Bana göre bu tür saldırılar ancak saldırgan zaten kurbanın ağına bağlıysa mümkün gibi görünüyor
Çoğu, havaalanı ya da kafe gibi paylaşımlı Wi‑Fi ortamlarında uzun zamandır bilinen saldırılara benziyor
Yenilik olan kısım, bazı yönlendiricilerin misafir ağ ile normal ağ arasındaki trafiği düzgün ayıramamasına dair bir uygulama zafiyetinin istismar edilmesi
Saldırganın kurbanın ağına bağlanması gerekmiyor; aynı donanıma bağlı olması yeterli
Eduroam örneğinde olduğu gibi, saldırgan Eduroam kimlik bilgilerine sahip olmasa bile aynı AP üzerinde misafir ağ üzerinden Eduroam kullanıcısının paketlerini ele geçirebilir
Yalnızca tek bir kimliği doğrulanmış ağ varsa böyle bir izolasyon kaybı anlamlı değildir; bu, tarayıcı sandbox kaçışının yalnızca tek bir güvenilir site ziyaret edildiğinde anlamsız olmasına benzer
Makalenin ortak yazarlarından biri olarak, “Wi‑Fi şifrelemesini kırıyor” ifadesinin yanıltıcı olduğunu düşünüyorum
Gerçekte olan, istemci izolasyonunun aşılabilmesini sağlaması
Üniversitenin açık Wi‑Fi ağında başka ağların trafiğinin de (Enterprise SSID dahil) ele geçirildiği durumlar oldu
Şifreleme “kırılmıyor”, “atlatılıyor”
Tek SSID kullanan kişisel yönlendiriciler güvende
XFinity gibi, kullanıcıların ödediği Wi‑Fi’nin tüm şehirle paylaşıldığı durumlarda ne olacağını merak ediyorum
Ben de benzer görüyorum. İstemci izolasyonuna dayanan ortamlarda sorun var ama sıradan kullanıcı için etkisi düşük
Çoğu kimlik doğrulama çerezi TLS ile korunduğundan gerçek risk sınırlı
AP, 2.4GHz ve 5GHz’i aynı anda yayınladığında birden fazla BSSID taşır; MAC çakışma denetimi ya da WPA2-PSK’nin GTK paylaşımı zayıfsa saldırı kolaylaşabilir
Eski donanım, özellikle 802.11w öncesi cihazlar, muhtemelen kalıcı olarak savunmasız kalacak
AirSnitch, Wi‑Fi’nin Katman 1~2 çekirdek işlevlerini kötüye kullanarak istemciler arası senkronizasyon başarısızlığından yararlanıyor
Saldırgan aynı SSID’de olmasa bile farklı SSID’ler veya ağ segmentlerinde çift yönlü MitM yapabiliyor
Ben 2000’lerin başındaki WEP döneminden beri buna benzer şeyler yaşadığım için artık Wi‑Fi’yi hiç kullanmıyorum
Kamerada bant var, antenler sökülü, e‑postayı da bıraktım
Sonuçta gerçek güvenlik aracı olarak yalnızca bakır kablo ya da fiber görüyorum
1974 yapımı The Conversation filmini sevebileceği söylenmiş
Ben de benzer bir yaklaşım izliyorum. Wi‑Fi’yi ayrı bir alt ağa ayırdım ve GrapheneOS kullanmak gibi, mümkün olan tüm donanım mikrofonlarını ortadan kaldırdım
İstemci izolasyonu aslında epey rahatsız edici bir özellik
Üreticiler tüm cihazların tek büyük bir ağ üzerinde birbiriyle haberleşeceğini varsayıyor, ama izolasyon olunca Elgato ışıkları ya da Chromecast gibi cihazlar çalışmıyor
Yine de otelde başka birinin benim Chromecast’imi kontrol etmesinden iyidir diye düşünüyorum
Bu yüzden her zaman OpenWRT tabanlı bir seyahat yönlendiricisi taşıyorum; böylece hangi ağa bağlanırsam bağlanayım cihazlarım evdeki gibi çalışıyor
İstemci izolasyonu olmasa bile kablolu ve kablosuz arasında broadcast bridge edilmediği için cihaz keşfinin çalışmadığı durumlar yaşamıştım
İstemci izolasyonunun asıl amacı zaten bu tür IoT kötüye kullanımını önlemek
Yurt ya da ortak ağlarda rahatsız edici olabilir, ama başkalarının cihazlarımı kontrol etmesini veya kötü amaçlı yazılım yaymasını engeller
Belirli protokoller ya da IP aralıkları için istisna tanımak kullanışlı olurdu, ama bu da veri sızıntısı riskini artırır
