıklanabilir. Bir hacker, komuta merkezine (C2) bağlanıp “Saldır” emrini verirken, asla kendi evindeki internet bağlantısını doğrudan kullanmaz. Önce VPN (Sanal Özel Ağ) kullanarak trafiğini şifreler ve örneğin Almanya’daki bir sunucuya bağlanır. Oradan Tor ağına girer ve trafiğini dünya genelindeki 3-4 farklı gönüllü bilgisayar üzerinden (Röle) geçirerek izini kaybettirir. Tor ağından çıktığında artık IP adresi Panama’da görünmektedir. Panama’daki bu çıkış noktasından, Rusya’da kiraladığı, sahte kimlikle alınmış bir “Sanal Sunucu”ya (VPS) bağlanır. Ve nihayet, saldırı emrini bu Rusya’daki sunucu üzerinden, botnetin ana komuta merkezine iletir. Polis izi geriye doğru sürmeye kalktığında; önce Rusya’ya, oradan Panama’ya, oradan Tor ağının karanlık dehlizlerine, oradan Almanya’ya gitmek zorundadır. Her bir durak, aşılması gereken yeni bir bürokratik ve teknik duvardır. Çoğu zaman, bu duraklardan birindeki “Log” (Kayıt) dosyaları silinmişse veya tutulmuyorsa, iz orada biter. Yolun sonu uçurumdur. Hacker, bu zincirleme bağlantıların (Proxy Chaining) arkasında, dijital sisin en yoğun olduğu yerde, görünmezliğin keyfini sürer.
İşin hukuki boyutu ise, teknik boyutundan bile daha karmaşıktır. İnternet sınır tanımaz ama kanunlar tanır. Aisuru saldırısını ele alalım: Hedef Microsoft Azure, yani bir Amerikan şirketi. Saldırıdan etkilenen sunucu Avustralya’da. Saldıran 500.000 cihazın %20’si Çin’de, %15’i Brezilya’da, %10’u Türkiye’de ve geri kalanı 100 farklı ülkede. Komuta sunucusu (C2), yasal denetimlerin zayıf olduğu, “Offshore” cenneti sayılan Seyşeller veya Moldova gibi bir ülkede barınıyor. Ve saldırıyı yöneten Hacker, diyelim ki Kuzey Kore’de veya Doğu Avrupa’da bir yerde oturuyor. Şimdi soru şu: Bu davaya kim bakacak? Amerikan FBI mı? Avustralya Federal Polisi mi? Türk Emniyeti mi? Yoksa Interpol mü?
Uluslararası hukukta “Yargı Yetkisi” (Jurisdiction) sorunu, siber suçluların en büyük kalkanıdır. FBI, elinde kanıt olsa bile, gidip Rusya’daki veya Çin’deki bir sunucuya el koyamaz. Bunun için o ülkenin makamlarına “Adli Yardımlaşma Talebi” (MLAT) göndermesi gerekir. Bu talep, diplomatik kanallardan geçer, tercüme edilir, savcılar tarafından incelenir ve mahkemeye sunulur. Bu süreç aylar, hatta yıllar alabilir. Oysa dijital dünyada deliller saniyeler içinde silinebilir. Hacker, polisin peşinde olduğunu hissettiği an, tek bir tuşla sunucusunu formatlar, hard diskleri şifreler veya fiziksel olarak yok eder. Polis aylar sonra o sunucuya ulaştığında, elinde boş bir metal kutudan başka bir şey kalmaz. Ayrıca, bazı ülkeler siber suçları, diğer ülkelere karşı işlenmişse suç saymama veya görmezden gelme eğilimindedirler. “Benim vatandaşıma zarar vermiyorsa, Amerikan şirketine saldırması beni ilgilendirmez” mantığı, jeopolitik gerilimlerin olduğu dünyada maalesef yaygındır. Hackerlar, bu “Güvenli Liman” (Safe Haven) ülkelerini çok iyi bilirler ve operasyonlarını buralardan yönetirler.
Ödemelerin takibi de bir başka çıkmaz sokaktır. Önceki bölümlerde motivasyonun para olabileceğinden bahsetmiştik. Eğer bir fidye istenirse veya bu botnet bir hizmet olarak kiralandıysa, ödemeler asla banka havalesiyle yapılmaz. Bitcoin, Monero veya Zcash gibi kripto paralar kullanılır. Özellikle Monero gibi gizlilik odaklı coinler, paranın kimden kime gittiğini blok zinciri üzerinde bile gizler. Para, “Mikser” (Mixer) adı verilen servislerde binlerce parçaya bölünür, başka paralarla karıştırılır ve tekrar birleştirilir. Bu, bir banknotu atomlarına ayırıp, sonra başka atomlarla karıştırıp yeniden birleştirmek gibidir. Paranın izini sürmek, teknik olarak mümkün olsa bile (Bitcoin için), pratikte o parayı çeken gerçek kişiye ulaşmak, onun sahte kimliklerle açtığı borsalardaki hesaplarını tespit etmek, yine uluslararası bürokrasiye takılır. Hacker parayı alır, ancak arkasında “dijital bir hayalet”ten başka bir şey bırakmaz.
