Sanal özel ağ (VPN) şirketleri, hizmetlerini herhangi birinin İnternet kullanımınızı gözetlemesini önlemenin bir yolu olarak pazarlar. Ancak yeni araştırmalar, güvenilmeyen bir ağ üzerinden bir VPN’e bağlanırken bunun tehlikeli bir varsayım olduğunu öne sürüyor; çünkü aynı ağdaki saldırganlar, kullanıcıya herhangi bir uyarı tetiklemeden hedefin trafiğini VPN’leri tarafından sağlanan korumanın dışına çıkmaya zorlayabilir.
Resim: Shutterstock.
Bir cihaz başlangıçta bir ağa bağlanmayı denediğinde, yerel ağın tamamına bir İnternet adresi istediğini belirten bir mesaj yayınlar. Normalde ağ üzerinde bu isteği fark eden ve yanıt veren tek sistem, kullanıcının bağlanmaya çalıştığı ağı yönetmekten sorumlu olan yönlendiricidir.
Ağdaki bu istekleri yerine getirmekten sorumlu olan makineye denir. Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) sunucusu, IP adresleri için zamana dayalı kiralamalar düzenleyecektir. DHCP sunucusu aynı zamanda belirli bir yerel adresin ayarlanmasıyla da ilgilenir. İnternet ağ geçidi — tüm bağlanan sistemlerin Web’e giden birincil yol olarak kullanacağı.
VPN’ler, iletişim için şifreli bir tünel görevi gören bir sanal ağ arayüzü oluşturarak çalışır. Fakat araştırmacılar Leviathan Güvenliği DHCP protokolünde yerleşik olan belirsiz bir özelliğin kötüye kullanılmasının ve böylece yerel ağdaki diğer kullanıcıların hileli bir DHCP sunucusuna bağlanmaya zorlanmasının mümkün olduğunu keşfettiklerini söylüyorlar.
Leviathan araştırmacıları “Tekniğimiz, hedeflenen VPN kullanıcısıyla aynı ağ üzerinde bir DHCP sunucusu çalıştırmak ve ayrıca DHCP yapılandırmamızı kendisini bir ağ geçidi olarak kullanacak şekilde ayarlamaktır” dedi. Lizzie Moratti Ve Dani Cronce yazdı. “Trafik ağ geçidimize ulaştığında, biz onu gözetlerken trafiği meşru bir ağ geçidine geçirmek için DHCP sunucusundaki trafik yönlendirme kurallarını kullanırız.”
Burada kötüye kullanılan özellik DHCP seçeneği 121 olarak bilinir ve DHCP sunucusunun, VPN kullanıcısının sisteminde çoğu VPN tarafından kullanılandan daha spesifik bir rota belirlemesine olanak tanır. Leviathan, bu seçeneğin kötüye kullanılmasının, yerel ağdaki bir saldırgana, hedefin VPN’sinin oluşturduğu sanal ağ arayüzüne yönelik yollardan daha yüksek önceliğe sahip yönlendirme kuralları oluşturma yeteneğini etkili bir şekilde sağladığını buldu.
Leviathan araştırmacıları, “Bir rotayı zorlamak aynı zamanda ağ trafiğinin sanal ağ arayüzü yerine DHCP sunucusuyla aynı arayüz üzerinden gönderileceği anlamına da geliyor” dedi. “Bu, RFC’de açıkça belirtilmeyen, amaçlanan bir işlevselliktir. [standard]. Bu nedenle, gönderdiğimiz rotalar hiçbir zaman VPN’in sanal arayüzü tarafından şifrelenmez, bunun yerine DHCP sunucusuyla konuşan ağ arayüzü tarafından iletilir. Bir saldırgan olarak, hangi IP adreslerinin tünel üzerinden geçeceğini ve hangi adreslerin DHCP sunucumuzla konuşan ağ arayüzü üzerinden geçeceğini seçebiliriz.”