Yazı başlığı biraz abartılı duruyor
Wi‑Fi şifrelemesini kırmıyor; aynı ağ içindeki yalnızca cihaz izolasyonunu etkisizleştiriyor
Ama birçok şirket, üniversite ve devlet kurumu ağ ayrımı için istemci izolasyonuna güvendiğinden, onlar için ciddi bir sorun
Makalenin ortak yazarı olarak “break” yerine “bypass” demenin daha doğru olduğunu vurguluyor
Makaleyi okuyunca ev tipi Wi‑Fi’lerin çoğunun SSID’yi 2.4GHz ve 5GHz arasında paylaştığı için savunmasız olabileceği görülüyor
Radius kimlik doğrulaması da kısmen etkilenebilir
Hafifletme yöntemi, tek MAC’li AP kullanmak
EAP-TLS kullanılırsa güvenli, ama yine de VLAN ayrımı gerekiyor
Evde misafir ağı yoksa güvende olunabileceğini söyleyenler de var
Saldırganın en azından bir ağa kimlik doğrulaması yapması gerektiğinden tamamen dışarıdan biri bunu yapamaz
EAP-TLS güçlüdür, ancak aynı AP içindeki diğer doğrulanmış cihazlardan gelen yatay saldırıları engellemez
Çalıştığım Supernetworks.org tarafında cihaz başına VLAN ve parola öneriyoruz
Bu gerçekten büyük bir sorun
Tek bir AP üzerinde farklı Wi‑Fi ağları varsa, bir ağdaki istemci diğer ağın trafiğine MITM yapabiliyor
Kurumsal Wi‑Fi ağlarının çoğu bu tür izolasyona dayanıyor
Yani misafir ağına bağlanan ben, kurumsal ağ trafiğini okuyabiliyorum demek
Sorun şu ki birçok AP’de birden fazla SSID olsa da, L2/L3 izolasyon garantisini açıkça tanımlayan bir spesifikasyon yok
Makalenin sonuna kadar okuyunca ana fikrin “güçlü parolayla korunan tek bir ağ varsa AirSnitch büyük bir tehdit değil” olduğu anlaşılıyor
Ama güvenli ağ ile misafir ağ aynı AP’yi paylaşıyorsa, misafir taraftan güvenli ağdaki istemcilere erişmek mümkün
Xfinity’nin otomatik misafir ağı gibi devre dışı bırakması zor örnekler de var
Bu saldırı temelde yalnızca tek bir SSID üzerinde çalışıyor Private-PSK/Dynamic-PSK ya da EAP/Radius VLAN öznitelikleri kullanılarak hafifletilebilir
WPA3/SAE tarafında daha karmaşık ve çoğu cihaz hâlâ bunu desteklemiyor
Hostapd artık WPA3 çoklu parola desteği sunuyor spr-networks/super projesinde cihaz başına PSK+VLAN uygulayıp kullanıyoruz
Ancak Apple cihazlarındaki Keychain senkronizasyonu ve MAC rastgeleleştirmesi yüzünden gerçek dağıtım zor; ayrıca SAE’nin yapısı gereği birden fazla parolayı aynı anda denemek kolay değil
macOS için bir güvenlik duvarı önerisi arıyorum
Yerleşik güvenlik duvarı neredeyse kullanışsız ve istemci izolasyonu aşılabiliyorsa yerel güvenlik duvarı daha da önemli hale geliyor
Geliştirme sunucularını 0.0.0.0’a bind ediyorum; ortak Wi‑Fi’ye bağlandığımda portların gerçekten kapalı olduğundan emin olmak istiyorum
macOS güvenlik duvarı mimarisini derinlemesine anlayan geliştiricilerin yaptığı en bilinen seçenek Little Snitch resmi site
1 yorum
Hacker News görüşleri
Bana göre bu tür saldırılar ancak saldırgan zaten kurbanın ağına bağlıysa mümkün gibi görünüyor
Çoğu, havaalanı ya da kafe gibi paylaşımlı Wi‑Fi ortamlarında uzun zamandır bilinen saldırılara benziyor
Yenilik olan kısım, bazı yönlendiricilerin misafir ağ ile normal ağ arasındaki trafiği düzgün ayıramamasına dair bir uygulama zafiyetinin istismar edilmesi
Eduroam örneğinde olduğu gibi, saldırgan Eduroam kimlik bilgilerine sahip olmasa bile aynı AP üzerinde misafir ağ üzerinden Eduroam kullanıcısının paketlerini ele geçirebilir
