Venezuela elektrik kesintisi sırasında görülen BGP anormalliği

 (loworbitsecurity.com)
2 puan yazan GN⁺ 2026-01-06 | 1 yorum | WhatsApp'ta paylaş
  • Venezuela’daki elektrik kesintisiyle aynı anda, CANTV(AS8048) etrafında bir BGP yönlendirme anormalliği gözlemlendi
  • Cloudflare Radar verilerine göre 2 Ocak’ta, CANTV yolunu içeren 8 IP prefix’i anormal AS yolları üzerinden yönlendirildi
  • Bu yol içinde Sparkle (İtalya) ve GlobeNet (Kolombiya) yer alıyordu; Sparkle, RPKI filtrelemesi uygulamayan “güvensiz” bir operatör olarak sınıflandırılıyor
  • bgpdump analizi, AS yolunda CANTV numarasının (8048) 10 kez tekrarlandığını ve bunun normal yol seçimi kurallarıyla uyuşmadığını gösterdi; ilgili IP aralığının Karakas’taki Dayco Telecom’a ait olduğu doğrulandı
  • Bu BGP route leak, elektrik kesintisi, patlama ve ABD askerlerinin giriş zamanlarının birbirine yakın olması, ağ seviyesinde anormal faaliyet yaşandığını açıkça ortaya koyuyor

Venezuela elektrik kesintisi ve BGP anormalliği

  • Venezuela’daki elektrik kesintisi sırasında CANTV(AS8048) merkezli bir BGP route leak yaşandı
    • Cloudflare Radar verilerinde, 8 IP prefix’inin CANTV üzerinden geçen anormal yollarla yönlendirildiği görüldü
    • Yolda Sparkle (İtalya) ve GlobeNet (Kolombiya) bulunuyordu
  • Cloudflare Radar, 2 Ocak’ta BGP announcement sayısında keskin bir artış ve genel IP adres alanında azalma kaydetti
    • Nedeni net değil
  • Sparkle, isbgpsafeyet.com üzerinde “güvensiz” operatör olarak sınıflandırılıyor ve RPKI filtrelemesi uygulanmadığı görülüyor

BGP veri analizi

  • ris.ripe.net üzerindeki açık veriler ve bgpdump aracı kullanılarak, Cloudflare’ın göstermediği eksik prefix’ler çıkarıldı
    • Analiz sonucunda AS yolunda CANTV(8048) değerinin 10 kez tekrarlandığı görüldü
    • BGP kısa yolları tercih ettiğinden, bu tekrarlar anormal bir yol yapısı anlamına geliyor
  • 8 prefix’in tamamı 200.74.224.0/20 bloğu içinde yer alıyordu
    • WHOIS sorgusu sonucunda bunların Dayco Telecom’a (Karakas merkezli) ait olduğu doğrulandı
  • Ters DNS sorgusu, ilgili IP aralığında bankalar, internet sağlayıcıları, e-posta sunucuları gibi kritik altyapıların bulunduğunu gösterdi

Olay zaman çizelgesi

  • 2 Ocak 15:40 UTC: BGP route leak tespit edildi (Cloudflare Radar)
  • 3 Ocak yaklaşık 06:00: Karakas’ta patlama bildirildi (NPR)
  • 3 Ocak 06:00: ABD askerleri Maduro’nun konutuna ulaştı (NBC News)
  • 3 Ocak 08:29: Maduro, USS Iwo Jima’ya bindi (CNN)
  • Bu zaman aralığında BGP trafiğinin üçüncü bir transit noktaya yönlendirildiğine dair işaretler vardı; bu yol kontrol edildiyse bilgi toplama olasılığı bulunuyor

Analiz ve gözlemler

  • CANTV AS8048’in yola 10 kez eklenmesi, trafiğin önceliğini düşüren bir etki yaratıyor
    • Bunun kasıtlı olup olmadığı belirsiz olsa da, anormal yol manipülasyonu (shenanigans) olduğu açık
  • Yalnızca açık verilerle bile, o sıradaki ağ anormalliklerini daha fazla analiz etmeye değer
  • Yazı, politik yorumlardan kaçınarak, tamamen saldırgan güvenlik bakış açısından teknik anormallikleri ele alıyor

