Yukarıdaki ekran görüntülerine baktığınızda resmi ve güvenli bir site olduğunu düşünüyorsanız yanılıyorsunuz. Chrome tarayıcının şu anki sürümünü (57.0.2987) ya da Firefox’un şu anki sürümünü (52.0.2) kullanıyorsanız siteleri daha yakından incelemek için bağlantılara tıklayın http://www.apple.com https://www.epic.com

Şimdi de orjinal siteleri ziyaret edelim https://www.apple.com http://www.epic.com Internet Explorer ya da Safari tarayıcılarını kullanıyorsanız durumun farkına varmış olmanız gerek.

Size sanki bankanızdan gelmiş gibi bir mail atılmış olsun ve bağlantıya tıkladığınızda bankanın gerçek sitesinde dolaştığınızı sanarken aslında banka sitesini klonlayan saldrıgan arkaplanda bilgilerinizi çalıyor olabilir. Peki yukardaki örneklerde orjinal siteyle sahte arasında ki fark ne? Alan adları aynı görünmesine rağmen nasıl farklı sitelere ulaştık?

Şimdi http://www.apple.com ssl sertifikasına bakalım.

İlk başta Firefox alan adını normalmiş gibi gösterirken sertifikayı görüntülediğimizde www.xn--80ak6aa92e.com adresini görüyoruz. Bu arada büyük bir uyarı yapalım  ssl sertifikası olan her  site güvenlirdir diye algı var var fakat bu tamamen yanlıştır.

Eskiden sadece kısıtlı karakterlerde alan adı kaydı yapabiliyorduk. İçinde ingilizce karakterler  a-z, A-Z, 0-9 ve ‘-” dışında alan adlarını kayıt etmemiz izin verilmiyordu. Bu kural kendi dilimizde alan adı almamızı engelliyordu. Farklı dillerdeki karakterleri de kayıt edebilmemiz için internationalized domain name (IDN) standardı oluşturuldu. Türkçe ya da diğer dillerdeki özel karakterleri içeren alan adları kayıt edebilmemize olanak sağlandı.

IDN standartları, var olan alan adı sistemini yeniden tasarlamaktan ziyade var olanı genişletmeye yönelik oluşturuldu. Bu yüzden unicode’u ASCII şekilde ifade edebilmek için punycode oluşturuldu. Böylece çince ya da türkçe gibi dillerdeki karakterleri punycode ile ascii karakterlere çevirebiliyoruz.

Örneğin özgürmüyüyüz.com alan adını almak istediğimizde zgrmyyz-80a0dcbb.com punycode olarak çevirlir ve ASCII uyumluluğunu belirtmek için başına “xn--” ön eki eklenir. Kısaca özgürmüyüyüz.com karşımıza xn--zgrmyyz-80a0dcbb.com olarak çıkar.

Japonca 天照  (katakana: amaterasu) kelimesini örnek alalım. 天照.com alan adını almak istediğimde ASCII uyumlu xn--rss077c.com’a çevrilir punycode sayesinde de her iki şekilde siteye erişebiliriz.

Punycode’u öğrendiğimzie göre apple’a geri dönelim. apple.com hali hazırda ASCII uyumlu iken sahte sitemiz xn--80ak6aa92e.com  olarak gözüktü çünkü “a” karakteri kiril alfabesine göre kayıt edilmiş.

https://unicode-table.com/en/#control-character  adresinden 0061. karakter latin alfabesinde ki “a” iken 0430.karakterin kiril alfabesinde ki “а” olduğunu görebilrisiniz.

Firefox ve chrome bir sonraki güncellemelerinde siteleri adres satırında unicode yerine punycode olarak gösterecek böylece bu tarz aldatmaların farkına varabileceksiniz.

Firefoxta güncellemeyi beklemeden tarayıcının gelişmiş ayarlarından punycode görüntülenemsini sağlayabilirsiniz. Bunun için adres satırına about:config  yazıp,  network.IDN_show_punycode  saıtınındaki false değerini true olarak güncelleyebilirsiniz.

TR | IDN Homograph Attack Gökay Atar

Merhabalar, hepimiz internette özgürce dolaşıyoruz. Güvenliğimiz için özellikle kişisel bilgilerimizi paylaştığımız sitelerde SSL sertifikası arıyoruz. Teori de biri bizim internet trafiğimizi dinlese bile https ile bağlandığımız sayfa ile olan paketlerimizden anlamlı veri çıkartamaz. CVE-2016-0800 zafiyeti ile birlikte SSLv2 ile yapılan şifreli bağlantıların detaylarına erişilebilmektedir. Artık güvensiz olarak bilinen SSLv2 protokolünün zafiyetinin ayrıntılı bilgileri Mart 2016’da açıklandı. Zafiyeti ilk olarak açıklayanlar Nimrod Aviram and Sebastian Schinzel adında güvenlik araştırmacılarıdır.

SSLv2 zafiyeti açıklandıktan sonra araştırmacılara göre ortalama 1000 oturum bilgisi içerisinden el sıkışma paketi çıkarılabilmektedir. Saldırgan bu paketleri topladıktan sonra sunucuya birçok SSLv2 bağlantısı açar. Bu bağlantılarda saldırgan 40-bit (SSLv2 EXPORT şifreleme) veya 56-bit (DES suitleri) oturum anahtarına kaba kuvvet saldırısı yapar. Bu saldırıyı örneğin cloud ve çoklu GPU ortamlarından yapabilir. Araştırmacılara göre yaklaşık 40000 bağlantı ile saldırganın “premaster gizli anahtarı” şifresini çözebildiği belirtilmiştir. Bu gizli anahtar simetrik oturum anahtarları üretmekte kullanılmaktadır. Dolayısıyla kaydedilen tüm SSL/TLS oturumlarının şifreleri çözülebilmektedir.

Şifreli trafiğin içeriğinin görüntülenmesi sonucunda elde edilebilecek bazı bilgiler şu şekilde,

• Kredi kartı bilgileri
• Kullanıcı adı, parola bilgileri
• Email adresi ve parolası
• Email içeriği vb. kişisel bilgiler

Sistemlerinizin bu zafiyetten etkilenip etkilenmediğini kontrol etmek için aşağıdaki uygulamalar kullanılabilir:

• Online Drown check için tıklayın.
• Drown scanner için tıklayın.

Drown zafiyetinden korunmak için ne yapılmalı?

DROWN zafiyetinden korunmak için özel anahtar (private key) kullanılan sunucularda SSLv2 bağlantılarına izin verilmediğinden emin olunmalıdır.

SSLv2’nin devre dışı bırakılması karmaşık veya sunucu yazılımına bağlı olabilir. SSLv2’nin tamamen kapatılmalısı için ürün bazlı açıklamaları aşağıda bulabilirsiniz:

Open SSL

Open SSL 1.0.2 kullan sistemler Open SSL 1.0.2g

Open SSL 1.0.1 kullan sistemler Open SSL 1.0.1s sürümüne yükseltmelidir.

Bu sürümler dışında kullanılan Open SSL’ler belirtilen güvenli sürümlere yükseltilmelidir.

IIS

IIS 7 ve sonrasında varsayılan olarak SSLv2 desteklenmemektedir. (Ayarlarınız değiştirilmiş ise düzeltmeniz gereklidir.)

IIS 7’den düşük sürümler Microsoft tarafından desteklenmemektedir.

Diğer

Web ve mail sunucuları başta olmak üzere tüm TLS protokolü ile şifreli iletişim kullanan servislerin SSLv2 kullanımı kapatılmalıdır.

TR | Drown Attack Sinan Şahin