Firesheep ile kablosuz ağlarda güvenlik açığı PDF Yazdır e-Posta
Salı, 22 Şubat 2011 11:16

Ethernet ağlarının çalışma prensibinde bir ucun(node) gönderdiği veri tüm uçlara ulaşmaktadır. Ethernet paketini alan ağ kartı eğer paket kendisine gönderilmişse işlemeli, başkasına gönderilen bir paket ise yoksaymalıdır. Sitemizde ethernetin çalışma prensibi altında bunları ayrıntılı olarak  yazmıştık.

Ethernetin bu çalışma mantığı büyük bir güvenlik açığına yol açmaktadır. Packet Analyzer denilen programlar vasıtasıyla ethernet kartına gelen veri paketleri kendisine ait olmasa bile kabul edilmekte ve üst katmanlarda paket içeriği açılıp içindeki bilgiler izlemeyi yapan kişiye gösterilmektedir. Bu yolla bilgisayarınıza kuracağınız basit bir program ile ağda veri iletişimi yapanların "ne yaptıklarını", hangi sitelerde gezindiklerini, ağ üzerinden gönderdikleri ve aldıkları tüm bilgileri (şifreler dahil) görmeniz mümkündür.

 

 

Buraya kadar en temel ethernet çalışma mantığından bahsettik. Artık ağı izlemek yukarıdaki kadar kolay değil, çünkü ethernet ağlarında eski tip hub'lar yerine akıllı switch cihazları kullanılıyor. Bu cihazlar bir porttan gelen ethernet paketlerini eskisi gibi tüm portlara yollamak yerine, sadece hangi bilgisayara gitmesi gerekiyorsa o bilgisayarın bağlı olduğu porta yolluyor. Siz packet anayzer programı çalıştırsanız bile, sizin ağ kartınıza sadece size ait paketler gelmekte olduğu için bir şey yakalayamıyorsunuz.

Bunu aşmanın iki yolu var, eğer siz ağın yöneticisi iseniz (veya yönetimi ele geçirmişseniz) switch'in yönetim panelinden kendi bağlı olduğunuz portu "monitoring" portu olarak ayarlayıp, tüm paketlerin size de gönderilmesini sağlayabilirsiniz. Eğer bunu yapamıyorsanız bu sefer ARP Poisoning gibi yöntemlerle ağ üzerindeki bir ya da birden fazla bilgisayarın trafiğini izlemeniz mümkündür.

Tüm bunlar elbetteki ağda dolaşan şifrelenmemiş, açık yazı (clear text) olarak akan veriyi izlemek için geçerlidir. Eğer izlediğiniz bilgisayar, tamamen HTTPS olarak çalışan bir siteye girip, orada işlem yaparsa, ancak girdiği sitenin adresini (ilk başta açık gittiği için) görürsünüz, ancak bir kere HTTPS trafik oluştuktan sonra içeriğini göremezsiniz. "Man in the middle attack" adı verilen teknikle bunun da üstesinden gelmek mümkün olabilir. ARP Poisining ile izlenen bilgisayarın tüm trafiğini sizin üzerinizden geçirmeyi başarırsanız, doğru programları kullanarak, HTTPS tüneli oluşmadan araya girerek sahte sertifika ile bu trafiği bile izlemeniz mümkündür. Ben burada sadece kavramları yazıyorum, bu kavramlarla ilgili ayrıntılı bilgi internet üzerinden bol miktarda bulunuyor.

Peki bu kadar uzun girişten sonra esas anlatmak istediğimiz mevzuya gelelim. Yukarıda anlatılanlar hep kablolu ağlar baz alınarak yazıldı ve hub, switch'ten bahsettik, kablosuz ağlar söz konusu olunca bağlantı olarak sinyali yakalayabildiğiniz her noktadan teorik olarak ağa girmeniz ve başarabiliyorsanız verileri izlemeniz/ele geçirmeniz mümkün.

Öncelikle hiç bir şifreleme kullanmayan bir kablosuz network'ün basit bir hub gibi çalıştığını söylemek mümkün. Dolayısı ile bu ağa bağlanıp, paket analizi yapan programlar ile her şeyi izlemek mümkün. Eğer kablosuz ağ WEP ile şifrelenmiş ise, şifreyi biliyorsanız ve ağa bağlandıysanız yine diğer ağ kullanıcılarının trafiğini izleyebiliyorsunuz çünkü WEP sadece ağa ilk bağlantıda sizi durduruyor ancak bir kere WEP'i geçince, kullanıcıların trafiği şifrelenmediği için izlemek mümkün.

