Ücretsiz Wi-Fi Kullanıyor Musunuz? Bir Daha Düşünün!

Ücretsiz Wi-Fi Kullanıyor Musunuz? Bir Daha Düşünün!

10383

Bugün pek çok kafe, bar ve restoran gibi mekanlar müşterilerine ücretsiz Wi-Fi hizmeti sunuyor. Son bir-iki yıldır bazı büyükşehir belediyeleri de önemli bazı alanlarda halka açık ücretsiz Wi-Fi hizmeti vermeye başladı. Güzel bir mekânda kahvenizi yudumlarken ya da İzmir veya İstanbul’da deniz kenarında otururken bu ücretsiz halka açık internet hizmetinden faydalanmak oldukça keyifli. Peki, halka açık internet kullanırken siber saldırganların açık hedefi olduğunuzu biliyor musunuz? Hem de “kolay lokma” diye tabir edebileceğimiz kadar açık bir hedef! Bu yazımızda halka açık internet ortamlarında nasıl hedef haline gelindiğini anlatacak ve hazırladığımız bir saldırı uygulama videosu sunacağız.

1-free-wifi
Bugün neredeyse her yerde ücretsiz Wi-Fi imkanı sunan yerler var

İnternetin ve mobilitenin gelişmesi hayatımızı kolaylaştırdığı kadar bizi birçok riskin içine de sokuyor. Bu risklerin başında elbette siber güvenlik tehditleri yer alıyor. Bugün neredeyse her işimizi internet üzerinden yapıyoruz ve en hassas bilgilerimiz (bankacılık, devlet ilişkileri, özel hayatımıza ait veriler) sanal paketler içerisinde kablolu ve kablosuz ortamlarda savruluyor.

Sanal kanallarda gezinen kötü niyetli kişiler (siber saldırganlar) kullandıkları pek çok yöntemle bu bilgileri ele geçirebilir. Özellikle herkese açık Wi-Fi ortamlarını kullanan kişilere ait bilgiler siber saldırganlar için kolay lokma.

Ortadaki Adam (MITM) Saldırıları

Saldırganlar kullandıkları donanım yazılımlarla kullanıcı ile sunucu arasına girerek kullanıcıya ait tüm trafiği gözlemleyebiliyor, istedikleri verileri alabiliyor. Buna ortadaki adam (Man in The Middle, MITM) saldırısı diyoruz. MITM saldırıları çeşitli yöntemlerle yapılabiliyor. Bunların en önemlileri arasında DNS Spoofing ve ARP Poisoning sayılabilir. Özellikle Wi-Fi ağlarındaki “Erişim Noktaları”nı (Access Point,  AP) taklit eden saldırganların kullandıkları “Fake AP” (sahte erişim noktası) ve “Evil Twin” denen (var olan bir AP’nin ikiz taklidini oluşturma) yöntemler MITM saldırısı olmasa da aynı amaca hizmet eden saldırılar.

11
Siber saldırganlar, saldırılarında pek çok araç kullanıyor

 

Nasıl oluyor da bilgilerimiz ele geçiriliyor?

Öncelikle ortadaki adam (MITM) saldırılarının mantığını anlatalım.

mitm
MITM saldırılarında saldırganın durumu

Bir ağa bağlı kullanıcı o ağın sunucusundan yerel IP adresi alır. Ağa bağlı cihazlara verilen IP adresleri cihazların MAC adresleriyle (fiziksel adres) eşleştirilerek bir tabloda saklanır. Bu protokole Adress Resolution Protocol (ARP, adres çözümleme protokolü) denir. Ağa bağlı cihazlar internete çıkmak istediklerinde ağdaki Gateway denen fiziksel ya da sanal makine diğer cihazları kullandığı protokollerle internete çıkarır ve gelen paketleri sahiplerine ulaştırır.

