İngilizce Sniff kelimesinin Türkçe karşılığı koklamak,burna çekmek olarak çevrilmektedir. Ben ise ne zaman sniff kelimesini duysam aklıma hep Redkit’in köpeği Rintintin’in (asıl adı Rantanplan) burnu yerde “sniff sniff” efektleri içinde Daltonları arayışı ve sevimli şapşal şeyler yapması gelmektedir. Çocukluğunda veya gençliğinde Redkit okumuş herkes Rintintin’in ıslak koca siyah burnu ve burnundan her daim süzülen damlasını hatırlayacaktır. Aslında yazımın konusu Rintintin ve burnundaki damlası değil hepimizi yakından ilgilendiren bir güvenlik sorunu olan paket koklama ve bilgi güvenliğidir.
Paket Koklama ne demektir? Paket koklama veya paket analizi lokal ağ üzerinden akış yapan işe yarayabilecek verilerin yakalanması sürecine denmektedir. Paket koklama genellikle sistem yöneticileri tarafından ağ üzerinde var olan problemleri tespit etme veya ağ üzerindeki izinsiz girişleri tespit etmek için kullanılmaktadır. Bu iyi ve pozitif amaçlar için tasarlanmış ve kullanılması düşünülmüş yöntemin ve araçların tabi ki kötü amaçlar için kullanılması kaçınılmazdır.
Peki paket koklama nasıl yapılmaktadır? Paket koklama için geliştirilmiş Wireshark, Ettercap veya NetworkMiner gibi uygulamaların ağ üzerindeki paket trafiğini izleyerek kullanıcıya anlaşılır bilgiler sunabilmektedir. Paket koklama pasif bir tekniktir yani paket koklama yapan kişi ağ üzerinde bulunan veriyi dinlerken herhangi bir bilgisayara saldırmaz, paket koklama sizin sisteminiz ile ağ geçidi (gateway) arasındaki diyaloğu yani veri konuşmasını dinlemektedir. Koklama işlemi pasif bir metod olduğundan dolayı bilgisayarınızda çalıştıracağınız güvenlik duvarları, antivirüsler veya herhangi savunma amaçlı uygulamalar koklama etkinliğinden bir haber olacaklardır.
Bilgisayar kullanıcıları genellikle ağ trafiği üzerinde veri akışı denildiğinde bunun bilgisayarları ile ağ geçidi arasında gerçekleştiğini, bilgisayarlarından internet’e çıkarken bilgilerin direkt olarak router veya switch’e (çoğu adsl modem, hub, ağ cihazları) ulaştığı ve oradan da ağ geçidi üzerinden internet’e çıktığını düşünmektedirler. Bu karışık cümle aslında kısmen doğrudur yani bilgisayarınızdan internete girmek istediğinizde veriler bilgisayar-switch-ağ geçidi üzerinden yol izlemektedir. Ancak bu işlem direkt olarak gerçekleşmemektedir. Bir istem verisi bilgisayarınızdan çıktıktan sonra ağınıza bağlı tüm diğer sistemlere veya switch’lere ulaşmakta ve bu lokasyonlar gelen paketlerin kendilerine ait olup olmadığına karar vererek kabul veya reddetmektedirler.
Bu süreci örnekleyecek olursak ;
Bilgisayarınızın web tarayıcısına
http://www.penguenci.net adresini yazdığınızda bilgisayarınız bu istemi ağdaki tüm ağ aygıtlarına (fiziksel olarak kablolu veya kablosuz bağlı olan router,switch,hub,adsl modem switch) ve bu ağ’a bağlı diğer bilgisayarlara (fiziksel olarak kablolu veya kablosuz bağlı olan) ulaştırmakta ve basit olarak bilgisayarlar bu istemi reddetmektedirler. Ağ aygıtınız olan router veya switch’iniz bu istemi kabul ederek size bu bağlantıyı sunmak üzere gerekli bağlantıları ve işlemleri yaparak cevap vermektedir. Verilen bu cevap yine ağ üzerindeki tüm bağlı sistemlere ulaşmakta ancak bir tek sizin bilgisayarınız bu istemi yaptığı için kabul etmekte diğerleri reddetmektedirler. İşte bu noktada ağınız üzerinde paket koklayıcı bir sistem bulunuyor ve o anda aktif olarak ağınızdaki paket trafiğini kokluyorsa size gönderilen bilginin aynısını bu bilgisayarda alacaktır.
