Halka Açık Wi-Fi Riskleri (Her Yerde HTTPS Olsa Bile)

Birkaç yıl önce kafeterya ağı kullanmak için tavsiye basit ve karamsar bir şeydi: trafiğinizin okunduğunu varsayın. Ardından HTTPS neredeyse her yerde varsayılan hale geldi, tarayıcılar düz metin siteler için uyarı vermeye başladı ve pek çok kişi sessiz sedasız kaygılanmayı bıraktı.

İşte sorun da tam buradan kaynaklanıyor. HTTPS kazandığında halka açık Wi-Fi riskleri ortadan kalkmadı — değişti. Daha önce Gmail şifrenizi havadan koklayan pasif dinleyici büyük ölçüde devre dışı kaldı. Geriye kalan tehditler daha ilginç, daha hedefli ve fark edilmesi daha zor — çünkü kilit simgesi her şeyin yolunda göründüğünü ima ediyor.

Bu yazıda HTTPS'in gerçekte neyi çözdüğünü, neyi çözemediğini ve sahip olmadığınız ağlarda maruziyetinizi anlamlı ölçüde değiştiren bir avuç alışkanlığı ele alıyoruz.

HTTPS Gerçekte Neyi Çözdü

Hakkını teslim etmek gerekir. Şifreli web protokolü olan HTTPS, halka açık Wi-Fi sorunununun en büyük ve en kaba versiyonunu gerçekten çözdü.

2014'te aynı havalimanı ağındaki biri ücretsiz bir araç çalıştırıp tarayıcınızın Facebook'u yüklemesini izleyerek oturum çerezinizi alabiliyordu. Bu tür saldırılar artık büyük ölçüde geçmişte kaldı. Varsayılan HTTPS, HSTS (tarayıcılara “bu siteyi bir daha düz HTTP üzerinden yükleme” diyen bir bayrak) ve daha sıkı çerez kurallarının birleşimi, ana akım sitelerde rastgele pasif koklama yapmayı artık pek kârlı kılmıyor.

Tehdit modeliniz “üç masa ötedeki sıkılmış bir gencin e-postamı okumasını istemiyorum” ise HTTPS sizi koruyor.

Bir kademe üstteki tehdit modeli işlerin dürüstleştiği yerdir.

HTTPS'in Kapsamadıkları

HTTPS, belirli bir sunucuyla kurduğunuz bağlantının içeriğini şifreler. Bağlantı kurulmadan önceki adımları korumaz; bir şeyler biraz yanlış göründüğünde sizi kendinizden de korumaz. Halka açık Wi-Fi risklerinin hâlâ yaşadığı yer burasıdır.

Captive Portal Enjeksiyonu

Otel ve havalimanı Wi-Fi'larında açılan “koşulları kabul et” sayfasına captive portal denir. Bunun çalışması için ağın ilk web isteğinizi yakalayıp kendi seçtiği bir yere yönlendirmesi gerekir. Bu, tasarım gereği bir ortadaki adam saldırısıdır. Onaylı, ama yine de ortadaki adam.

İyi yönetilen bir captive portal zararsızdır. Kötü yönetilen (ya da kasıtlı olarak düşmanca olan) biri JavaScript sunabilir, sahte yazılım güncellemeleri gönderebilir veya katılan her cihazı sessizce profileyebilir. Telefonunuz genellikle portalı tam adres çubuğu olmayan basitleştirilmiş bir tarayıcıda gösterir; bu da gerçekte neye baktığınızı anlamayı zorlaştırır.

Zayıf Çözümleyicilerde DNS Ele Geçirme

bank.comyazdığınızda cihazınız ağın DNS çözümleyicisine “bunun IP adresi ne?” diye sorar. Halka açık bir ağda bu çözümleyiciyi erişim noktasına sahip olan kişi işletir.

Yanlış yapılandırılmış ya da kötü niyetli bir çözümleyici yalan söyleyebilir. Sizi bankanız olmayan bir sunucuya gönderip kendi sertifikasını sunabilir. Modern tarayıcılar sizi uyarır — ama yalnızca sertifika yanlışsa ve siz uyarıyı okuyup geçiştirmiyorsanız.

