SSL Strip, ARP Spoofing ve Ortadaki Adam Saldırıları - Part 1: Giriş

HJas...yHXC
10 Jan 2024
210

SSL Strip, ARP Spoofing ve Man-In-The-Middle



1. Giriş

Web uygulamaları internetin yaygınlaşması ile hemen hemen tüm insanlar için vazgeçilemez bir rol oynamaktadır. İnternet kullanımının ilk başladığı zamanlardaki gibi çoğunlukla bilgi vermek amaçlı siteler de kullanıcıya daha etkileşimli ve kapsamlı uygulamalar sunmaya başlamıştır. Kullanıcının internet sitesi ile etkileşime girip kimlik veya ödeme bilgilerini web sunucularına göndermeye başlamasıyla istemci-sunucu arası veri haberleşmesinin güvenli olması gerekliliği doğmuştur.
HTTP protokolü OSI uygulama katmanında çalışır ve istemci ile web sunucusu arasında bilgi alışverişinin gerçekleşmesini sağlar, fakat bu protokolde haberleşmenin güvenliğinin sağlanması için bir şifreleme mekanizması bulunmadığı için bu bilgi akışı kötü niyetli kişiler tarafınca izlenebilir. HTTPS protokolü ise HTTP’ye göre daha hızlı ve daha güvenlidir. HTTPS güvenliği SSL/TLS protokolleri ile sağlanır. Sunucu ve istemci arasında gerçekleşen veri akışının şifrelenmesi için, güvenilirliği yetkili makamlarca kabul edilmiş sertifika makamları(CA) tarafından ilgili internet sitelerinin alan adlarına özel üretilmiş x.509 tipinde sertifikalar kullanılır.
Bu çalışmada internet sitelerinin HTTPS üzerinden sunduğu bağlantının SSLStrip saldırısı ile HTTP’ye indirgenmesi ve ortadaki adam (Man In The Middle) saldırısı ile bu trafiğin izlenmesi yer almaktadır. Çalışmada ayrıca bu saldırılardan korunmak için kullanılan güvenlik yöntemlerinden bahsedilmektedir.
Çalışmanın Part 2'sinde bu saldırılar Kali Linux kullanılarak uygulamalı olarak gerçekleştirilecektir.

2. SSL/TL ve SSL Strip 🔒

2.1. SSL/TLS Sertifikaları ile HTTPS üzerinden Güvenli Veri İletimi

İnternet üzerinden yapılan veri iletimi, güvenlik açısından birçok tehdit içerir. Bu tehditleri azaltmanın en etkili yollarından biri, SSL (Secure Sockets Layer) ve TLS (Transport Layer Security) sertifikaları kullanarak HTTPS (Hypertext Transfer Protocol Secure) üzerinden güvenli veri iletimini sağlamaktır.

Şekil 1. x.509 tipindeki SSL/TLS sertifikalarının genel bir görseli.


Bir SSL/TLS sertifikası, bir web sitesinin gerçekliğini doğrular ve kullanıcıların bu siteye güvenle bağlanmasını sağlar. Bu sertifikalar, bir sertifika otoritesi (CA) tarafından verilir ve site sahibinin kimliğini onaylar.
SSL ve TLS, websitelerin sahip oldukları sertifika ve bu sertifikada bulunan açık anahtarın bağlı olduğu gizli anahtarlar ile veri iletimini şifreleyerek üçüncü partilerin bu verilere erişimini engeller. Bir web sitesi SSL veya TLS sertifikasına sahip olduğunda, kullanıcıların bilgileri şifrelenir ve sadece doğru anahtarla çözülebilir.

Şekil 2. Geçerli bir SSL/TLS sertifikası kullanan bir web adresinin tarayıcıdaki adres görüntüsü


Browser ile kullanıcı arasında Handshake, Key Exchange gibi teknikler kullanılır, fakat fazla detay olduğu için buralara girmeyeceğim.

Çeşitli SSL/TLS sertifikaları mevcuttur: Alan adı doğrulamalı (DV), kuruluş doğrulamalı (OV) ve genişletilmiş doğrulama (EV) sertifikaları. Her biri farklı düzeylerde güvenlik ve doğrulama sağlar.
Yeri gelmişken; Türkiye'nin ilk kamu sertifika hizmet sağlayıcı olan, Tübitak Kamu Sertifikasyon Merkezi'nin de ".com.tr" alan adları için SSL sertifikası vermeye başladığını belirtmek istiyorum.

