Friday, April 27, 2012

Ali – Veli, 49 – 50

Ekran görüntüsüz, uygulamasız bir IT blogu, defile resmi olmayan bir moda blogu gibidir. Bu nedenle ücretsiz wi-fi hizmeti veren cafelerin müdavimlerini yakından ilgilendiren bir saldırı örneğini göstermek istiyorum. Bu blogun amacı öğretmek değil, o nedenle saldırının detaylarına mümkün oldukça girmeyeceğim. Amacım okuyanlara bu saldırının ne kadar kolay yapılabildiğini göstermek. 

Saldırının anatomisi
Saldırı için iki ayrı makine kullanacağız, birisi Windows işletim sistemi kullanıyor (kurban) diğeri bir Linux sürümü (saldırgan). Saldırı Man In The Middle (ortadaki adam) sınıfı bir saldırıdır ve wi-fi bağlantılarının kalıtsal bir açığından faydalanmaktadır. 

İlk adım
İlk adım kurbanın internet trafiği kendi üzerimize almaktır. ARP Spoofing ile kendimizi ağ üzerindeki gateway olarak tanıtıp kurbanın bize bağlanmasını sağlıyoruz. 



Yukarıdaki ekranda görüldüğü üzere kurbanın broadcast isteğine “gateway benim” cevabı göndermeye başlıyoruz.


Aynı zamanda IPTABLES ile 80 numaralı portumu 10000 numaralı porta yönlendiriyorum. Böylece kurbanın https isteklerine http olarak cevap vereceğim. 


Hazır bir yazılım olan SSLSCRIPT kullanıyorum.  Aynı işi yapacak pek çok yazılım var, bu onların içerisinde nispeten basit olanlardan bir tanesi. 

İkinci Adım
Kurban cafede otururken maillerini kontrol etmek için Hotmail sitesine bağlanıyor. Aslında bağlandığını sanıyor, gerçekten bağlandığı yer benim bilgisayarım. 

Dikkat ederseniz kendi tarayıcısı üzerinde gördüğü Hotmail sayfası olması gerektiği gibi HTTPS değil, sadece http. Ayrıca güvenli bir bağlantı havası vermek için adres çubuğunda anahtar ikonunu göreceksiniz. 


Kurban giriş yapmak için kullanıcı adını ve şifresini yazıyor. 


Ancak gerçekten Hotmail.com adresine bağlı olmadığı için kendisine bir hata mesajı geliyor.


Üçüncü adım
Saldırgan şu anda kullanıcı adınıza ve şifrenize sahip. Size ne kadar teşekkür etse azdır. 


Görüldüğü gibi kullanıcı adı aliveli4950@hotmail.com, şifre ise 123456789. 

Sadece mailler mi?
Tabii ki sadece mailler değil, facebook, twitter, üye olduğunu alışveriş siteleri, aklınıza gelen çoğu yer.Bu saldırı size SMS ile bir seferlik şifre gönderen banka sitelerinin bir kısmında da işe yaramaktadır. Şifreyi sizden önce saldırgan girmiş olacağı için siz sorunun nereden kaynaklandığını anlayana kadar istediği işlemi yapma fırsatını bulabilir. 

Ne yapmalı?
Halka açık bağlantılardan bankacılık işlemlerinizi yapmamakla başlayabilirsiniz. Bütün dünya ile paylaşmak istemeyeceğiniz diğer sayfalar, mail, facebook, vb halka açık yerlerde wi-fi üzerinden girilmemesi gereken siteler. 


No comments:

Post a Comment

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...