İnternet, bizler için bilgi kaynağı olduğu gibi saldırganlar ya da sahtekarlar için de kişisel bilgilerimizin, davranışlarımızın en kolay erişilebilir kaynağı konumundadır. Bu tehdit içeren tabiatının belil başlı sebeplerinden birisi tarayıcı ve oturum verilerinin elde edilmesi ile ilgilidir. Bununla beraber İnternet tarayıcılarının sabit disk üzerinde bıraktıkları izler adli analiz (forensic analysis) anlamında da önemli ve kolaylıkla erişilebilen bilgilerdir. Günümüz İnternet tarayıcılarının çokça övündükleri gizli pencere özelliği acaba kişisel verilerin tehdit ya da adli analiz anlamında gizliliğini sağlıyor mu?
resim-1.jpg
İnternet dünyasının sıklıkla kullanılan tarayıcıların hemen hepsinde gizli pencere özelliği (private browsing) bulunmaktadır. Gizli pencere özelliği, tarayıcıyı kullanarak İnternette gezinen bir kullanıcının tarihçe, çerez, oturum vb. bilgilerinin sabit diske kaydedilmediğinden emin olarak erişim sağladığı bir tarayıcı modudur. Bu moda Internet Explorer 8 in private, firefox private browsing, google chrome incognito window adını vermektedir. Her tarayıcının gizli pencere özelliğine yüklediği anlam farklı olmakla birlikte yapılan son araştırmalar hiçbir tarayıcının yukarıda sözünü ettiğimiz hem saldırgan hem de adli analize karşın veri mahremiyetini tam ve mükemmel bir şekilde koruduğunu söyleyemeyiz.
resim-2.jpg
Tarayıcılar kişisel verilerin bazılarını hiç oluşturmamak suretiyle, bazı verileri ise oturum süresince oluşturup gizli pencere kapatıldığı zaman silmek suretiyle koruduklarını belirtmektedirler. Örneğin Internet Explorer 8 tarayıcısı hangi sayfaların ziyaret edildiği bilgisini içeren tarihçe verisini hiç oluşturmamakta, ancak tarayıcının benzer içeriği tekrar tekrar getirmesini hızlandıran saklama (cache) özelliği nedeniyle gezintiye dair basit verileri kısa süreli de olsa diske yazmakta, tarayıcı kapatılınca diskten silmektedir. Diske birkere yazılmış bir verinin mahremiyetinden bahsedilebilir mi? Stanford ve Carnegie Mellon Üniversitelerinden araştırmacıların yürüttüğü bir çalışma, gizli modda çalışan tarayıcıların gizliliği esasen sağlayamıyor olduklarını ve özellikle web tabanlı tehditlere açık yanlarını gözler önüne sermektedir.
Gizli Modda Çalışan Tarayıcıların Gizlilik Sorunu ve Tehditlere Açık Yanları
Stanford Üniversitesinden Aggarwal, Burzstein ve Boneh ile CMUdan Jackson yürüttükleri çalışmada sıklıkla kullanılan dört tarayıcının güncel sürümlerinin gizli pencere modundaki çalışma davranışlarını incelediler. Bulgularından bazıları şu şekilde açıklanabilir:
Firefox Custom Protocol Handler:
Firefox web tarayıcısı tarafından HTML 5 destekli olarak hazırlanan bir özelliktir. Özellik sayesinde web siteleri xyz://site/adres şeklinde çağırılabilmektedirler. Yani web siteleri kendi belirledikleri protokoller üzerinden çağırılabilmektedirler. Yapılan incelemede gizli modda çağırılan CPH tabanlı web sitelerinin tarayıcı tarihçelerinde bıraktığı izler kalıcı olmakta, pencere kapatılmasıyla beraber silinmemektedir. Yani firefox tarayıcıda, CPH kullanan sitelerde gizli modda gezinsek bile gezinti bilgimizi saklayamamış oluyoruz ve dolayısıyla aslında normal modda çalışmış gibi izler bırakıyoruz.
İstemci Sertifikaları:
IE, Safari ve Firefox istemci sertifikalarını desteklemektedir. İstemci sertifikasından kasıt javascript yardımıyla istemci tarafında istemcinin açık/gizli anahtarlarının oluşturulmasıdır. Yapılan inceleme sonucunda, bu desteği sağlayan her üç tarayıcının da gizli modda da olunsa bu sertifikaları gezinme sonunda silmediği, sakladığı tespit edilmiştir. Özellikle Internet Explorer ve Safari kendinden-imzalı bir sertifika kabul edildiği takdirde onu Microsoft sertifika cüzdanında saklar. Özellikle gizli modda ziyaret edilen sitelerin sertifikaları Microsoft sertifika cüzdanında kalıcı olarak kaydedilmekte ve silinmemektedir.