2.2. SSL Strip

SSL Strip, güvenli olmayan bir bağlantıyı, güvenli gibi göstererek kullanıcının hassas bilgilerini ele geçiren bir saldırı türüdür. Genellikle HTTPS bağlantılarını HTTP'ye düşürmek için kullanılır. Bu saldırı; kullanıcıların şifre, kredi kartı bilgileri gibi hassas verilerini ele geçirmeyi hedefler.

Şekil 3. SSL Strip illustrasyonu

Bu saldırılara bilinen örnekler olarak;

  • TJ Maxx Veri İhlali (2007): Bu saldırıda, saldırganlar SSL Strip kullanarak milyonlarca müşterinin kredi kartı bilgilerini ele geçirdi*.
  • Public Wi-Fi Saldırıları: Kamusal Wi-Fi ağlarında gerçekleştirilen pek çok saldırı, SSL Strip tekniğini kullanarak kullanıcıların banka ve sosyal medya bilgilerini çalmıştır.

gösterilebilir.

2.2.1. SSL Strip'in Çalışma Prensibi

SSL Strip, kullanıcının tarayıcı ile güvenli bir web sitesi arasındaki trafiği ele geçirir. Saldırgan, kullanıcı ile güvenli site arasına girerek, HTTPS bağlantısını HTTP'ye dönüştürür. Böylece, kullanıcının verileri şifrelenmeden saldırgana ulaşır.

Şekil 4. SSL Strip sonrası kurbanın girdiği facebook sayfası

2.2.2. Güvenlik Önlemleri

HTTPS Kullanımını Zorunlu Kılmak:

  • Web siteleri, ziyaretçileri otomatik olarak HTTPS sürümüne yönlendirmelidir. Bu, tarayıcıların güvenli olmayan HTTP bağlantılarını kullanmasını engeller.

Güvenlik Sertifikalarına Dikkat Etmek:

  • Kullanıcılar, web sitelerindeki güvenlik sertifikalarını kontrol etmeli ve tarayıcı uyarılarını ciddiye almalıdır. Eğer bir site güvenli değilse veya sertifikası hatalıysa, bu siteye giriş yapılmamalıdır.

Modern Tarayıcılar Kullanmak:

  • Güncel ve güvenilir tarayıcılar kullanmak, SSL Strip saldırılarına karşı daha iyi koruma sağlar. Çünkü modern tarayıcılar genellikle güvenli olmayan bağlantılara karşı uyarılar içerir.


2.2.3. HSTS'nin Rolü ve Önemi

HSTS (HTTP Strict Transport Security), web sitelerinin güvenliğini artırmak için tasarlanmış bir web güvenlik politikasıdır. HSTS, tarayıcıları yalnızca güvenli HTTPS bağlantıları üzerinden iletişim kurmaya zorlar.

Şekil 5. HSTS Kullanımı


HSTS Nasıl Çalışır?

  • Bir web sitesi, HSTS politikasını tarayıcıya HTTP başlığı (header) aracılığıyla iletir. Bu başlık, tarayıcıya belirli bir süre boyunca sadece HTTPS bağlantıları kullanmasını emreder.

HSTS'nin SSL Strip'e Karşı Avantajları:

  • HSTS, SSL Strip saldırılarına karşı etkili bir savunma sağlar, çünkü bu politika tarayıcıya sadece şifrelenmiş (https) bağlantıları kullanmasını söyler. Böylece, kullanıcılar farkında olmadan güvensiz HTTP bağlantılarına yönlendirilemezler.

HSTS Yapılandırması:

  • Web geliştiricileri, HSTS politikasını doğru şekilde yapılandırmalıdır. Bu yapılandırma, "max-age" değeri (politikanın ne kadar süreyle geçerli olacağı) ve isteğe bağlı olarak "includeSubDomains" (alt alan adlarının da HSTS politikasına dahil edilmesi) içermelidir.



3. ARP ve ARP Spoofing 🌐

3.1 ARP (Address Çözümleme Protokolü)

Adres Çözümleme Protokolü (ARP), internet protokolü (IP) adreslerini ağ arayüzlerinin fiziksel adresleriyle (MAC adresleri) eşleştirmek için kullanılan bir iletişim protokolüdür. Bu protokol, yerel ağlarda (LAN) cihazların birbirlerini tanımasını ve iletişim kurmasını sağlayan temel bir yapıtaşıdır.
ARP'nin temel amacı, bir ağdaki cihazların IP adreslerini karşılık gelen MAC adreslerine çevirmektir. Bu işlem, bir cihazın ağdaki diğer bir cihazla iletişim kurmak istediğinde, yani IP adresi bilinen ancak MAC adresi bilinmeyen bir durumda gerçekleşir.