Siber suçluların kullandığı “Anti-Forensic” (Adli Bilişim Karşıtı) teknikler de yakalanmayı zorlaştıran bir diğer faktördür. Profesyonel botnet operatörleri, sunucularında “Log” tutmazlar. Yani sisteme kimin ne zaman girdiğini kaydeden defterleri yoktur. İşletim sistemlerini, kapanıp açıldığında her şeyi unutacak şekilde (RAM Disk üzerinde çalışan sistemler) ayarlarlar. Polis sunucuya baskın yapıp elektriği kestiğinde, RAM’deki tüm veriler, yani tüm deliller uçar gider. Geriye incelenecek bir hard disk bile kalmaz. Ayrıca, kodlarını yazarken “Obfuscation” (Karartma) teknikleri kullanırlar. Kodları, insanlar tarafından okunamayacak kadar karmaşık hale getirirler. Bir güvenlik araştırmacısı Aisuru’nun kodunu ele geçirse bile, onun nasıl çalıştığını, komuta merkezinin neresi olduğunu anlaması haftalar sürebilir. Kodun içine yerleştirilen tuzaklar, araştırmacıyı yanlış yönlere, sahte sunuculara yönlendirebilir.
Botnetin “Merkeziyetsiz” yapısı da, kolluk kuvvetlerinin işini zorlaştırır. Eskiden tek bir ana sunucu olurdu, polis o sunucuyu kapatınca (Takedown), tüm botnet çökerdi. Ancak Aisuru gibi modern botnetlerde, “Domain Generation Algorithm” (DGA) adı verilen bir teknik kullanılır. Botlar, her gün rastgele üretilen binlerce farklı web sitesi adresini (Domain) kontrol ederler. Hacker, bu adreslerden sadece bir tanesini o gün satın alır ve emri oraya koyar. Polis, hangi adresin kullanılacağını bilemez. Bugün bir adresi kapatsalar, yarın botlar başka bir adrese giderler. Bu, bin başlı bir yılanla savaşmak gibidir; bir başını kesseniz, yerine iki tane çıkar. Hatta P2P (Peer-to-Peer) yapısına geçen botnetlerde, her zombi cihaz bir sunucu gibi davranır. Ağı çökertmek için 500.000 cihazın hepsini temizlemek gerekir ki, bu da küresel bir koordinasyon olmadan imkansızdır.
Sosyal mühendislik ve “İçeriden Yardım” riski de göz ardı edilmemelidir. Bazen hackerlar, hosting firmalarında veya veri merkezlerinde çalışan kişilere rüşvet vererek, sunucularının yerini gizlerler veya polis baskınından önce haber alırlar. Bu “köstebekler”, dijital izin fiziksel dünyadaki karşılığını silen insan faktörüdür. Dijital sisin içinde, kime güvenileceği belirsizdir. Ayrıca, hackerlar genellikle sahte kimlikler, çalıntı kredi kartları ve “Drop” hesaplar (başkalarının adına açılmış banka hesapları) kullanarak, gerçek kimliklerini finansal sistemden de izole ederler. Bir sunucu kiralandığında ödemeyi yapan kişi “John Doe”dur ama kart Brezilya’dan çalınmıştır, kullanan kişi Rusya’dadır. Bu karmaşa, dedektiflerin en sonunda pes etmesine neden olur.
Benim görüşüme göre, yakalanamamanın en temel sebebi, teknolojinin hızının hukukun hızından katbekat fazla olmasıdır. İnternet ışık hızında çalışırken, adalet sistemi 19. yüzyıldan kalma kağıt kürek işleriyle, sınırlarla ve bürokrasiyle boğuşmaktadır. Hackerlar sınırları kaldırmıştır ama polisler hala sınırlar içinde hapsolmuştur. Bu asimetri, suçlunun her zaman bir adım önde olmasını sağlar. Bir hackerın yakalanması genellikle teknik bir hata yapmasına değil, insanı bir hata yapmasına (egosuna yenilip sosyal medyada övünmesi, arkadaşına bahsetmesi veya güvenlik önlemlerini bir anlık ihmal etmesi) bağlıdır. Teknik olarak mükemmel bir suç işleyen hackerı, mevcut sistemle yakalamak neredeyse imkansızdır.