SMB Sorguları:
Bilindiği üzere SMB (Sunucu Mesaj Bloğu) dosya, yazıcı ya da iletişim aygıtlarının ağda paylaşımı amacıyla kullanılan bir protokoldür. \\sunucu\klasörüm\dosyam şeklinde sorgular yoluyla bir sunucudaki dosyalara erişimi mümkün kılmaktadır. Bir web sitesi, sunum yaptığı sayfada görüntülediği bir resim için aşağıdaki gibi bir tanımlama yapmış olsun:
Internet Explorer tarayıcısı bu isteği yorumladığında adresi verilen web sunucuya bir SMB sorgusu yapacaktır. SMB protokolünün yetkilendirme ayağı NTLM (NT Lan Manager) üzerinden çalışırken ilk olarak sunucuya bir anonim kullanıcı için istekte bulunur; Eğer ki bu yetkilendirme başarısız olursa tarayıcı istek-cevap yetkilendirmeye (challenge-response authentication) geçer. Bu sırada Windows kullanıcı adı, Windows alan adı ve Windows bilgisayar adı tarayıcı gizli modda çalışıyor olsa bile sorgu içerisinde web sunucuya gönderilir.
Kullanım İstatistiği Verme:
Gizli modda çalışan web tarayıcıların bir diğer zayıf noktası önceki gezintilerine dair istatistik çıkarsamaya yardımcı olabilecek bazı bilgiler vermeleridir. Aggarwal ve arkadaşları hazırladıkları bir web senaryosuyla kullanıcıların hangi tür web sitelerine ne oranda gizli modda girdiklerini tespit edebilmişlerdir. Senaryo şu şekilde işlemektedir:
Bir gün süreyle biri yetişkinlere yönelik içerik içeren site, biri de hediye alışveriş sitesi olmak üzere iki adet sitede kampanya ilanı verilmiştir. İlanın verildiği sitede bulunan bir iframe yardımı ile aşağıdaki javascript kodu kullanılarak tarayıcının gizli modda çalıştırılıp çalıştırılmadığı incelenmiştir:
Bilindiği gibi gizli modda açılan tarayıcı, tarihçe alanına girilen önceki adresleri yazmaz. Bu sebeple de yukarıdaki javascript kodu gizli modda taranılan bir site için mavi link rengini verecektir. Araştırmacılar bu sayede aşağıdaki istatistiği elde ederler:
resim-3.jpg
Görüldüğü üzere beklendiği gibi yetişkinlere yönelik sitelerin kullanıcılar tarafından gizli modda ziyaret edildiği bilgisine ulaşılabilmektedir.
Yazımızın bu ilk bölümünde gizli modda kullanılan tarayıcıların yerel saldırganlar olsun, ağ saldırganları olsun bir takım bilgiler verebildiğini gördük. Makalenin ikinci kısmında gizli modda tarama sırasında lokale kaydedilen ve tarayıcı kapatılınca silinen dosyaların izlerini arayacağız.
resim-1.jpg
İnternet dünyasının sıklıkla kullanılan tarayıcıların hemen hepsinde gizli pencere özelliği (private browsing) bulunmaktadır. Gizli pencere özelliği, tarayıcıyı kullanarak İnternette gezinen bir kullanıcının tarihçe, çerez, oturum vb. bilgilerinin sabit diske kaydedilmediğinden emin olarak erişim sağladığı bir tarayıcı modudur. Bu moda Internet Explorer 8 in private, firefox private browsing, google chrome incognito window adını vermektedir. Her tarayıcının gizli pencere özelliğine yüklediği anlam farklı olmakla birlikte yapılan son araştırmalar hiçbir tarayıcının yukarıda sözünü ettiğimiz hem saldırgan hem de adli analize karşın veri mahremiyetini tam ve mükemmel bir şekilde koruduğunu söyleyemeyiz.
resim-2.jpg
Tarayıcılar kişisel verilerin bazılarını hiç oluşturmamak suretiyle, bazı verileri ise oturum süresince oluşturup gizli pencere kapatıldığı zaman silmek suretiyle koruduklarını belirtmektedirler. Örneğin Internet Explorer 8 tarayıcısı hangi sayfaların ziyaret edildiği bilgisini içeren tarihçe verisini hiç oluşturmamakta, ancak tarayıcının benzer içeriği tekrar tekrar getirmesini hızlandıran saklama (cache) özelliği nedeniyle gezintiye dair basit verileri kısa süreli de olsa diske yazmakta, tarayıcı kapatılınca diskten silmektedir. Diske birkere yazılmış bir verinin mahremiyetinden bahsedilebilir mi? Stanford ve Carnegie Mellon Üniversitelerinden araştırmacıların yürüttüğü bir çalışma, gizli modda çalışan tarayıcıların gizliliği esasen sağlayamıyor olduklarını ve özellikle web tabanlı tehditlere açık yanlarını gözler önüne sermektedir.
