Yazarlar 08 EYLÜL 2014 / 13:58

İnternet ortamında DPI kullanarak izleme ve şifreli iletişim güvenliği

Yazının amacı son zamanlarda haberlerde sıkça karşılaştığımız internet  trafiği izleme ve sansür konularında yer alan ve genellikle hatalı olarak tanımlanan bazı teknik konuların açıklığa kavuşturulmasıdır.

Internet yasakları, sansür ve gözetim kavramları 5651 sayılı kanunda yapılan değişikliklerle birlikte tekrar gündemimize girdi. Öncelikle şunu kabul etmek gerekir ki internet veya iletişim kanallarının, sistemlerinin izlenmesi her devletin öncelikli gündem maddesi ve rüyalarını süsleyen bir durumdur. Çok az devlet bu rüyayı gerçeğe dönüştürebilme imkânına sahip olmaktadır (bkz. sızdırılan NSA dosyaları).

Günümüzde önemli tüm iletişimin şifreli kanallar/tüneller üzerinden aktığı düşünülürse bu rüyayı gerçeğe dönüştürebilmek için suyun başında olmak gerekmektedir. Internet için suyun başı yerel sistemler için ISP, global dünya içinse DNS (isim-ip çözümleme sistemi) ve yoğun kullanılan web sitelerini barındıran yerler  olmaktadır.

Internet İzleme Sistemlerinde DPI Kullanımı

Son yıllarda ileri seviye teknik bir tanım olan DPI (Deep Packet Inspection / Derinlemesine Paket Analizi) kısaltmasını sıkça duyar olduk, bunun temel nedeni internet izleme amaçlı kullanılan ürünlerin tamamına yakınının arka planda DPI mantığı ile çalışmasında yatmaktadır.

Kısaca DPI, internet trafiğinin protokol bazında detaylıca inceleyerek istenilen kısımlarına göre bakılmasıdır. Gerçek hayattan örnekle açıklayacak olursak klasik güvenlik duvarı sistemleri gönderilen bir mektuba ait zarfın üzerinde yazan kimden kime gönderildiği ve hangi adresten hangi adrese gönderileceği gibi bilgilerle işlem yapar.

DPI yöntemi ise postacının getirdiği zarfın içinin açılarak mektubun satır satır okunması ve mektubun içinde belirli kelimelerin (karmaşıklaştırılmış bile olsa) aranmasıdır.”

Daha önceden DPI sistemleri olmadığı için engelleme yöntemi olarak alan adı ve ip adresi üzerinden işlem yapılıyordu. Bir ip adresi üzerinde birden fazla -onlarca- web sitesi olabileceği için bu yöntem kabul görmedi. DNS engellemesi ise ilgili siteyi toptan kapattığı için olmadı.

Örnek verecek olursak Twitter’da yayınlanacak bir mesaj sebebi ile Twitter’i kapatmak bir kişiyi cezalandırmak için tüm ülkeyi cezalandırmak anlamına gelebileceği için DPI sistemleri kullanılarak Twitter’da sadece ilgili mesajın olduğu adresi (örnek: http://twitter.com/huzeyfeonal/status/1111) yasaklanabilir.

Tabi DPI sistemlerinin tek amacı engellemek değildir, aynı zamanda trafiği tüm detaylarıyla izlemek için de kullanılır. İzlenen bu trafik içinde geçen kullanıcı adı parola gibi kişisel bilgiler de kayıt altına alınmış olacaktır. Genellikle bu tip hassas bilgilerin SSL/TLS gibi güvenli kanallardan gittiği düşünülse de kendi hizmetini sunan birçok kurum SSL kullanmamaktadır.

