Çoğumuzun sadece şifresini girip saniyeler içinde bağlandığı Wi-Fi ağları, aslında havada uçuşan görünmez veri paketleriyle dolu devasa bir ekosistemdir. Peki, sızma testi araçlarıyla bu paketlere müdahale etmek her zaman planlandığı gibi kolayca işler mi? Wi-Fi ağlarının görünmez dünyasında bazen bir şeyler tüm saldırı planınızı bozabilir: WPA3 ve PMF. Siber Güvenlik öğrenme süreci devam eden bir Bilgisayar Mühendisliği öğrencisi olarak, eğitim amaçlı kendi ev ağıma "Deauth" (bağlantı koparma) saldırısı yapmaya çalışırken WPA3 duvarına çarpma hikayem ve bu görünmez engelin arkasında yatan mimariyi keşfetme sürecim…

⚠️ Yasal Uyarı: Bu yazıda paylaşılan teknikler ve terminal komutları tamamen eğitim amaçlıdır. Uygulamaların tamamı şahsıma ait bir ev ağında gerçekleştirilmiştir. Bu bilgilerin izinsiz ve yetkisiz ağlarda kullanılması yasa dışıdır ve sorumluluk tamamen uygulayana aittir.

Siber güvenlik öğrenme sürecine başlayan herkes gibi heyecanlı bir şekilde Udemy'de Battal Koç hocanın Etik Hackerlık kursunda ilerlerken merakla beklediğim Wi-Fi Saldırıları bölümüne gelmiştim. Wi-Fi Pentest adaptörümü bilgisayarıma bağlamıştım. Hedefim basitti: Kendi ev ağıma sızma testi (pentest) yapmak. Terminali açtım ve donanıma tam anlamıyla hükmedebilmek için önce sudo su komutuyla root (yönetici) yetkilerini aldım ve adımları uygulamaya başladım:

1- MAC Adresi Değiştirme (Spoofing): Kimliğimizi gizleyelim.

macchanger -r wlan0

2- Monitor Moda Geçiş: Ağ kartımı standart bir kullanıcı olmaktan çıkarıp, havada uçuşan tüm paketleri gözetleyen bir "ajan" moduna (wlan0mon) aldım.

airmon-ng start wlan0

3- Genel Ağı İzleme: airodump-ng ile etrafımdaki tüm ağları taradım.

airodump-ng wlan0mon

4- Hedefe Odaklanma: Kendi modemimin MAC adresini (BSSID) ve kanalını bulup, terminalimi sadece o ağa odakladım.

airodump-ng --channel "KanalNumarası" --bssid "ModemMAC" wlan0mon

Ekranda modemimin yayınını görüyordum. Şimdi sıra, ağa bağlı cihazları (telefonumu, bilgisayarımı) tespit edip onları kısa süreliğine ağdan düşürmekti.

Deauth Saldırısı Denemesi Planım şuydu:

  1. Ağa bağlı cihazları tespit etmek
  2. Deauthentication paketleri göndermek
  3. Cihazların ağdan kopmasını sağlamak
  4. Yeniden bağlanma sırasında oluşan handshake paketlerini yakalamak

Ancak garip bir durum vardı. airodump-ng ekranının altındaki STATION (bağlı istemciler) bölümü boş görünüyordu. Modeme bağlı cihazlarım olduğundan emin olmama rağmen hiçbirini göremiyordum.

Sorunun İlk Sebebi: Frekans Uyuşmazlığı

Bunun sebebini sonradan anladım: Frekans uyuşmazlığı. Benim Wi-Fi adaptörüm o an 2.4GHz bandını dinlerken, telefonum ve bilgisayarım modemin daha hızlı olan 5GHz bandına bağlanmıştı. Ben farklı frekansı dinlediğim için cihazların paketlerini göremiyordum.

Aslında kullandığım adaptörüm 5GHz ağları da destekliyordu (dual-band). Ancak araştırmalarım sonucu airodump-ng aracını varsayılan ayarlarıyla çalıştırdığınızda çoğu durumda 2.4GHz kanallarını taradığını veya 2.4GHz ağlarını daha çok gördüğünü öğrendim. Eğer elinizde çift bant destekli bir adaptör varsa ve 5GHz ağlarındaki cihazları da görmek isterseniz komuta --band abg a: 5GHz, b/g: 2.4GHz) parametresini eklemeniz gerekir:

airodump-ng --band abg wlan0mon

Sorunu bulmadan önce belki arka planda bir şeyler yakalanır diyerek şansımı denemek istedim. Spesifik bir hedef seçemediğim için ağa bağlı tüm cihazları hedef alan (broadcast) genel bir saldırı yapmaya karar verdim. Yeni bir terminal açıp tüm bağlı cihazları ağdan koparmayı beklediğim şu komutunu çalıştırdım:

aireplay-ng --deauth "PaketSayısı" -a "ModemMAC" wlan0mon

Beklentim: Cihazların interneti kesilecek, yeniden bağlanmaya çalışacaklar ve ben de o sırada havaya saçtıkları paketleri (WPA Handshake) yakalayacağım. Gerçeklik: Hiçbir şey olmadı. Cihazlarım internete girmeye devam ediyordu. airodump-ng ekranımın altındaki STATION (bağlı cihazlar) bölümü ise boştu. airodump-ng ekranında modemimin bulunduğu satırdaki küçük ama önemli bir detayı fark ettim. AUTH sütununun altında şu yazıyordu: WPA3. Sorun araçlarda değildi; sorun, doğrudan sistemin mimarisindeydi. Beyaz şapkalı bir hacker adayı olarak "araç çalıştırmayı" bırakıp, "sistemi anlamaya" karar verdiğim araştırma sürecim böyle başladı.

