Güvenlik danışma firması Seismic’in araştırmacılarından Craig Heffner evlerde kullanılan milyonlarca routerın hacker saldırısına açık durumda olduğunu iddia ediyor. Bu ay sonunda ABD – Las Vegas’ta düzenlenecek Black Hat güvenlik konferansında bir sunum yapacak olan Heffner, routerlarda keşfettiği açığın DNS yeniden bağlama (DNS rebinding) saldırı yöntemi ile ilgili olduğunu söylüyor.
DNS yeniden bağlama saldırı yöntemi aslında yıllardır bilinen bir uygulama. Heffner ise bu saldırıda kullanılan yeni bir varyant tespit ettiğini açıkladı. Yeni varyantta önce kullanıcılar kötü amaçlı kod barındıran bir siteye çekilmek için yemleniyor. Daha sonra bu kod, Aynı Kaynak Politikası (Same Origin Policy) olarak adlandırılan güvenlik politikasının etrafından dolaşarak JavaScript tabanlı kötü amaçlı bir yazılımın saldırıya açık router üzerinden ev tipi ağlara sızmasını sağlamakta.
Heffner’in keşfettiği ve bir nevi el çabukluğu gibi duran bu saldırı varyantında önce kötü amaçlı kod barındıran bir saldırı sitesi kuruluyor. Burada çalışan kötü amaçlı kod site ziyaretçilerinin IP adreslerini sitenin alternatif IP adreslerinden birisi gibi gösteriyor ve kötü amaçlı site router üzerinde güvenli bir bağlantı olarak algılanıyor. Modern tarayıcılar bu tip saldırıları engelleyecek şekilde tasarlanmışlar, ancak Heffner’in Black Hat konferansında detaylarını vereceği yeni varyant engellenemiyor.
Heffner tarafından açıklanacak olan karmaşık saldırı yöntemi, pek çok marka ve model routerı etkilemesinin yanında ya routerdaki açıklardan ya da zayıf şifrelerden yararlanıyor. Black Hat konferansının sitesinde “Milyonlarca Router Nasıl Hacklenir” başlıklı bir yazı yer alıyor ve Heffner’in açıklayacağı yöntem hakkında kısaca bilgi veriyor:
Pek çok kullanıcı tipi router DNS yeniden bağlama yöntemi ile istismar edilebilir ve routerın yönetici ara-yüzüne erişim sağlanabilir. Yeni bulunan bu saldırı tekniğinde DNS yeniden bağlamanın aksine routerın tipini, modelini, ağ içi IP adresini ve konfigürasyonunu önceden bilmek gerekmiyor. Ayrıca bu yeni teknik anti-DNS pinning tekniklerine dayalı olmadığından hali hazırdaki DNS korumalarını etkisiz hale getirebiliyor.
Bu yeni yöntemle hacklenebilen router modelleri oldukça geniş bir yelpazede ve çoğu da son derece popüler ürünler. Bu yeni yöntemle ilgili detaylar 28-29 Temmuz 2010’da düzenlenecek olan Black Hat güvenlik konferansında sergilenecek.