SSL Stripping Saldırısı Nedir?

SSL Stripping (SSL Soyma) saldırısı, bir ağdaki kullanıcı ile web sitesi arasındaki güvenli HTTPS bağlantısını kırmak için kullanılan bir Ortadaki Adam (Man-in-the-Middle – MitM) saldırı türüdür. Bu saldırı, kullanıcıyı HTTPS yerine şifrelenmemiş HTTP protokolü üzerinden iletişim kurmaya zorlar, böylece saldırganın tüm trafiği dinlemesine ve değiştirmesine olanak tanır. Bu saldırı, özellikle halka açık Wi-Fi ağları gibi güvenilirliği düşük ağ ortamlarında büyük bir tehdit oluşturur.

SSL Stripping Saldırısı Nasıl Çalışır?

SSL Stripping saldırısı, ilk olarak 2009 yılında güvenlik araştırmacısı Moxie Marlinspike tarafından tanıtılmıştır. Saldırının temel mantığı, kullanıcının güvenli bir siteye bağlanma isteğini yakalamak ve HTTPS bağlantısını kullanıcıdan gizleyerek onu şifresiz bir bağlantıya yönlendirmektir:

  1. Ortadaki Adam Pozisyonu (MitM): Saldırgan, kullanıcının cihazı ile hedef web sitesi arasına girer. Bu genellikle, ağdaki ARP zehirlenmesi (ARP Spoofing) veya Evil Twin saldırıları gibi yöntemlerle başarılır.
  2. Kullanıcının İlk İsteğini Yakalama: Kullanıcı tarayıcısına bir site adresi (örneğin: https://banka.com) yazar veya bir bağlantıya tıklar. Tarayıcı, ilk olarak HTTP protokolü üzerinden siteye bağlanmayı dener (bazı durumlarda).
  3. HTTPS’i HTTP’ye Çevirme:
    • Saldırgan, kullanıcıdan gelen ilk HTTP isteğini yakalar.
    • Saldırgan, hedef web sitesine HTTPS üzerinden bağlanır ve site ile güvenli bir oturum kurar.
    • Saldırgan, web sitesinin yanıtını (genellikle bir yönlendirme kodu olan 301 veya 302) yakalar ve bu yanıtta yer alan tüm HTTPS linklerini ve yönlendirmelerini HTTP olarak değiştirir (soyar).
  4. Şifresiz Trafik Akışı: Saldırgan, site içeriğini (parolaların istendiği giriş sayfaları dahil) kullanıcıya HTTP üzerinden gönderir.
  5. Veri Hırsızlığı: Kullanıcı, sayfanın şifrelenmiş olduğuna inanarak kullanıcı adı ve parolasını girdiğinde, bu hassas bilgiler şifrelenmemiş bir şekilde saldırganın üzerinden geçer. Saldırgan bu bilgileri yakalar, bir kopyasını alır ve daha sonra siteye HTTPS üzerinden kendisi gönderir.
  6. Kullanıcı Algısı: Kullanıcı, tarayıcının adres çubuğunda HTTPS yerine sadece HTTP görse bile, genellikle bu değişikliği fark etmez ve saldırı tamamlanmış olur. Saldırgan, hem site ile güvenli iletişim kurmuş hem de kullanıcının kimlik bilgilerini ele geçirmiş olur.

⚠️ Neden Bu Kadar Tehlikeli?

SSL Stripping, klasik MitM saldırılarından farklı olarak, şifreleme sertifikası hatalarını göstermediği için kullanıcıyı uyanık tutmaz. Kullanıcının tek fark edebileceği şey, tarayıcıda kilit simgesinin olmamasıdır. Bu saldırı, HTTPS‘in getirdiği güveni tamamen ortadan kaldırır.

🛡️ SSL Stripping Saldırısına Karşı Korunma Yöntemleri

Bu saldırı türüne karşı hem kullanıcıların hem de web sitesi sahiplerinin alabileceği kesin önlemler mevcuttur:

A. Web Sitesi Sahipleri İçin: HSTS Kullanımı

SSL Stripping saldırısına karşı en güçlü savunma mekanizması HTTP Strict Transport Security (HSTS) protokolüdür.

  • HSTS Nedir? HSTS, bir web sunucusunun tarayıcılara gönderdiği özel bir güvenlik başlığıdır. Bu başlık, tarayıcılara, siteye gelecekteki tüm bağlantıların belirli bir süre boyunca (örneğin bir yıl) sadece HTTPS üzerinden yapılması gerektiğini zorunlu kılar.
  • Nasıl Korur? Bir tarayıcı bir kez HSTS başlığını aldığında, kullanıcı manuel olarak HTTP üzerinden bağlanmaya çalışsa bile veya bir saldırgan onu HTTP’ye yönlendirmeye çalışsa bile, tarayıcı bu isteği otomatik olarak HTTPS‘e yükseltir. Bu durum, SSL Stripping saldırısının temelini oluşturan, kullanıcıyı şifresiz bir bağlantıya düşürme adımını engeller.
  • HSTS Preload Listesi: En yüksek koruma için, site sahipleri alan adlarını ana tarayıcıların (Chrome, Firefox, Edge) tuttuğu kalıcı HSTS Preload Listesi‘ne eklemelidir. Bu listede yer alan siteler, tarayıcı tarafından varsayılan olarak zaten HTTPS olarak kabul edilir ve ilk bağlantı denemesi bile HTTP üzerinden yapılmaz.

B. Kullanıcılar İçin: Farkındalık ve Önlemler

  1. Adres Çubuğunu Kontrol Edin: Ödeme yapmadan, giriş yapmadan veya hassas bilgi girmeden önce, tarayıcınızın adres çubuğunda kilit simgesi ve URL’nin https:// ile başladığından mutlaka emin olun.
  2. Halka Açık Wi-Fi’de VPN Kullanın: Güvenilir olmayan halka açık Wi-Fi ağlarına bağlanırken VPN (Sanal Özel Ağ) kullanın. VPN, cihazınız ve VPN sunucusu arasındaki tüm trafiği şifrelediği için, yerel ağdaki bir SSL Stripping saldırısı trafiğinizin içeriğini göremez.
  3. Güvenlik Uzantıları Kullanın: Bazı tarayıcı uzantıları (örneğin HTTPS Everywhere), mümkün olan her yerde HTTPS kullanımını zorunlu kılarak koruma sağlayabilir.

Sonuç: SSL Stripping saldırısı basit ama etkili bir tekniktir. Kullanıcıların farkındalığı önemlidir; ancak gerçek ve kalıcı koruma, web sitesi sahiplerinin HSTS‘yi zorunlu kılması ve hatta HSTS Preload listesine girmesiyle sağlanır. HSTS, bu saldırı türüne karşı en etkili ve güncel savunma mekanizmasıdır.

Görünüm: 140
// Etiketler //
// Paylaş herkes okusun //
Osman Bayrak
Osman Bayrak

Yazılım Mühendisiyim. Teknoloji ve yazılıma meraklıyım.

Articles: 363

Benzer Konular