SSL kullanan birçok büyük web sitesi de sadece kullanıcı adı ve parola bilgilerini şifrelemektedir, kullanıcı adı ve parolayı girdikten sonra web sitelerinde işlemleri girilen hesap bilgileri ile devam ettirebilmek için gerekli olan oturum bilgisi (çerezler) şifreli kanallar üzerinden gitmediği durumda ilgili siteye erişimde oturum bilgileri elde edilerek kullanıcı adı ve parola bilgisi olmaksızın erişim sağlanabilir (Side/surfjacking saldırıları)

DPI, pakete ait detaylara bakmayı gerektirdiğinden maliyetli bir iştir ve aktif olarak yapılırsa trafikte yavaşlamalara sebep olabilir. Bu sebepten DPI sistemleri genellikle pasif olarak yerleştirilir ve DPI’a maruz kalan kişiler arada böyle bir inceleme/analiz sisteminin olduğunu fark edemez. Engelleme amaçlı da aktif yanıt sistemleri tercih edilir.

Ücretsiz olarak sunulan Snort ve Suricata Saldırı Tespit ve Engelleme Sistemi DPI için en iyi örneklerden birisidir. Sıradan sniffer (izleme programları ) Snort ile internet trafiği içerisinde sadece belirli alanlara bakılabilir.

Örnek DPI Kuralı (Kredi Kartı Numarası Tespiti)

Aşağıdaki DPI kuralı kullanılarak tüm TCP trafiği içinde kredi kartı geçen paketler yakalanabilir, istenirse bu paketler bir yere yönlendirilebilir veya engellenebilir.

alert tcp any any <> any any (pcre:"/5\d{3}(\s|-)?\d{4}(\s|-)?\d{4}(\s|-)?\d{4}/"; \

msg:"MasterCard number detected in clear text";content:"mastercard";nocase;sid:9000001;rev:1;)

Yerel Internet Trafiğinin Global Oyuncular Tarafından İncelenmesi

Internet’in çalışma yapısının dağıtık olduğu göz önüne alınırsa bölgesel olarak Türkiye içinde dönen trafiğin başka bir ülke tarafından incelenmesi, analiz edilmesi çok kolay olmamaktadır. Bunun için trafiği yurt dışına çıkartacak ve tekrar geri döndürecek çözümler düşünülmektedir. Gerçekleştirilen kanun ve kanunun vatandaşlar tarafından yorumlanması sonucu Türkiye’nin trafiği sansür ve izleme endişesi ile VPN, Proxy gibi sistemler kullanılarak yurt dışına çıkartılmaktadır. Buradan kazançlı çıkan sadece uluslararası istihbarat örgütleri ve bu tip sistemlerde reklam üzerinden gelir elde eden firmalar olacaktır.

DPI panzehiri olarak  şifreli iletişim (SSL/TLS)

DPI ancak trafiğin açık ve şifresiz olduğu durumlarda işe yarar. Şifreli bir trafik DPI sistemleri tarafından okunup anlaşılamayacağı için detaylarıyla ilgili yorumda bulunamaz. Ancak DPI sistemine hedef sistemin SSL sertifikası ya da geçerli bir sertifika otoritesi (CA) bilgileri tanımlanırsa DPI sistemi SSL kullanılsa da çoğu durumda trafiğin içeriğini okuyup inceleyebilir ve engelleyebilir.

Bir DPI sistemine yasal bir CA’in bilgilerini girerek yapılacak MITM çalışması kısa sürede fark edilebilir ve gizli anahtarını paylaşan CA’in yetkileri uluslararası otoriterler tarafından hızlıca iptal edilebilir.

SSL/TLS olarak adlandırdığımız güvenli veri iletişimi standardı bilgisayarımızdan ya da cep telefonumuzdan bilgilerin çıkmadan şifrelenmesini ve gerçek hedef sisteme ulaşana kadar gizli kalmasını sağlar. Fakat burada yine internet dünyasının çalışma yapısı ve tasarımından dolayı birilerinin kendini gerçek hedef sistem olarak tanıtabilme imkânı vardır.

Bu konuda Tunus hükümeti ve İran örnekleri karşımızda en somut örnek olarak durmaktadır.

DPI ve benzeri sistemler aracılığıyla hesap bilgilerinin başkalarının eline geçme ihtimaline karşılık Gmail, Facebook, Twitter gibi uygulamalarda ikili kimlik doğrulama özelliğinin (Bankalardaki SMS doğrulaması benzeri) aktif edilmesi ve her zaman SSL kullan seçeneğinin -aktif değilse- aktif hale getirilmesi önem arz etmektedir.

SSL veya benzeri şifreleme amaçlı kullanılan protokollerde merkezi yetki durumu olduğu için suyun başında bulunanlar her şekilde gizli bilgilere erişim sağlayabilmektedir. Suyun başındakilerden de korunmak için merkezi olarak kontrol edilemeyen güvenlik sistemlerinin kullanılması gerekmektedir. E-posta iletişiminde PGP kullanımı -biraz teknik detay içerse de – merkezi otoriteye ihtiyaç duyulmayacağı için geçerli bir çözüm olarak karşımıza çıkmaktadır.

Chrome ve Firefox gibi tarayıcılar eklenti olarak PGP kullanımını kolaylaştırmaktadır. PGP kullanımı sayesinde sizin bilgisayarınızdan şifrelenecek veri ancak sizin gerçekten kim olduğunuzu bildiğiniz ve yine sizin onayladığınızı (arada başka onay mekanizması ve kandırmaca olamaz) kişiler tarafından okunabilir.

DNS Yönlendirme Kullanarak Şifreli Trafikte Araya Girme

Suyun başında olmayan ülkeler şifreli trafiği çözemediği için alternatif yöntemler tercih etmektedir. Bu yöntemlerin başında en ucuzu ve en zor fark edileni DNS yönlendirmesi kullanmaktır.

Bir web sitesine giderken paketlerimizin hangi ip adresine gideceğine kullandığımız DNS sunucu karar verir. Birileri tarafından DNS sunucuya sahte kayıtlar girerek ya da sahte cevaplar dönmesi sağlanarak gerçekte şifreli iletişimi zorunlu tutan sayfalar (Twitter, Google vb.) şifresiz olarak hazırlanmış sahteleriyle değiştirilebilir. Bu tip bir yöntem dikkatli kullanıcılar tarafından fark edilebilse de çoğu kullanıcı tarafından fark edilemez.

Windows işletim sisteminde yer alan DNS sorgulama aracı nslookup DNS isteklerinin arada birileri tarafından değiştirilebilme ihtimalini her zaman göz önünde bulundurarak sorgulama sonrası dönen cevaplar için “Yetkili olmayan cevap” mesajını ekrana getirir. Bunun sebebi açıktır, DNS altyapısında bir güvenlik kontrolü ve ilişkisi olmadığı için trafikte araya giren birileri tarafından kolaylıkla değiştirilebilir.

DNS’in bu güvensiz yapısı yeni nesil güvenli DNS protokolü DNSSEC ile giderilmeye çalışılmaktadır fakat henüz bu kapsamda yapılan çalışmalar yeterli seviyeye ulaşmamıştır.

DNS üzerinden yönlendirme ile SSL’siz sahte sayfalar gerçekleştirilerek kişilere ait hesap bilgileri alınabilir. Bu tip saldırıların NSA tarafından sıklıkla yapıldığı ortaya çıkan raporlardan görülmektedir. Çoklu kimlik doğrulama (parola +SMS gibi) kullanılarak bu tip araya girme ve şaşırtma saldırılarından bir nebze de olsa korunulabilir. Kullanılan GSM numarasına gelecek SMS’in elde edilebileceği durumlarda bu da işe yaramayacaktır. Bu sebeple çoklu kimlik doğrulama yöntemi olarak parola+SMS yerine parola + cep telefonundan üretilecek bir değer ile giriş yapmak daha güvenlidir.

Huzeyfe ONAL
Bilgi Güvenliği AKADEMİSİ
http://www.bga.com.tr