Leuven Üniversitesi’nden bir araştırmacı, geçtiğimiz haftalarda, tüm Wi-Fi bağlantılı cihazları saldırılara karşı savunmasız bırakan WPA2 kablosuz iletişim standardında kritik bir kusur keşfetmişti.
Wi-Fi Alliance bir düzeltme yapana kadar riskin azaltılması için hangi adımların atılması gerektiğine bu yazımızda değiniyoruz. Wi-Fi kapsamında bir saldırganın zayıf noktaları istismar ederek anahtar yükleme saldırıları (KRACK) gerçekleştirebileceği kısa süre önce doğrulanmıştı. Saldırılar, platform bağımsız olma özelliği taşıyor. Yani hiçbir işletim sistemi bu zafiyete bağışık değil ve teorik olarak tüm modern korumalı Wi-Fi ağlarına karşı kullanılabiliyor. Bu kusurdan istifade eden saldırılarla ilgili henüz bir haber gelmese de tedbirli olmakta her zaman fayda var.
Yaşanan sorunları çözmek için Wi-Fi Alliance bir plan hazırladı, ancak WPA2 tamamen düzeltilmeden önce biraz zaman alacak. Amerika Birleşik Devletleri Bilgisayar Acil Hazırlık Ekibi (CERT), haberlere yanıt olarak bir tavsiye yayımladı ve hatta bilinen tüm etkilenen donanım ve yazılımları listeledi. Wi-Fi ittifakı ve ürün sağlayıcıları yamalar üretmeye çalışırken biz de alabileceğimiz önlemleri gözden geçireceğiz:
Mevcut her güncelleme ve düzeltmeyi (yamayı) kurun
Satıcınız zaten bir düzeltme/yama dağıtmaya başlamışsa ilk olarak mutlaka onu kurun. Bu düzeltme kurulumu biraz zor gelebilir, ancak verilerinizi ve gizliliğinizi önemsiyorsanız yazılım yamalamayı ciddiye almalısınız. Tipik olarak yönlendirici yamaları basit bir şekilde satıcının web sitesi ziyaret edilerek ve yama yazılımı indirilerek elde ediliyor. Daha sonra bir web aracı aracılığıyla yönlendiriciye bağlanıp manuel olarak yamayı kuruyorsunuz.
AES şifrelemesini kullanın
Hem AES hem de TKIP, KRACK’e karşı savunmasızlar. Öte yandan, AES, paket enjeksiyonuna karşı savunmasız değil; bu nedenle de, AES ile (TKIP ile değil) şifrelediği sürece biraz da olsa rahatlıkla WPA2 kullanmaya devam edebilirsiniz.
Yalnızca HTTPS ile korunan web sitelerini ziyaret edin ve/veya VPN kullanın
HTTPS kendi güvenlik katmanını kullandığından dolayı HTTPS ile güvenli hale getirilen her web sitesi (TLS) teorik olarak ziyaret edilmeye güvenlidir. Daha güvendi hissetmek için gelen ve giden internet trafiğini şifreleyen güvenilir bir VPN hizmeti de kullanabilirsiniz. HTTP siteleri, yalnızca KRACK nedeniyle değil, genel olarak güvenli değildir.
Mümkünse daha düşük riskli cihazları kullanın
KRACK ortaya çıktıktan yakın bir süre sonra, Wi-Fi üzerinden veri gönderen ve alan neredeyse her cihazın savunmasız olduğu doğrulandı. Ancak Vanhoef, OS 6.0 veya daha yeni bir sürümü çalıştıran Android cihazların, WPA2’nin hatalı bir şekilde uygulanması nedeniyle en savunmasız durumda olan aygıtlar olduğunu söyledi. Belki de işler düzeltilinceye kadar bir Android cihazı kullanmamalıyız.
Elbette bu bir çare değil, ama Android’ten başka bir işletim sistemi kullanan başka bir aygıtınız varsa bir süre yerine onu kullanarak “daha güvenli” kalabilirsiniz.
Masa üstünde ise araştırmacılara göre işletim sistemleri arasında en çok Linux savunmasız. Bu yüzden elinizin altında Windows PC veya Mac gibi bir alternatif bulunuyorsa onları kullanmaya çalışın.
Umumi Wi-Fi kullanmaktan kaçının, evde ve işyerinde Ethernet kullanın
Herkese açık olan Wi-Fi ağlarının bu noktada en savunmasız ağlar olduğunu söyleyebiliriz. Bu yüzden mümkün olduğunca bu tür ağlara bağlanmamaya çalışın. Evde veya işyerinde, bilgisayarınız izin veriyorsa kablolu ağ kullanın. Bu yöntem çok konforlu gelmeyebilir ama bir Ethernet kablosuyla bilgisayar kullanmak çok daha güvenli olur.
Windows’u güncelleyin
Sayısız Windows PC kullanıcılarından biriyseniz, Microsoft’un 10 Ekim güncellemesi, Windows 10 bilgisayarları KRACK’e karşı koruyor. Redmond tabanlı yazılım üreticisi bunu Windows Central’a yaptığı bir açıklamada doğruladı:
“Microsoft, 10 Ekim’de güvenlik güncelleştirmelerini yayımladı ve Windows Update’i etkin olan ve güncelleştirmeleri kuran tüm kullanıcılar otomatik olarak koruma altına alınmış oluyor. Müşterileri korumak için mümkün olan en kısa sürede güncelledik, ancak sorumlu bir endüstri aktörü olarak, diğer sağlayıcılar gelişip güncelleme yapana kadar ifşadan kaçınacağız.”
Bilgisayarınızda otomatik güncelleme etkinleştirilmişse, sorun yok. Etkinleştirilmemişse, Windows Update aracılığıyla bu işi kendiniz yapmanız gerekecek. Bunu hemen yapmanızı öneririz.
(Windows güncellemesinin yalnızca Windows aygıtınızı potansiyel bir saldırıdan koruduğunu unutmayın. Diğer cihazlarınızın hala bir düzeltme eki ile veya yukarıda numaralandırılmış adımlarla güvence altına alınması gerekir)
Apple kullanıcıları ve diğerleri için
Apple basına yaptığı açıklamada, KRACK için bir yama içeren iOS, macOS, watchOS ve tvOS’un yeni sürümleri için beta testi aşamasında olduğunu doğruladı. Yine de, nihai/genel sürümlerin ne zaman yayınlanacağı üzerine bir haber çıkmadı. Apple genelde platformların beta işletim sistemlerini test etmek için en az iki ay harcıyor.
Google da, konunun farkında olduğunu ve yakında yamalar çıkaracağını doğruladı. Linux tedarikçileri de durumla ilgileniyor (duyduğumuza göre yamalar şimdiden dağıtılmaya başlamış).
Satıcıları güncellemeleri dağıtana kadar herkes yukarıda bahsettiğimiz genel ipuçlarıyla kendilerini korumak durumundalar.
Her zaman olduğu gibi, güvenilir bir AV çözümü çalıştırmak, korumayı daha da geliştirecektir. Bir bilgisayar korsanı KRACK saldırısını başarıyla gerçekleştirse bile, sizi kötü amaçlı veya sahte web sitelerine yönlendirmeye ya da sisteminizde zararlı bir dosya bırakmaya çalıştığında koruyacak güvenlik yazılımınız yanınızda olur.