SSL Hijacking Nedir?

SSL Hijacking nedir?

SSL(Secure Socket Layer) hijacking, saldırganın kullanıcının kullandığı web siteleri için sahte SSL oluşturma metodolojisine dayanır. Kullanıcı normal akış içerisinde siteye güvenli bir  erişim yaptığını düşünür ve site içerisinde eylemlerine devam eder. Bu durumun aksine, kullanıcı saldırganın kullanmış olduğu bir proxy veya klonlanmış  bir  siteyle güvenli bir bağlantı kurmaktadır. SSL Hijacking MITM(Man In The Middle) saldırı çeşitlerinden bir tanesidir.

SSL/TLS Nasıl Çalışır?

SSL/TLS kullanılan tüm web site trafiği SSL/TLS sertifikası kullanılarak şifrelenir. Günlük internet eylemlerinden örnekle izah edilmek gerekirse, kullanıcı güvenli bir web sitesine ilk kez ziyaret ettiğinde,  web tarayıcısı SSL/TLS sertifikasını alır, orijinalliğini doğrular ve  tercih edilen şifreleme yöntemine göre güvenli bir bağlantı oluşturur. SSL genellikle HTTPS’in web sitelerine, web uygulamalarına ve API’lerine erişimi güvenli hale getirmek adına kullanılır.

SSL/TLS Hijacking Nasıl Çalışır?

SSL/TLS Hijacking saldırısının saldırgan tarafından uygulanabilmesi için saldırganın en başta başka bir MITM(Man In The Middle) saldırısını gerçekleştirmesi gereklidir. Saldırganın MITM saldırısını gerçekleştirme sebebi ise ağ trafiğini izleme ve kurbanın eriştiği web sitesi ile kurbanın arasına girerek manipüle etmeye çalışmasına dayanır. Saldırgan tarafından en çok kullanılan saldırı çeşitleriyse; ARP Spoofing, DNS Spoofing ve IP spoofing olmak üzere 3 tanedir.

Kullanıcı normal bir şekilde hedef siteye bağlantı kurarken aslında farkında olmadan saldırganın oluşturduğu sunucuya bağlanır. Saldırgan sunucusu daha sonrasında tüm trafiği hedefe ve kullanıcıya geri aktararak ağ trafiğinin izlemeye ve değiştirmeye çalışır. Tam bu noktada kurban hedef siteyle HTTPS bağlantısıyla iletişim kurmaya çalışırsa, saldırgan bu noktada sahte bir SSL/TLS oluşturup kullanıcının tarayıcısına iletmeye çalışır.

SSL tespitinin zorluğu,  genel anahtar yapısının(PKI)  tarayıcının yalnızca güvenilir bir sertifika yetkilisi(CA) tarafından imzalanan sertifikalara güvenmesidir. Eğer sertifika CA tarafından imzalanmamışsa , tarayıcı net bir şekilde hata verecektir. Microsoft Windows ve Linux gibi işletim sistemleri kurulurken içerisinde bir takım hazır güvenilir CA ile birlikte gelir. Sonradan da manuel olarak güvenilir CA eklemek de mümkün olmaktadır. Tam bu raddede saldırgan eriştiği bilgisayarın işletim sistemine CA eklemeye çalışabilir. Bu işlemin yapılabilmesi içinse farklı atak vektörleri geliştirmesi gerekmektedir. Özetle saldırgan tek başına SSL Hijacking kullanarak istediği saldırıyı gerçekleştiremeyebilir, ilaveten bir atak saldırısı da kullanması gerekmektedir. Saldırgan bir şekilde CA sertifikasını kurban bilgisayara enjekte etmenin bir yolunu bulamazsa tarayıcının HTTPS yerine HTTP bağlantısı kurmasını amaçlayabilir(SSL Stripping).

 

Nasıl Tespit Edilebilir? Bu Yöntemler Nelerdir?

Erişim hedeflenen sitenin SSL sertifikasının geçerli olup olmadığını anlaması ve tespit etmesi mümkün değildir. Özetle gelen sertifikanın kullanıcıdan mı yoksa saldırgandan mı geldiğini anlayamaz.

Eğer saldırgan sahte bir CA sertifikasını kurban bilgisayarının işletim sitemine yüklemeyi başaramamışsa, internet tarayıcısı sertifikanın geçerli olmadığı konusunda kullanıcıyı uyarır ve manuel olarak da bu işlemin aksini yapmak mümkün değildir.

Kurbanın sisteminde sahte bir SSL/TLS yüklüyse bu saldırıyı tespit etmek neredeyse imkansızdır. SSL/TLS sertifikasının daha detaylı incelenerek ele alınması gerekmektedir(veriliş tarihi,veren vs.). Fakat kullandığımız her bir HTTPS isteğinin ayrı ayrı kontrol edilebilmesi de pek mümkün değildir.

Önleme Yöntemleri Nelerdir?

SSL Hijacking saldırısının engellenebilmesi için kullanıcının üzerine belirli görevler düşmektedir. Öncelikli olarak SSL hijacking’in birlikte kullanılarak daha etkin hale geldiği saldırılardan(ARP Spoofing DNS Spoofing, IP Spoofing) kendini sakınması gereklidir.

Güçlü SSL/TLS sertifikalarının kullanılması ile trafiğin akışı daha güvenilir ve güçlü hale getirilebilir. Kaynağı bilinmeyen yazılım ve programların ilgili cihaza indirilmemesi ile de sahte CA sertifikalarının işletim sistemlerine enjekte edilmesi engellenebilir. Halka açık alanlarda kablosuz bağlantıların minimuma indirilmesi ya da böyle alanlarda VPN kullanımının artırılması da saldırıyı engelleme yöntemleridir.

 

About The Author

Reply