Giriş: Kusursuz Bir İllüzyon
Telefonunuzdan internet tarayıcısını açtınız ve adres çubuğuna her gün girdiğiniz sosyal medya sitesinin adresini yazdınız. Enter tuşuna bastığınızda sayfa yükleniyor; logolar, renkler ve giriş ekranı tamamen aynı. Şifrenizi girip “Giriş Yap” butonuna tıklıyorsunuz. Ancak sayfa bir anlığına yenileniyor ve hiçbir şey olmuyor.
O kısacık anda aslında hesabınıza girmediniz; giriş bilgilerinizi kendi ellerinizle cihazınızın arka planında çalışan bir Wi-Fi Pineapple’a teslim ettiniz.
Wi-Fi Pineapple Mark VII’nin cihazları kendi ağına nasıl çektiğinden bahsetmiştik. Peki kurban ağa bağlandıktan sonra onu istediğimiz sahte sayfalara nasıl yönlendiriyoruz? İşte bunun arkasındaki oyuncu, Pineapple’ın modüllerinden biri olan DNSspoof modülüdür.
Bu aracın nasıl çalıştığına yakından bakalım.
DNS Nedir ve Nasıl “Zehirlenir”?
DNSspoof’un mantığını anlamak için önce DNS’in (Domain Name System) ne olduğunu hatırlamamız gerekir. DNS, internetin telefon rehberidir. Biz adres çubuğuna “https://www.google.com/search?q=ornek-site.com” yazdığımızda, bilgisayarımız bu ismin hangi IP adresine karşılık geldiğini öğrenmek için DNS sunucusuna sorar. DNS sunucusu “Bu sitenin numarası 192.168.1.50” der ve bağlantı kurulur.
DNS Spoofing (DNS Zehirlenmesi) ise bu soru-cevap sürecinin arasına girmektir. Kurban Pineapple’ın ağına bağlıyken “https://www.google.com/search?q=ornek-site.com nerede?” diye sorduğunda, DNSspoof modülü gerçek sunucudan önce araya girer ve sahte bir cevap fırlatır: “O site benim, benim IP adresime (Pineapple’ın IP’sine) gel!”
Kurbanın tarayıcısı bu cevaba inanır ve aslında bambaşka bir sunucuya giderken, adres çubuğunda hala “https://www.google.com/search?q=ornek-site.com” yazmaya devam eder.
Wi-Fi Pineapple Üzerinde DNSspoof Pratiği
Arayüz üzerinden bu modülü yapılandırmak, aslında basit yönlendirme kuralları (spoofhost) yazmaktan ibaret. Diyelim ki hedefi kendi hazırladığınız sahte bir kurumsal portala çekeceksiniz. Önce PineAP motoruyla kurbanı sahte ağınıza düşürürsünüz. Ardından DNSspoof modülüne girip hedef domain için Pineapple’ın kendi yerel IP’sini (örneğin 172.16.42.1) işaret eden bir kural tanımlarsınız. Hatta hedefi spesifik bir siteyle sınırlamak yerine, kurala bir wildcard (*) eklerseniz, kurban hangi adrese gitmeye çalışırsa çalışsın tüm trafiği yakalamış olursunuz. Kurban bir haber sitesine girdiğini sanarken, DNSspoof onu anında cihazın içindeki MyPortal.php dosyasına yönlendirir. Karşısına ‘Cybermap Ağ Geçidi’ başlıklı kurumsal görünümlü bir Evil Portal çıkar ve adres çubuğuna dikkat etmeyen bir kullanıcı, şirket mailini ve şifresini kendi elleriyle size teslim eder.
- IP Address: Kullanıcının yönlendirilmesini istediğiniz hedef IP adresi yazılır. Genellikle ağınızda çalışan bir web sunucusunun IP adresi yazılır.
- Domain: Ele geçirmek istediğiniz web sitesinin adresi yazılır.
- Tekil Site: Örneğin “example.com” yazarsanız, sadece bu siteye girmeye çalışanlar yönlendirilir.
- Wildcard (Joker Karakter): Genellikle * (yıldız) karakteri kullanılır. Eğer buraya yazarsanız, kullanıcı hangi siteye girmeye çalışırsa çalışsın sizin belirlediğiniz IP adresine yönlendirilir. Bu yöntem genellikle “Captive Portal” senaryolarında tüm trafiği yakalamak için kullanılır.
Burp Suite ile Entegrasyon
DNSspoof sadece insanları sahte sayfalara yönlendirmek için kullanılmaz. İleri seviye sızma testlerinde, hedefin trafiğini manipüle etmek için daha teknik senaryolar kurulabilir.