Sonuç olarak, “Neden yakalanamıyorlar?” sorusunun cevabı, internetin “Anonimlik” üzerine kurulu tasarım felsefesi, uluslararası hukukun yetersizliği ve suçluların kullandığı ileri düzey gizlenme tekniklerinin birleşimidir. Dijital sis, o kadar yoğundur ki, 15 terabitlik bir saldırıyı yapan kişi, belki de şu an yan masanızda kahvesini yudumlayan, sıradan görünümlü bir genç olabilir. O genç, yarattığı kaosun sonuçlarını izlerken, onu koruyan şey sadece teknik becerisi değil, aynı zamanda dünyanın bölünmüşlüğü ve bürokrasinin hantallığıdır. Polis yanlış kapıları çalmaya, masum teyzeleri sorgulamaya devam ederken, gerçek suçlu, dijital sisin ardında, bir sonraki hedefini seçmekle meşguldür. Bu kovalamaca, kurallar değişmediği sürece, hep kedinin fareyi kovaladığı ama asla yakalayamadığı bir çizgi film sahnesi gibi devam edecektir.
Bölüm 9: Üretim Hatası – Ucuz Teknolojinin Bedeli
Bir suç işlendiğinde, toplumun ve adaletin ilk refleksi her zaman tetiği çeken kişiyi, yani faili bulup cezalandırmaktır. Aisuru saldırısında fail, şüphesiz o görünmez hackerlardır. Ancak olayın derinlerine inip, bu suçun işlenmesini mümkün kılan ekosistemi incelediğimizde, asıl sorumlunun sadece o karanlık odadaki kişiler olmadığını, aksine sorunun küresel ticaretin, kapitalizmin ve “hızlı tüketim” kültürünün tam kalbinde yattığını görürüz. Bu bölümün tezi oldukça keskin ve rahatsız edicidir: Microsoft Azure’a yapılan o 15 terabitlik saldırının asıl mimarı, ne Kuzey Koreli bir hacker ne de Rusyalı bir suç örgütüdür. Asıl mimar, maliyeti düşürmek uğruna güvenliği feda eden, 10 dolara kamera satıp “gerisine karışmam” diyen vizyonsuz teknoloji üreticileri ve bu ucuzluğa talep gösteren bilinçsiz tüketim alışkanlıklarıdır. Bu bölüm, “dijital çöp” kavramını, ucuz teknolojinin bize neye mal olduğunu ve neden bu kısır döngüden çıkamadığımızı, sistemin kendisine tutulan bir ayna misali gözler önüne serecektir.
Market raflarında veya online alışveriş sitelerinde gördüğümüz o pırıl pırıl, şık kutulu, üzerinde “Smart”, “Wi-Fi”, “HD” yazan ve şaşırtıcı derecede ucuz olan cihazları düşünün. Bir IP kamera nasıl olur da bir hamburger menüsü fiyatına, 15-20 dolara satılabilir? İçinde lens var, devre kartı var, Wi-Fi modülü var, adaptörü var, kutusu var, nakliyesi var… Bu maliyetin bu kadar düşük olabilmesinin tek bir yolu vardır: “Görünmeyen” her şeyden kısmak. Bir cihazda görünen şey plastiktir, lenstir. Görünmeyen şey ise “Yazılım Güvenliği” ve “Ar-Ge” yatırımıdır. Shenzhen’deki merdiven altı bir fabrikada veya devasa bir üretim bandında, bu cihazlar tasarlanırken mühendislerin önündeki tek kriter “Maliyet”tir. Eğer cihaza güvenli bir şifreleme çipi koymak maliyeti 50 cent artıracaksa, o çip konmaz. Eğer cihazın yazılımını güvenli hale getirmek için 3 yazılımcının 1 ay çalışması gerekiyorsa, o çalışma yapılmaz. Bunun yerine, internetten bulunan hazır, eski ve delik deşik kodlar kopyalanıp yapıştırılır. Sonuçta cihaz çalışıyor mu? Evet. Görüntü veriyor mu? Evet. O zaman “Satışa Hazır” damgası vurulur ve konteynerlere yüklenip dünyaya dağıtılır.
Bu üretim felsefesi, “Donanım Odaklı” bir bakış açısının ürünüdür. Üretici, sattığı şeyin fiziksel bir obje olduğunu düşünür. Oysa Nesnelerin İnterneti (IoT) çağında satılan şey sadece plastik ve metal değildir; satılan şey, internete bağlı, yaşayan bir bilgisayardır. Ve her bilgisayar gibi, korunmaya, güncellenmeye ve bakıma muhtaçtır. Ancak bu ucuz cihazların “Kullanım Ömrü” ile “Destek Ömrü” arasında korkunç bir uçurum vardır. Bir güvenlik kamerasını en az 5-10 yıl kullanırsınız. Ama o kamerayı üreten firma, cihaz satıldıktan sonraki gün desteğini keser. Çünkü o fiyata satılan bir ürüne 5 yıl boyunca yazılım güncellemesi (yama) vermek, sunucu masrafı yapmak, güvenlik ekibi çalıştırmak ticari olarak imkansızdır. Firma, “Sattım ve bitti” der. İşte o an, o cihaz bir “Yetim”e dönüşür. Sahibinin haberi bile olmadan, internetin vahşi ormanında yapayalnız, savunmasız ve çıplak kalır. Aisuru gibi avcılar için bu yetimler, en kolay avlardır.