Eğer WPA veya WPA2 kullanılıyorsa, ağ şifresini bilip, ağa dahil olsanız, diğer kullanıcılar da aynı ağ şifresiyle ağa bağlı olsalar bile, diğer kullanıcıların trafiğinin kolayca izlemeniz mümkün gözükmüyor. WPA ve WPA2 protokolleri aynı PSK (Pre shared key, kullanıcıların bildiği ortak anahtar) kullanarak ağa girseler bile kullanıcılar için ayrı ayrı özel şifreler üretip, her bir bağlantıyı şifrelediği için, kullanıcılar birbirlerinin trafiğini izleyemiyorlar. Ancak daha karmaşık yöntemlerle WPA'nın da kırılma olasılığından bahsediliyor. Ancak şu an için kablosuz ağınızda tamamen açık, şifresiz bağlantı kullanmak veya WEP şifresi kullanmak akıllıca değil, mutlaka WPA2 kullanmalısınız.

Peki, Firesheep'de ne diyorsanız, Eric Butler isimli bir vatandaş bu kablosuz ağlardaki güvenlik açığına dikkat çekmek için bir Firefox eklentisi geliştirmiş. Bu eklenti ile en basit bir kullanıcı bile ağ üzerindeki diğer kullanıcıların trafiğini izleyebiliyor. Firesheep isimli eklenti, ağ trafiğini izleyip, diğer kullanıcıların trafiğini inceliyor, bir çok site (facebook, twitter, flickr vs.) kullanıcının ilk login olduğu ekranda HTTPS kullanıyor, bu güzel, ancak kulanıcı doğru kullanıcı ve şifreyle giriş yapınca, kullanıcının bilgisayarına bir çerez dosyası atılıyor (cookie). Site daha sonra bu çerez dosyasından kullanıcının kimliğini kontrol ederek çalışıyor, Facebook ve Twitter'dan başka, kullanıcı girişi yapılan bütün siteler aşağı yukarı bu mantıkla çalışıyor diyebiliriz.

Firesheep işte bu çerez dosyası şifrelenmemiş olarak ağ'dan geçerken yakalayıp, sizin yani izlemeyi yapan kişinin bilgisayarına kaydediyor, ve firefox ekranında ağdaki diğer kullanıcının hesabını hatta resmini görüyorsunuz, üzerine tıkladığınız anda onun hesabıyla Facebook'a veya Twitter'a giriş yapabiliyorsunuz (aslında program daha bir çok popüler siteyi de yakalayabiliyor, gmail, amazon vs.).

Firesheep'i kurup denemek isterseniz, http://codebutler.github.com/firesheep/ bu adresten önce Winpcap programını indirip bilgisayarınıza yüklüyorsunuz. Bu yukarda bahsettiğimiz "packet analyzer" işini yapan açık kaynak bir yazılım. Daha sonra https://github.com/codebutler/firesheep/downloads adresinden xpi uzantılı Firefox eklentisi olan Firesheep'in son versiyonunu indiriyorsunuz. Firefox otomatik olarak yüklemezse, indirdiğiniz dosyayı tutup açık bir firefox pencerisine bırakmanız yeterli. Firefox restart edince de, Görünüm>Kenar çubuğu menüsünden Firesheep'i açıp, Start Capturing demeniz yeterli.

Eğer hub ile kablolu bir ağdaysanız veya şifresiz/WEP şifreli bir kablosuz ağdaysanız, aynı ağdaki diğer bir bilgisayardan Facebook'a girmeyi deneyin ve kendi bilgisayarınızda Firesheep'in diğer kullanıcının bilgilerini nasıl ele geçirebildiğini görün.

Kafelerde ve benzeri yerlerde şifresiz veya WEP şifreli ağlarda çok dikkatli olmak gerekiyor.

Hiç şifrelenmemiş veya WEP şifreli kablosuz ağlarda her an bilgilerinizin çalınabileceğini unutmayın!

 

 

 

Son Güncelleme: Perşembe, 05 Mayıs 2011 11:07
 
Make Text Bigger Make Text Smaller Reset Text Size

Aktif Ziyaretçiler

Şu anda 26 konuk çevrimiçi

Üye Girişi

Bilgisayar ağları ve Windows Hakkında Bilgiler...