Yalnızca tek bir kimliği doğrulanmış ağ varsa böyle bir izolasyon kaybı anlamlı değildir; bu, tarayıcı sandbox kaçışının yalnızca tek bir güvenilir site ziyaret edildiğinde anlamsız olmasına benzer
Gerçekte olan, istemci izolasyonunun aşılabilmesini sağlaması
Üniversitenin açık Wi‑Fi ağında başka ağların trafiğinin de (Enterprise SSID dahil) ele geçirildiği durumlar oldu
Şifreleme “kırılmıyor”, “atlatılıyor”
Tek SSID kullanan kişisel yönlendiriciler güvende
Çoğu kimlik doğrulama çerezi TLS ile korunduğundan gerçek risk sınırlı
Eski donanım, özellikle 802.11w öncesi cihazlar, muhtemelen kalıcı olarak savunmasız kalacak
AirSnitch, Wi‑Fi’nin Katman 1~2 çekirdek işlevlerini kötüye kullanarak istemciler arası senkronizasyon başarısızlığından yararlanıyor
Saldırgan aynı SSID’de olmasa bile farklı SSID’ler veya ağ segmentlerinde çift yönlü MitM yapabiliyor
Ben 2000’lerin başındaki WEP döneminden beri buna benzer şeyler yaşadığım için artık Wi‑Fi’yi hiç kullanmıyorum
Kamerada bant var, antenler sökülü, e‑postayı da bıraktım
Sonuçta gerçek güvenlik aracı olarak yalnızca bakır kablo ya da fiber görüyorum
İstemci izolasyonu aslında epey rahatsız edici bir özellik
Üreticiler tüm cihazların tek büyük bir ağ üzerinde birbiriyle haberleşeceğini varsayıyor, ama izolasyon olunca Elgato ışıkları ya da Chromecast gibi cihazlar çalışmıyor
Bu yüzden her zaman OpenWRT tabanlı bir seyahat yönlendiricisi taşıyorum; böylece hangi ağa bağlanırsam bağlanayım cihazlarım evdeki gibi çalışıyor
Yurt ya da ortak ağlarda rahatsız edici olabilir, ama başkalarının cihazlarımı kontrol etmesini veya kötü amaçlı yazılım yaymasını engeller
Yazı başlığı biraz abartılı duruyor
Wi‑Fi şifrelemesini kırmıyor; aynı ağ içindeki yalnızca cihaz izolasyonunu etkisizleştiriyor
Makaleyi okuyunca ev tipi Wi‑Fi’lerin çoğunun SSID’yi 2.4GHz ve 5GHz arasında paylaştığı için savunmasız olabileceği görülüyor
Radius kimlik doğrulaması da kısmen etkilenebilir
Hafifletme yöntemi, tek MAC’li AP kullanmak
EAP-TLS kullanılırsa güvenli, ama yine de VLAN ayrımı gerekiyor
Çalıştığım Supernetworks.org tarafında cihaz başına VLAN ve parola öneriyoruz
Bu gerçekten büyük bir sorun
Tek bir AP üzerinde farklı Wi‑Fi ağları varsa, bir ağdaki istemci diğer ağın trafiğine MITM yapabiliyor
Kurumsal Wi‑Fi ağlarının çoğu bu tür izolasyona dayanıyor
Yazıda adı geçen makale şu: AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
Makalenin sonuna kadar okuyunca ana fikrin “güçlü parolayla korunan tek bir ağ varsa AirSnitch büyük bir tehdit değil” olduğu anlaşılıyor
Xfinity’nin otomatik misafir ağı gibi devre dışı bırakması zor örnekler de var
Bu saldırı temelde yalnızca tek bir SSID üzerinde çalışıyor
Private-PSK/Dynamic-PSK ya da EAP/Radius VLAN öznitelikleri kullanılarak hafifletilebilir
WPA3/SAE tarafında daha karmaşık ve çoğu cihaz hâlâ bunu desteklemiyor
spr-networks/super projesinde cihaz başına PSK+VLAN uygulayıp kullanıyoruz
Ancak Apple cihazlarındaki Keychain senkronizasyonu ve MAC rastgeleleştirmesi yüzünden gerçek dağıtım zor; ayrıca SAE’nin yapısı gereği birden fazla parolayı aynı anda denemek kolay değil
macOS için bir güvenlik duvarı önerisi arıyorum
Yerleşik güvenlik duvarı neredeyse kullanışsız ve istemci izolasyonu aşılabiliyorsa yerel güvenlik duvarı daha da önemli hale geliyor
Geliştirme sunucularını 0.0.0.0’a bind ediyorum; ortak Wi‑Fi’ye bağlandığımda portların gerçekten kapalı olduğundan emin olmak istiyorum
resmi site