Bir veri paketi router veya switch’e geldiği zaman, ilgili tablo kontrol edilir ve aranan IP adresine sahip MAC adresli cihaza paket gönderilir. Ancak MAC adresi tabloda bulunamadığı zaman ARP Brodcast paketi gönderilerek ağdaki tüm cihazlara “Bu IP adresine sahip MAC adresi nedir?” sorusu gönderilir. Buna ARP Request denir. Aranan IP adresine sahip cihaz cevap olarak MAC adresini brodcast yayın yapmadan direkt olarak sorguyu gönderen cihaza gönderir (Arp Replay).

Daha basite indirgeyecek olursak; Gateway, tüm ağa ARP sorguları göndererek hangi IP’ye sahip cihazın hangi MAC adresinde olduğunu öğrenmeye çalışır. Cihazlar da Gateway’e cevabi ARP paketleri gönderir.

3-arp
Saldırgan farklı ARP sorguları göndererek ARP tablosunu karıştırır

İşte bu noktada, saldırganımız Gateway’in IP adresini ve kendi MAC adresini içeren ARP sorguları göndererek ARP tablosunu karıştırır (Bu nedenle ARP Poisoning yani ARP zehirlenmesi diyoruz). Kullanıcı ile Gateway arasına girmiş olur ve internet ile kullanıcı arasındaki tüm paketleri okuyabilir (paketler şifreli değilse direkt okur, şifreli paketler için ise saldırgan boş duracak değildir).

Saldırgan ele geçirdiği bilgilerin içinde neleri görebilir?

Karamsarlığa itmek istemeyiz ama, cevap: Her şeyi.

4-attacer
Saldırgan elde ettiği veriler içerisinden istediği bilgiyi alabilir.
  • “Dsniff” yazılımı kullanarak hangi adreslere girdiğinizi tam olarak görür (sadece teknopusula.com adresini değil, www.teknopusula.com/ag-guvenligi-2323 şeklinde tam adresi).
  • Benzer yazılımlarla web tarayıcı üzerinden edindiğiniz PDF ve benzeri dosyalarınızı okuyabilir.
  • “Ettercap” ve “SSLstrip” gibi yazılımlarla kullanıcı adı ve şifrenizle giriş yapmanız gereken sosyal ağ hesaplarınız ve e-posta hesaplarınızın şifrelerini görebilir.
  • “Hamster” ve “Ferret” gibi yazılımlarla kendi tarayıcısı üzerinden sizin tarayıcınızdaki sayfaların aynısını görebilir, bir nevi tarayıcınızın kopyasını çıkarır (Session Hijacking, diğer bir adıyla Sidejacking).

Daha ne yapmasını isterdiniz?

Doğru sanılan bir yanlış: SSL, HTTPS varsa bilgilerim güvende.

Maalesef değil. Birçok kullanıcı, bağlantılarının HTTPS kullanan internet sitelerinde güvende olduğunu sanıyor. Yani size HTTPS ile hizmet sunan Facebook ve Twitter’da şifrelerinizin elde edilemeyeceği söyleniyor.

Yukarıda bahsettiğimiz “SSLstrip” yazılımı kullanılarak HTTPS bağlantılarında kullanılan kullanıcı adı ve şifreleri de ele geçirilebiliyor.

Şöyle ki, bir güvenli bir internet sitesine bağlanırken normal durumda kullanıcı HTTP kullanarak 80 numaralı port üzerinden bir internet sitesine bağlanmaya çalışıyor (diyelim ki Gmail olsun). Sunucusu HTTP 302 yönlendirmesi yaparak kullanıcıyı güvenli olan HTTPS versiyonuna yönlendiriliyor. Yani kullanıcı https://mail.google.com adresine 443 numaralı port üzerinden bağlanıyor. Karşılıklı sertifika doğrulamaları sonrasında şifreli bir haberleşme ortaya çıkıyor (SSL).

