İşyerleri, kafeler, havaalanları ve benzeri bir çok yerde ortak kullanıma açılmış ağlarda gerekli basit güvenlik önlemleri alınmazsa bedeli ağır olabilecek sonuçlar ödeyebiliriz. Ortak ağlarda karşımıza çıkabilecek tehlikeler ve bu tehliklerden nasıl kurtulacağımız yazımızın konusu olacak.
Ortadaki Adam (MITM) Saldırısı
Ağ güvenliğinin kırılma noktalarından birisi arp poisoning saldırılarıdır. Bu saldırı altındaki bilgisayarın dış dünyaya gönderdiği ya da dışardan gelen tüm bilgiler dinleme yapan kişi tarafından ele geçirilebilir. Sisteminiz istediği kadar güvenilir olsun bilgi bilgisayarınızdan çıktıktan sonra güvensiz ortamda yol almaktadır. Araya giren üçüncü bir kişi tüm verilere ulaşabilir. Örneğin şifreli bağlantı yapılmamışsa gönderdiğiniz mailler, facebook mesajları (Şekil-1) girdiğiniz sayfalar, indirdiğiniz dosyalar, google aramalarınız v.b herşeye ulaşılabilir.
Şekil-1 Araya girme ile görülen mesaj
Arp poisoning saldırısı ile dinlendiğinizi windows işletim sisteminde arp komutuyla takip edebilirsiniz.(Aynı komut Mac OS işletim sistemlerinde de kullanılabilir.)
Şekil-2 Arp tablosu
Şekil-2'deki gibi ilk arp tablosunda gateway adresimizin(192.168.1.1) mac adresi olması gerektiği gibi fakat ikinci kontrolümüzde gateway adresimizin mac adresi saldırganın mac adresi olarak değişmiş yani arp poisoning saldırısı altındayız.
Şekil-3 WinARP Watch
Ya da arp tablosunu otomatik takip eden windows işletim sistemi için winarpwatch isimli programı kullanabilirsiniz. Program çalıştırıldığında sistem saatinin olduğu yere yerleşerek saldırı anında renk değiştirerek uyarı yapar.
Cookie Tehlikesi
İnternet üzerinde sörf yaparken girdiğimiz siteler daha sonra tekrar geldiğimizde bizi hatırlayabilmek için bilgisayarımıza cookie(çerez) denen bilgilerimizin kaydedildiği küçük dosyalar yerleştirirler. Cookie'ler kullanım amacı düşünüldüğünde kullanıcıların işlerini kolaylaştırmaktadır. Örneğin siteye girişte kullandığınız kullanıcı adı ve şifreleriniz cookie dosyalarını silmediğiniz ya da oturumu sonlandırmadığınız sürece tekrar girişlerde sorulmadan oturum açılır. Fakat birileri bu küçük dosyaları sizden alsa ve kendi bilgisayarında kullansa ne olur. Oturum sonlandırmadan ya da süresi dolmadan alınırsa oturumunuz ele geçirilir. Yani facebook hesabınıza ait cookie'ler alınmışsa şifrenize ihtiyaç duymadan facebook sayfanızdan adınıza mesaj atıp paylaşımda bulunabilir, şifrenizi değiştirerek hesabınızı ele geçirebilir. Cookie'ler bilgisayarınızın başına geçmeden de ele geçirilebilir. Ortak kullanılan ağa kurulmuş bir sniffer ağ üzerinde gidip gelen tüm paketleri toplayarak sizin cookie'leri elde edebilir. Sonra bu cookie basit bir cookie editörü ile Firefox üzerinden yüklendiğinde oturum ele geçirilmiş olur.
Şekil-3 WinARP Watch
Ya da arp tablosunu otomatik takip eden windows işletim sistemi için winarpwatch isimli programı kullanabilirsiniz. Program çalıştırıldığında sistem saatinin olduğu yere yerleşerek saldırı anında renk değiştirerek uyarı yapar.
