Havaalanları, fastfoodlar, işyerleri v.b. İnternetin genel kullanıma açıldığı güvensiz alanlarda yapılacak İnternet iletişiminin her zaman en ince ayrıntısına kadar takip edilip manipüle edilebileceği unutulmamalıdır. (Buna güvenli kabul ettiğimiz ssl bağlantıları ve  http den https'e geçiş yapan sitelerde dahildir.)

Hava alanında uçağınızı beklerken göndereceğiniz mail, facebook sohbetleri, messenger şifreleri ortadaki adam (mitm) saldırısı ile kaydedilebilir. (Şekil-1)

Mitm yöntemi çok ciddi network bilgisine ihtiyaç duyulmadan da uygulanabilecek araçlara entegre olarak karşımıza çıkmaktadır. Bu araçlar kullanılarak sadece bir kaç tıklama ile saldırı yapılacak sistemler belirlenebilir. Ardından uygulanacak Mitm ile network trafiği rahatlıkla saldırgan üzerine yönlendirilebilir. Kullanılan araç içine yerleşik sertifika sistemi sayesinde ssl bağlantılarının da taklidi yapılarak kişisel güvenliğiniz ile ilgili bilgilere ulaşılabilir.

Güvensiz ortamlarda  (şifrelenmemiş)  yapılan bağlantılarda tüm trafik kontrol edilebilip içeriği değiştirilerek manipüle edilebilir. Yani açmak istediğiniz sayfadan farklı bir sayfa açılabilir, gönderdiğiniz e-postanın içeriği değiştirilip alıcıya farklı bir mesaj gönderilebilir. Kısaca yapılabilecekler saldırganın hayal gücüyle sınırlıdır.  Fakat yapacağınız yazışmalar güvenli bağlantıyla (ssl ) yapılıyorsa, endişe duymanıza gerek yok. Örneğin e-postanızı kontrol etmek için girdiğiniz gmail, sosyal paylaşım platformu facebook, sohbet programı messenger gibi bir çok uygulama oturum açma aşaması ve sonrasında daha iyisi çıkana kadar en iyisi diyebileceğimiz SSL (Secure Socket Layer) bağlantısını kullanmaktadır. Bilinen en güvenli sistem olan SSL bağlantısının kullanıcı tarafında ciddi sayılabilecek bir açığı bulunmaktadir. Mitm saldırısıyla (Şekil-1) araya giren saldırgan sahte SSL sertifikaları oluşturarak bağlantıyı taklid edebilir. Normalde https baglantısı (SSL gibi) (Şekil-2-3-4) yapmak istedigimizde tarayıcı (explorer, firefox, safari) güvenli bağlantı yapmak istediğimiz sitenin SSL sertifikasını otomatik olarak kontrol eder. Sertifika doğru ise sorunsuz olarak site açılır güvenle işlemlerimizi yaparız. Sertifika ile ilgili problem varsa, kullanıcı tarafındaki SSL açığı bu aşamada başlamaktadır.

Şayet sizi takibe alan bir saldırgan varsa ve Mitm ile araya girmişse SSL bağlantılarını da taklid edebilir. Güvenli bağlantı yapmak istediğiniz her aşamada tarayıcınız sizi uyaracak bağlanmak istediğiniz sitenin sertifikasında sorun olduğunu söyleyecektir. En çok kullanılan İnternet explorer ve firefox tarayıcıları böyle bir durumla karşılaştıklarında biraz da olsa farklı davranış sergilerler. İnternet explorer ve safari tek ekranda bu sertifikaya güvenip devam etmeniz ya da devam etmemeniz yönünde karar vermenizi ister. Firefox onay sürecini biraz daha zorlaştırır ama yine güveniyorum ya da güvenmiyorum cevabını bekler. Cep telefonlarından İnternete girildiğinde de durum aynıdır.

Bir çok kullanıcı sertifika hatasının ne olduğunu bile anlamadan yaptığı işin devam etmesini isteyerek sahte sertifikayı onaylayacaktır. Sahte sertifikaya güveniyorum dendiği anda yapılan bağlantı SSL de olsa artık facebook, messenger şifreleri ve yapılan tüm yazışmalar saldırgana ulaşmıştır.

Sonuç olarak ortak kullanıma açık alanlarda yaptığınız bağlantılarda tarayıcınız sizi sertifika konusunda uyarırsa güvenmeyip devam etmemek en iyisidir. Her sertifika hatası araya giren olduğu anlamına da gelmez, süresi dolan sertifikalar da hataya sebep olabilir, fakat yine de dikkat etmek gerekir.

SSL bağlantı yapmadığımız durumlarda saldırı olduğunu nasıl anlarız? Mitm ile araya giren saldırgan trafiğin normal akışını kendi üzerine çekmiştir (Şekil-1). Bu durumda paket tarafiğinin yönü değişmiştir. Ağa gönderilen her paketin önce hedefine bakılır, şayet paket ağ içindeki bir adrese gidecekse doğrudan gönderilir, hedef adres ağ içinde değilse paketin sizden çıktıktan sonra gideceği (normal şartlarda, proxy yoksa) ilk adres bulunduğunuz ağın çıkış kapısı olan ağ geçidi (default gateway) dir.

Özetlersek normal bağlantıda paketin sizden sonraki hedefi ağınızın çıkış kapısı olmalı, değilse saldırı altında olabilirsiniz. İşletim sistemlerinde gönderilen paketin geçtiği yolları gösteren programlar vardır. Bu programları kullanarak trafiğin yönünün değişip değişmediğini anlayabiliriz.

Mac Os X kullanan Macintosh bilgsayarlarda:

Windows sistemlerinde:

komutunu terminalde yazdığımızda www.bayramaltun.com adresine giden paketlerin izlediği yol görünecektir.

Her ağın çıkış kapısı farklı olabilir. Ama genelde küçük ve orta ölçekli işletmelerde 192.168.0.1,  192.168.1.1,  192.168.2.1,  10.0.0.1  adresleslerinden biri olma ihtimali çok yüksektir. (Ağ geçidini Tcp/ip ayarları ekranında da görebilirsiniz) (Şekildeki örnekte paketin takip ettiği yoldaki ilk adres 192.168.1.1 yani sorun yok)

Saldırı varsa yani bağlantı arasına biri girmiş ise ekran çıktısı aşağıdaki gibi değişir. Şekilde de görüldüğü gibi paketlerin bizden çıktıktan sonra gitmesi gereken adres 192.168.1.1 iken 192.168.1.3 olmuştur. Demekki bulunduğumuz ağda 192.168.1.3 ip numaralı bilgisayar Mitm saldırısı ile araya girmiştir.

Sonuç olarak sertifika hatalarına her zaman dikkat edilmelidir. Ortak kullanım alanlarında ağ trafiğini kontrol ederek araya giren olmadığından emin olunmalıdır.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.