Ortada bir bilgi kakafonisidir, uçuşuyor…
“Twitter açıldı ama, VPN’siz girmeyin, TİB hepinizi fişleyecek” diyenler var.
Vaziyet çok basit değil. Ancak, klavyem bastığınca, durumun ne olduğunu anlatayım dedim.
Madde bir. TİB, istediği IP adreslerine servisi kendisi verecek teknolojiye sahip. Mesela, Google DNS (artı Open DNS ve bazı diğer DNS servisleri) için bunu yaptı. Yani DNS’inizde tam olarak hiç bir aşamada güvenemeyeceksiniz.
Peki, “fişleme” namına ne yapabilir?
1. DNS servisini yine zehirleyebilir.
Şu an itibarıyla, twitter.com’un gerçek adresleri şöyle:
199.16.156.102
199.16.156.230
199.16.156.6
DNS zehirlemesi yapıp, bunu başka bir IP’ye yönlendirir. Böyle bir yönlendirmeye karşı savunmanız nedir?
a. Başka bir DNS servisi kullanmak. Bunu çoğumuz öğrendik. Ama IP yönlendirmeyle kandırılıyor olabilirsiniz yine.
b. Hosts dosyanıza ekleme yapmak. Bu, sizin kandırılmanızı engelleyecektir. Linux sistemlerde /etc/hosts, Windows sistemlerde C:\Windows\System32\drivers\etc\hosts dosyasıdır bu. Bunun içine şu satırları ekleyebilirsiniz:
199.16.156.102 twitter.com www.twitter.com
199.16.156.230 twitter.com www.twitter.com
199.16.156.6 twitter.com www.twitter.com
Böylece bu domain’ler arandığında, DNS sorgusu yapmadan, kendi makinanızdan kullanıyor olursunuz. Ama mesela, mobile.twitter.com falan da gerekiyorsa, onları da eklemek gerekir. Bir de, bir değişiklik olduğunda, güncelleme gerekir. Sağlam, ama meşakkatli bir yol.
2. IP yönlendirmesi yaparak, Twitter’ın gerçek adreslerine kendisi servis verebilir.
Aynı “DNS spoofing” gibi, “Twitter spoofing” de yapabilir yani. Burada, onlar açısından bir güçlük, yeterli kuvvette servis verebilmek. Yani Twitter’ın trafiğini kaldırabilmeleri gerekecektir. Ama bunu yapacak kadar paraları olduğunu (!) da gayet güzel biliyoruz.
Bu iki yönetmden biriyle, sizi kendi sunucusu üzerine çekebilir. Anahtar nokta şu: Bunlarda başarılı olsa bile, bu sizi fişlemesi için yeterli olmayacaktır!
Bazı siteler ve tarayıcılar, bağlantının https üzerinden olmasını zorluyorlar. Siz de elinizle https://www.twitter.com yazarak, bunu garantiye alabilirsiniz.
Bağlantıyı https ile kurduğunuz zaman, tarayıcınız, karşı tarafla güvenli bir bağlantı kurar. Karşıdaki sunucunun gerçekten Twitter olduğunu anlamaya çalışır. Bunu da, karşı tarafın gönderdiği sertifikaya bakarak yapar. Öncelikle, sertifika bağlandığı adres için mi çıkartılmış, ona bakar. Bu tamamsa, sertifikanın “imza”sını kontrol eder. Yani, sertifikayı kim imzalamış diye bakar. O imza sahibinin de bir sertifikası vardır. Onun da bir imzası… Nereye kadar? Kök sertifikalara ulaşana kadar. Bu kök sertifikalar da, önceden tarayıcınız tarafından bilinir. Yani, “burası twitter.com olduğunu söylüyor, sertifikayı Ahmet imzalamış, onun sertifikası var, onu Mehmet imzalamış, onun sertifikasını da HedeHödö imzalamış ki, onun kök sertifikası var…” tadında gelişir olay. Twitter durumunda, aslında bu tek adımda gerçekleşiyor.
Bu şartlarda nasıl aldatılabiliriz?
Eğer Twitter, baskıya bel verip, kendi özel sertifikasını TİB’e verirse, çok da güzel kanarız. Tabi onu veren sizin bilgilerinizi de verecektir, dolayısıyla VPN’in de faydası olmaz. Onun için, bu olasılığı analiz dışına itelim.
Sistemin en büyük zayıflığı, “kök serfikalar”… Bunlardan sayıca epey de var. TİB gidip bunların birine, kendisi için, twitter.com adına yeni bir sertifika hazırlatırsa (bu Twitter’ın gerçek sertifikasından farklı olacaktır) gerçekten araya girip, “man in the middle attack” denen şekilde, tüm Twitter haberleşmenizi dinleyip, sizi canavar gibi fişleyebilir…
İşin güzeli, klasik şekilde çalışıyorsa, tarayıcı sertifikanın değişmesini ciddiye almayacaktır, yeni gelen geçerli bir sertifika ise…
Burada, sadece Twitter’a değil, tüm kök sertifika otoritelerine güveniyorsunuz… Hepsi ne kadar güvenilir?
VPN sizi bunan kurtarır mı? VPN sağlayıcıları da aynı saldırıya maruz kalabilir. Yani, TİB’in radarına girecek VPN sağlayıcıları da aynı risk altındadır.
Buna karşı ne yapılır? İlginçtir ki, yapılmışı var… Yukarıdakini okurken sizin de aklınıza gelmiş olabilir.
Yeni konuşulan, muhtelif isimleri olan “certificate pinning” de denen bir şey var. “Sertifika iğneleme”… Yani, her sertifikayı kabul edeceğinize, “doğru” biliğiniz bir sertifikayı belirleyip, aynı site için başka (ve geçerli) bir sertifika görseniz de, kabul etmiyorsunuz onu…
Muhtelif araçlar başlangıç aşamasında…
Güzel haber şöyle: Google Chrome bu “sertifika iğneleme” işini sizin için zaten yapmış durumda. Eğer güncel bir versiyon kullanıyorsanız, Google ve diğer bazı sık kullanılan sitelerin -ki Twitter tüm domain’leriyle dahil buna- sertifkaları iğnelenmiş durumda. (Henüz ayarlarla kendiniz oynayamıyorsunuz.) Yani, TİB kendine bir sertifika yaptırıp araya girmeye kalkarsa ve Chrome kullanıyorsanız, alarmlar çalacak demektir tarayıcınızda…
Chrome kullanıyorsanız, veya başka bir yolla “certificate pinning” yapıyorsanız, VPN kadar güvendesiniz demektir. Ne eksik, ne fazla.
Bundan daha güvenlisi ne olur? Uydu bağlantısı satın alın. TİB kontrolünde olmayan yerden İnternet’e çıkarsanız, size kimse elleşemez…
Durum budur. “Bunlar reklam kokan hareketler” diye düşünen varsa, Google’da hissem falan yok :-).
ismail der ki
“Eğer Twitter, baskıya bel verip, kendi özel sertifikasını Twitter’a verirse, çok da güzel kanarız. ” cümle hatalı olmuş
Tarkan Canbal der ki
Merhaba,
Bizim TIB’in bu kadar büyük birşeyi yapabileceğini sanmıyorum.Ki internetlerimiz bile adil kota adlı saçmalıklar yüzünden aşırı derecede yavaş şu anda 🙂
Halen bir altyapı sorununu çözemediler, ayrıca geçenlerde olan elektrik saldırısını biliyorsunuzdur.Daha bir siber saldırıyı engelleyemiyorlarken, gelip kullanıcı ayrıştırmaları yapamazlar sanırsam 🙂