Bilinçsiz DNS Değiştirme ve Riskleri

Transkript

1 Bilinçsiz DNS Değiştirme ve Riskleri Mehmet Sevri 1, Nurettin Topaloğlu 1 1 Gazi Üniversitesi, Bilişim Enstitüsü, Ankara mehmetsevri@gazi.edu.tr, nurettin@gazi.edu.tr Özet: Son yıllarda internet kullanım oranının artışı ile birlikte kullanıcılar, istedikleri uygulamalara erişimin devamlılığını talep etmekte olup, kısıtlamaları ve sansürleri aşma meyli göstermektedirler. Öncesinde Çin, İran gibi ülkelerde yapılan internet erişiminin kısıtlanması uygulaması, sonrasında 2010 yılı itibariyle özellikle Arap Baharı ile birlikte Mısır, Libya, Suriye de de uygulanır hale gelmiştir. Hükümetlerin uyguladıkları bu kısıtlamalara yönelik olarak kullanıcılar da çeşitli yöntemler kullanarak istedikleri internet uygulamalarına erişmeye çalışmaktadırlar. İnternet kullanıcılarının, internet servis sağlayıcılarının kısıtladığı web sitelerine ve internet uygulamalarına erişmek için kullandıkları yöntemlerden birisi de DNS (Domain Name System Alan Adı Sistemi) değiştirme yöntemidir. Kullanıcılar DNS in ne olduğunu, nasıl çalıştığını ve tuzak DNS ler sonucunda oluşabilecek riskleri çok iyi bilmeden DNS değiştirme işlemini gerçekleştirebilmektedirler. Özellikle bilinçsiz şekilde gerçekleştirilen bu tür DNS değiştirme işlemleri sonucunda kullanıcılar maddi kayba ve/veya veri çalınmasına maruz kalabilmektedirler. Bu bağlamda çalışmada, ülkemizde de son yıllarda çoğu internet kullanıcısı tarafından gerçekleştirilen bilinçsiz DNS değiştirme işlemleri ve ortaya çıkabilecek riskler incelenmiştir. Anahtar Sözcükler: Bilgi Güvenliği, DNS Değiştirme, Aldatmaca. Unconscious DNS Changing and Risks Abstract: Due to the increase in Internet usage in recent years, users demand continuity of access to the applications they favor and they tend to overcome restrictions and censorship. Former implementations of restricted access to the Internet in countries like China and Iran have been occuring lately as of 2010 and especially since the Arab Spring in Egypt, Libya and Syria. In relation to governments implementation of these restrictions, users are trying to access the Internet applications they demand by using several methods. One of the methods that users choose to access websites and Internet applications which are restricted by the Internet Service Providers is DNS (Domain Name System) changing method. Users are able to perform DNS changing without the knowledge of what DNS is, how it works and the possible risks caused by trap DNSs. Especially through this kind of unconscious acts of DNS spoofing, users are subject to monetary loss and/or information theft. This content, in the study, the unconscious DNS spoofing actions of many Internet users in our country in recent years and the risks that may occur are examined. Keywords: Information Security, DNS Changing, Spoofing 1. Giriş İnternet altyapısı, tüm kullanıcıların, dünyanın herhangi bir yerinden, herhangi bir zamanda istedikleri bilgiye ulaşılabilecekleri şekilde tasarlanmıştır. Günümüzde internet, en hızlı ve en özgür bilgi taşıma servisini sunmaktadır. Bununla birlikte bazı devletler çeşitli yöntemlerle internete kısıtlama getirebilmektedir. Mesela Çin devleti tarafından 1998 yıllında başlatılan, 2003 yılında devreye alınan ve dünyanın en büyük ve ünlü güvenlik duvarı sayılan Altın Kalkan Projesi (Golden Shield Project) bunlardan