Paket koklama yöntemi ile ağımızda fiziksel olarak bağlı olan başka bir bilgisayar ruhumuz bile duymadan verilerimizi ele geçirebilmektedir.Peki ne tür veriler koklanabilmektedir? Aslında bu sorunun cevabı basittir, internet basit metin (plain text) tabanlı çalışmaktadır. Bu da basit metinlerin ağınızda bulunan paket koklayıcısı tarafından kolayca elde edilebilmesi anlamına gelmektedir. Dolayısıyla aslında internet’e çıktığınız andan itibaren kullandığınız tüm kodlanmamış/şifrelenmemiş (unencrypted) veriler kolayca elde edilebilmektedir. Ancak bağlandığınız site sizinle SSL gibi kodlanmış/şifrelenmiş (encryption) yöntemlerle haberleşiyorsa bu bilginizin daha güvenli olduğunu göstermektedir.
Bu noktada insanların aklına şu soru gelecektir; Kullanıcı adı ve parolalarım güvende mi? Cevap gayet basit ; Hayır, çoğu web sayfasında kullanılan formlarda bilgiler basit metinlerdir ve rahatlıkla koklanabilinir. Şayet çeşitli amaçlar için kullandığınız parolalar hep aynı ise ağınızı dinleyen ve koklayan kişinin amaçlarına ulaşması için işini kolaylaştırıyorsunuz demektir.
Paket koklama verilerin toplanması ve okunabilmesinin dışında çeşitli yöntemlerle kişinin (kurban mı desem?) bilgisayarından oturum bilgilerini de elde etmesi ve bunu kullanması söz konusu olabilmektedir. Örneğin Session Hijacking denilen yöntem ile kurbanın internet tarayıcısında girdiği sitenin oluşturduğu oturum çerezlerini (session cookie) koklayabilmekte ve bunu kullanabilmektedir. Bir örnek verecek olursak siz sosyal paylaşım sitelerine giriş yaparken her seferinde kullanıcı adı ve parola bilgileri girmemek için “beni bu bilgisayarda hatırla” gibi bir giriş politikası işaretlediğinizde bu site bilgisayarınızda bir oturum çerezi oluşturacaktır. Paket koklama yöntemi ile ağınızda bulunan diğer bir bilgisayar bu oturum çerezini koklayarak elde edebilir ve bu çerezi kendi tarayıcısına ekleyerek hesabınıza giriş yapabilir. Bu basit yöntemin yanı sıra daha karmaşık yöntemler geliştirilmekte ve güvenlik daha ürkütücü bir şekilde delinmektedir. Örneğin Firefox web tarayıcısı üzerine geliştirilmiş bir eklenti ile ağ üzerinde dolaşan kodlanmamış/şifrelenmemiş oturum çerezlerinin toplanması ile bu bilgilerin eş zamanlı olarak saldırganın/koklayıcı sistemin web tarayıcısına aktarılması ile ağ üzerinde girdiğiniz web sayfaları, baktığınız fotoğraf/video veya indirdiğiniz dosyaların gerçek zamanlı izlenmesini sağlamaktadır. Ayrıca tüm bunların sadece web sayfalarından akan veriler olarak düşünmemeli e-posta iletişiminde ciddi tehlikeler altında olduğunu unutmamak gerekmektedir.
Bu korkutucu tablo karşısında kullanıcının kendini koruması, bilgilerinin güvenliğini sağlaması için yapılabilecek bir çok şey mevcuttur (aslında korunma başlı başına bir yazının konusudur). Elbette bu iş için geliştirilmiş Antisniff Toolbox gibi veya buna benzer yazılımlar ile ağı dinleyen/koklayanlar tespit edilebilinir. Sisteminizin ve ağınızın yapısını öğrenmeli ve ağınıza fiziksel olarak giriş yapabilecek riskleri ortadan kaldırmalısınız. Ayrıca ağınız orta ölçekli veya büyük ölçekli bir ağ yapısında ise ağınızda kullanılan günümüz ağ switchleri veri paket trafiğini tüm sistemlere değil sadece istem yapan sisteme göndererek akıllı trafiği yönetmekte, hem trafiği azaltmakta hem paket çakışmalarını engellemektedir. Belki de kullandığınız switch’lerin bu güvenliği sağlayıp sağlamadığını da öğrenmek rahat nefes almanızı sağlayacaktır.
Son olarak kablosuz ağların kablolu ağlar kadar tehlikeli olduğunu, özellikle kamusal alanda kullandığınız ortak kablosuz ağlarda koklama işlemlerinin kolaylıkla yapılabileceğini unutmamak gerekmektedir. Kablosuz ağlar WEP veya WPA gibi şifreleme yöntemleri ile sadece erişim koruması olduğunu, aynı ağa dahil sistemlerin havada uçuşan bilgilerinizi aynı WEP veya WPA anahtarlarına sahip oldukları için rahatça yakalayabileceklerini, koklayabileceklerini unutmayın. Bir pazar günü alışveriş merkezindeki Cafe’de kahvenizi koklayarak ve yudumlayarak internette dolaşırken ilerideki masadaki dizüstü bilgisayardan paketlerinizin koklanabileceğini aklınızdan çıkarmayınız.
penguenci.net