ARP İsteği (Başlatma Aşaması):

  • Süreç, ağ üzerinde bir cihazın (bu cihaza "başlatıcı" diyelim) ARP İsteği adı verilen özel bir mesaj göndermesiyle başlar.
  • Bu istek, ağdaki tüm cihazlara gönderilen genel bir duyuru şeklindedir (yani bir "broadcast" yapılır). Bunu yapma nedeni, başlatıcının hedef cihazın fiziksel adresini (MAC adresi) henüz bilmiyor oluşudur. Eğer bu adres bilinseydi, mesaj doğrudan o cihaza (yani "unicast" olarak) gönderilebilirdi.
  • Bu genel duyuru, ağdaki her cihaza ulaşır.


Cihazların Tepkisi ve ARP Yanıtı:

  • Ağdaki tüm cihazlar bu ARP İsteğini alır ve mesajın kendilerine yönelik olup olmadığını kontrol eder.
  • Eğer mesaj kendilerine yönelik değilse, bu isteği görmezden gelirler ve hiçbir yanıt vermezler.
  • Ancak, mesajın hedefi olan cihaz (yani başlatıcının iletişim kurmak istediği cihaz) bu isteği tanır ve başlatıcıya ARP Yanıtı gönderir.
  • Bu yanıt doğrudan başlatıcıya yöneliktir, çünkü hedef cihaz artık başlatıcının kim olduğunu bilmektedir. Bu nedenle, yanıt yalnızca başlatıcıya (unicast olarak) gönderilir.

Şekil 6. ARP (Adres Çözümleme Protokolü)


3.2. ARP Spoofing

ARP (Address Resolution Protocol) Spoofing, yerel ağlarda kullanılan bir saldırı yöntemidir. Bu saldırı, ağdaki cihazların IP adresleri ile MAC adresleri arasındaki eşleşmeyi bozarak gerçekleştirilir.
ARP Spoofing saldırısında, saldırgan, ağdaki diğer cihazların ARP tablolarını değiştirerek kendi MAC adresini başka bir cihazın IP adresiyle ilişkilendirir. Bu sayede, saldırgan ağ trafiğini kendi üzerine yönlendirerek veri hırsızlığı yapabilir. Bu saldırı, Ortadaki adam saldırısı için bir zemin hazırlamak için kullanılabilir.

4. Ortadaki Adam (MiTM) Saldırıları 🕵🏿

"Ortadaki Adam" ya da Man-in-the-Middle (MiTM) saldırısı, iki taraf arasındaki iletişimi gizlice dinleyen veya manipüle eden bir siber saldırı türüdür. Bu saldırıda, saldırgan iki taraf arasına girer ve iletişim akışını kontrol eder. Saldırgan, bu pozisyonda verileri okuyabilir, değiştirebilir ve hatta engelleyebilir.

Şekil 7. MiTM saldırısı illustrasyonu


4.1. MiTM Saldırılarının Çalışma Prensibi

MiTM saldırısının temel adımları şu şekildedir:
Bağlantı Kurma:

  • Saldırgan, hedefin ağ trafiğine erişim sağlar. Bu, açık Wi-Fi ağları gibi güvenli olmayan ağlar üzerinden veya ARP Spoofing gibi tekniklerle yapılabilir.

İletişimi Ele Geçirme:

  • Saldırgan, iki taraf arasındaki veri paketlerini ele geçirir. Bu, saldırganın trafiği kendi cihazına yönlendirmesi ve verileri okuması anlamına gelir.

Veri Manipülasyonu:

  • Saldırgan, ele geçirdiği verileri değiştirebilir veya taklit edebilir. Örneğin, bir bankacılık işlemi sırasında, saldırgan para transferi detaylarını değiştirebilir.


4.2. MiTM Saldırısının Yöntemleri

MiTM saldırıları farklı tekniklerle gerçekleştirilebilir:

  • ARP Spoofing: Yerel ağda ARP tablolarını manipüle ederek.
  • DNS Spoofing: DNS sorgularını yanlış yönlendirerek.
  • Wi-Fi Eavesdropping: Açık Wi-Fi ağları üzerinden trafiği dinleyerek.