2 birisidir [1,2]. Kısıtlama yöntemleri sürekli geliştirilmekte ve internet erişim katmanlarının tümünde uygulanmaktadır. Bir web sitesinde veya sosyal medya uygulamasında işlem yapıldığında aslında kullanılan cihaz tarafından internet katmanlarında iletişimler gerçekleşmektedir. Bu katmanlarda gerçekleştirilen işlemler bağlı olunan yönlendirme cihazları tarafından manipüle edilebilmekte, şüpheli ve tehlikeli işlemler gerçekleştirilebilmektedir [2] yılı itibariyle Arap Baharının başlamasıyla birlikte Mısır, Libya, Suriye gibi ülkelerde kullanıcıların en büyük haber ve iletişim kaynağı haline gelen internet ve sosyal medyanın sansürlenmesi sıklıkla başvurulan bir yöntem olmuştur. Mısır da protestoların başlaması (2011) ile birlikte, dünya tüm gelişmeleri protestocuların internet ve sosyal medya üzerinden yaydıkları haberler, videolar ve resimler ile öğrenebilmiştir. İnternet, Mısır ın dünyaya açılan tek kapısı haline gelmiştir. Bununla birlikte o zamanki Mısır Güvenlik ve İstihbarat Birimi tarafından internet alt yapısına ve GSM e yönelik kısıtlamalar uygulanmış, Facebook ve Twitter gibi sosyal ağlar, DNS kayıtları üzerinde yasaklanmıştır. Bu süreçte Mısır da internet ağının yaklaşık %93 ü erişilemez hale gelmiştir [3]. Analistlere göre Mısır ve Libya da meydana gelen internet ağı kesintisi Arap Baharı bitene kadar devam etmiştir [4]. Ülkemizde ise Youtube video barındırma sitesi ilk olarak 2007 yılı Mart ayında, ikinci olarak 2008 yılı Ocak ayında ve sonrasında çeşitli tarihlerde mahkeme kararlarıyla erişeme kapatılmış olup, son olarak 2014 yılı Mart ayında Twitter ile birlikte erişime kapatılmıştır. Bu süreçte IP temelli olarak gerçekleştirilen bu yasakları aşmak için kullanıcılar DNS değiştirme yöntemini kullanmaya başlamış ve bu yöntem bilinçsiz bir şekilde hızla yayılmıştır. İlk başlarda GoogleDNS veya OpenDNS gibi güvenilir DNS hizmetleri kullanılırken, sonrasında bazı internet servis sağlayıcılar, bilinen bu DNS hizmetleri ile ilgili de kısıtlama yoluna gitmişlerdir. Bunun sonucunda bilinçsiz kullanıcılar internet aramaları sonucu ve internet sitelerindeki yönlendirmelerle güvensiz DNS hizmetlerinden faydalanmaya başlamıştır. Birçok kullanıcı tarafından gerçekleştirilen güvensiz DNS değiştirme işlemleri çok riskli olabilmektedir. Bu bildiride bilinçsiz şekilde gerçekleştirilen DNS değiştirmeler ve sonucunda ortaya çıkabilecek riskler incelenmiştir. 6 bölümden oluşan bu bildiride, 2. bölümde DNS (Alan Adı Sistemi) in ne olduğu ve erişimin nasıl engellendiği, 3. bölümde bu süreçte Türkiye de gerçekleştirilen DNS değişiklikleri, 4. bölümde bilinçsiz DNS değiştirmeden dolayı oluşabilecek riskler, 5. bölümde risk azaltma yöntemleri ele alınmakta olup, son bölümde ise sonuçlar ve öneriler sunulmuştur. 