Neden Halka Açık Kablosuz Ağları Kullanmamalıyız?
Güneşli bir günde hem hava almak hem de kafanızı dağıtmak için bir kafeye ya da restorana gittiğinizi düşünün. Masaya oturduğunuzda büyük ihtimal gittiğiniz mekanın kablosuz ağ parolasını istiyor olacaksınız. Peki neden halka açık kablosuz ağları kullanmamalısınız?
Bir ağa (kablolu ya da kablosuz fark etmeksizin) dahil olduğunuzda ağ içerisindeki diğer bilgisayarlala iletişim haline geçiyor olacaksınız. Farkında bile olmadan bir siber saldırgan bağlandığınız ağın yönlendirici (router) cihazı ile bilgisayarınız arasına girerek sizden çıkan ve size gelen tüm ağ trafiğini izler konuma gelebilmektedir. İki cihazın arasına girmeyi başaran siber saldırgan sosyal medya hesap bilgilerinize, kredi/banka kartı bilgilerinize yani kısaca hassas olan tüm verilerinize erişim sağlayabilir. Bu saldırının hedef cihazlar ve o cihazların kullanıcıları tarafından tespit edilebilmesi normal koşullarda çok mümkün değildir.
bedava internet
Siber Saldırgan İki Cihaz Arasına Nasıl Girer?
Bir ağa dahil olduğunuzda DHCP (Dynamic Host Configuration Protocol/Dinamik Sunucu Yapılandırma Protokolü) servisi tarafından bilgisayarınızın internete erişmekte kullandığı arayüze (interface) bir IP (Internet Protocol/İnternet Protokolü) adresi atanır. Bu adres her ne kadar o ağdaki bilgisayarınızı tanımlıyor olsa da tek başına iletişim için yeterli değildir. Bu sorunu çözebilmek için MAC (Media Access Control/Medya Erişim Kontrolü) adresleri arayüz cihazlarına özgü olarak fabrika çıkışlı atanmış olacaktır.
Bir MAC adresi örneği: 0b:25:ee:92:fa:e7.
veri hırsızlığı
Peki bu MAC adresleri nasıl ve nerede kullanılıyor? İki cihaz birbirleriyle iletişim kurmadan önce IP-MAC eşleştirmesini gerçekleştirir. Bunun sonucunda iki cihaz artık fiziksel olarak birbirlerini tanıyor olacaktır.
Teknik olmayan bir bakış açısıyla IP-MAC eşleştirmesi:
A (10.0.0.2 - 0b:25:ee:92:fa:e7)
B: (10.0.0.3 - 9e:0a:d5:09:70:35)
A: 10.0.0.3 IP adresi kime ait bana (10.0.0.1 - 0b:25:ee:92:fa:e7) söyleyebilir mi? (Tüm cihazlara gönderilir.)
B: A cihazı 10.0.0.3 IP adresi bana (9e:0a:d5:09:70:35) ait.
Bu etkileşim sonrası artık iki cihazın IP-MAC eşleştirme tablosuna bakalım.
A cihazı:
9e:0a:d5:09:70:35 cihazı 10.0.0.3 IP adresine sahip.
B cihazı:
0b:25:ee:92:fa:e7 cihazı 10.0.0.2 IP adresine sahip.
Her ne kadar B cihazı A’nın IP-MAC eşleştirmesini gerçekleştirmek için bir paket göndermemiş de olsa A gönderdiği pakette kendisini tanıttığı için artık B de A’yı tanımaktadır.
Bundan sonraki aşamada A cihazı B cihazına bir paket göndermek istediğinde B’nin IP adresinin yanında fiziksel adresini (MAC) yazar. Eğer IP adres doğru MAC adres farklı ise bu paket B’ye ulaşamayacaktır. İşte burası en önemli nokta. Ortama saldırgan bir C cihazının girdiğini düşünelim. C eğer A’yi B cihazı gibi sorgularsa ne olur?
C (10.0.0.4 - 35:f6:ac:b8:17:0f)
C: 10.0.0.1 IP adresi kime ait bana (10.0.0.2 - 35:f6:ac:b8:17:0f) söyleyebilir mi? (Tüm cihazlara gönderilir.)
A: C cihazı 10.0.0.1 IP adresi bana (0b:25:ee:92:fa:e7) ait.
Bu etkileşim sonrası artık iki cihazın IP-MAC eşleştirme tablosuna bakalım.
A cihazı:
35:f6:ac:b8:17:0f cihazı 10.0.0.2 IP adresine sahip.
C cihazı:
0b:25:ee:92:fa:e7 cihazı 10.0.0.1 IP adresine sahip.
Bir dakika… C cihazının IP adresi 10.0.0.4 değil miydi? Evet bunu düşünüyor olabilirsiniz zaten asıl olay burada başlıyor. Artık A, B’ye (10.0.0.2) bir paket göndermek istediğinde C’nin MAC adresini yazacağı için B’ye gitmesi istenen tüm paketler C’ye gidecektir ve bundan A’nın haberi bile olmayacak.
IP-MAC adres eşleştirmesi hakkında daha detaylı ve teknik bilgi edinmek için yazıma buradan ulaşabilirsiniz.
Kendimizi Nasıl Koruyabiliriz?
Kendinizi koruyabilmenin en basit ve etkili çözümü halka açık hiçbir ağa dahil olmamaktır. Eğer herhangi bir mecburiyetiniz varsa aklınızda bulunması gereken birkaç ipucunu derledim.
VPN (Virtual Private Network/Sanal Özel Ağ) Servisi Kullanınız
VPN günümüzde her ne kadar yasaklı web sitelere girmek için kullanılsa da aslında etkisi bundan daha fazladır. VPN ağına dahil olduğunuzda VPN servisiniz ve bilgisayarınız arasındaki ağ trafiği şifreli bir şekilde gerçekleşecektir. Bu da demek oluyor ki ağ trafiğinizi izleyen bir saldırgan hassas verilerinizi okuyamaz bir konuma gelecektir. Fakat VPN servisi seçimi konusunda titiz davranılmalıdır. VPN servisi ağ şifreleme konusunda ne kadar başarılı ise sizin için en iyi seçeneklerden bir tanesi olmalıdır.
vpn
Hassas Verilerinizi Kullanmayınız
VPN servisine erişiminiz yok fakat halka açık bir ağa dahil olmanız gerekmekte. Bu durumda mümkün olduğu kadar hassas verilerinizi internet üzerindeki servislerle paylaşmayın. Mesela bir sosyal medya web sitesine kullanıcı girişi yapmamalısınız ya da banka işlemlerinizi kesinlikle gerçekleştirmeyiniz. Böylelikle ağ trafiğinizi izleyen siber saldırgan çok fazla hassas veriye erişemeyecektir.
HTTPs Bağlantılarını Tercih Ediniz
Bir web sitesini ziyaret etmek istediğinizde HTTP ya da HTTPs ibaresinin alan adından önce geldiğini fark etmişsinizdir. HTTP web trafiğinin şifrelenmeyen protokolüdür. Tüm veriler açık bir formatta ağlar içerisinde gezer. Bundan dolayı web trafiğinizi izleyen bir saldırgan her veriyi rahatça okuyabilir. Fakat HTTPs web trafiğinin şifreli olan bir protokolü olduğu için web trafiğiniz saldırgan tarafından okunamaz.