WPA3 Deauth Saldırılarını Nasıl Engeller? (PMF Duvarı) Araştırmalarım sonucunda, attığım Deauth (bağlantı koparma) paketlerinin neden işe yaramadığını buldum. Eski WPA2 ağlarında, cihazların ağa bağlanmasını veya kopmasını sağlayan "Management Frames" havada şifresiz ve imzasız uçuşuyordu. Biz de aireplay-ng ile modemi taklit edip "bağlantıyı kopar" dediğimizde, cihazlar buna inanıyordu. Ancak WPA3 , PMF (Protected Management Frames — 802.11w) kullanımını zorunlu tutuyor. Yani ben sahte Deauth paketlerini havaya fırlattığımda, modem ve telefonum bu pakete bakıyor, üzerinde geçerli bir imza göremedikleri için paketi anında "çöpe atıyorlar". Cihazlar ağdan kopmadığı için de o yakalamak istediğim WPA Handshake paketleri havaya saçılmıyordu. Sistem defansı, ofansif hamlemi kapıdan çevirmişti.

Peki WPA3 Tamamen Aşılmaz mı? Nasıl Saldırılabilir? Önümdeki bu engeli gördükten sonra aklıma o soru geldi: "Peki WPA3'e nasıl saldırılır?" Araştırmalarımı derinleştirdiğimde, siber güvenlik dünyasında hiçbir sistemin "kusursuz" olmadığını, WPA3'ün de üzerine çalışılan teorik zafiyetleri ve saldırı unsurları olduğunu öğrendim. İşte WPA3'e karşı geliştirilen o konseptler:

  1. Downgrade Saldırıları Günümüzde birçok modem, hem eski hem yeni cihazları desteklemek için "Geçiş Modu"nda (WPA2/WPA3 Transition Mode) çalışıyor. Saldırganlar, araya girerek hedef cihazı kandırıp ağın sadece WPA2 desteklediğine inandırmaya çalışıyor. Hedef cihaz WPA2 üzerinden bağlanmaya zorlandığında, saldırgan eski Brute-force yöntemlerine geri dönebiliyor.
  2. "Dragonblood" ve SAE Zafiyetleri WPA3, çevrimdışı şifre kırma saldırılarını bitirmek için SAE (Simultaneous Authentication of Equals) adında bir matematiksel protokol kullanıyor. Şifreyi havada yakalasanız bile kıramıyorsunuz. Ancak araştırmacılar (Dragonblood zafiyetleri), bu karmaşık SAE matematiğinin cihazın işlemcisinde ne kadar süre harcadığına bakarak şifreye dair ipuçları elde edilebileceğini (Zamanlama/Yan Kanal Saldırıları) buldular. Ayrıca bu işlem modem için çok yorucu olduğundan, saniyeler içinde binlerce sahte SAE isteği atarak modemin işlemcisini %100 doldurup onu felç etmek (Kriptografik DoS) de mümkün.
  3. Sistemi Kıramıyorsan, İnsanı Kır: Sahte İkiz (Evil Twin) Şifreleme sistemleri bazen o kadar güçlüdür ki, matematikle savaşmak mantıksız hale gelir. İşte o zaman sosyal mühendislik devreye girer. Hedef WPA3 ağının birebir kopyası olan (aynı isim ve MAC adresine sahip) şifresiz bir "Sahte İkiz" ağ oluşturulur. Cihazlar bir şekilde orijinal ağdan koparılıp sahte ağa bağlandığında, karşılarına bir phishing sayfası çıkarabilir. Örneğin "Modem yazılımınız güncelleniyor, devam etmek için lütfen Wi-Fi şifrenizi girin" yazan sahte bir sayfa çıkarılır. Kullanıcı, kırılması imkansız olan o şifreyi kendi elleriyle size teslim eder.

Sonuç: Bu deneyim bana, etik hackerlığın sadece terminale birkaç komut yazıp "Enter" tuşuna basmaktan ibaret olmadığını net bir şekilde gösterdi. Asıl mesele; arka planda dönen ağ mimarisini, sistemlerin defansif yapılarını ve çalışma mantığının matematiğini anlamaktan geçiyor.

Siz de pentest çalışmalarınızda görünmediğini düşündüğünüz duvarlara çarparsanız moralinizi bozmayın; o duvarın hangi tuğlalardan yapıldığını araştırın!