2. DNS in Tanımı, Çalışma Şekli ve Erişimin Engellenmesi İnternette hizmet sunan her bilgisayarın, sunucunun veya servis sağlayıcının bir tane benzersiz IP si vardır. Sayı bloklarından oluşan bu IP'lerin kullanıcıları tarafından hatırlanması zordur. Bundan dolayı hiyerarşik bir isimlendirme sistemi olan Alan Adı Sistemi (DNS) kullanılmaktadır. DNS sayesinde her IP kolayca hatırlanabilecek karakterlerden oluşan isimlendirme ile ilişkilendirilmektedir. Alan Adı Sistemi her bölgedeki IP blokları için alan adı dağıtım sorumluluğunu bölüştürerek yetkili alan adı sunuculara sorumluk ve yetki dağıtımı yapar. Bu yetkili alan adı sunucuları da kendi sorumluluklarındaki alt alan adları için diğer alan adı sunucularına yetki verebilir. Bir alan adı sorgusu olduğunda internete bağlanılan bilgisayarın bağlanmak istediğimiz internet servisinin ad çözümlemesi için öncelikle bağlı olunan DNS sunucuya bu istek iletilir. Eğer bu DNS sunucuda talep edilen DNS

3 çözümlemesi için kayıt varsa dönülür, yoksa bu istek bir üst DNS sunucuya yönlendirilir. Şekil 1 de iteratif DNS sorgusunun gerçekleşmesi gösterilmiştir. Şekil 1. DNS Sorgusunun Gerçekleşmesi Kullanıcılar internete bağlanmak için gerekli olan ağ ayarlarında DNS ayarlarını dinamik olarak yapılandırdıklarında (genellikle bu ayar kullanılır) ISP (İnternet Servis Sağlayıcı)'nın DNS sunucularını kullanmaya başlarlar. Bundan dolayı tüm ad çözümleme istekleri ilk önce bağlı bulundukları ISP' lerin DNS sunucularına gelir ve burada çözümlenirler. Eğer bu sunucularda istek yapılan alan adları için kayıt yoksa bu istek bir üstteki yetkili DNS sunuculara gönderilir ve hiyerarşik şekilde ad çözümlemesi gerçekleştirilerek istemciye iletilir. Mahkeme kararıyla veya çeşitli sebeblerle yasaklanan internet uygulamalarına erişmek isteyen kullanıcılar bu uygulamalar için isim çözümleme isteği gönderdiğinde bağlı bulundukları ISP'nin DNS sunucuları tarafından bir uyarı sayfasına veya farklı bir sunucuya yönlendirilirler. Böylece kullanıcıların ilgili internet uygulamasına erişimleri engellenmiş olur. IP bazlı olarak gerçekleştirilen bu tür engellemeleri aşabilmenin en kolay yollarından birisi bağlı olunan DNS sunucuyu değiştirerek yasaklı sitelere erişime izin veren DNS sunucular ile isim çözümleme işlemini gerçekleştirmektir. Bu işlem ağ ayarları üzerinden statik DNS IP'si girilerek kolayca gerçekleştirilebilmektedir.

4 3. Türkiye'de Gerçekleştirilen DNS Değişiklikleri 2014 yılı başlarında sosyal medyaya yönelik olarak IP bazlı kısıtlamalar getirilmiştir. Bununla birlikte PC (Kişisel Bilgisayar) kullanıcıları ağ ayarlarını yapılandırarak veya çeşitli programlar kullanarak DNS değiştirmiş ve kısıtlanmış sitelere erişmeye devam etmişlerdir. Bu durum bazı mobil kullanıcılar için bu kadar basit olmamıştır. Özellikle bu durum cihaz üzerinde yönetici yetkisine sahip olmayan Android tabanlı mobil kullanıcılar için geçerli olmuştur. Kısıtlı yetkilere sahip bu kullanıcılar DNSet gibi çeşitli yazılımlar kullanarak DNS değiştirme yoluna gitmişlerdir. DNSet, mobil kullanıcılar için bağlı oldukları 3G/4G operatörler tarafından dayatılan varsayılan DNS sunucular dışında başka DNS sunuculara bağlanmalarına