Güvenlik Web Güvenliği

Bir Tıkla Değişir Hayatlar – Clickjacking 1

Bir Tıkla Değişen Hayatlar

Herkesin (düşmanın bile) zayıf bir noktası var. Bu zaafı tespit ettiğinizde veya sizin zaafınız tespit edildiğinde hiç ummadığınız zamanlarda ummadığınız hareketlere maruz kalırsınız. Bunun nedeni tabii ki de ‘insan’ kavramında gizli.

Aslında ne kadar gizli olabilir ki, herşey ortada, sonuç; hepimiz insanız! Maalesef en büyük yanılgımız da burada. Neden? Biz zaaflarla donatılmışız ve yanılmaya programlanmışız.

[alert style=”red”]Unutma; Titanic için de batmaz gemi diyorlardı…[/alert]

İnsan Psikolojisi ve Gelişen Teknoloji

Yaratılış (fıtrat) bu şekilde. Başka etkenleri de yok değil. En kısa ve bariz örneği ise teknoloji! Bilenleriniz vardır mutlaka, literatürümüze “ihtiyaç analizi” kavramını eklemek zorunda kaldık. Çünkü her zaman aldanıyoruz.

Teknoloji de pek tabi bizim isteklerimize göre şekillenecek ve de şekilleniyor. Bilgisayarlar küçüldükçe küçülüyor, ekranlar netleştikçe netleşiyor. Peki, bunca gelişim ve değişim ardında neyi getiriyor? Cevap basit; Zaafiyet! Teknolojik terimi ile de Güvenlik Zaafiyeti. Bugüne de kadar (belki biraz önce de) kulağınız aşina, gözünüz de tanık olmuştur bu zaafiyetlere. İşte bu zaafiyetler sonucu biz sistemlerden milyonlar değerinde para ya da milyarlar değerinde bilgiler çalınıyor (aşırılıyor).

“Bir Tık Kadar Yakınınızda!”indir-butonu

Özellikle sosyal medyanın gelişmesi “heryere ve herşeye tıklama” mentalitesini geliştirdi. Ülkemizde neredeyse her eve bilgisayar ve de internetin girmesi sonucu 5-18 ve 45-60 yaşları insanlarımız (özellikle) her şeye tıklar oldular, çünkü daha çabuk yanılsılıyorlar. Hele hele bir tıklama ile onlarca bilginin değiştiği, kaydedildiği, montaj için kullanıldığı; 7’den 70’e farkındalıksızlaştığımız ve monotonlaştığımız şu dönemde artık ‘bilinçlenmeliyiz’!..

Hal böyle olunca da meydan boş değil ya, clickjaking ile tanışıyoruz.

Merhaba, Haydi Tıkla!

Bu saldırı yöntemi temelde HTML ve JavaScript‘in getirilerinden faydalanır ve sizi iki yerden vurur;

  1. Likejacking: Haberiniz olmadan size bir başkasının Facebook paylaşımını beğendirme. (belki daha neler neler)
  2. Cursorjacking: Kısaca, çok sevimli ve de güvenilir bağlantılara tıklatma ya da saman altından su yürütme.

Kullanılan zaaf(?) [badge style=”grass”]<frame></frame>[/badge] ve [badge style=”grass”]<iframe></iframe>[/badge] etiketlerine odaklanıyor, bu sayede siz görmeden, size farkettirmeden arkada başka uygulamalar/siteler/betiklere gidiyor. Bu şekilde sizden (bizden) alabilecekleri bilgiler;

  • Twitter’da kendisini (ya da X profili) takip ettirebilir,
  • Facebook’ta (ya da bir başka sitede varsa) herhangi bir paylaşımı beğendirebilir,
  • Flash player eklentisini kullanarak web kamerasından ve/veya mikrofondan ses / görüntü alabilir,
  • Dahası istediği noktaya tıklatıp bilgisayarınıza zararlı yazılım yükletebilir vb.

Nasıl Korunabilirim?

İlk olarak aldanma ve yanılma yüzdenizi %0‘a en yakın noktaya indirgemeli (her ne kadar zor olsa da) ve yardımcı araçları kullanmalısınız.

Kesinlikle her gördüğünüze tık-la-ma-ma-lı-sı-nız!

Ek olarak şüphelendiğiniz, özellikle Facebook ya da Twitter gibi sosyal paylaşım sitelerinde bulunan linkleri açmayınız (en azından 5 kere düşünün :)).

İnternet üzerinden bağlantıları (linkleri) tarayan ve size güvenli olup olmadığını bildiren bazı servisler var. Örneğin, Norton Safe Web bağlantısını takip ederek tıklayacağınız URL‘lerin güvenilirliğini test edebilirsiniz.

Ayrıca eğer Firefox kullanıcısı iseniz bağlantıya tıklayarak [button url=”https://addons.mozilla.org/en-US/firefox/addon/noscript/” icon=”check-1″]NoScript[/button] bu vb. zaafiyetlerden (XSS, CSRF) mümkün olduğunda korunabilirsiniz.

Dahası? Dahası inşallah bir sonraki bölümde. İkinci bölümde sunucu taraflı ve son kullanıcı (tarayıcı) taraflı olarak daha iyi nasıl önlemler alacağımızı inceleyeceğiz.

İkinci bölümde görüşmek dileğiyle,

Esen kalın.