Saldırgan HTTPS’i aşmak için kullanıcı ve sunucu arasındaki paketleri yakalıyor. SSLstrip kullanan saldırgan bir HTTPS bağlantısı yakaladığı zaman bu bağlantıyı HTTP bağlantısı ile değiştiriyor. Sunucuya gerekli sertifikaları gönderen saldırgan kullanıcı gibi davranır. Kullanıcı burada HTTPS yerine HTTP bağlantısı görür ancak neredeyse tüm kurbanlar (bu konuda deneyimli değillerse) bunu fark etmez.

5-ssl-https
Saldırgan HTTPS yerine kullanıcıya HTTP bağlantısı gönderir

 

Kısacası, siz HTTPS kullandığını zannettiğiniz Gmail hesabına saldırgan üzerinden HTTP ile bağlanırsınız ve saldırgan tüm trafiğinizi okuyabilir.

Bir MITM Saldırısı Uygulaması Yapalım

Aşağıdaki videoda sizler için bir MITM saldırısı uygulaması yaptık. Kali Linux kullanan saldırgan bağlı olduğu ağdaki tüm cihazların IP ve MAC adreslerini öğrenerek tüm cihazlara yönelik ARP Poisoning uyguluyor ve ardından Xubuntu kullanan bir kullanıcının hangi internet sitelerine girdiğini, kullanıcı adı ve şifresi ile giriş yaptığı Gmail ve Facebook hesabına ait bilgileri ele geçiriyor.

Normalde yukarıda anlatılan bilgiler için ayrı ayrı Nmap, SSLstrip, Ettercap, Dsniff vb. birkaç araç kullanılması gerekirken, saldırganımız “easy-creds” adlı scripti kullanarak tüm bu araçları otomatik bir şekilde bir arada kullanıyor.

easy-creds
“Easy-creds” adlı script pek çok aracı bir arada kullanmayı sağlıyor

 

Uygulamanın yapıldığı sanal ortam kablolu bir ağ varmış gibi optimize edildi. Bu yöntem kablolu ya da kablosuz ağ olması fark etmeksizin her ortamda çalışmaktadır. Özellikle saldırganlar kablosuz ağları daha çok severler.

Sizi videomuzla baş başa bırakalım.

Videodaki uygulamanın amacı herkese açık bir ağda kullanıcıların ne kadar savunmasız olduğunu göstermek.

Herkese açık Wi-Fi ağlarını hiç kullanmayalım mı? Ne yapalım?

Elbette mecburi durumlarda hepimiz bu tür ağları kullanıyoruz. Hatta yukarıda örneği verilen saldırı uygulamasındaki adımlar herkese açık ücretsiz Wi-Fi veren bir ağda değil, iş yerinizdeki bir ağda da başınıza bela olabilir.

5-free-wifi
Pek çok ortamda ücretsiz Wi-Fi hizmeti bulunuyor

 

Şunlara dikkat edebilirsiniz;

  • Güvenliğinden emin olmadığınız tüm ağlarda, hassas işlemleriniz için VPN kullanmalısınız.
  • Tarayıcının adres satırında HTTPS gördüğünüzden emin olun. Ters giden bir şeyler fark ederseniz (sayfanın tam yüklenememesi, internet sitesinin güvenlik uyarısı vermesi gibi) kullanımı bırakın.
  • Ağ yöneticisi iseniz ya da ağ yöneticilerine tavsiye vermeye ehilseniz, “Dynamic ARP Inspection” ya da “Dynamic ARP Protection” kullanılmasını sağlayın.
  • Kısacası, gerekmedikçe bu tür ücretsiz Wi-Fi ağları kullanmayın, kullanacaksanız tehlikede olduğunuzu unutmayın!

Gelecek yazılarımızda “Fake AP” adı verilen sahte erişim noktaları üzerinden yapılan saldırıları ve “Evil Twin” adlı erişim noktasının kopyalanmasıyla yapılan Wi-Fi saldırılarını anlatmaya çalışacağız.

BİR CEVAP BIRAK