Soğuk Kanlı ve Tedbirli olun, OpenID ve OAuth Savunmasızmış!

Heartbleed güvenlik açığının ortaya çıkmasından sadece bir kaç hafta sonra normal internet kullanıcılarının endişelenmesini gerektirecek çok yaygın yeni bir sorun daha ortaya çıktı. Ve kolay bir çözümü de yok. Nanyan

Heartbleed güvenlik açığının ortaya çıkmasından sadece bir kaç hafta sonra normal internet kullanıcılarının endişelenmesini gerektirecek çok yaygın yeni bir sorun daha ortaya çıktı. Ve kolay bir çözümü de yok. Nanyan Teknoloji Üniversitesi doktora öğrencisi Wang Jing tarafından ortaya çıkarılan bu güvenlik açığı kelimenin tam anlamıyla “gizli yönlendirme” hatası. Sorun popüler internet protokolleri OpenID ve Oauth ile ilgili. Bu protokoller önceleri Google, Facebook, LinkedIn vs. gibi web siteleri tarafından kullanılıyordu sonra zamanla Facebook/G+/vs. servisleri veya uygulamalarda şifrelerinizi görüntülemeden üçüncü partileri yetkilendirmek için kullanılmaya başlandı. Ortaya çıkan duruma göre genellikle birlikte kullanılan bu iki protokol bilgilerinizin yanlış ellere geçmesine neden olabilir.

Tehdit

Threatpost‘daki arkadaşlarımız durumu teknik ayrıntılarıyla ve orijinal araştırmaya da link vererek gayet iyi açıklamışlar. Ancak biz gereksiz detayları pas geçerek sadece olası saldırı senaryolarını ve sonuçlarını anlatacağız. İlk olarak kullanıcı şu bildik “Facebook hesabın ile giriş yap” tuşu olan zararlı oltalama web sitelerinden birini ziyaret eder. Oltalama sitesi kendisini popüler 3. parti servislerden birini benzetmiş veya tamamen yeni bir servis gibi gözüküyordur. Tuşa bastığınız zaman gerçek Facebook/G+/LI penceresi açılır ve kullanıcıdan kullanıcı adı ve şifresini girip profilini kullanarak bahsi geçen (muhtemelen meşru) bir servisi yetkilendirmesi istenir. Sonunda ise yetkilendirme profili yanlış bir (oltalama) siteye yönlendirilir.

İlk olarak kullanıcı bir oltalama sitesini ziyaret eder ve Facebook veya başka bir OpenID sağlayıcı aracılığı ile giriş yapmayı dener.

Günün sonunda siber suçlu kurbanının profiline erişmek için orijinal uygulamanın kapsadığı tüm haklara sahip yetkilendirmeyi (OAuth token) ele geçirmiş olur. En iyi senaryoda sadece temel kullanıcı bilgilerine erişebilir; en kötü senaryoda ise kontakları görebilir, mesajları okuyabilir vs.

Düzeldi mi? Pek sayılmaz

Bu tehdit muhtemelen yakın zamanda ortadan kalkmayacak. Düzeltme hem servis sağlayıcı (Facebook/Google/LinkedIn vs.) tarafında hem de istemci tarafında (üçüncü parti uygulama veya servis) yapılmalı. OAuth protokolü halen beta aşamasında ve çeşitli servis sağlayıcılar değişik yöntemler uyguluyorlar. Bu nedenle bu saldırı senaryosuna karşı önlemleri birbirinden farklı olacaktır. LinkedIn çözüm konusunda iyi bir pozisyon alarak katı bir yöntem izledi ve tüm üçüncü parti geliştiricilerin uygun yönlendirmeler için “bir beyaz liste” sağlamasını şart koştu. Şu anda LinkedIn kullanan her bir uygulama ya güvenli veya çalışmıyor. Facebook için ise durum farklı çünkü hem daha eski bir OAuth uygulaması kullanıyor hem de çok geniş miktarda üçüncü parti uygulamaya sahip. Bu nedenle Facebook temsilcisi Jing’e beyaz liste alternatifinin “kısa vade de uygulanabilir olmadığını” belirtmiş.

Savunmasız durumda olan daha pek çok sağlayıcı (aşağıdaki resme göz atın) bulunuyor. Bu nedenle eğer bu servisleri kullanarak bazı sitelere giriş yapıyorsanız mutlaka önlem almalısınız. openid2

Eylem planınız

Tedbirli olmayı sevenler için en etkin çözüm, bir kaç ay için OpenID kullanmayı bırakıp eski “Giriş yap…” tuşunu kullanmak olacaktır. Böylece artan gizliliğin artan faydalarından da yararlanabilirsiniz. Sosyal ağları kullanarak giriş yaptığınızda online davranışlarınızın takibi kolaylaşmakta ve pek çok web sitesi temel demografik verilerinize erişebilmektedir. Bu arada onlarca hatta yüzlerce farklı siteye ait giriş bilgilerini ezberlemek yerine etkin bir şifre yöneticisi kullanmaya başlayabilirsiniz. Pek çok servis artık çoklu platform istemcileri ve bulut senkronizasyonu sayesinde sahip olduğunuz tüm cihazlardan şifrelerinize erişebilmenize imkan sağlamaktadır.

Ancak, eğer OpenID kullanmaya devam etmeyi düşünüyorsanız çok acil bir tehlike sizi beklemiyor. Sadece genellikle posta kutunuzdaki rahatsız edici bir mektuptan veya Facebook yada diğer sosyal ağlardaki provokatif bir linkle ortaya çıkan oltalama saldırılarına karşı oldukça dikkatli olmalısınız. Eğer Facebook/Google/vs. kullanarak giriş yapacaksanız bağlanacağınız servisin adresini elinizle yazın veya tarayıcı favorilerinizi kullanın. Eposta veya mesajlaşma uygulamalarındaki linkleri kullanmayın. Sahte sitelerden kaçınmak için her zaman adres çubuğunu iki kez kontrol edin ve meşru olduğundan 100% emin olmadığınız sürece yeni bir servise OpenID kullanarak kayıt yaptırmayın. Bunlara ek olarak, sizi oltalama siteleri de dahil olmak üzere tehlikeli yerleri ziyaret etmekten koruyacak Kaspersky Internet Security ― çoklu cihaz gibi güvenli web tarama çözümleri kullanın.

Bunların hepsi her bir internet kullanıcısının günlük hayatta sürekli kullanması gereken tedbirli davranış yöntemleri. Kredi kartı numaraları, eposta giriş bilgileri gibi pek çok dijital varlığınızın çalınmasına neden olabilecek oltalama tehditleri yaygın ve etkin bir şekilde ortalıkta dolaşıyor. OpenID ve OAuth ile ortaya çıkan “Gizli yönlendirme” hatası bunları kullanmak için gereken sebeplerden sadece bir tanesi. İstisna yapmadan bu yöntemlere uymanızı öneriyoruz.

 

İpuçları