İçinde bulunduğumuz çağda hepimizin kendine ait birden fazla teknolojik cihazı bulunmaktadır. Ve bu cihazların neredeyse hepsi artık internete bağlanabilmektedir. Ancak maalesef kötü niyetli hackerlar, cihazların bu özelliğini kullanarak kişi ve kurumların gizliliklerini riske atmaktadır. EPDK (Enerji Piyasası Düzenleme Kurumu), BDDK (Bankacılık Düzenleme ve Denetleme Kurumu), PCI-DSS (Payment Card Industry Data Security Standard) kapsamında da test edilmesi ve kuruluşların kablosuz ağ saldırılarına karşı güvenli olduğunun test edilmesi gerekmektedir. Bu testler belli aralıklarla yapılan sızma testi süreçlerine de dahil edilebilmektedir.
Sahip olduğumuz cihazları her zaman kendimize ait olan wifi ağına bağlayamıyoruz. Bazen oturduğumuz bir restoranda bulunan internet sağlayıcısı, bazen kütüphane de yer alan ücretsiz wifi, bazen de dışarıda belediyelerin konumlandırmış olduğu ücretsiz internet sağlayan hotspot cihazları gibi birçok farklı noktadan cihazlarımızı ortak ağlara dahil ediyoruz. Peki bu ortak ağlar ne kadar güvenli? Biz kablosuz ağ işlemlerimizde ne kadar dikkatliyiz?
Kötü niyetli hackerların kullandığı ve doğru şekilde uygulandığında çok üzücü şekilde etkili olabilecek bir saldırı türü olan kablosuz ağ saldırıları kısaca, internet sağlayıcı hizmetini kullanarak kurulan tuzaklar ile internet sağlayıcıdan hizmet alan kurbanları sömürmektir. Belli başlı kablosuz ağ saldırı türü bulunmakla beraber bunların başında Rogue Access Point, Evil Twin, DoS gibi daha saldırgan saldırılar bulunmaktadır.
Evil Twin saldırısı öncelikle adından da anlaşılacağı üzere, gerçek olan Access Point gibi davranarak kötücül faaliyetlerin yürütüldüğü saldırı türüdür. Bu saldırı genelde kurumsal firmaları hedef alarak, çalışanların normalde kullandıkları Wifi modemini taklit eder. Kurum personeli bu ağa bağlandığında ağ trafiği izlenip analiz edilebilmektedir. Aşağıdaki görsel kötü ikiz görselinin ne olduğunu basitçe anlatmaktadır.
Evil Twin saldırı ve sömürü süreci belli adımların sırasıyla gerçekleştirilmesi ile başarıya ulaşır. Bu adımlar yukarıdaki görsele göre sırasıyla aşağıda verilmiştir.
- Keşif Süreci
Saldırgan ilk olarak kendine hedef seçecektir ve hedefi seçerken belli başlı kriterleri de vardır. “Certby_Ofis” SSID bilgisine sahip olan modeminin kullandığı güvenlik protokollerini, bağlı olan cihaz sayısını, modeme yaklaşabileceği maksimum mesafe ve bu saldırı başarılı olursa elde edilecek olan bilgilerin büyüklüğü gibi maddeleri araştırdıktan sonra artık keşif süreci bitmiş ve saldırgan hedefine saldırı düzenlemeye hazır hale gelmiştir.
- Kurulum Süreci
Saldırgan lokasyonu ve hedefini belirledikten sonra kendi sistemini kurar. Güçlü antene sahip bir Wifi adaptörü veya maksimum saldırganlığa sahip olan Wifi Pineapple aracını kullanabilir. Saldırıyı düzenlerken şüphe çekmemek için saldırıyı kendi akıllı cep telefonundan dahi yürütebilir. Kurbanın bağlanmasını istediği AP (Access Point) SSID (Service Set Identifier) bilgilerini taklit edeceği AP ile aynı şekilde konfigüre eder. Bu hazırlıklar sonrasında internet yayınını yapmaya başlar.