Bu cihazların yazılımlarına, yani “Firmware”lerine baktığımızda, durumun vahameti daha net anlaşılır. Çoğu cihaz, 10-15 yıl öncesinin teknolojisi olan, açıkları çoktan keşfedilmiş Linux çekirdeklerini kullanır. “Telnet” gibi, modern dünyada artık kullanılmaması gereken, şifresiz ve güvensiz iletişim protokolleri, “kolaylık olsun” diye açık bırakılır. Üretici, teknik servis uğraşmasın, kurulum kolay olsun diye, tüm cihazlara aynı “kök şifreyi” (Root Password) gömer ve bunu değiştirilemez hale getirir. Yani siz arayüzden şifrenizi değiştirseniz bile, arka kapıda üreticinin koyduğu ve tüm hackerların bildiği o gizli şifre hep durur. Bu, evinizin kapısına çelik kilit taktırmanız ama arka bahçe kapısını menteşesinden söküp atmanız gibidir. Hackerlar bu arka kapıları (Backdoor) ezbere bilirler. Hatta bazı durumlarda, bu arka kapıların bizzat üretici tarafından, “belki ileride lazım olur” veya “devlet isterse izlesin” gibi sebeplerle kasıtlı bırakıldığına dair ciddi şüpheler ve kanıtlar vardır. Bu, üretim hatası değil, tasarımsal bir ihanettir.
“White Label” (Beyaz Etiket) üretim modeli, sorunu küreselleştiren bir diğer faktördür. Çin’deki tek bir fabrika, günde 10.000 tane kamera üretir. Bu kameraların hepsi donanım ve yazılım olarak birebir aynıdır. Ancak üzerlerine 50 farklı markanın logosu basılır. X markası, Y markası, Z markası… Tüketici, “Farklı markalar var, araştırayım” derken aslında hepsi aynı hastalıklı genetiğe sahip cihazlar arasında seçim yapar. Aisuru bir tane açık bulduğunda, sadece X markasını değil, o fabrikadan çıkan ve 50 farklı isimle satılan milyonlarca cihazı aynı anda hackleyebilir. Bu homojen yapı, biyolojik virüslerin tek tip genetiğe sahip tarım ürünlerini yok etmesi gibi, dijital virüslerin de tüm IoT ekosistemini bir anda ele geçirmesine olanak tanır. Çeşitlilik yoktur, bağışıklık yoktur.
Tüketici tarafındaki “Bilinçsizlik” ve “Ekonomik Zorunluluk” da bu denklemin önemli bir parçasıdır. Ortalama bir kullanıcı için modem, kamera veya akıllı priz, “tak ve unut” cihazıdır. Kimse aldığı tost makinesinin “Siber Güvenlik Sertifikası” olup olmadığına bakmaz. Baksa bile anlayamaz. Tüketici haklı olarak “Madem bu cihaz teknoloji marketinde satılıyor, demek ki güvenlidir” varsayımıyla hareket eder. Ayrıca, güvenli olduğu bilinen, yazılım desteği veren batılı büyük markaların ürünleri 200 dolar iken, isimsiz muadili 20 dolar olunca, ekonomik rasyonalite devreye girer. “Alt tarafı bebeğe bakacağım, ne gerek var o kadar paraya?” denir. İşte o 180 dolarlık fark, aslında “Siber Güvenlik Vergisi”dir. O farkı ödemediğinizde, bedelini kişisel verilerinizin güvenliğiyle veya cihazınızın küresel bir siber silahın parçası olmasıyla ödersiniz. Aisuru saldırısı, aslında dünyanın dört bir yanındaki tüketicilerin ödemediği o 180 dolarların birikip, Microsoft’a 15 terabitlik bir fatura olarak geri dönmesidir.
Bu sorunun çözümsüzlüğü ve yarattığı çaresizlik hissi, “Dijital Çöp” (E-Waste) kavramıyla daha da derinleşir. Diyelim ki bir güvenlik araştırmacısı, popüler bir ucuz kamerada kritik bir açık buldu. Bunu dünyaya duyurdu. Ne olacak? Hiçbir şey. Çünkü o kamerayı üreten firma çoktan kapanmış veya isim değiştirmiştir. Muhatap yoktur. Yazılım güncellemesi yayınlayacak bir sunucu yoktur. Cihazın kendisinde “Otomatik Güncelleme” özelliği bile yoktur. Kullanıcının o açığı kapatmak için yapabileceği tek şey, cihazı çöpe atıp yenisini almaktır. Ama yenisini alsa ne olacak? O da aynı mantıkla üretilmiş başka bir güvensiz cihaz olacak. Milyonlarca, milyarlarca cihaz şu an evlerde, ofislerde çalışır vaziyette ve “yamalanması imkansız” (unpatchable) durumda bekliyor. Bu cihazları uzaktan güvenli hale getirmenin teknik bir yolu yok. Tek çare, hepsinin fişini çekmek. Ama bu da modern hayatın işleyişine aykırı. İnternetsiz bir hayat düşünülemez. İşte bu kilitlenme, bu çıkmaz sokak, Aisuru’nun ordusunun asla yok olmayacağının garantisidir. Bir zombiyi temizleseniz, diğeri dirilir. Bu ordu, donanım çöplüğünün üzerinde yükselen ölümsüz bir lejyon gibidir.
Regülasyonların (Yasal Düzenlemelerin) eksikliği de üreticileri cesaretlendirir. Bir oyuncak üreticisi, zehirli boya kullanırsa hapse girer. Bir araba üreticisi, freni tutmayan araba satarsa batar. Ancak bir teknoloji üreticisi, kapısı kilitlenmeyen, tüm evi riske atan bir kamera sattığında, başına hiçbir şey gelmez. “Yazılım hatasıdır, olur böyle şeyler” denir ve geçilir. Standartlar yoktur veya zorunlu değildir. “CE” belgesi gibi işaretler, genellikle elektrik güvenliğiyle (cihazın yanmamasıyla) ilgilidir, siber güvenliğiyle değil. Devletler, siber güvenliği bir “Tüketici Hakkı” ve “Ürün Güvenliği Standardı” olarak zorunlu kılmadığı sürece, üreticiler o 50 centlik güvenlik çipini asla koymayacaklardır. Çünkü kapitalizmin kuralı budur: Zorunlu olmayan maliyetten kaçın.
Benim şahsi kanaatim, bu durumun “Teknolojik Çevre Kirliliği” olarak ele alınması gerektiğidir. Nasıl ki bir fabrika bacasından zehirli duman saldığında çevreyi kirletiyorsa, bu üreticiler de interneti “güvensiz cihaz” salarak kirletmektedirler. Bu kirlilik, sadece Microsoft’u değil, internetin genel sağlığını tehdit etmektedir. Bu cihazlar, internetin bant genişliğini sömüren parazitlerdir. Ve maalesef, bu kirliliği temizleyecek bir “belediye” veya “çöpçü” yoktur. Aisuru botneti, bu kirliliğin bir sonucudur; bataklık olduğu sürece sivrisinekler hep olacaktır. Biz sivrisinekleri (hackerları) tek tek avlamaya çalışıyoruz ama kimse bataklığı (güvensiz cihaz üretimini) kurutmaya yanaşmıyor çünkü bataklık “karlı”.
Bu “Üretim Hatası”nın bir başka boyutu da, cihazların kaynaklarının kısıtlı olmasıdır. Güvenlik, işlemci gücü ister. Şifreli iletişim (HTTPS/SSL), işlemciyi yorar. 10 dolarlık kameranın işlemcisi o kadar zayıftır ki, şifreleme yapmaya kalksa görüntü donar. Üretici tercihini yapar: “Görüntü akıcı olsun, güvenlik olmasa da olur.” Kullanıcı da aynı tercihi yapar: “Kamera hızlı çalışsın.” Yani donanımın fiziksel sınırları, güvenliği lüks bir tüketim haline getirir. Bu cihazlar, doğuştan sakat doğarlar; güvenli olmak isteseler bile, fiziksel kapasiteleri buna yetmez. Onlar, modern internetin tehlikeli otoyollarında, kaportası, hava yastığı ve emniyet kemeri olmayan, kağıttan yapılmış arabalarla seyahat etmeye çalışan canlılardır. İlk kazada (saldırıda) parçalanmaları ve bir silaha dönüşmeleri kaçınılmazdır.
