Siber güvenlik, internetin hayatımızın en içine girmesiyle herkesi ilgilendiren bir konu haline geldi. Gerçek kişiler, tüzel kişiler, devletler, uluslar arası örgütler… Herkes siber dünyada kendini güvende hissetmeye çalışıyor.
Peki ya siz, e-ticaret yapan ya da e-ticarete ilgi duyan insanlar? Kendinizi ne kadar güvende hissediyorsunuz? Bu sorunun tedirgin edici cevaplarını duyar gibiyim. Bu nedenle, e-ticaret şirketleri için siber güvenlik tehditlerinden biri olan DDOS saldırılarını ve bu saldırıların hukuki boyutlarını anlatıp, bireylerin ve e-ticaret şirketlerinin alabileceği önlemlerden bahsedeceğim.
Teknik Olarak DDOS Saldırıları
DDOS’un açılımı “Distributed Denial Of Service”dir. Bu saldırı internet üzerinden çok sayıda bilgisayar kullanılarak gerçekleşir. Bu bilgisayarlar istemci bilgisayar; yani bilgiye erişim yetkileri sunucu tarafından belirlenmiş, müşteri bilgisayardır ve bir web sayfasını ziyaret etmesiyle bilgisayar istemci bilgisayar haline gelir. DDOS saldırısında birçok istemci bilgisayar bir web sayfasını aynı anda ziyaret ederek, sunucu bilgisayarın kapasitesini aşmasını sağlar ve web sayfasına ulaşılamaz hale getirir.
Eminim bu yazıyı okuyanların geneli, üniversite sınavlarının sonuçlarını öğrenmek için dakikalar, belki saatlerce bilgisayar başında ÖSYM sitesine yoğunluktan girebilmek için beklemiştir. Bu örnekle DDOS saldırısının ne olduğu kolayca anlaşılabilir. Sınav sabahı ÖSYM sitesine girmek isteyen milyonlarca kişi ÖSYM’nin sunucularının kapasitesini aşmasına sebep olarak, sınav sonuç sayfalarını ulaşılamaz hale getirir. DDOS saldırılarında da amaç bunu gerçekleştirmektir.
DDOS saldırılarını gerçekleştiren istemci bilgisayarların hepsi gerçekten hedef sunucuyu çökertme niyetine sahip olmayabilir ki genelde bu durum söz konusudur. Kötü amaçlı yazılımlarla virüs bulaştırılan bilgisayarlar zombi bilgisayar haline getirilebilir. Belki de şu anda bilgisayarlarınız kötü niyetli kişilerin oyuncağı olmuştur bile! Bu bilgisayarları zombi haline getirmek için, phishing (yemleme) epostalar, güncellenmemiş yazılımlar, sosyal medya siteleri, donanım araçları ve daha birçok yaratıcı yöntem kullanılmakta. Bu yöntemler kullanılarak dev botnetler, tabiri caizse zombi bilgisayar orduları kurulmaktadır. Bu bilgisayarlar artık gerçek sahiplerinin yanı sıra, kötü niyetli kişilerin de emrine girmiştir. Bu kişiler bu bilgisayarlara komut vererek, gerçek sahibinin haberi dahi olmadan aynı web sitesine aynı anda ziyareti sağlar. Geçmişte yaşanan örneklere WordPress sitelerine tahmini 90.000 IP ile yapılan saldırıyı[1] ya da Dmitry Olegovich Zubakha ve Sergey Viktorovich Logashov isimli hackerların 2008 yılında Amazon, eBay ve Priceline gibi sitelere yapılan DDOS saldırılarıyla 28.000 kredi kartı bilgisini ele geçirmelerini örnek verebiliriz.[2]
DDOS saldırıları faillerinin yakalanmasının güç olması ve büyük ölçüde önlenemez olmaları sebebiyle kötü niyetli kişilerce oldukça kullanılan bir saldırı tipi haline gelmiştir. Dev botnetler oluşturarak bunlarla saldırı yapan ve gerçek ya da tüzel kişiler için para karşılığı DDOS saldırıları düzenleyen kişiler mevcuttur. Özellikle eticaret sitelerinin sattıkları ürünler için büyük kampanyalar hazırladıkları, işbirlikleri kurguladıkları, cirolarının yıl içinde en yüksek olma ihtimalini öngördükleri yılbaşı, sevgililer günü, anneler günü vb. özel günlerde rakipleri tarafından bu saldırıya maruz kaldıkları ve hukuki anlamda bir suçun mağduru oldukları görülmektedir. Ben de yazımın devamı bu senaryo üzerine şekillendireceğim.
Yazının devamını buradan okuyabilirsiniz.
Kaynakça:
[1] WordPress Under Attack: How To Avoid The Coming Botnet
[2] 2008 yılının internet teröristleri Kıbrıs’ta yakalandı
Bu yazım EticaretMag.com ‘da yayınlanmıştır.