Örneğin, DNSspoof ile belirli bir uygulamanın arka plan sunucusuna giden istekleri Pineapple üzerindeki “Proxy Helper” modülüne yönlendirebilirsiniz. Bu sayede cihazı bilgisayarınızdaki Burp Suite yazılımına bağlayarak, hedefin mobil uygulamasından çıkan veya ona gelen tüm HTTP paketlerini anlık olarak yakalayabilir, değiştirebilir ve uygulamanın güvenlik zafiyetlerini test edebilirsiniz.
Bu Yöntemden Nasıl Korunuruz?
Trafiğin bu kadar basit bir şekilde, sessiz sedasız manipüle edilebilmesi dışarıdan bakıldığında oldukça korkutucu gelebilir. Ancak modern teknolojiler sayesinde bu tarz zehirlenme saldırılarına karşı tamamen savunmasız değiliz. Alabileceğimiz en pratik önlemlerden biri, tarayıcımızda veya işletim sistemimizde DNS over HTTPS (DoH) özelliğini aktif hale getirmektir. Bu sayede cihazınızın yaptığı yer sorma sorguları şifrelenir ve araya girmeye çalışan bir Pineapple’ın verdiği sahte yanıtlara tarayıcınız kesinlikle itibar etmez. Yine de bir şekilde sahte bir sayfaya yönlendirilirseniz, bu kez devreye HSTS ve sertifika kontrolleri girer. Saldırgan sizi birebir kopyalanmış bir siteye soksa bile orijinal sitenin geçerli SSL sertifikasına sahip olamayacağı için tarayıcınız anında ekrana bir uyarı fırlatır; işte karşınıza çıkan o ‘geçersiz sertifika’ veya ‘bağlantınız gizli değil’ uyarılarını asla refleks olarak es geçmemelisiniz. Tüm bu savunma katmanlarının ötesinde ise, tıpkı bir önceki yazımızda üstünde durduğumuz gibi, kendi bulut sunucunuzda (örneğin bir DigitalOcean Droplet üzerinde) ayağa kaldırdığınız kişisel bir WireGuard VPN kullanmak, trafiğinizi daha en baştan şifreleyerek bu tür ortadaki adam senaryolarını başlamadan bitiren en kesin ve temiz çözümdür.
Sonuç
Adres çubuğunda gördüğümüz o tanıdık isimler ve logolar, maalesef her zaman doğru yerde olduğumuzun garantisi değil. Wi-Fi Pineapple ve DNSspoof modülünün sahada bize gösterdiği en net gerçek de tam olarak bu. İnternetin en temel haberleşme mekanizması olan DNS’in arasına girmek, doğru donanım mimarisi ve ufak bir yönlendirme kuralıyla sadece saniyeler alıyor. İster sahte bir kurumsal ağ geçidiyle kullanıcıları avlamak olsun, ister trafiği arka planda Burp Suite’e yönlendirip derinlemesine bir zafiyet analizi yapmak olsun; ağın kontrolü kimin elindeyse, gerçeklik de onun parmaklarının ucundadır. Sızma testlerinde bu tarz araçlar saldırı yüzeyinin ne kadar geniş olabileceğini kanıtlarken, aynı zamanda kendi dijital sınırlarımızı neden bu kadar sıkı korumamız gerektiğini de yüzümüze vuruyor. Kendi trafiğimizin sorumluluğunu alıp DoH veya kişisel VPN gibi şifreli tünelleri standart bir alışkanlık haline getirmediğimiz sürece, girdiğimizi sandığımız sitelerin aslında kime ait olduğunu asla tam olarak bilemeyiz.
Yasal Uyarı
Bu metinde anlatılan DNSspoof ve sahte portal senaryoları tamamen eğitim ve siber güvenlik farkındalığı amacıyla hazırlanmıştır; bir kullanıcının internet trafiğini DNS zehirlenmesi yöntemiyle manipüle etmek veya sahte sayfalar aracılığıyla kullanıcı bilgilerini ele geçirmek, Türk Ceza Kanunu’nun 243. (Bilişim Sistemine Girme) ve 245. (Banka veya Kredi Kartlarının Kötüye Kullanılması) maddeleri ile kişisel verilerin korunmasına yönelik kanunlar kapsamında ağır hapis cezalarıyla sonuçlanabilecek ciddi suçlardır. İzin alınmamış sistemler üzerinde gerçekleştirilen her türlü faaliyetin hukuki ve cezai sorumluluğu tamamen uygulayıcıya aittir; unutulmamalıdır ki siber güvenliğin temel amacı etik sınırlar içerisinde kalarak dijital dünyayı daha güvenli hale getirmektir.
Kaynakça
https://github.com/90N45-d3v/DNSspoof-Pineapple-MK7-Module
https://portswigger.net/burp/documentation/desktop/getting-started/intercepting-http-traffic