Sonuç olarak, 15 terabitlik saldırının faturası, aslında o Shenzhen’deki fabrikada, maliyet hesabını yapan müdürün “Bu güvenlik modülüne gerek yok” dediği anda kesilmiştir. Hackerlar sadece bu ihmali, bu sistemik açığı fırsata çeviren oportünistlerdir. Eğer dünyadaki tüm IoT cihazları, askeri standartlarda olmasa bile, asgari düzeyde bir güvenlik standardıyla üretilseydi; varsayılan şifreler zorunlu olarak kurulumda değiştirilseydi, otomatik güncelleme zorunlu olsaydı ve gereksiz portlar kapalı gelseydi, Aisuru bugün 500.000 kişilik bir orduya değil, belki 500 kişilik küçük bir çeteye sahip olabilirdi. Ve 500 kişilik bir çete, Microsoft Azure’u gıdıklayamazdı bile. Ancak biz, ucuzluğun konforuna teslim olduğumuz sürece, evlerimizi kendi ellerimizle doldurduğumuz bu “dijital çöpler”, bir gün birleşip internetin fişini çektiklerinde şaşırmaya hakkımız olmayacak. Çünkü o fişi, o prizi ve o cihazı oraya biz koyduk. Suçlu ne kadar uzakta görünürse görünsün, aynaya baktığımızda gördüğümüz “bilinçsiz tüketici” ve “kar odaklı üretici” işbirliği, bu felaketin asıl sponsorudur.
Bölüm 10: Gelecek – Yapay Zeka ve 5G Tehlikesi
Bugüne kadar anlattığımız dokuz bölüm boyunca, Microsoft Azure’a yapılan o tarihi saldırıyı, onu mümkün kılan teknolojik zaafları, insan psikolojisini ve küresel ticaretin karanlık yüzünü masaya yatırdık. Aisuru botneti ve onun yarattığı 15.72 terabitlik yıkım, bugün için nefes kesici bir rekor, korkutucu bir zirve noktası gibi görünebilir. Ancak teknoloji tarihinin değişmez yasası bize şunu söyler: Bugünün rekoru, yarının standardıdır. Bugünün kıyameti, yarının sıradan bir hava durumudur. Geleceğin ufkuna, yani önümüzdeki 5-10 yıllık sürece dürbünle baktığımızda, gördüğümüz manzara Aisuru’yu adeta sevimli bir oyuncak gibi gösterecek kadar karanlık ve kaotiktir. Çünkü şu anda dijital dünyanın kapısında bekleyen ve içeri girmek üzere olan iki devrimsel güç, oyunun kurallarını kökten değiştirmeye hazırlanıyor: 5G teknolojisinin sağladığı hiper hız ve Yapay Zeka’nın getirdiği otonom zeka. Bu iki güç birleştiğinde, siber savaşlar artık insanlar arasında değil, makineler arasında, bizim algı hızımızın çok ötesinde gerçekleşecek bir “Türlerin Savaşı”na dönüşecektir. Bu final bölümünde, bizi bekleyen bu yeni dünyayı, hızın ve zekanın nasıl ölümcül bir kokteyle dönüştüğünü ve bu savaşın neden asla bitmeyeceğini inceleyeceğiz.
Öncelikle, iletişim altyapımızda yaşanan ve “devrim” olarak nitelendirilen 5G (ve yakında 6G) teknolojisinin, siber saldırılar için ne anlama geldiğini, pazarlama broşürlerinin ötesine geçerek analiz etmemiz gerekir. Bize anlatılan hikaye harikadır: Filmler saniyede inecek, ameliyatlar uzaktan yapılacak, sürücüsüz arabalar birbirleriyle konuşacak. Ancak madalyonun diğer yüzünde, 5G demek, internete bağlı her bir cihazın “ateş gücünün” katbekat artması demektir. Önceki bölümlerde, evdeki bir IP kamerasının saniyede bir bardak su (veri) fırlattığını ve 500.000 kameranın birleşip bir nehir oluşturduğunu anlatmıştık. 5G teknolojisi, o kameranın elindeki bardağı alıp, yerine basınçlı bir itfaiye hortumu vermektedir. Bant genişliğinin gigabit seviyelerine çıkması ve gecikme sürelerinin (latency) milisaniyelere düşmesi, tek bir zombi cihazın saldırı kapasitesini 10, hatta 100 katına çıkaracaktır.
Bu durumu bir matematiksel projeksiyonla somutlaştıralım: Aisuru saldırısında 500.000 cihazla 15 terabitlik bir güç elde edilmişti. Cihaz başına ortalama 30 megabitlik bir katkı düşüyordu. 5G altyapısının yaygınlaşmasıyla, sıradan bir akıllı cihazın internet çıkış hızı 1 gigabite (1000 megabit) ulaşacak. Bu durumda, aynı 500.000 cihazlık ordu, teorik olarak 500 terabitlik bir saldırı gücüne kavuşacaktır. 15 terabitte zorlanan, titreyen internet omurgasının, 500 terabitlik bir yük altında ne hale geleceğini hayal etmek bile zordur. Bu, artık bir servis kesintisi (DDoS) saldırısı olmaktan çıkar; bu, fiziksel altyapıyı yakan, fiber kabloları eriten, uyduları devre dışı bırakan bir “dijital nükleer patlama” olur. 5G’nin getirdiği bir diğer tehlike ise “bağlantı yoğunluğu”dur. 4G baz istasyonları belirli bir alanda sınırlı sayıda cihaza hizmet verebilirken, 5G kilometrekare başına 1 milyon cihazı destekleyebilir. Bu da, botnetlerin asker toplama havuzunun, yani saldırı yüzeyinin geometrik olarak büyümesi, her metrekarede potansiyel bir saldırı ordusunun hazır beklemesi demektir.
