Malicious Apps In Play Store

Wildcard SSL Sertifikaları ve Phishing: Kusursuz İkili

Wildcard SSL Sertifikaları ve Phishing: Kusursuz İkili

Wildcard Sertifikaları Kimlik Avını Nasıl Kolaylaştırıyor?

Ücretsiz ve otomatik SSL sertifikaları bu kadar popüler hâle geldiğinden beri (başta Let’s Encrypt, ardından Cloudflare ile), phishing yani kimlik avı sitelerinde sertifika kullanımında ciddi bir yükseliş yaşandı. Bu endüstrideki tartışma yaratan konulardan birisi olarak kalırken, zıt yönde düşünenler de var.

Önümüzdeki yıl, Let’s Encrypt de Wildcard sertifikalarını desteklemeye başlayacak. Bu phishing tartışmalarında yeni bir bakış açısı yaratacak çünkü Wildcard sertifikalarının, kullanım amacını gizleme özelliği bulunuyor.

Büyük ihtimalle suçlular ve kimlik avcıları, Wildcard sertifikalarını kullanarak host isimlerini gizlemekte avantaj elde edecek ve işlerini daha çok yönlü gerçekleştirecekler. Hatta Wildcard sertifikaları tek domainli sertifikaların bile yerine geçebilir.

Wildcardlar Nasıl Kimlik Avcılarına Yardım Edecek?

Geleneksel SSL sertifikalarında, bütün host adı sertifika içinde listeleniyor. Sunucu bu host isimlerini kontrol ederek, sertifikanın sadece bu siteleri ziyaret edilirken kullanıldığından emin oluyor ve eğer başka bir host adıyla kullandıysa, geçersiz muamelesi yapıyor.

Single-domain yani tek domain kullanımlı sertifikalarda ise sadece tek bir host adı kullanılıyor: ‘www.ornek.com’ gibi. Multi-domain yani çoklu domain sertifikaları ise 100’e kadar host adına izin veriyor. Örneğin; ornek.com, mail.ornek.com ve cpanel.ornek.com vb. gibi.

Wildcardlar farklı şekilde çalışıyor. Bir Wildcard sertifikasıyla, domain adına yıldız işareti (*) eklenir. Bu resmi ‘Wildcard’ karakteridir ve sunuculara sertifikanın her olası isim için geçerli olduğunu söyler. Wildcard sertifikasıyla, eğer sertifikadaki host adı ‘*.ornek.com’ şeklindeyse, daha önceki örnekte verdiğimiz tüm isimler de geçerli olur.

Paypal, Apple ya da bankalar gibi kurumlar için single-domain veya multi-domain sertifikalarıyla kimlik avı yapmak isteyen kişiler, muhtemelen şu isimleri içeren sertifikalar alırdı:

Paypal.secure-account.com

Apple-id.support-com.online

İsbankasi.verify-account.com

Sunucu ise bu sertifikaları aldığında ‘paypal.support-com.com’ ya da ‘apple-id.support-com.com’ gibi geçerli görebilirdi. Root alan adınızın ne kadar jenerik olduğuna göre, bu sertifikaları phishing dolandırıcılığında kullanabilirdiniz.

Wildcardlarda, bu senaryoları kısıtlandıran yasaklamalar da var. Örneğin sadece tek bir yıldız işareti (*) olabilir ve bu da en solda bulunmalıdır. Örneğin ‘www.*.ornek.com’ a izin verilmez. Aynı zamanda TLD sonrası da direkt kullanılamaz ve ‘*.com’ ibaresine izin verilmez.

Aslında Wildcard sertifikaları ilk ortaya çıktığından bu yana phishing sitelerini gizlemekte kullanılıyor. Wildcard sertifikalarını rahatlıkla satın almak mümkünken, satan kurumlar da ne amaçla kullanılacağını hâliyle bilemiyorlar ve durdurma şansı olmuyor.

Kimlik avcıları yıllardır da Wildcard sertifikalarını kullanıyorlar. Buna rağmen, single-domain sertifikalarına oranla yaklaşık 5 kat daha pahalı oldukları için ekonomik olarak genelde tercih edilmiyorlar. SSL sertifikalı phishing sitelerinin büyük kısmı ise single-domain sertifikalar kullanıyor çünkü bunların büyük kısmı ya ücretsiz, ya da çok ucuz oluyor.

Neden Önemli?

SSL dünyasındaki bir diğer önemli gelişme ise Certificate Transparency – Sertifika Şeffaflığı (CT) oldu. CT, SSL sertifikalarının kayıtlarını merkezi listelerde tutan bir sistem. Bu sayede kötü niyetli veya izinsiz kullanılan sertifikalar da izlenmiş oluyor. Bu veriler incelenerek, sertifikalar üzerinde neredeyse gerçek zamanlı güncellemeler alınıyor ve çeşitli problemler ortaya çıkmış oluyor.

Bu verilerin bir diğer kullanım faydası da, yeni phishing sitelerini bulmakta kullanılması. Düzenli olarak loglar incelendiğinde, ‘Paypal’ gibi yaygın phishing yani kimlik avı kelimeleri inceleniyor ve kısa sürede yeni phishing sitelerinin host adları bulunuyor, ardından da bloklanıyorlar.

Sertifika verildikten sonra loglar 30 dakikadan kısa sürede güncelleniyor ve bu şekilde potansiyel zararlı sitelerin host adları en hızlı şekilde bulunuyor. Logları bu amaçlı kullanan en azından birkaç organizasyon olduğunu biliyoruz. Böylece SSL sertifikalarını daha güvenilir bir görünüm elde etmek için kullanan kimlik avcıları, yakalanmalarını kolay hâle getiriyor.

Buna rağmen, bu metod sadece bütün host adı sertifikaya dahil edildiyse işe yarıyor. Yani Wildcard sertifikalarında geçerli olmuyor. Wildcard sertifikalarında logları ‘Paypal’ kelimesiyle ararken, ‘paypal.online-account.us’ yerine sadece ‘*.online-account.us’ ismini görüyoruz.

Dolayısıyla, eğer phishing sitelerinin büyük bir kısmı single-domain ya da multi-domain sertifikalar yerine Wildcard sertifikaları kullanmaya başlarsa, CT logları da geçersiz bir sistem hâline gelecek.

Yine de Endişeye Gerek Yok

Her ne kadar Wildcard sertifikaları kimlik avcıları için işleri kolay hâle getirse de, aslında önemli bir amaca da hizmet ediyorlar.

Single-domain ya da multi-domain sertifikalarının kolayca yerleşemeyeceği durumlar var. Örnek vermek gerekirse, servisinize giriş yapan her kullanıcıya özel bir alt alan adı atamak istediğinizde cpanel-01.ornek.com, cpanel-02.ornek.com gibi sonuçlar çıkıyor.

Bu host adlarına da devamlı yeni sertifikalar yerleştirmek bir mühendislik problemi yaratacaktır. 2018’in ortalarında Sertifika Şeffaflığı da herkes için zorunlu olacağından, bazı kullanıcılar alt domainlerini Wildcard ile gizlemek isteyecek. Böylece host adları herkese açık listelenecek.

 

Dolayısıyla, Wildcard sertifikalarını yok etmek gerçekçi bir çözüm sayılmaz. Bunun yerine sorunun farkında olmalıyız ve bu yeni davranışa kendimize adapte etmeliyiz. Özellikle önümüzdeki yılın başlarında Let’s Encrypt bunları ücretsiz olarak sunmaya başlayınca, iyice yayılacaklarını da hesap etmeliyiz. Bu pek çok web sitesi ve ücretsiz sertifika kullanmak isteyen kullanıcı için önemli olsa da, phishing amaçlı sistemi suistimal edenler de olacaktır.