Murat Çeşmecioğlu

Kişisel Web Sitesi

Kablosuz ağlara saldırı yapabilmek için bir çok yöntem var. Birkaç tanesinin mantığını elimden geldiği kadar anlatayım.

Senaryo 1: MITM Saldırısı

Ağa bağlı olan saldırgan, ağdaki diğer bilgisayarlara sahte ARP paketleri göndererek ARP tablolarını zehirler. Böylece saldırgan, kullanıcılara kendini modem olarak tanıtarak kullanıcılardan gelen paketleri okur, tekrar modeme gönderir ve gelen cevabı kullanıcıya iletir. Bu şekilde gelen-giden http istekleri ve form verileri, FTP-POP3 gibi protokollerin şifrelerinde erişilebilir.

Senaryo 2: DNS Spoofing

Başlangıç yine önceki saldırı gibidir. Saldırgan, modem ve kullanıcı arasına girerek paketleri okur. Kullanıcıdan gelen DNS isteklerini yanıtlayan saldırgan, kullanıcıyı kendi bilgisayarındaki sahte bir sayfaya ulaştırır. Bu durumda oturum bilgileri http üzerinden iletileceği için saldırgan tarafından okunabilir.

Senaryo 3: Sahte Erişim Noktası

Saldırgan, etraftaki kablosuz erişim noktalarından biriyle aynı isimde bir ağ kurar. Gerçek ağa bağlı kullanıcıları ağdan düşürmek için modeme bağlantı kesme paketleri gönderir. Aynı isimdeki sahte ağa bağlanan kullanıcılara saldırgan tarafından IP ataması yapılır. Eğer saldırgan ikinci bir kartla ya da kablolu bağlantıyla internete bağlıysa sahte ağ üzerinden, daha gerçekçi olması için, internet paylaşımı yapabilir. Bu durumda saldırganın MITM saldırısı yapmasına gerek yoktur. Zaten kendisi modem olarak çalışmaktadır. DNS spoofing ile sahte web sayfalarını kullanıcılara göndererek http trafiğini kontrol edebilir.

Sahtep Erişim Noktası saldırısıyla ilgili çektiğim videoyu izlemek için buraya tıklayınız.

Bilindiği gibi 28 Mayıs 2010 akşamı eksisözlük, incisözlük tarafından saldırıya uğradı. Kullandıkları yöntem gerçekten çok güzeldi. İncisözlük’ü sevmesemde kullandıkları yöntemi beğendim. Tam anlamıyla ekşisözlük kendi kendini hemoliz etti :)
Olay şöyle gelişti:

İlk başlangıcını bilmiyorum ama tahminin birisi, bi entry’ye link yazdı. Peki bu linkte ne vardı?

Bu linkte sahte bir sayfa açılıyor. Sayfanın içinde 3 tane iframe var.

1. frame: Rastgele oluşturulmuş yeni başlık açma formu otomatik olarak ekşisözlük’e gönderiliyor. Yani giriş yaptıysanız ve linke tıkladıysanız yeni başlık açmış oluyorsunuz.

2. frame: Üyelerden rastgele birisine özel mesaj yazma formu gönderiliyor. Tabiki yine otomatik olarak. Mesajda  zararlı link var.  Tıklayanların cookie bilgileri çalınıyor.

3. frame: Yine bir özel mesaj linki var.

Sonuç olarak güzel düşünülmüş bir saldırıydı. 500’e yakın üyenin cookie bilgileri çalındı. Sanırım bilgileri çalınanları uçurdular sözlükten. BENİ DE UÇURDULAR :(

Neyse ekşisözlük’e geçmiş olsun diyorum ve ssg’nin rövanşını iple çekiyorum :)

Düzenleme: Bilgiler çalışmamış. Sadece kullanıcı isimleri alınmış. Beni de yanlışlıksa uçurmuşlar, tekrar düzeltmişler. afferin..