Yeni Araç: Tirith ile Homoglyph Saldırılarını Engelleyin
Siber güvenlik alanında dikkat çeken bir gelişme, açık kaynak kodlu ve çok platformlu bir araç olan Tirith‘in tanıtımıdır. Bu araç, komut satırı ortamlarında gerçekleşen homoglyph saldırılarını tespit ederek, kullanıcıların girdiği URL’leri analiz etmekte ve bu saldırıları önlemektedir.
Saldırı Nasıl Çalışıyor?
Tirith, kullanıcının shell’ine (zsh, bash, fish, PowerShell) entegre olarak çalışmakta ve her bir komutu çalıştırmadan önce incelemektedir. Homoglyph saldırıları, farklı alfabelerin karakterlerini kullanarak, insan gözünde benzer görünen ancak bilgisayarlar tarafından farklı algılanan URL’ler oluşturmayı hedeflemektedir. Bu durumda, kullanıcı için görünen URL güvenilir görünse de, gerçekte bir saldırgana ait sunucuya yönlendirme yapabilir.
Etkilenen Sistemler
Tirith, çeşitli atak türlerini tespit edip engelleyebilir:
- Homograph saldırıları (Unicode benzeri karakterler, punycode ve karışık scriptler)
- Terminal enjeksiyonu (ANSI kaçış dizileri, bid yönlendirmeleri, sıfır genişlikli karakterler)
- Pipe-to-shell desenleri (curl | bash, wget | sh, eval $(…))
- Dotfile gaspı (~/.bashrc, ~/.ssh/authorized_keys vb.)
- Güvensiz iletim (HTTP üzerinden shell, TLS devre dışı)
- Tedarik zinciri riskleri (yanlış yazılmış git reposları, güvensiz Docker kayıtları)
- Kimlik bilgisi ifşası (kullanıcı bilgisi URL’leri, hedefleri saklayan kısaltmalar)
Geçmişte, e-posta ile gönderilen URL’ler üzerinden gerçekleştirilen saldırılarda Unicode homoglyph karakterleri sıkça kullanılmıştır. Örneğin, geçtiğimiz yıl Booking.com‘a başvurularak gerçekleştirilen bir oltalama kampanyası yaşanmıştır.
Çözüm ve Korunma
Tirith, tüm analizi yerel olarak gerçekleştirmekte ve herhangi bir ağ çağrısı yapmamaktadır. Kullanıcıların yapıştırdığı komutlarda herhangi bir değişiklik yapmaz ve arka planda çalışmaz. Ayrıca, bulut erişimine, ağ bağlantısına, hesaplara veya API anahtarlarına ihtiyaç duymaz ve oluşturucuya herhangi bir telemetri verisi göndermemektedir.
Tirith, Windows, Linux ve macOS üzerinde çalışmakta olup, Homebrew, apt/dnf, npm, Cargo, Nix, Scoop, Chocolatey ve Docker yolu ile kurulabilir.
Sonuç
Kullandığınız sistemlerde Tirith’i devreye almak, siber saldırılara karşı önemli bir savunma katmanı oluşturacaktır. Güncellemelerinizi kontrol edin, komut satırı güvenliğinizi artırmak için Tirith’i kurun ve potansiyel saldırılardan korunmak için bağlantılarınızı dikkatle inceleyin.