imkan veren bir programdır. Bu süreçte DNSet programını kullanarak DNS değiştirme işlemini gerçekleştirmiş olan mobil kullanıcılar ile ilgi olarak bir araştırma yapılmıştır [2]. Bu araştırmada elde edilen verilere göre Tablo 1 de 2014 yılı Ağustos ayı itibariyle DNSet uygulamasının Dünya üzerindeki coğrafik dağılımı görünmektedir. Ülke Cihaz Yüzde Sayısı Türkiye % Endonezya 9567 % 7.31 İtalya 2342 % 1.79 Malezya 619 % 0.47 Birleşik Devletler 600 % 0.46 Birleşik Krallık 186 % 0.14 Vietnam 109 % 0.08 Almanya 105 % 0.08 Hindistan 99 % 0.08 Kanada 91 % 0.07 Diğer 460 % 1.12 Tablo 1. DNSet uygulamasının Dünya üzerindeki coğrafik dağılımı (2014 Ağustos) Şekil 2 de 2014 yılı Şubat ayı ile Ağustos ayı arasında Türkiye'den TOR (The Onion Router, Anonim Ağ) ağına bağlanan kullanıcılar görülmektedir. TOR ağı; sanal tüneller ile kullanıcıların gizli ve güvenli şekilde internette dolaşmalarına imkan sağlayan ağ yapısıdır. Bu şekle göre kısıtların olduğu zaman diliminde kullanım 2 katına çıkmış ve ' e ulaşmıştır. Şekil 2. Türkiye'den TOR ağına bağlı kullanıcı sayısı Şekil 3'de Android cihazına, DNSet uygulamasının kurulumunu gerçekleştiren kullanıcıların sayısı görülmektedir. Burada yeni program kurulum sayıları ve programın kaldırılma sayıları dikkate alınmıştır yılı Mart ayı itibariyle gerçekleşen hızlı artış dikkat çekmektedir. Şekil 3. Türkiye'deki DNSet kurulumları sayısı 4. Bilinçsiz DNS Değiştirmeden Dolayı Oluşabilecek Riskler Kullanıcıların internet aratmaları sonucu ve/veya herhangi bir web sitesi, forum

5 sitesinin yönlendirmesi sonucunda ulaştıkları herhangi bir DNS sunucu bilgilerini kendi cihazına tanımlaması çok kritik riskler oluşturabilmektir. Kullanıcıların kendi cihazlarına tanımladıkları DNS sunucular, isim çözümleme yeteneği ve hizmeti dışında başka yeteneklere de sahiptirler. Kötü amaçla oluşturulmuş bir DNS sunucu hizmet verdiği kullanıcıları izleyebilir, bilgilerini çalmak ve/veya zararlı yazılım bulaştırmak amacıyla bağlanmak istediğinden farklı sitelere yönlendirebilir, kullanıcının bağlandığı siteyi veya içeriklerini engelleyebilir. Oluşabilecek riskler bildirinin 4. bölümünde 3 ana başlıkta incelenmiştir. 4 te oluşturulan sahte Paypal sayfasının arayüzü görülmektedir [6] Yemleme (Phishing) / Zararlı (Malicious) Siteye Yönlendirme DNS aldatmaca ile kullanıcılar oluşturulan veya var olan yemleme sitelerine veya diğer türlü zararlı sitelere kolayca yönlendirilebilir. Özellikle tamamen HTTP tabanlı yani SSL (Secure Socket Layer - Güvenli Giriş Katmanı) barındırmayan sitelere bağlanılırken, bir web tarayıcısı bu sitenin içeriğinin kendi gerçek sunucusundan mı yoksa farklı bir sunucu tarafından mı verildiğini ayırt edemez. Saldırgan bu işlemi kullanıcının bağlanmak istediği web sitesinin bir kopyasını kendi oluşturduğu bir web sunucuya yükleyerek ve ilgili sitenin DNS kaydını oluşturduğu web sunucu IP'sine yönlendirerek kolayca gerçekleştirebilir [5]. Özellikle bu yöntem bilinçsiz kullanıcıların internet bankacılığı bilgilerini ve finansal bilgilerini çalmaya yönelik olarak gerçekleştirilmektedir yılı Nisan ayında gerçekleşen