CSRF

Geçtiğimiz günlerde Google Mail üzerinde kritik olarak nitelendirilen bir güvenlik açığı keşfedildi. Buna göre saldırganlar, kurbanların e-postalarını çeşitli filtreler yardımıyla kendi istedikleri adrese yönlendirebiliyor. Güvenlik açığının etkili olabilmesi için kurbanın Gmail hesabına giriş yapmış olması ve aynı anda özel olarak hazırlanmış web sayfasına girmesi gerekiyor. CSRF (cross-site request forgery) saldırısı olarak bilinen yöntemle kurbanın e-postaları ele geçirilebiliniyor. Güvenlik açığı ile ilgili detaylı bilgiye şu adresten ulaşabilirsiniz.

Diğer yandan, güvenlik açığının açıklanmasından sonra Google bu güvenlik açığını reddetti. Google'dan yapılan açıklamada bahsi geçen güvenlik açığının bir "phising" (olta) saldırısı olduğu belirtildi. Açıklamaya göre saldırganlar sahte web sayfalarına kullanıcıların girmesini sağlayarak hesaplarını ele geçirebiliyor. Bu sahte domainlerin (google-hosts.com gibi) Google ile bir ilgisinin olmadığından, bunun Gmail'de bir güvenlik açığı olarak kabul edilemeyeceği belirtildi.

Daha önce cross-site saldırıları ve güvenlik sanatı yazısında belirttiğimiz gibi CSRF (Cross-Site Request Forgery) saldırıları her geçen gün daha tehlikeli hale gelmekte. Özellikle arama formları, üyelik sistemleri gibi istek gönderen bölümlere sahip dinamik sayfalarda yapılan sahte (forge) istekler CSRF zaafiyetlerinin oluşmasına neden oluyor.

Bir grup güvenlik araştırmacısı bu tehlikeyi göstermek için 4 çok büyük ve popüler web sitesinde CSRF zaafiyetlerinin olduğunu gösterdi.

1. Youtube (youtube.com)
Durum: Düzeltildi.
Popüler video paylaşım sitesi Youtube'ta CSRF saldırılarıyla bir kişinin kendisini başka bir kullanıcının arkadaş listesine ya da bir videoyu yine başka bir kullanıcının favorileri arasına eklemesi mümkün. Dahası yine bir kullanıcının hesabı ile başkalarına mesaj atılabiliyor.

Hackerlar web tarayıcınızı zorlayarak istedikleri siteden istek gönderebilirler. Tek yapmaları gereken sizin bir bağlantıya tıklamanızı ya da bir e-postayı okumanızı sağlamak. Eğer sitede de bir koruma yoksa -ki genellikle yoktur- hackerlar tarayıcınızda sizin yapabileceğiniz her şeyi yapabilir. Özelliklerle oynayabilir, şifrelerinizi değişebilir hatta banka hesabınıza girebilir. Tüm bu kargaşanın altında Cross-Site (Çapraz Site) bağlantısı vardır.

Tarayıcılar bu bağlantıyı kesmek için genellikle "benzer kaynak ilkesini" kullanır. Bu ilke basitçe şöyledir; eğer sitenizin kaynaklarının (protokol, alan adı, port...) tümü eşleşmiyorsa bu site üzerinden başka bir siteye bilgi gönderimi ya da alımı yapamazsınız. Bu yöntem dışında internet üzerinde cross-site bağlantısı için başka bir güvenlik önlemi yoktur. Eğer ayrı bir web tarayıcısı kullanmıyorsanız her site bir diğerine veri gönderebilir. Yegane yöntem olan "benzer kaynak ilkesi" yöntemini aşmak ise saldırganlar için çokta zor değil. "IMG, FORM, SCRIPT, IFRAME" gibi etiketleri kullanarak kurbanın tarayıcısında bir istek oluşturulabilir bu da hedef siteye gönderilir.

İçerik yönetim sistemi Drupal çeşitli güvenlik açıklarına karşı güvenlik güncelleştirmelerini duyurdu. CSRF, Sql Injection gibi ciddi güvenlik açıklarının yanında OpenID modülü üzerindeki XSS güvenlik açığı ile kullanıcı kimlikleri ele geçirilebiliniyor.

Drupal'ın desteklenen versiyonlarından 5.x ve 6.x kullananların son versiyonlar olan 5.8 ve 6.3'e yükseltme yapmaları öneriliyor. Yükseltme yapamayan site yöneticileri için ise ilgili güvenlik açıklarını kapatan yamalar mevcut.

Yamalar:
5.7 kullananlar için; SA-2008-044-5.7.patch
6.2 kullananlar için; SA-2008-044-6.2.patch

Güney Kore'nin en eski ve en büyük online mağazası olan Auction.co.kr'e yapılan saldırıda 18 milyon kişinin bilgileri ve bazı finansal verilerin çalındığı bildirildi. Çin'li bir hacker'ın yaptığı saldırıdan birkaç saat sonra Auction.co.kr'ye gelen telefonda bilgilerin para karşılığı verilebileceği söylendi.

Saldırının server'a veya siteye direkt bir saldırı olmadığı belirtildi. Saldırgan sitenin yönetimine zararlı kodlar içeren bazı e-postalar göndermiş, e-postaların açılmasıyla tüm sisteme erişebilmek için yöneticiden yeterli bilgiler alınmış.