Gizli Modda Çalışan Tarayıcıların Gizlilik Sorunu ve Tehditlere Açık Yanları
Stanford Üniversitesinden Aggarwal, Burzstein ve Boneh ile CMUdan Jackson yürüttükleri çalışmada sıklıkla kullanılan dört tarayıcının güncel sürümlerinin gizli pencere modundaki çalışma davranışlarını incelediler. Bulgularından bazıları şu şekilde açıklanabilir:
Firefox Custom Protocol Handler:
Firefox web tarayıcısı tarafından HTML 5 destekli olarak hazırlanan bir özelliktir. Özellik sayesinde web siteleri xyz://site/adres şeklinde çağırılabilmektedirler. Yani web siteleri kendi belirledikleri protokoller üzerinden çağırılabilmektedirler. Yapılan incelemede gizli modda çağırılan CPH tabanlı web sitelerinin tarayıcı tarihçelerinde bıraktığı izler kalıcı olmakta, pencere kapatılmasıyla beraber silinmemektedir. Yani firefox tarayıcıda, CPH kullanan sitelerde gizli modda gezinsek bile gezinti bilgimizi saklayamamış oluyoruz ve dolayısıyla aslında normal modda çalışmış gibi izler bırakıyoruz.
İstemci Sertifikaları:
IE, Safari ve Firefox istemci sertifikalarını desteklemektedir. İstemci sertifikasından kasıt javascript yardımıyla istemci tarafında istemcinin açık/gizli anahtarlarının oluşturulmasıdır. Yapılan inceleme sonucunda, bu desteği sağlayan her üç tarayıcının da gizli modda da olunsa bu sertifikaları gezinme sonunda silmediği, sakladığı tespit edilmiştir. Özellikle Internet Explorer ve Safari kendinden-imzalı bir sertifika kabul edildiği takdirde onu Microsoft sertifika cüzdanında saklar. Özellikle gizli modda ziyaret edilen sitelerin sertifikaları Microsoft sertifika cüzdanında kalıcı olarak kaydedilmekte ve silinmemektedir.
SMB Sorguları:
Bilindiği üzere SMB (Sunucu Mesaj Bloğu) dosya, yazıcı ya da iletişim aygıtlarının ağda paylaşımı amacıyla kullanılan bir protokoldür. \\sunucu\klasörüm\dosyam şeklinde sorgular yoluyla bir sunucudaki dosyalara erişimi mümkün kılmaktadır. Bir web sitesi, sunum yaptığı sayfada görüntülediği bir resim için aşağıdaki gibi bir tanımlama yapmış olsun:
Internet Explorer tarayıcısı bu isteği yorumladığında adresi verilen web sunucuya bir SMB sorgusu yapacaktır. SMB protokolünün yetkilendirme ayağı NTLM (NT Lan Manager) üzerinden çalışırken ilk olarak sunucuya bir anonim kullanıcı için istekte bulunur; Eğer ki bu yetkilendirme başarısız olursa tarayıcı istek-cevap yetkilendirmeye (challenge-response authentication) geçer. Bu sırada Windows kullanıcı adı, Windows alan adı ve Windows bilgisayar adı tarayıcı gizli modda çalışıyor olsa bile sorgu içerisinde web sunucuya gönderilir.
Kullanım İstatistiği Verme:
Gizli modda çalışan web tarayıcıların bir diğer zayıf noktası önceki gezintilerine dair istatistik çıkarsamaya yardımcı olabilecek bazı bilgiler vermeleridir. Aggarwal ve arkadaşları hazırladıkları bir web senaryosuyla kullanıcıların hangi tür web sitelerine ne oranda gizli modda girdiklerini tespit edebilmişlerdir. Senaryo şu şekilde işlemektedir:
Bir gün süreyle biri yetişkinlere yönelik içerik içeren site, biri de hediye alışveriş sitesi olmak üzere iki adet sitede kampanya ilanı verilmiştir. İlanın verildiği sitede bulunan bir iframe yardımı ile aşağıdaki javascript kodu kullanılarak tarayıcının gizli modda çalıştırılıp çalıştırılmadığı incelenmiştir:
Bilindiği gibi gizli modda açılan tarayıcı, tarihçe alanına girilen önceki adresleri yazmaz. Bu sebeple de yukarıdaki javascript kodu gizli modda taranılan bir site için mavi link rengini verecektir. Araştırmacılar bu sayede aşağıdaki istatistiği elde ederler:
resim-3.jpg
Görüldüğü üzere beklendiği gibi yetişkinlere yönelik sitelerin kullanıcılar tarafından gizli modda ziyaret edildiği bilgisine ulaşılabilmektedir.
Yazımızın bu ilk bölümünde gizli modda kullanılan tarayıcıların yerel saldırganlar olsun, ağ saldırganları olsun bir takım bilgiler verebildiğini gördük. Makalenin ikinci kısmında gizli modda tarama sırasında lokale kaydedilen ve tarayıcı kapatılınca silinen dosyaların izlerini arayacağız.