meşhur Paypal saldırısında sahte site gerçek Paypal sitesinin bire bir aynısı olarak oluşturulmuş, gerçek sitedeki grafiksel öğeler ve düzen (layout) ve metinler aynen kullanılmıştır. Çoğu kullanıcı tarafından çok zor ayırt edilecek bir site oluşturulmuştur. Bu saldırıda kullanıcıların yeni Paypal hesabı oluşturması, hesap ve kredi kartı bilgilerini yüklemeleri amaçlanmış ve saldırganlar başarıya ulaşmışlardır. Şekil Şekil 4. Sahte Paypal Sitesi (Nisan 2001). Sahte Paypal URL'si İnternet Explorer ın adres çubuğunda direkt görülmektedir, fakat IE ikonu, URL'nin ilk iki harfinin (ww) üstüne gelmektedir İçerik Engelleme / İnternet Sansürleme DNS aldatmanın kullanılma amaçlarından diğer birisi ise internet kullanıcılarının erişecekleri içerikleri engelleme, filtreleme veya sansürlemedir. Teknik açıdan bakacak olursak, DNS tabanlı filtreleme sistemi kurulumu ile yemleme (phishing) siteleri aynı şeydir, bununla birlikte, niyet çok farklıdır. Yemleme / Zararlı siteler tipik olarak talep edilen sitenin birebir aynısını sunarak kullanıcıları kandırmaya çalışırken, DNS engelleme stratejisinde kullanıcının korsan, pornografik, dini / siyasi vb. sitelerin içeriğine erişiminin engellenmesi amaçlanır. DNS engelleme yöntemi büyük şirketler veya ülkeler tarafından da içerik engelleme amaçlı kullanılmaktadır, fakat kullanıcılar bu DNS değiştirme yöntemi ile kolayca aşabilmektedir [5]. Şekil 5 te Mahkeme kararıyla engellenen bir site örnek olarak

6 gösterilmiştir. Şekil 5. Mahkeme kararıyla engellenen casino510.com sitesinin görünümü ( , DNS: ) 4.3. Ortadaki Adam Saldırıları (Man-inthe-middle attack) Tuzak DNS sunucular aracılığıyla yapılabilecek bir başka saldırı ise ortadaki adam saldırısıdır. Bu saldırı, kullanıcı iletişimini saldırganın bilgisayarlarına yönlendirmesiyle gerçekleştirilmektedir. Kullanıcı iletişimini dinlemek için Wireshark (bazı protokollerde) veya şifresiz bağlantılar için tcpdump, ve mitmproxy (HTTPS bağlantılar için) veya şifresiz bağlantılarda sslplit (herhangi SSL/TCP bağlantılar için) gibi araçlar kullanılmaktadır [5]. Saldırganlar, kullanıcıların tüm iletişimini dinleyebilir, hatta bazı araçları kullanarak internet trafiklerini değiştirebilirler. Güvenlik sertifikası barındırmayan sitelerde kullanıcı giriş işlemi yapıldığında, dinlenen kullanıcıların kullanıcı adını ve şifresini kolayca öğrenebilirler. Kullanıcıların genellikle aynı kullanıcı adını ve şifreyi birçok giriş ekranında kullandığı varsayıldığında bunun ne kadar tehlikeli olduğu görülmüş olur. Şekil 6 da Wireshark aracı ile dinlenmekte olan kullanıcının şifresiz iletişim kurulan bir bağlantısındaki kullanıcı adı ve şifre bilgilerinin elde edilmesi gösterilmektedir. Şekil 6. Wireshark ile Kullanıcıların Kullanıcı Adı ve Şifrelerinin Dinlemesi (Sniffing) 5. Riskleri Azaltma Önerileri Bilinçsiz şekilde gerçekleştirilen DNS değiştirme işlemleri sonucunda çok ciddi riskler ortaya çıkarabilmektedir. İnternette yapılan aramalar sonucunda bulunan rastgele DNS sunucu IP leri ile gerçekleştirilen veya DNS değiştirme amacıyla kullanıma sunulan programlar ile yapılan DNS