İçeriğe atla

İndirgeme saldırısı

İndirgeme saldırısı veya sürüm geri alma saldırısı, bir bilgisayar sistemine veya iletişim protokolüne yapılan yüksek kaliteli çalışma modunu (örneğin, şifreli bir bağlantı) terk etmesini sağlayarak genellikle eski sistemlerle geriye dönük uyumluluk için sağlanan daha eski, daha düşük kaliteli bir çalışma moduna (örneğin, açık metin) geçiş yapılmasıyla gerçekleşen bir kriptografik saldırı türüdür. OpenSSL'de, saldırganın istemci ve sunucu arasında TLS'nin daha düşük bir sürümünün kullanılmasını müzakere etmesine izin veren böyle bir kusur örneği bulundu.[1] Bu, en yaygın sürüm indirgeme saldırı türlerinden biridir. Başka bir örnek ise, web trafiğini sırasında araya girmek ve kullanıcıyı bir web sitesinin güvenli, HTTPS sürümünden şifrelenmemiş bir HTTP sürümüne yönlendirmektir.

Saldırı

Sürüm indirgeme saldırıları genellikle ortadaki adam saldırısının (MITM) bir parçası olarak uygulanır ve aksi halde mümkün olmayabilecek bir şifreleme saldırısını etkinleştirmenin bir yolu olarak kullanılabilir. Sürüm indirgeme saldırıları SSL/TLS protokol ailesi ile süregelen bir sorundur; bu tür saldırılara örnek olarak POODLE saldırısı verilebilir.

TLS protokolündeki sürüm indirgeme saldırıları birçok şekilde olabilir. Aşağıda araştırmacıların dört başlıkta sınıflandırmış olduğu indirgeme saldırılarını vardır:

    • Hedef alınan protokol unsuru
      • Algoritma
      • Versiyon
      • Katman
    • Saldırıya sebebiyet veren zafiyet türü
      • Uygulama
      • Tasarım
      • Güven modeli
    • Saldırı methodu
      • Düşürme
      • Değiştirme
      • Enjekte etme
    • Saldırının sebep olduğu hasar seviyesi
      • Güvenliğin kırılması
      • Güvenliğin zayıflatılması

İstemcilerin eskide kalmış sürümlere olan desteğini veya önerilmeyen şifre paketlerinin (örneğin, iletme gizliliğini veya kimlik doğrulamalı şifrelemeyi desteklemeyen) kullanılmasını kötüye kullanan belirli indirgeme ataklarına karşı hassas alan adlarını korumak için TLS istemcilerini (örneğin, web tarayıcıları) devreye sokan, önceden bilgi sahibi olmak (prior knowledge) konseptini kötüye kullanan POODLE, ClientHello[2] fragmentation,[3] ve DROWN saldırısının bir türü ("the special drown" olarak da bilinir) gibi bazı güncel indirgeme saldırıları mevcut.[4][5]

Geriye dönük uyumluluğu kaldırmak, eski sürüme geçme saldırılarını önlemenin genellikle tek yoludur. Ancak, bazen istemci ve sunucu birbirlerinin güncel teknolojileri kullandığını anlayabilir ve indirgemeye izin vermez. Örneğin, bir web sunucusu ve kullanıcı aracısı hem HTTP Katı Taşıma Güvenliği uygularsa hem de kullanıcı aracısı sunucunun bu bilgisini biliyorsa (daha önce HTTPS üzerinden erişerek veya "önyüklü HSTS listesinde" olduğu için [6][7][8]), kötü niyetli yönlendirici onu ve sunucuyu birbirlerine HTTPS desteklemiyor olarak gösterse bile, kullanıcı aracısı siteye basit HTTP üzerinden erişmeyi reddeder.

Kaynakça

  1. ^ "Man-in-the-Middle TLS Protocol Downgrade Attack". Praetorian (İngilizce). 17 Mart 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Nisan 2016. 
  2. ^ ldapwiki. "ClientHello". 17 Mart 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ocak 2019. 
  3. ^ Beurdouche, B., Delignat-Lavaud, A., Kobeissi, N., Pironti, A., Bhargavan, K. (2015). FLEXTLS A Tool for Testing TLS Implementations. 9th USENIX Workshop on Offensive Technologies ({WOOT} 15. USENIX. Erişim tarihi: 30 Ocak 2019. 
  4. ^ Alashwali, E. S. and Rasmussen, K. (2018). On the Feasibility of Fine-Grained TLS Security Configurations in Web Browsers Based on the Requested Domain Name (PDF). 14th Int. Conf. in Security and Privacy in Communication Networks (SecureComm). Springer. ss. 213-228. 31 Ocak 2019 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 30 Ocak 2019. 
  5. ^ Alashwali, E. S. and Szalachowski, P. (2018). DSTC: DNS-based Strict TLS Configurations (PDF). 13th Int. Conf. on Risks and Security of Internet and Systems (CRISIS). Springer. 30 Ocak 2019 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 30 Ocak 2019. 
  6. ^ "Strict Transport Security". The Chromium Projects. 8 Temmuz 2010. 1 Eylül 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Temmuz 2010. 
  7. ^ "Preloading HSTS". Mozilla Security Blog. 1 Kasım 2012. 24 Şubat 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Şubat 2014. 
  8. ^ "HTTP Strict Transport Security comes to Internet Explorer". 16 Şubat 2015. 15 Kasım 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Şubat 2015. 

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">HTTP</span> iletişim protokolü

HTTP bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür. HTTP, World Wide Web için veri iletişiminin temelidir; burada köprü metni belgeleri, örneğin bir fare tıklamasıyla veya bir web tarayıcısında ekrana dokunarak kullanıcının kolayca erişebileceği diğer kaynaklara köprüler içerir.

Bilgi işlemde, İnternet Mesaj Erişim Protokolü (IMAP), e-posta istemcilerinin bir TCP/IP bağlantısı üzerinden bir posta sunucusundan e-posta mesajları almak için kullandığı bir İnternet standart protokolüdür. IMAP, RFC 9051 tarafından tanımlanır.

<span class="mw-page-title-main">DNS</span>

DNS, internet uzayını bölümlemeye, bölümleri adlandırmaya ve bölümler arası iletişimi organize etmeye yarayan, bilgisayar, servis, internet veya özel bir ağa bağlı herhangi bir kaynak için hiyerarşik dağıtılmış bir adlandırma sistemidir.

<span class="mw-page-title-main">Dosya aktarım iletişim kuralı</span> Bilgisayarcılık terimi

Dosya aktarım iletişim kuralı,, bir veri yığınının - ASCII, EBCDIC ve binary- bir uç aygıttan diğerine iletimi için kullanılmaktadır.

HTTPS bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

<span class="mw-page-title-main">Vekil sunucu</span>

Vekil sunucu veya yetkili sunucu, İnternet'e erişim sırasında kullanılan bir ara sunucudur. Bu durumda, örneğin bir ağ sayfasına erişim sırasında doğrudan bağlantı yerine:

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

İngilizce: Lightweight Directory Access Protocol veya kısaca LDAP TCP/IP üzerinde çalışan indeks servislerini sorgulama ve değiştirme amacıyla kullanılan uygulama katmanı protokolü.

<span class="mw-page-title-main">Aradaki adam saldırısı</span>

Man-in-the-middle saldırısı, saldırganın birbiri ile doğrudan iletişim kuran iki taraf arasındaki iletişimi gizlice ilettiği veya değiştirdiği saldırı türüdür. İletişim ağı üzerinde veri paketleri serbestçe dolaşır. Özellikle broadcast olarak salınan paketler, aynı ağa bağlı tüm cihazlar tarafından görülebilir. İlkesel olarak hedefinde kendi IP'si olmayan bir paketi alan makinelerin, bu paketlerle ilgili herhangi bir işlem yapmamaları gerekir. Ancak istenirse bu paketlere müdahale edebilir ya da içeriğini öğrenebilirler. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.

<span class="mw-page-title-main">Heartbleed</span>

Heartbleed, Taşıma Güvenliği Katmanı (TLS) protokolü gerçekleştiriminde geniş biçimde kullanılan, açık kaynak kodlu kriptografi kütüphanesi OpenSSL'de 2014 yılı Nisan ayında tespit edilen bir yazılım hatasıdır. Heartbleed bu TLS için kullanılan OpenSSL örneğinin, istemci ya da sunucu olduğu fark etmeden kötü niyetle kullanılabilir. Bu açık sayesinde bir saldırgan sunucu hafızasından veri okuyabildiği gibi, bir sunucunun SSL özel anahtarlarını da ele geçirebilir.

POODLE atağı(Açılımı Padding Oracle On Downgraded Legacy Encryption) web tarayıcılarının SSL 3.0 mekanizmasının avantajından faydalanan ortadaki adam atağıdır.

Sunucu Adı Göstergesi (SNI) bir TLS protokolü uzantısı. Güvenli SSL bağlantısı oluşturulurken el sıkışma (handshake) sürecinin başlagıcında, istek içerisinde geçen sunucu adının (hostname) dijital sertifikasını doğrular. SNI teknolojisi aynı IP adresi ve TCP portu üzerinden birden fazla güvenli web sitesi için doğrulama işlemini gerçekleştirdiğinden, daha önceden SSL kullanmak için gerekli olan sabit IP zorunluluğunu ortadan kaldırır.

HTTP/2 Dünya Çapında Ağ Birliği tarafından kullanılan HTTP ağ protokolünün ikinci ana sürümüdür. SPDY tabanlıdır. HTTP/2, İnternet Mühendisliği Çalışma Kolu'nun Hiper Metin İletim Protokolü çalışma grubu(httpbis, bis burada “tekrar” veya “iki defa” anlamına gelmektedir.) tarafından geliştirilmiştir. HTTP/2, 1997'de RFC 2068 bünyesinde standart haline getirilen HTTP 1.1'den beri gelen ilk yeni HTTP sürümüdür. Çalışma grubu HTTP/2'yi IESG'ye önerilen standart olarak incelenmesi için 2014 Aralık ayında sunmuştur ve IESG 17 Şubat 2015'te bunun önerilen standart olarak yayınlanmasını onaylamıştır. HTTP/2 belirtimi 2015 Mayıs ayında RFC 7540 olarak yayınlanmıştır.