4.3. Etkileri ve Korunma Yöntemleri

4.3.1. Etkileri
  • Veri Hırsızlığı: Kullanıcı adları, şifreler, kredi kartı bilgileri gibi hassas bilgilerin çalınması.
  • İletişimin Bozulması: İletişimde gecikmeler veya kesintiler.
  • Kimlik Avı: Kullanıcılara sahte web siteleri veya hizmetler sunarak dolandırıcılık.


4.3.2. Korunma Yöntemleri

MiTM saldırılarına karşı korunmak için alınabilecek önlemler şunlardır:

  • Güvenli Bağlantıları Kullanmak: HTTPS, VPN ve diğer şifreli bağlantı yöntemlerini kullanmak.
  • Güvenli Ağları Tercih Etmek: Açık Wi-Fi ağları yerine güvenli ve şifreli ağları kullanmak.
  • Güvenlik Yazılımları: Güvenlik yazılımları ve güncellemeleri düzenli olarak kullanmak.


4.4. Önemli Saldırılar

4.4.1. Belgacom Hack (2013)
  • Hedef: Belgacom, Belçika'nın en büyük telekomünikasyon şirketiydi.
  • Saldırı Detayları: İngiliz istihbarat servisi GCHQ tarafından gerçekleştirildiği iddia edilen bu saldırıda, Belgacom'un iç ağlarına sızıldı. Saldırganlar, "Regin" adlı karmaşık bir casus yazılım kullanarak ağ trafiğini izledi.
  • Etkileri: Bu saldırı, uluslararası diplomatik krizlere yol açtı ve geniş çaplı gizlilik ihlallerine neden oldu.


4.4.2. DigiNotar Saldırısı (2011)
  • Hedef: DigiNotar, Hollanda merkezli bir sertifika otoritesiydi.
  • Saldırı Detayları: Saldırganlar, DigiNotar'ın altyapısına sızarak sahte SSL sertifikaları üretti. Bu sertifikalar, Google, Yahoo ve diğer büyük siteler için kullanıldı.
  • Etkileri: Bu sahte sertifikalar aracılığıyla, İran hükümeti muhtemelen binlerce kullanıcının e-postalarını ve diğer hassas bilgilerini ele geçirdi.


4.4.3. Operation Aurora (2009-2010)
  • Hedef: Google ve diğer 20 büyük şirket.
  • Saldırı Detayları: Çin merkezli olduğu iddia edilen saldırganlar, hedef şirketlerin ağlarına sızarak fikri mülkiyet ve diğer hassas verileri çaldı. Bu saldırı, karmaşık MiTM ve diğer siber saldırı tekniklerini içeriyordu.
  • Etkileri: Bu saldırı, uluslararası siber casusluk konusunda büyük endişelere yol açtı ve şirketlerin güvenlik stratejilerinde önemli değişikliklere neden oldu.


4.4.4. Superfish Yazılımı (2015)
  • Hedef: Lenovo kullanıcıları.
  • Saldırı Detayları: Lenovo, bazı bilgisayarlarında reklam yazılımı olarak Superfish adında bir yazılım yükledi. Bu yazılım, kendi SSL sertifikalarını kullanarak kullanıcıların HTTPS bağlantılarını kesintiye uğrattı.
  • Etkileri: Kullanıcıların güvenliği tehlikeye atıldı ve Lenovo'nun itibarı büyük zarar gördü.



Okuduğunuz için teşekkürler, sıradaki yazımda bu üç saldırıyı Kali Linux kullanarak nasıl gerçekleştireceğimizle ilgili olarak Part 2'yi yazacağım. Aslında yazdım, ama bekletiyorum :D.

Siber güvenlik anlamında bilinçlenmek her insan için ihtiyaç haline gelmekte, bu yüzden elimizden geldiğince inanları bilinçlendirmeye çalışmalıyız. Herkese keyifli günler!

--- Önceki bazı yazılarım ---
Unlocking the Future of Cryptocurrency: Market Insights 2024
Unlocking Digital Security: Navigating the World of Hash Algorithms – From MD5 to Keccak-256
Linux - Node Installation Essentials (BlockChain), Part 3: Intermediate-Level Linux Commands (Linux - part 3)
Linux - Node Installation Essentials (BlockChain), Part 2: Automatically restart the Node service (Linux - part 2)
BlockChain Node Kurulumu Yapanların İşine Çok Yarayacak Temel Linux Eğitimi (Linux - part 1)

Write & Read to Earn with BULB

Learn More
Enjoy this blog? Subscribe to lilium

11 Comments

B
No comments yet.
Most relevant comments are displayed, so some may have been filtered out.