Diğer güvenlik bağlantıları derlemesi

  • MCP Security: Kötü amaçlı MCP sunucularının AI prompt’larını ve ortam değişkenlerini çalabileceğini gösteriyor
  • The Year in LLMs (2025) : akıl yürütme modelleri, kodlama ajanları, Çin açık ağırlıklı modelleri, MCP benimsenmesi gibi konuların özeti
  • Linux is Good Now: 2026’nın Linux masaüstünün yılı olabileceğine dair tartışma
  • No strcpy Either: curl projesi strcpy() kullanımını kaldırıp arabellek boyutunu açıkça belirten wrapper’lar ekliyor
  • Kubernetes Networking Best Practices: CNI seçimi, ağ politikaları, servis mesh’i ve troubleshooting rehberi

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-06
Hacker News yorumları

  • BGP trafiği A'dan B'ye giderken C üzerinden geçecek şekilde yönlendirme manipülasyonu yapılabilir
    C noktası kontrol edilirse bilgi toplamak mümkün olur, ancak bu CANTV(AS8048) vakasında görünen şey yalnızca basit bir AS path prepending gibi duruyor
    Bu, trafiği azaltmak için kullanılan yaygın bir trafik mühendisliği yöntemidir ve geçmişte de sık görülen bir örüntüdür
    Bu kez Telecom Italia Sparkle(AS6762) yolunun GlobeNet Cabos Sumarinos Columbia(AS52320)'ya yayıldığı anlaşılıyor ve bunun basit bir yapılandırma hatası olma ihtimali yüksek
    Dayco Telecom(AS21980) yönüne bir rota kaçırma izi yok; aksine prepending nedeniyle CANTV üzerinden geçme olasılığı daha da azalmış

  • Yazıdaki ilginç noktalardan biri, 1.1.1.1'e giden DNS sorgularının %7'sinin HTTPS türünde olmasıydı
    Bu, TLS 1.3'ün ECH(Encrypted Client Hello) uygulamasıyla ilgili; DNS, sunucunun açık anahtarını barındırarak HTTPS isteğindeki sunucu adını tamamen şifreliyor
    Nginx gibi başlıca web sunucuları bunu henüz desteklemediği için, bu %7'nin büyük kısmı muhtemelen Cloudflare'ın kendi trafiğidir
    İlgili veriler Cloudflare Radar üzerinden görülebilir

    • Tarayıcı, bir sitenin HTTP3 desteği olup olmadığını kontrol ederken de bu sorguyu kullanır
      Bağlantı yavaşsa HTTP1/2'ye otomatik fallback yapar
    • Adguard Home gibi araçlar, DNS isteklerini HTTPS üzerinden işleyecek şekilde ayarlanabilir
      Örnek: https://dns.cloudflare.com/dns-query
    • Bu yöntemle DNS aşamasında host adı açığa çıkmaz
      Ama henüz bunu doğrudan test etmiş değilim

  • Nükleer silaha sahip ülkelerin böyle kaçırma operasyonlarının hedefi olmayacağını düşünüyorum
    Bu tür olaylar tam tersine nükleer yayılma baskısını artıracak gibi görünüyor

    • Kuzey Kore'nin en başından beri haklı olduğunu düşünmeye başlıyorum
      Eskiden bunu aşırı buluyordum ama şimdi palyaço rolü oynayan tarafın biz olduğumuz hissi var
    • Eğer olay BGP hijacking seviyesindeyse, bunun nükleer caydırıcılıkla ilgisi yok
      ABD'nin lideri etkisiz hale getirmeye yönelik askerî hamleleriyle aynı ölçekte değil
    • Nükleer silah sahibi olmak basit bir ikili durum değil
      Teslimat araçları ve savunma kapasitesi önemli; lider kaçırma gibi bir olayın nükleer misillemeye dönüşme ihtimali de düşüktür
      Çünkü nükleeri gerçekten ‘denemek’ başlı başına tehlikeli bir hesaplamadır
      Örneğin İran'ın füze saldırıları çoğunlukla önleneceği varsayımıyla yapılır
    • Nükleer caydırıcılığın işlemesi için gerçekten kullanma iradesi gerekir
      Venezuela'nın nükleer silahı olsaydı bile bu olay yine de yaşanırdı