Ancak asıl kabus, hızın artması değil, bu kaba kuvvetin “akıl” ile birleşmesidir. Bugüne kadar gördüğümüz Mirai, Aisuru gibi botnetler “aptal” yazılımlardı. Önceden yazılmış senaryoları uygularlardı. “Şuraya saldır” denirdi, saldırırlardı. Karşı taraf savunma yaparsa, taktik değiştirmek için insan operatörün (hackerın) yeni bir emir girmesi gerekirdi. Geleceğin saldırılarında ise dümende insanlar olmayacak; Yapay Zeka (AI) olacak. “Offensive AI” (Saldırgan Yapay Zeka) kavramı, savunma uzmanlarının uykularını kaçıran en büyük tehdittir. Bir yapay zeka modelinin yönettiği botneti düşünün. Bu zeka, hedef sistemi (örneğin Microsoft Azure’u) saldırı anında canlı olarak analiz eder. Savunma sisteminin hangi paketleri engellediğini, hangi portları kapattığını milisaniyeler içinde öğrenir.
Senaryo şöyle işler: Yapay zeka destekli botnet saldırıya başlar. Azure’un güvenlik kalkanı devreye girer ve UDP paketlerini engellemeye başlar. İnsan yönetseydi, bunu fark edip taktik değiştirmesi dakikalar alırdı. Ancak yapay zeka, ilk paketin reddedildiği o mikrosaniyede durumu kavrar. “UDP işe yaramıyor, hemen TCP SYN Flood’a geçiyorum” der. Savunma ona adapte olunca, “HTTP Get Flood’a geçiyorum ama paketlerin içine gerçek kullanıcıyı taklit eden sahte çerezler (cookies) ekliyorum” der. Bu, satranç oynamaya benzer ama rakibiniz bir insan değil, saniyede milyonlarca hamle hesaplayan bir süper bilgisayardır. Savunma sistemi bir duvar ördükçe, saldırgan yapay zeka o duvarın tuğlalarındaki mikro çatlakları bulup oradan sızar. Aisuru’nun “Sevmek” anlamına gelen ismi, gelecekteki bu yapay zeka botnetlerinin yanında çok masum kalacaktır; çünkü yeni nesil botnetler duygusuz, yorulmayan ve sürekli öğrenen “dijital yırtıcılar” olacaktır.
Dahası, yapay zeka sadece saldırı anında değil, “asker toplama” aşamasında da devrim yaratacaktır. Şu an hackerlar, cihazlardaki açıkları bulmak için manuel taramalar yapar veya bilinen açıkları kullanır. Geleceğin yapay zekası, interneti tararken daha önce hiç keşfedilmemiş, “Zero-Day” (Sıfırıncı Gün) açıklarını kendi kendine bulup, kendi kendine “Exploit” (saldırı kodu) yazabilecektir. Bir sabah uyandığınızda, dünyadaki tüm akıllı buzdolaplarının, daha üretici firmanın bile haberi olmadığı bir açık yüzünden ele geçirilmiş olduğunu görebiliriz. Yapay zeka, cihazların yazılımını analiz edip, insan gözünün kaçırdığı hataları bulacak ve o cihazları ordusuna katacaktır. Hatta “Deepfake” teknolojisi ile birleşerek, sesli komutla çalışan cihazları (Alexa, Siri gibi) sahibinin sesini taklit ederek ele geçirebilir. “Kapıyı aç” veya “Güvenlik duvarını kapat” komutunu, ev sahibinin sesiyle cihaza fısıldayan bir virüs, bilim kurgu değil, yakın geleceğin ihtimalidir.
Bu durum, savunma tarafında da bir zorunluluğu doğurur: Yapay zekaya karşı ancak yapay zeka ile savaşabilirsiniz. İnsan reaksiyon süresi, bu savaş için artık çok yavaştır. Geleceğin siber güvenlik operasyon merkezlerinde insanlar sadece monitörleri izleyen gözetmenler olacak, asıl savaş algoritmalar arasında dönecektir. “Savunmacı Yapay Zeka” (Defensive AI) ile “Saldırgan Yapay Zeka”nın bu sonsuz düellosu, internetin arka planında sürekli devam eden bir gürültüye dönüşecek. Ancak burada korkutucu bir “Asimetri” yine karşımıza çıkıyor. Savunma yapmak her zaman daha pahalıdır. Saldırgan yapay zeka modelleri, internete sızan açık kaynak kodlarla, ucuz donanımlarla eğitilebilirken; savunma sistemleri milyonlarca dolarlık yatırım gerektirir. Hackerlar, yapay zekayı “hizmet olarak” (AI-as-a-Service) kiralayarak, teknik bilgisi olmayan kişilere bile süper silahlar satabileceklerdir.
