“Hackerlar Nasıl Yapıyor?”: SSL Neden Gereklidir?

Halka açık yerlerde parola korumalı veya korumasız ağlara bağlantı gerçekleştirdiğinizde SSL kullanılmayan sitelere göndermiş olduğunuz veriler şifrelenmeyecek ve aynı ağda bulunan saldırgan kullanıcı adlarınızı, parolalarınızı daha da kötüsü e-ticaret sitelerinden alışveriş yaptıysanız kredi kartı bilgilerinizi ele geçirebilecektir.

Biliyoruz ki internetten alışveriş yaparken en çok dikkat edilen konuların başında güvenlik gelir. E-ticaret sitenizde SSL kullanarak tüketiciye güven verebilir veya SSL kullanan e-ticaret sitelerinden güvenli alışveriş yapabilirsiniz.

Aşağıdaki ekran görüntülerinde ortadaki adam saldırı senaryosu uyarlanmış ve veri trafiğinin arasına girilerek şifrelenmemiş veriler ele geçirilmiştir.

Senaryoya başlamadan önce ortadaki adam saldırısına kısa bir değinmekte fayda var. Saldırganın sunucu ile sizin aranıza girerek size ait olan veri trafiğini izlemesine ortadaki adam saldırısı denir. Saldırıya zemin hazırlamak için öncelikle ağımızın çıkış kapısının (Gateway) IP adresini tespit etmemiz gereklidir. Bunu yapmamızın sebebi trafiği üzerimizden geçirerek ağ dışına çıkarmak istememizdir. Linux işletim sistemlerinde “netstat” komutu kullanılarak çıkış kapısının IP adresi tespit edilebilir.

Çıkış kapımızın IP adresini tespit ettikten sonra sıra ARP Spoof diğer adıyla ARP Poisoning işlemine geldi. Bu konuya girmeden önce kısa bir ARP’ın ne olduğuna değinelim.  ARP (Adress Resolution Protocol), MAC ile IP adresi arasındaki bağlantıyı sağlayan protokoldür. ARP Spoof işlemi ise hedef bilgisayarın ARP tablosuna, saldırganın kendi MAC adresinin ağ çıkış kapısı olarak kaydedilmesi işlemidir diyebiliriz.  Aşağıdaki ekran görüntüsünde “arpspoof” komutu kullanılarak –i parametresi ile saldırı yapılacak ağ ara yüzü, -t parametresi ile hedef bilgisayarın IP adresi verilmiş daha sonra çıkış kapısının (Gateway) IP adresi yazılarak hedef ile çıkış noktası arasına girilmiştir.

Wireshark programı ile hedef bilgisayarın trafiği analiz edildiğinde, yönetici paneline POST metodu yoluyla giriş yapıldığı tespit edilmiş ve ortadaki adam saldırısı ile kullanıcı adı, parolası ele geçirilmiştir.

SSL kullanılan bir web site ile iletişim halinde olduğunuzda aşağıdaki ekran görüntüsünde görüldüğü gibi karşı tarafla gerçekleştirmiş olduğunuz veri trafiği şifrelenmiş olacak ve araya giren saldırgan verilerinize ulaşamayacaktır.

Bir web sitesinin SSL sertifikasına sahip olup olmadığını, tarayıcıdaki adres çubuğundan anlayabilirsiniz. SSL sertifikalı web sitelerinin başında kilit ikonu bulunur ve üzerine tıkladığınızda bağlantı güvenli yazısı görünür. Aşağıdaki ekran görüntülerinde Facebook giriş sayfası klonlanmış ve sahte bir Facebook sayfası oluşturulmuştur:

Orijinal Facebook giriş sayfası aşağıdaki gibi görülmektedir: