Firefox'da keşfedilen zafiyet ile kişisel güvenlik tehlike altına giriyor. Man in The Middle olarak belirtilen 'ortadaki adam' saldırısı ile saldırganlar kurbanlarının verilerine erişebiliyor ve manipüle edebiliyor. Firefox'taki bu açıktan kurtulmanın yolu da kullanıcıların yazılımlarını 20 Eylül 2016'da yayınlanan yeni sürüme göre güncellemelerinden geçiyor. Firefox'taki güvenlik açığı kod yürütme işlemine neden olabiliyor, aynı zamanda diğer kurulmuş sertifika eklemelerini de etkileyebiliyor. Yüzlerce güvenli sertifika sağlayan otoritelerin herhangi birinden Firefox'un eklentilerinin indirilebildiği addons.mozilla.org adresi için sahte sertifika elde etmek zor olmasına rağmen, siber saldırganların bunu da aşması dikkat çekiyor.
Man in The Middle Attack (MitM) Nedir?
Saldırganın; havaalanları, restoranlar, işyerleri vb. internetin genel kullanıma açık olduğu güvensiz alanlarda kullanıcı ile internet sitesi arasındaki bağlantıyı kesip veya değiştirerek kullanıcının hassas bilgilerine erişim sağlamasını mümkün kılan bir saldırı yöntemidir. Buna; güvenli kabul ettiğimiz SSL bağlantıları ve HTTP den HTTPS'e geçiş yapan siteler de dahildir. MitM yöntemi çok ciddi network bilgisine ihtiyaç duyulmadan da uygulanabilecek araçlara entegre olarak karşımıza çıkmaktadır. Bu araçlar kullanılarak sadece birkaç tıklama ile saldırı yapılacak sistemler belirlenebilir. Ardından; uygulanacak MitM ile network trafiği rahatlıkla saldırgan üzerine yönlendirilebilir. Kullanılan araç içine yerleşik sertifika sistemi sayesinde SSL bağlantılarının da taklidi yapılarak kişisel güvenliğiniz ile ilgili bilgilere ulaşılabilir. Bunu önlemek için, e-posta hizmeti sağlayıcıları Hypertext Transfer Protocol Secure (HTTPS) kullanmaya başladılar. Bu; sunucu ve istemci arasındaki bağlantıyı şifrelemeyi sağlayan SSL ile birlikte kullanılan bir Hypertext Transfer Protocol (HTTP) kombinasyonudur. MitM saldırıları farklı şekillerde gerçekleştirilebilir: - Saldırgan bir ortak ağ (halka açık yerler) üzerinden aktarılan iletişimi dinliyordur. - Bu ağ üzerinden kurban internette zararsız sayılabilecekler arasında olan bir haber sitesine göz atıyordur. - Saldırgan, kurban ile web sitesi arasındaki bağlantıyı keser ve kurbanı önceden belirlediği IFRAME'e (Sitede html belgesinin içine yerleştirilmiş başka bir html belgesi) yönlendirir. - Kurbanın tarayıcısı, isteklerine cevap alırken, farkında olmadan aynı zamanda site için kullanıcı bilgilerini depolayan çerezleri de talep eder. - Bu yanıtlar saldırganın geçerli kullanıcı olarak siteye girmesini sağlar. Saldırgan saldırıyı uzun tutmak için cache poisoning (URL poisoning) yapabilir. Saldırganların MitM saldırılarında başarılı olabilmesi için, kurbanı gerçek sunucu yerine proxy sunucusuna yönlendirmesi gerekir.
Nasıl ortaya çıktı ?
Güvenlik açığı 6 Eylül 2016 tarihinde Tor'a karşı yapılan saldırıları anlatan @movrcx isimli bir güvenlik uzmanı tarafından ortaya çıkartıldı. Saldırganlar çoklu platform saldırılarını başlatmak için tahmini 100.000 Amerikan dolarına ihtiyaç duydu. Güncel konu Firefox'un sertifika iliştirme prosedüründe bulunuyor. Yine de, bir bağımsız güvenlik araştırmacısı tarafından yayınlanan rapora göre, 4 Eylül 2016 tarihinde gece yayınlanan kurulum versiyonuna karşı dayanıksız olmamasına rağmen, bu konu aynı zamanda Firefox stabil versiyonlarını da etkiledi. Bağımsız güvenlik araştırmacıları güncel problemin IETF onaylı HPKP (HTTP Ortak Anahtar İliştirmesi) işleminden farklı olmayan "sertifika iliştirme" denetimi için Firefox'un özel ayarlar metodunda bulunduğunu belirtti.
Sertifika iliştirme kullanıcıyı SSL sertifikaları ile sahte e-posta tarafından yapılan saldırılara karşı koruyan, kullanıcı tarayıcısının belirli Domain ya da Subdomain adresleri için sadece belirli sertifika anahtarlarını kabul etmesini veya reddetmesini sağlayan bir HTTPS özelliğidir. Çok yaygın olmamasına rağmen, HPKP standardı genellikle hassas bilgi içeren internet sitelerinde kullanılmaktadır. Bağımsız bir güvenlik araştırmacısı "HPKP kullanmak yerine kendi Mozilla sertifikaları için Firefox kendi statik anahtar iliştirme metodunu kullanmaktadır" diye açıklama yapmıştır. Statik metot uygulaması HPKP den daha zayıftır ve bu saldırı senaryosunda geçiş tanıyan kusurlu bir noktadır. Mozilla 20 Eylül 2016 tarihinde Firefox 49 sürümünü çıkarmıştır. Tor proje ekibi sadece bir günde virüsün çevrimiçi olarak ifşa olmasından sonra hatayı belirlemiştir. Tor tarayıcısı kullanıcıları versiyon 6.0.5 için güncelleme işlemini ivedi olarak gerçekleştirmelilerdir. Mozilla Firefox kullanıcıları ise otomatik güncelleme eklentilerini, tarayıcıdaki ön tanımlı özellikleri devre dışı bırakmalılardır.