Geleceğin bir diğer tehlikeli boyutu ise “Swarm Intelligence” (Sürü Zekası) kavramıdır. Doğadaki arı veya kuş sürülerinin hareketlerini taklit eden bu teknoloji, botnetlere uygulandığında ortaya durdurulamaz bir yapı çıkar. Şu anki botnetlerde (Aisuru dahil) bir merkez (C2) vardır. Gelecekteki botnetlerde merkez olmayacak. Her bir bot, yanındaki botla konuşacak. “Ben engellendim, sen sağdan git”, “Benim bant genişliğim bitti, sen devral” gibi kararları kendi aralarında, otonom olarak alacaklar. Bu, başı kesilince ölen bir yılan değil, her hücresi ayrı bir beyin olan amorf bir sıvı gibidir. Neresine vurursanız vurun, şekil değiştirip akmaya devam eder. Bu tür bir yapıyı durdurmak için, internetin fişini tamamen çekmekten başka çare kalmayabilir.
Ayrıca, “Kuantum Bilgisayarların” ufukta görünmesi, bu denklemin en büyük bilinmeyenidir. Bugün kullandığımız tüm şifreleme yöntemleri, tüm dijital kilitler, klasik bilgisayarların çözemeyeceği matematiksel zorluklara dayanır. Ancak bir gün, güçlü bir kuantum bilgisayar, bugün “kırılamaz” dediğimiz şifreleri saniyeler içinde kırabilir hale geldiğinde, siber güvenlikte “Kıyamet Günü” (Q-Day) yaşanacaktır. Botnetler, ele geçiremedikleri cihazların şifrelerini kaba kuvvetle değil, kuantum zekasıyla açacaklardır. Bu senaryo gerçekleştiğinde, bildiğimiz anlamda güvenli internet ve bankacılık sistemi tarihe karışabilir.
Benim bu konudaki şahsi öngörüm ve on bölümlük bu serinin nihai sonucu şudur: Bu savaş asla bitmeyecek. Siber güvenlik, bir varış noktası değil, bir yolculuktur. “Tamam, artık güvendeyiz” diyebileceğimiz bir gün asla gelmeyecek. İnsanlık, ateşi bulduğu günden beri hem ısınmak hem de yakmak için kullanmıştır. İnternet, yapay zeka ve 5G de bizim yeni ateşimizdir. Hem medeniyetimizi ısıtacak, bilgiye erişimi hızlandıracak hem de kötü niyetli ellerde şehirlerimizi yakacak potansiyele sahiptir. Aisuru ve benzeri saldırılar, bu yeni çağın sadece ayak sesleridir, fragmanıdır. Bizler, yani kullanıcılar, üreticiler ve devletler, bu teknolojik silahlanma yarışında sadece seyirci değiliz, aynı zamanda potansiyel kurbanlarız.
Ancak bu karamsar tablo, çaresiz olduğumuz anlamına gelmez. Gelecek, “Dirençli” (Resilient) sistemlerin olacaktır. Saldırıyı engelleyemese bile, saldırı altında çalışmaya devam edebilen, kendini iyileştirebilen ağlar, biyolojik bağışıklık sistemini taklit eden dijital yapılar geliştirmek zorundayız. Ve en önemlisi, teknolojiyi sadece “hız” ve “kolaylık” olarak görmekten vazgeçip, “güvenlik” ve “etik” kavramlarını mühendisliğin temeline yerleştirmeliyiz.
Sonuç olarak, 15 terabitlik bir saldırı bugün manşetlerde yer alıyor, Microsoft mühendisleri bunu atlattıkları için kutlama yapıyor olabilirler. Ancak dijital dünyanın derinliklerinde, bir yerlerde, bir yapay zeka modeli şimdiden bu saldırının neden başarısız olduğunu analiz ediyor, hatalarından ders çıkarıyor ve bir sonraki saldırıyı, 15 terabit değil, 150 terabit olarak, insan zekasının öngöremeyeceği bir stratejiyle planlıyor. Kılıçlar bileniyor, kalkanlar kalınlaşıyor. Dijital sisin ardındaki savaş, asıl şimdi başlıyor. Ve bu hikaye, ekranlarınızın ışığı yandığı sürece devam edecek.