Leviathan, halihazırda bağlantısı olan yerel ağdaki VPN’leri keyfi olarak yeni bir tane talep etmeye zorlayabileceklerini buldu. DHCP açlık saldırısı olarak bilinen bu iyi belgelenmiş taktikte, bir saldırgan DHCP sunucusunu, tahsis edilebilecek tüm mevcut IP adreslerini tüketen isteklerle doldurur. Ağın meşru DHCP sunucusu tamamen bağlandığında, saldırgan sahte DHCP sunucusunun bekleyen tüm isteklere yanıt vermesini sağlayabilir.
Araştırmacılar, “Bu teknik, VPN kullanıcısının ana bilgisayarının DHCP sunucumuzdan kira sözleşmesini yenilemesi gerektiğinde, önceden kurulmuş bir VPN bağlantısına karşı da kullanılabilir” diye yazdı. “DHCP kiralamasında kısa bir kiralama süresi ayarlayarak bu senaryoyu yapay olarak oluşturabiliriz, böylece kullanıcı yönlendirme tablosunu daha sık güncelleyebilir. Ek olarak, VPN kontrol kanalı hala sağlamdır çünkü iletişimi için zaten fiziksel arayüzü kullanmaktadır. Testlerimizde VPN her zaman bağlı olarak raporlamaya devam etti ve kapatma anahtarı hiçbir zaman VPN bağlantımızı kesecek şekilde devreye girmedi.”
Araştırmacılar, yöntemlerinin bir DHCP sunucusunu veya kablosuz erişim noktasını ele geçiren bir saldırgan veya altyapının sahibi olan ve onu kötü niyetli olarak yapılandıran sahte bir ağ yöneticisi tarafından kullanılabileceğini söylüyor. Alternatif olarak, bir saldırgan meşru bir sağlayıcı tarafından yayınlanan sinyali taklit eden bir “kötü ikiz” kablosuz erişim noktası kurabilir.
ANALİZ
Bill Woodcock San Francisco merkezli kar amacı gütmeyen bir kuruluş olan Packet Clearing House’da yönetici direktördür. Woodcock, Seçenek 121’in 2002’den bu yana DHCP standardına dahil edildiğini, bunun da Leviathan’ın tanımladığı saldırının teknik olarak son 22 yıldır mümkün olduğu anlamına geldiğini söyledi.
Woodcock, “Artık bunun, bir VPN’i gerçekten sorunlu bir şekilde atlatmak için kullanılabileceğinin farkına varıyorlar ve haklılar” dedi.
Woodcock, hedef odaklı kimlik avı saldırılarının hedefi olabilecek herkesin güvenilmeyen bir ağda VPN kullanma konusunda çok dikkatli olması gerektiğini söyledi.
“Otorite konumunda olan herkes, hatta sadece yüksek servete sahip bir kişi bile olsa, bunların hepsi bu saldırının son derece makul hedefleridir” dedi. “Göreceli olarak yüksek güvenlikli bir şirketteki birine saldırı yapmaya çalışıyorsam ve haftada iki kez kahve veya sandviçlerini genellikle nereden aldıklarını biliyorsam, bu, o alet kutusunda çok etkili bir araçtır. Zaten bu şekilde istismar edilmeseydi biraz şaşırırdım çünkü yine söylüyorum bu roket bilimi değil. Sadece biraz kalıpların dışında düşünmek.”
Bu saldırının bir ağ üzerinde başarılı bir şekilde yürütülmesi, saldırganın hedefin tüm trafiğini veya tarama etkinliğini görmesine muhtemelen izin vermeyecektir. Bunun nedeni, hedefin ziyaret ettiği web sitelerinin büyük çoğunluğunda içeriğin şifrelenmiş olmasıdır (sitenin adresi https:// ile başlar). Ancak saldırgan, akan trafiğin kaynak ve hedef adresleri gibi meta verilerini yine de görebilir.