değiştirme işlemi bu risklerin ana sebebidir. Kullanıcılar öncelikle kendi gizlilikleri ve güvenlikleri için sonrasında ise çeşitli sebeplerle erişime kapatılan internet servislerine ulaşabilmek için; şifrelenmiş, güvenilir, kurumsal ve mümkünse ücretli proxy sunucular (vekil sunucular) kullanmalıdırlar. Bunun yanında ücretsiz olarak sunulan ve kurumsallıklarından dolayı güvenilir şekilde kullanılabilecek DNS sunucular mevcuttur. Kullanıcıların rastgele DNS sunucular yerine Google DNS, Open DNS, Yandex DNS, Comodo DNS, Norton ConnectSafe vb. gibi

7 kurumsal sunucuları tercih etmeleri bu tür riskleri azaltacaktır. 6. Sonuç ve Öneriler Bu bildiride bilinçsiz DNS değiştirme sonucu ortaya çıkabilecek riskler; nedenleri ve sonuçları ile ele alınmış olup, internet kullanıcılarının DNS değiştirme konusunda bilinç kazanması amaçlanmıştır. Kullanıcıların içerikleri engellenmiş servislere erişebilmek için kullandıkları DNS değiştirme yöntemi sonucunda finansal kayıp, veri çalınması, iletişimin dinlenmesi ve değiştirilmesi gibi birçok önemli riskle karşı karşıya kaldıkları görülmüştür. En sık karşılaşılan riskin, verilerinin çalınması veya gösterilen reklamlar yoluyla para kazanılması amacıyla, kullanıcıların asıl internet siteleri yerine sahte sitelere yönlendirilmesi (phishing) olduğu görülmüştür. Bunu sahte sitelere yönlendirilme sonucunda zararlı (malicious) yazılım bulaşma riskinin takip ettiği görülmüştür. Ortadaki adam saldırılarının diğerlerine göre daha karmaşık ve daha az kullanılan bir saldırı yöntemi olduğu görülmüştür. İnternet kullanıcılarının özgür bir şekilde internet servislerine erişmelerinden ve kullanmalarından daha önemlisi bu servisleri güvenli ve gizli bir şekilde kullanmalarıdır. Bu bağlamda, kullanıcıların daha güvenli ve gizli bir şekilde internet servislerine erişmeleri için DNS değiştirme konusunda bilgi sahibi olmaları önem arz etmektedir. Sonraki çalışmalarda; yaşanmış örnek saldırı vakaları, içeriği engellenen sitelere erişim için kullanılabilecek güvenli yöntemler ve kullanılan diğer yanlış engelli erişim aşma yöntemleri incelenebilir. Censorship: a proven tool against the recent Internet censorship in Turkey, 2nd IEEE International Workshop on Reliability and Security Data Analysis (RSDA),2014 [3] A. Dainotti, C. Squarcella, E. Aben, K. C. Claffy, M. Chiesa, M. Russo, and A. Pescap e, Analysis of country-wide internet outages caused by censorship, 2011 ACM SIGCOMM Conference on Internet Measurement Conference, ser. IMC 11. New York, NY, USA: ACM, 2011, pp [Online]. Available: [4] S. P. Garry Blight and P. Torpey, Arab spring: an interactive timeline of middle east protests,,2011 [Online]. Available: tive/2011/mar/22/ middle-east-protestinteractive-timeline [5] /how-to-dns-spoofing-with-a-simple-dnsserver-using-dnsmasq/ [6] T. Dinew Why spoofing is serious internet fraud, Communications of the Acm, October 2006/Vol. 49, No Kaynaklar [1] G. Lowe, P. Winters, and M. L. Marcus, The Great DNS Wall of China, Privacy Enhancing Technologies, Springer, [2] A. D. Florio, N. V. Verde, A. Villani, D. Vitali, L. V. Mancini, Bypassing