MEB Bizi Hackliyor!
MEB ne yaptı?
MEB, kendisine bağlı kurumlara gönderdiği bir yazı ile, internete bağlı olan tüm cihazlara kendi ürettikleri bir KÖK SERTİFİKASI’nın yüklenmesini zorunlu kıldı.
Sertifika yükleme sayfası ise görüldüğü gibi meb.gov.tr altında: http://sertifika.meb.gov.tr/ (silinmesi ihtimaline karşı: https://archive.is/7WV13)
Kök sertifikası nedir?
Kök sertifikaları; internete bağlı cihazların, internetteki şifreli iletişimlerin güvenilir olduğunu anlama yöntemidir.
Sahte bir kök sertifika ile neler yapılabilir?
Sahte bir kök sertifikası ile kullanıcı anlamadan, kullanıcı ile web site arasına girilerek veriler dinlenebilir ve değiştirilebilir.
Görsellerle anlatmak gerekirse:
Yukarıda görebileceğiniz gibi, sorunsuz bir kullanıcı-web sunucu iletişiminin sertifika doğrulama süreci bu şekildedir. Bu sertifika doğrulama sürecinden sonra kullanıcı, web sitesiyle sorunsuz ve 3. şahıslar (hacker, servis sağlayıcı, devlet) tarafından izlenmeden iletişim kurar.
Yukarıda görebileceğiniz gibi, 3. kişi iletişimi izlemek veya değiştirmek için araya girdi. Ancak kullanıcıya vereceği sertifikada imzası bulunan kök sertifika kullanıcı tarafından tanınmadığı için tarayıcı sorun olduğunu anlayarak iletişime izin vermiyor.
Yukarıdaki görselde ise, MEB’in kök sertifikası kullanıcının cihazına eklenmiş durumda. 3. kişiden aldığı zararlı sertifikayı imzalayan kök sertifika kendisinde bulunduğu için tarayıcı hiçbir sorun çıkarmadan iletişimi başlatıyor.
Bunun sonuçları neler?
Kök sertifika kontrol sürecini başarı ile geçen bir saldırgan -bu durumda meb- şunları yapabilir:
Kullanıcının;
- Girdiği web sitelerini görebilir/değiştirebilir/engelleyebilir
- Sitelerde okuduklarını ve yazdıklarını görebilir/değiştirebilir/engelleyebilir
- Gönderdiği yada aldığı mailleri görebilir/değiştirebilir/engelleyebilir
- Herhangi bir sitedeki hesaplarının şifrelerini görebilir/değiştirebilir
- Kredi kartı bilgilerini görebilir
- Dropbox/Google drive gibi bulut depolama alanlarına virüs koyabilir
- Giriş yaptığı sitelerdeki özel mesaları görebilir/değiştirebilir
Ne yapılabilir?
Bu konuyu #MEBBiziHackliyor hastagi ile en azından twitter ve diğer sosyal medya mecraları üzerinden gündeme getirebilir, çözüm önerileri sunabilir ve tartışabiliriz.