Cookie Tehlikesi
İnternet üzerinde sörf yaparken girdiğimiz siteler daha sonra tekrar geldiğimizde bizi hatırlayabilmek için bilgisayarımıza cookie(çerez) denen bilgilerimizin kaydedildiği küçük dosyalar yerleştirirler. Cookie'ler kullanım amacı düşünüldüğünde kullanıcıların işlerini kolaylaştırmaktadır. Örneğin siteye girişte kullandığınız kullanıcı adı ve şifreleriniz cookie dosyalarını silmediğiniz ya da oturumu sonlandırmadığınız sürece tekrar girişlerde sorulmadan oturum açılır. Fakat birileri bu küçük dosyaları sizden alsa ve kendi bilgisayarında kullansa ne olur. Oturum sonlandırmadan ya da süresi dolmadan alınırsa oturumunuz ele geçirilir. Yani facebook hesabınıza ait cookie'ler alınmışsa şifrenize ihtiyaç duymadan facebook sayfanızdan adınıza mesaj atıp paylaşımda bulunabilir, şifrenizi değiştirerek hesabınızı ele geçirebilir. Cookie'ler bilgisayarınızın başına geçmeden de ele geçirilebilir. Ortak kullanılan ağa kurulmuş bir sniffer ağ üzerinde gidip gelen tüm paketleri toplayarak sizin cookie'leri elde edebilir. Sonra bu cookie basit bir cookie editörü ile Firefox üzerinden yüklendiğinde oturum ele geçirilmiş olur.[/COLOR]
Şekil-5 Ağda dolaşan Cookie'leri bulan script
Cookie hırsızlığına karşı dikkat edilmesi gerekenleri sıralarsak. Öncelikle takip ettiğiniz siteyle ilgili işiniz bittiğinde oturum sonlandırmayı unutmayın. Cookie'ler direk bilgisayarınız üzerinden alınacaksa bilgisayarınız başında olmadığınız anlarda şifre korumalı ekran koruyucu açık olmalı ya da bilgisayar oturumunuz kapalı olmalı. Ortak ağa sniffer kurarak dinleme yapılıyorsa arp poisoning saldırılarına karşı daha önce anlattığımız yöntemler uygulanabilir. Facebook için en kestirme çözüm hesap ayarları menüsünden güvenlik bölümünde güvenli gezinmeyi seçmek. Artık tüm facebook verileriniz şifrelenerek ağa gönderildiğinden cookie'ler ağ üzerinden dinleme ile ele geçirilemez.
Şekil-6 Facebook güvenlik ayarları
http://www.bilgiguvenligi.gov.tr/ima...ag/resim-7.png
Şekil-7 Facebook güvenli gezinme
Sistem Açıkları
İşletim sistemleri (windows, mac os x, linux ...) kusursuz sistemler değildir. Bu sebeple belirli dönemlerde sistem güncelleştirmesi yapılarak ortaya çıkan açıklar kapatılır. Şayet sistemin güvenlik güncelleştirmeleri yapılmamışsa, birileri bu açıkları kullanarak sisteminize sızabilir. Sistem açıklarını exploit ederek sızma gerçekleştirildiğinde artık tüm sistem çalıştırılan payload'ın(truva atı) gücüne göre tamamen ya da kısmen saldıranın eline geçmiştir. Exploit kullanarak sistemlere girmek için eskilerde bazı dillere biraz hakim olmak gerekirdi fakat son dönemlerde mevcut exploit'leri kullanabilmek için geliştirilmiş araçlar var.
Bilgisayarınıza payload ile girildikten sonra, dosyalarınıza ulaşabilir, keylogger ile bastığınız tuşlar kaydedilebilir mikrofon ve web kamerası var ise onlar dahi çalıştırılabilir. Kısaca bilgisayarınız tümüyle karşı tarafın elindedir.
Şekil-8 Sistem açıkları ile sızma
Peki ne yapılabilir. İşletim sisteminizi düzenli olarak güncellemeli, varsa güvenlik duvarını aktif hale getirmeli (windows işletim sistemlerinde hazır olarak gelen güvenlik duvarının aktif olması sistem açıklarına karşı iyi bir çözümdür), iyi ve veritabanı güncel antivirüs programı kullanılmalı. Bunların hepsi yapılsa da tam güvenlik diye bir şey yoktur. Payload'ları yeniden kodlayarak virüs tarama programlarını atlatan encoder'ler mevcut. Hatta bu encoder'ler de artık işlevsiz hale geldiğinden multi encoder ile payload'ı defalarca encode ederek güncel antivirüsler dahi atlatılabilmektedir.