Yanlış Yapılandırılmış Sitelerde SSL Stripping

SSL stripping, dar vakalarda hâlâ işe yarayan eski bir numaradır. Saldırgan sizinle ulaşmaya çalıştığınız site arasına girer. example.comyazarsınız (https:// öneki olmadan), ağ isteği yakalar, gerçek HTTPS sayfasını kendisi çeker ve size düz HTTP kopyasını sunar.

HSTS ön yüklemesi kullanan siteler buna karşı bağışıktır. Kullanmayanlar (genellikle küçük hizmetler, dahili araçlar ya da eski bir yer işaretiyle eriştiğiniz her şey) değildir. Adres çubuğu kilit simgesi yerine sessizce http:// gösterecektir ve çoğu kişi bakmaz.

Sahte Erişim Noktaları ve Evil Twin'ler

Bunu doğru anlamak gerek; çünkü bu saldırı yukarıdaki savunmaların çoğunu devre dışı bırakır.

Telefonunuz ağları hatırlar. Daha önce katıldığı bir Wi-Fi adıyla eşleşen bir sinyal (küçük bir yayın paketi olan beacon) gördüğünde otomatik olarak bağlanabilir. Hazır donanım kullanan bir saldırgan Starbucks WiFi veya Hotel Guest adıyla kendi beacon çerçevelerini yayımlayabilir, telefonunuzu asıl ağdan koparmak için bir kimlik doğrulama iptali çerçevesi gönderebilir ve cihazınızın siz hiçbir şeye dokunmadan kendi ağına geçmesini seyredebilir.

Bu noktadan itibaren saldırgan ağın ta kendisidir. DNS'i kontrol eder. Captive portal'ı işletir. İçerikler şifreli olsa bile cihazınızdaki hangi uygulamaların hangi sunuculara bağlanmaya çalıştığını görür. Kendi captive portal sayfalarını sunabilir, HSTS ön yüklemesi olmayan her şeye SSL stripping uygulayabilir ve normal bir giriş akışı gibi görünen formlarda kimlik bilgisi isteyebilir.

Teknik adı “evil twin”dir; sessiz kısmı ise bunun olduğunu hiçbir şeyin sizi uyarmamasıdır. Telefonunuz sadece tanıdık Wi-Fi simgesini gösterir.

Sertifika Uyarısı Koşullanması

Tarayıcılar uyarı vermede iyileşti. Kullanıcılar onları görmezden gelmede iyileşti.

Tam ekran kırmızı bir sertifika uyarısı gördüğünüzde bu neredeyse her zaman bağlantıyla ilgili bir sorun anlamına gelir. Bazen masum (süresi dolmuş sertifika), bazen değil (aktif bir ortadaki adam saldırısı). Çözüm tıklayıp geçmemektir. Pratikte insanlar, yıllarca yanlış yapılandırılmış kurumsal ağlarla koşullandırılarak “yine de devam et” düğmesine okumadan basmayı öğrendi.

Kafeterya ağında bu düğme saldırının tamamı olabilir.

Evil-Twin Saldırısı Nasıl İşler

Bunların bir araya nasıl geldiğine dair somut bir resim istiyorsanız, evil-twin saldırısı en net örnektir.

Saldırgan bir kafeteryaya dizüstü bilgisayar ya da küçük taşınabilir bir cihazla girer. Sırasıyla üç şey yapan bir yazılım çalıştırır.

Önce havayı tarayarak yakındaki Wi-Fi ağlarını ve meşru ağın adını (SSID) saptar. Diyelim ki Cafe Guest. Ardından aynı adı içeren kendi beacon çerçevelerini yayımlamaya başlar; çoğunlukla daha yüksek güçle, böylece cihazlar onu tercih eder.

