Google’ın tarayıcısı Chrome 63’de Man-in-the-Middle saldırılarına karşı kullanıcıları uyaracak.
Chrome 63’le birlikte Google Chrome’da artık HTTPS engellemeleri için kullanıcılar bir uyarıyla bildirilecek. Uyarı şu anda Chrome’un geliştirici sürümü olan Canary’de bulunurken, tam sürüme geçmemiş durumda. Stabil sürümü ise 5 Aralık 2017’de çıkacak olan Chrome 63’le birlikte sunulacak.
Farkında olduğunuz gibi, internet giderek evrensel bir şifrelemeye doğru ilerliyor. URL’lerin önünde gördüğünüz HTTP protokolü yerini HTTPS’ye bırakıyor ve Google ile diğer tarayıcılar da bunu teşvik ediyor. SSL ekleyip HTTPS’ye geçen web sitelerine küçük SEO katkıları olduğu gibi, aynı zamanda gelişmiş tarayıcı özelliklerine ve HTTP/2’ye de erişebiliyorlar.
Google’ın bu uyarıyı ekleme kararı aynı amacı gözeten farklı bir yaklaşım, o da tam bir şifreleme. Tam şifreleme işleminin önüne kesen şey ise bazen TLS engellemesi adı verilen HTTPS engellmesi oluyor.
İki Çeşit TLS Engellemesi
Daha net açıklamak için TLS Interception denilen bu durdurma türünü iki kategoriye ayıracağız: Man-in-the-middle attack (ortadaki adam saldırısı) ve HTTPS Interception – HTTPS engellemesi.
Man-in-the-middle saldırısı, adından da anlaşılacağı gibi saldırganın kendisini kullanıcı ile iletişime geçtiği sunucu arasına yerleştirmesidir. Bu sayede ortadaki adam iki parti arasında aktarılan tüm verileri inceleyebilir ve engelleyebilir. Hatta eğer isterse bilgileri manipüle dahi edebilir.
SSL ise eklediği şifrelemeyle MITM saldırılarını ciddi ölçüde önler. Fakat SSL olsa bile kimi zaman ortadaki adamın şifrelemeyi engellemesi ve saldırıyı gerçekleştirmesi mümkündür. Bu genellikle site yöneticisinin yanlış yapılandırmasından kaynaklı savunmasızlık durumlarında ortaya çıkıyor fakat yine de bir tehdir oluşturuyor. Birçok durumda, etkilenen kullanıcı saldırının gerçekleştiğinden dahi haberdar olmuyor.
Google’ın TLS engelleme uyarısı getirme kararı ise bu müdahaleyi kullanıcılara bildirerek durumu hafifletecek.
Diğer HTTPS Türü Engellemeler
Şimdi de HTTPS trafiğinin neden engellendiğinden bahsedelim. Teknik olarak bu kategori hâlâ yine MITM saldırılarını alıyor fakat buradaki amaç biraz farklı. Bu durumlarda, güvenlik amacıyla incelenmek üzere HTTPS trafiği kesiliyor.
Bu tip HTTPS kesilmeleri biraz tartışmalı. Birçok güvenlik firması zararsız olduğunu söylese de, bazı araştırmalara göre HTTPS engellemeleri kullanıcı verilerinin genel güvenliğini zayıflatıyor.
HTTPS engellemeleri güvenlik amacıyla yapılınca, kesilmeyi gerçekleştiren cihaz sunucuyla istemci arasına yerleştiriliyor. Bu durumda iki bağlantıya ihtiyaç duyuluyor ve birisi istemciyle engelleyici arasında, diğeri ise engelleyiciyle sunucu arasında yer alıyor. Engellemenin amacı ise malware trafiğini incelemek.
Açıkçası, HTTPS engellemeleri konusu bir güvenlik yöntemi olarak diğerinden oldukça farklı. İkisinde de geçerli noktalar var ama kanıtlar pratikte zarar verici olabileceğini söylüyor.
Her iki türde de, Aralık ayında Google Chrome 63’ün yayınlanmasıyla birlikte kullanıcılar kesilme meydana geldiğinde haberdar edilecek.
Ad Injection ile Savaşmak İçin Başka Bir Yol
Tabii ki Google’ın bu TLS engelleme uyarılarını eklemesinin bir sebebi de tarayıcının ISP seviyesinde ad injection – reklam enjeksiyonlara karşı mücadele edebilmesi.
Bu google için kritik önem taşımıyor fakat ne yapabileceklerini de görmek istiyorlar. SSL şifrelemesi doğru şekilde yerleştirildiğinde, üçüncü parti içerik enjeksiyonunu da önlüyor. Özellikle IPS’lerin reklam enjekte etmesinin önüne geçiyor. Herkese açık bir WiFi ağına bağlandığınız zaman bu üçüncü parti içerik reklamlarını rahatlıkla görebilirsiniz. SSL olmadan tüm bunlar daha da yayılırdı. Reklam ağları ise bu durumdan pek hoşlanmıyor çünkü ceplerinden para çıkıyor .
Daha önce de bahsedildiği gibi, Google her sene yaklaşık 80 milyar dolar reklam geliri elde ediyor. Her ne kadar Google bir arama motoru olarak kategorize edilse de, aslında reklam satarak para kazanıyor. Bu durumu önlemek için de firmanın aldığı – alacağı bazı önlemler var.
- Coalition for Better Ads oluşumuna yardım ederek, internet reklam standartlarını idare etmek.
- Chrome tarayıcıya varsayılan bir reklam engelleyici eklemek. Bu da Coalition for Better Ads’e uygun olmayan reklamları durduracak.
- İletişim güvenliğini ve üçüncü parti içerik aktarımını engellemek için internet üzerinden şifrelemeyi zorunlu kılmak.
- HTTPS engellemesi tespit edildiğinde geçilemeyen tarayıcı uyarıları eklemek.
Kendi başlarına ele alındığında tüm bunlar gayet zararsız gözükebilir. Fakat birlikte grup hâline geldiklerinde, biraz da ortaya komplo teorileri atarak aslında Google’ın kendi reklam ağını güçlendirmeye çalıştığını görebiliriz.
Chrome şu anda Amerikalı internet kullanıcılarının yarısı tarafından kullanılıyor ve Google’ın reklam standartlarına uymayan içerikleri engelliyor. Hatta HTTPS engellemesinin bir olasılık olduğu web sitelerine erişimi dahi durduruyor.
Tekrar söyleyelim, tüm bunlar sizi daha güvenli hâle getiriyor ve internet tecrübenizi arttırıyor. Fakat tabii aynı zamanda Google’a da bolca para kazandırıyor. Yani herkes kazançlı çıkıyor.
Canary’de TLS Uyarıları Nasıl Açılır?
Aralık ayındaki Chrome 63 için beklemek istemiyorsanız, Chrome’un geliştirici tarayıcısı Canary’de de TLS engelleme uyarılarını aktif hâle getirebilirsiniz. Bunun için şu adımları izleyin:
1. Google Chrome Canary ikonunu-kısayolunu bularak çift tıklayın.
2. Sağ üstteki menüden Properties – Ayarlar kısmına girin.
3. Target alanını bulun ve şu yazıyı “–enable-features=MITMSoftwareInterstitial” sonuna ekleyerek Save diyerek kaydedin.
Ne Öğrendik?
İşte bugünün konusundan çıkaracağımız kilit noktalar:
- Google, Chrome 63’le birlikte tarayıcısına TLS engelleme uyarılarını ekleyecek.
- TLS engellemesine bazen HTTPS engellemesi adı da veriliyor ve sunucuyla istemci arasında yer alan man-in-the-middle (ortadaki adam) trafiği inceliyor ya da içerik enjekte ediyor.
- TLS uyarıları Aralık 2017 tarihinde aktif olacak fakat merak edenler bugünden itibaren Google Chrome’un geliştirici sürümü Canary’de kullanabiliyor.
.png)