  • Bu olay kötü niyetli olmaktan çok, CANTV(AS8048)'nin 52320'ye prepending yapılmış bir duyuru göndermesi gibi görünüyor
    Hatta MDS(269832)'nin üst seviye peer bağlantı sorunları yüzünden bu yol daha görünür hale gelmiş gibi duruyor

  • Bu olay, ABD teknolojisine bağımlılıktan tamamen kaçınmanın mümkün olmadığını düşündürüyor
    “ABD teknolojisine daha da derinden bağlanın” sözü ironik geliyor

    • Bu saldırının ABD teknolojisi yüzünden olduğunu söyleyecek bir dayanak yok
      Venezuela yaptırımlar nedeniyle muhtemelen daha çok Çin teknolojisi kullanıyordur
      Yine de jeopolitik rakiplerin teknolojisine bağımlı olmanın riskli olduğu fikrine katılıyorum
    • Dünyanın büyük kısmı zaten Google veya Apple cihazları kullanıyor
      Bağımlılığı daha da artıracak alan neredeyse kalmadı
    • Teknoloji geliştirmek ve üretmek çok büyük maliyet gerektirir
      Bir ülkenin kendi kapasitesi yoksa sonuçta başka bir ülkenin teknolojisini kullanmak zorundadır
      ABD'yi dışarıda bırakmanın kazancı sadece ‘ABD'siz bir altyapı’dır; ekonomik değeri ise benzerdir
      Venezuela gibi ülkeler sonunda sadece başka bir büyük gücün teknolojik bağımlılığına kaymış olur
      Teknoloji jeopolitiğinin gerçeği sonuçta şu: “Ne kadar çok ekmeğin varsa başkasının bokunu o kadar az yersin

  • OSRS(Old School RuneScape) ekonomisinin bu saldırıdan etkilenip etkilenmediğini merak ediyorum
    İnternetin tamamen kesildiğini sanmıyorum

    • Hatta OSRS sunucu arızası, Venezuela ekonomisini daha fazla etkileyebilir
    • Gerçekten etki olduğunu söyleyen bir tweet var
    • Acaba Venezuelalı OSRS klanlarıyla irtibatı olan var mı?

  • Noel veya yılbaşında da benzer BGP anormallikleri olup olmadığını merak ediyorum

    • Cloudflare panosuna bakınca, saldırı gününde bile genel tablo anomali gibi görünmüyor

  • Uzunluğu 15 olan bir AS yolunun internette görünmesi için daha iyi yolların hepsinin ortadan kalkmış olması gerekir
    Bu kez de öyle olmuş gibi görünüyor ve bu durum CANTV ile alakasız olabilir
    Bazen BGP yolları geri çekme işleme hatası yüzünden ‘takılı kalır’; böyle durumlarda uzun yollar ortaya çıkabilir

  • Sonuç çok net değil ama bu araştırma ve analiz gerçekten çok ilginçti
    Birileri daha fazla bağlantı noktası ortaya çıkarabilir gibi geliyor

  • Bu olayın sonucunda trafiğin Sparkle üzerinden geçerek dinlenebilir hale gelmiş olabileceğini düşünüyorum
    Ama ağ topolojisini çok iyi bilmediğim için emin değilim

    • WhatsApp, Telegram, Gmail gibi hizmetlerde paketlerin bir kısmını düşürmek, iletişimde gecikmeye yol açabilir
      Bu da kriz anında önemli bir alternatif iletişim kanalını engelleme işlevi görebilir
    • Gerçekte olan şey, GlobeNet'ten Dayco'ya giden trafiğin geçici olarak CANTV üzerinden geçmiş olmasıydı
      Telecom Italia Sparkle'ın neden özellikle anıldığı ise net değil