- Kurbanı Tuzağa Çekme Süreci
Saldırgan kendi hazırlıklarını tamamlamış ve tuzağını da kurmuştur. Artık sıra kurbanı tuzağa çekme işlemine gelmiştir. Bunun için kurbanı bağlı olduğu AP’den yoğun paket göndererek koparır ve aynı anda daha güçlü bir sinyal dağıtarak kendi tuzağına düşmesi için kurbanı teşvik eder. Burada eğer kurbanın kullandığı cihaz çevrede bulunan kullanılabilir ağlara otomatik olarak bağlanıyorsa maalesef kesinlikle tuzağa düşecektir.
- Portal Sayfasına Yönlendirme (Portal Olan Durumlarda)
Çoğu kurumun güvenlik için kullandığı, wifi ağına erişirken hizmet almak isteyen kullanıcıları yönlendirdiği bir portal sayfası bulunmaktadır. Bu portal sayfasına kişiler kendi bilgilerini girer ve artık ağa erişim sağlayabilirler. Saldırgan bu portal sayfasını da kopyalayarak kurbanın sahte sayfaya girdiği bilgileri ele geçirir.
- Sömürü Süreci
Saldırgan, bir kere ağa dahil olduktan sonra artık içeride akan trafiği izleyip analiz edebilir. Kullanıcıların yaptığı işlemleri, hassas bilgileri çalabilir. Hatta ağa dahil olduktan sonra artık içeride daha agresif saldırılarda bulunarak sadece kullanıcı bilgisayar ve telefonlarına değil, sunucu yapılarına da saldırabilir.
Saldırıya Uğrarsak Ne Yapmalıyız?
Evil Twin saldırısına uğrayıp tuzağa düştüğümüzde en kötü senaryoyu düşünerek derhal harekete geçmeliyiz. Çünkü tuzağa düştüğümüz ilk anı veya sonrasında cihazımızdan yaptığımız işlemleri hatırlayamayız. Bu sebeple en hızlı bir şekilde çalıştığımız bankalar iletişime geçerek hesap bilgilerini değiştirmeli, tarayıcımızda girdiğimiz ve hassas bilgilerimize sahip uygulamaların şifreleri değiştirilmeli, mümkünse kablolu bağlantıdan herkesi kopararak tekrardan daha güçlü bir doğrulama sistemi yapılmalıdır. Saldırganın içeriye bırakmış olabileceği bir back-door veya kötücül yazılım araştırması yapılmalı bu donanımlara sahip değilse kurumun derhal alanında yetkin siber güvenlik firmaları iletişime geçmesi gerekmektedir.
Nasıl Engellenir?
- Öncelikle kurumsal firmalarda kullanılan ve kurumun özel iç ağında erişmeye yarayan kablosuz ağlarda kesinlikle cihazlar modeme bağlandıktan sonra VPN kullanmalıdır. Yani kurumun iç ağ yapısına erişmek için gereken doğrulama kapısının sayısının 1 arttırılması gerekmektedir.
- Toplum içerisinde kafe/restoran, halka açık toplanma yerleri, belediyeler, kütüphaneler gibi ücretsiz internet sağlayan AP’lere bağlanırken kesinlikle dikkatli olunmalı ve bağlandıktan sonra da bu halka açık ağlar üzerinden hassas bilgi paylaşımı yapılmamalıdır.
- Kullandığımız cihazların wifi ayarları güvenli şekilde ayarlanmalı, parola korumasız ağlara otomatik bağlanma işleminin kapatılması, güvensiz olarak görünen ağlara bağlanılmaması gerekmektedir.
- Kurumsal yapılarda wifi erişimi için 2FA (Two-Factor Authentication) kullanılmalıdır. Örnek olarak şifre veya kullanıcı bilgileri doğru girildikten sonra SMS doğrulaması gibi ikinci bir doğrulama sağlanmalıdır.
- Halka açık ağlara bağlandıktan sonra, ziyaret ettiğimiz web uygulamalarının HTTPS protokolü kullandığından emin olunmalı, tarayıcımızın uyarı verdiği HTTP protokolü kullanılan uygulamalardan kesinlikle kaçınılmalıdır. Bunun sebebi HTTP protokolü ağda şifresiz olarak akmakta ve ağ paketlerinde iletilen veriler açıkça görülmektedir.