<span class="mw-page-title-main">Drown atağı</span>

DROWN atağı TLS protokol takımının, artık güvensiz olarak bilinen SSL v2 protokolünü desteklemesi sebebiyle yapılabilmektedir. DROWN, TLS ile hizmet veren bununla birlikte SSL v2 protokolünü destekleyen ve iki protokol arasında aynı açık anahtar bilgilerini paylaşan tüm sunucular üzerinde etkilidir. Ek olarak eğer açık anahtar sertifikası SSLv2 destekleyen farklı bir sunucu üzerinde kullanılıyor ise, TLS sunucusu yine bu zafiyetten etkilenerek bilgi sızıntısına maruz kalmaktadır.

<span class="mw-page-title-main">Apple Anında İlet Bildirim Servisi</span>

Apple Anında İlet Bildirim Servisi Apple tarafından oluşturulan, üçüncü şahıs uygulama geliştiricilerinin Apple aygıtlarında yüklü olan uygulamalara bildirim verileri göndermesine olanak tanıyan bir platform bildirim hizmetidir. Gönderilen bildirim bilgileri rozetleri, sesleri, gazete bayii güncellemelerini veya özel metin uyarılarını içerebilir. İlk kez 17 Haziran 2009'da IPhone OS 3 ile başlatıldı. Yerel uygulamalara yönelik APN'ler daha sonra Mac OS X Lion sürümüyle başlayarak Mac OS X API'sine eklendi. Web sitesi bildirimleri için destek daha sonra OS X Mavericks sürümüyle birlikte eklendi.

<span class="mw-page-title-main">WebSocket</span> bilgisayar iletişim protokolü

WebSocket, tek bir TCP bağlantısı üzerinden tam çift yönlü iletişim kanalı sağlayan bir bilgisayar iletişim protokolüdür. WebSocket protokolü IETF tarafından 2011 yılında RFC 6455 ile standart hale getirilmiş ve WebIDL içerisindeki WebSocket API W3C tarafından standart hale getirilmektedir.

<span class="mw-page-title-main">Açık anahtar sertifikası</span>

Açık anahtar sertifikası ya da bilinen diğer adıyla dijital sertifika, açık anahtar sahipliğinin kanıtlanmasında kullanılan bir elektronik dokümandır. Sertifika, anahtar hakkında bilgiler, sahibinin kimliği hakkında bilgiler ve sertifikanın içeriğini doğrulayan bir varlığın dijital imzasını içerir. İmza geçerliyse ve yazılım, incelediği sertifikanın sağlayıcısına güveniyorsa, sertifikanın öznesi ile güvenli bir şekilde iletişim kurmak için bu anahtarı kullanabilir. E-posta şifreleme, kod imzalama ve elektronik imza sistemlerinde özne genelde bir kişi ya da kuruluştur. Ancak, Transport Layer Security (TLS)’de özne genelde bir bilgisayar ya da farklı aygıt olmasına rağmen TLS sertifikaları, cihazları tanımlamasındaki temel rollerine ek olarak kuruluşları ya da bireyleri tanımlayabilir. Bazen eski adı olan Secure Sockets Layer (SSL) olarak da anılan TLS, web’de güvenli gezinme için bir iletişim protokolü olan HTTPS’nin önemli bir parçasıdır.

HTTP Katı Taşıma Güvenliği (HSTS), web sitelerini protokol indirgeme ve oturum çalma saldırılarına karşı korumaya yardımcı olan bir web güvenlik politikası mekanizmasıdır. Web sunucuları, kendisine gönderilen isteklerin yalnızca HTTPS üzerinden olması gerektiğini web tarayıcılarına bu mekanizma ile belirtir. Bu sayede kullanıcı, herhangi bir güvenlik çözümü sunmayan HTTP yerine Taşıma Katmanı Güvenliği (TLS/SSL) sağlayan HTTPS kullanarak ilgili web sitesine erişim sağlar. HSTS, RFC 6797 ile detaylandırılan bir IETF Standards Track protokolüdür.

OpenVPN, yönlendirilmiş veya köprülenmiş konfigürasyonlarda ve uzaktan erişim tesislerinde güvenli noktadan noktaya veya siteden siteye bağlantılar oluşturmak için teknikler uygulayan bir sanal özel ağ (VPN) sistemidir. Hem istemci hem de sunucu uygulaması olarak mevcuttur.

Web'de kullanıcı aracısı, kullanıcı adına hareket eden ve "Web içeriğini alan, işleyen ve son kullanıcı etkileşimini kolaylaştıran" herhangi bir yazılımdır. Bu nedenle kullanıcı aracısı özel bir yazılım aracısı türüdür.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.