KrebsOnSecurity, Leviathan’ın araştırmasını dataplane.org’un kurucusu ve bilgisayar bilimleri alanında doktora adayı olan John Kristoff ile paylaştı. Illinois Üniversitesi Chicago. Kristoff, Wi-Fi dağıtımları da dahil olmak üzere neredeyse tüm kullanıcı uç ağ donanımının, bir tür hileli DHCP sunucusu algılama ve azaltma biçimini desteklediğini, ancak bu korumaların gerçek dünya ortamlarında ne kadar yaygın olarak uygulandığının belirsiz olduğunu söyledi.
Kristoff, “Ancak, bence bu vurgulanması gereken önemli bir nokta, güvenilmeyen bir ağ, güvenilmeyen bir ağdır, bu yüzden genellikle ilk etapta VPN’i kullanırsınız” dedi. “Yerel ağ doğası gereği düşmancaysa ve hileli bir DHCP sunucusunu çalıştırma konusunda herhangi bir çekincesi yoksa, o zaman bu, trafiğin bir kısmını gizlemek için kullanılabilecek sinsi bir tekniktir ve dikkatli bir şekilde yapılırsa, eminim ki kullanıcı bunu asla fark etmeyebilir. ”
AZALTMALAR
Leviathan’a göre, güvenli olmayan bir ağdaki hileli DHCP sunucularından kaynaklanan tehdidi en aza indirmenin birkaç yolu var. Biri, güç kaynağı tarafından desteklenen bir cihaz kullanıyor. Android Görünüşe göre DHCP seçeneği 121’i yok sayan işletim sistemi.
Sahip olduğunuz bir hücresel cihaz tarafından kontrol edilen geçici bir kablosuz erişim noktasına güvenmek de bu saldırıyı etkili bir şekilde engeller.
Araştırmacılar hücresel erişim noktaları hakkında “Otomatik ağ adresi çevirisiyle parolayla kilitlenmiş bir LAN yaratıyorlar” diye yazdı. “Bu ağ tamamen hücresel cihaz tarafından kontrol edildiğinden ve parola gerektirdiğinden, saldırganın yerel ağ erişimine sahip olmaması gerekir.”
Leviathan’dan Moratti, bir başka hafifletme yönteminin de VPN’inizi Parallels, VMware veya VirtualBox gibi bir sanal makinenin (VM) içinden çalıştırmak olduğunu söyledi. Moratti, VM’nin içinde çalıştırılan VPN’lerin bu saldırıya karşı savunmasız olmadığını, ancak “köprülenmiş modda” çalıştırılmadıkları sürece, bunun VM’nin ağdaki başka bir düğümü çoğaltmasına neden olduğunu söyledi.
Ayrıca “derin paket incelemesi” adı verilen bir teknoloji, DHCP ve VPN sunucusu dışındaki fiziksel arayüzden gelen ve giden tüm trafiği engellemek için kullanılabilir. Ancak Leviathan, bu yaklaşımın trafiğin hedefini belirlemek için kullanılabilecek potansiyel bir “yan kanal” saldırısına yol açtığını söylüyor.
“Bu teorik olarak, saldırganın rotaları taban çizgisiyle karşılaştırıldığında kurulduğunda hedef kullanıcının gönderdiği hacim üzerinde trafik analizi yapılarak yapılabilir” diye yazdılar. “Ayrıca, bu seçici hizmet reddi benzersizdir çünkü bir saldırganın, hedef kullanıcının VPN kullanırken bile bağlanmasını istemediği belirli kaynakları sansürlemek için kullanılabilir.”
Moratti, Leviathan’ın araştırmasının birçok VPN sağlayıcısının şu anda müşterilerine teknolojilerinin tutamayacağı sözler verdiğini gösterdiğini söyledi.
Moratti, “VPN’ler sizi yerel ağınızda daha güvende tutmak için değil, İnternet trafiğinizi daha güvenli tutmak için tasarlandı” dedi. “Ürününüzün insanların trafiğinizi görmesini engellediğine dair güvence vermeye başladığınızda karşılanamayacak bir güvence veya söz vardır.”
Leviathan’ın araştırmasının bir kopyası ve başkalarının bulgularını laboratuvar ortamında çoğaltmasına olanak tanıyan kod burada mevcuttur.