İkinci olarak gerçek ağa bağlı istemcilere kimlik doğrulama iptali çerçeveleri gönderir. Bu çerçeveler Wi-Fi'ın normal işleyişinin bir parçasıdır — cihaza “bağlantınız kesildi, lütfen yeniden katılın” mesajını iletirler. Çoğu ağda bu çerçeveler kimlik doğrulamasız olduğundan herkes gönderebilir. Gerçek ağdaki telefonlar düşer ve bağlanacak yer arar.

Üçüncü olarak saldırgan bir captive portal sunar. “Ücretsiz Wi-Fi'a erişmek için” e-posta ve şifre isteyebilir. Otelin giriş sayfasını taklit edebilir. Sessizce geçiş izni verebilir, trafiğinizi kendi bağlantısı üzerinden yönlendirebilir ve her şeyi kaydedebilir. Telefonunuzdan bakınca çevrimiçisinizdir. Saldırganın perspektifinden bakınca artık ISP'nizdir.

Savunma paket başlıklarını okumak değildir. Saldırıyı ilgi çekici olmaktan çıkarmaktır — bilinmeyen ağlara otomatik katılmayarak, hassas trafiğinizi yerel ağın içini göremeyeceği bir tünel üzerinden yönlendirerek ve kasıtlı olarak gitmediğiniz sayfalara kimlik bilgisi girmeyerek.

2026'da Halka Açık Wi-Fi Güvenli mi?

Dürüst cevap: çoğu şey için yeterince güvenli, her şey için değil.

Haber okumak, tarif aramak, sosyal medyada gezinmek — sorun yok. Bu trafiğin ele geçirilmesinin bedeli düşük ve modern tarayıcıların korumaları gerçek.

Bankaya giriş yapmak, iş yönetim paneline erişmek, havale onaylamak ya da kurtarma kodu gelen yeni bir hesaba giriş yapmak — bunlar “muhtemelen sorun yok” ile “kesinlikle sorun yok” arasındaki farkın önem taşıdığı, daha yüksek değerli anlardır. Bu açığı kapatmanın kolay cevabı: kontrol etmediğiniz ağlarda bunları yapmamak.

Beş Pratik Adım

Bunların hiçbiri paket çerçeveleri hakkında düşünmeyi gerektirmiyor. Bunlar alışkanlıklardır.

1. Bilinmeyen ağlara otomatik katılmayı kapatın.iPhone'da bu ayar Ayarlar → Wi-Fi → Hotspot'a Otomatik Katıl ve ağ bazında Wi-Fi → (ağ adı) → Otomatik Katıl altında bulunur. Amaç, tanıdık bir adı olan bir ağa katılmadan önce cihazın size sormasını sağlamaktır. İlgili adımlar için iPhone VPN kurulum rehberimize göz atabilirsiniz.
2. Mümkün olduğunda mobil veri veya kişisel hotspot kullanın. 5G bağlantısı mükemmel gizlilik sunmaz; ancak tek ve hesap verebilir bir operatörü vardır; bir yabancının araya girmesi kolay değildir. Seyahatte hassas işlemler için telefonunuzun kişisel hotspot'u genellikle otel ağından daha iyi bir seçenektir.
3. Önemli anlarda VPN kullanın. VPN (virtual private network), trafiğinizi güvendiğiniz bir sunucuya şifreli bir tünel üzerinden yönlendirir; böylece yerel ağ yalnızca tek bir bağlantı görür, nereye gittiğinizi göremez. Bu, yukarıdaki kategorilerin çoğunu etkisiz hale getirir: captive portal hâlâ sizi rahatsız edebilir, ancak DNS sorgularınızı göremez, ziyaret ettiğiniz sitelerde SSL stripping yapamaz ve hangi uygulamaları kullandığınızı profileyemez. Konuya yeniyseniz VPN'in gerçekte ne olduğunu anlatan yazımız temel bilgileri veriyor; seyahatte VPN rehberimiz ise ayrıntılara giriyor. Snap bu tutum etrafında inşa edilmiş bir seçenek; ama geniş alışkanlık markadan daha önemli.
4. Halka açık ağlarda sertifika uyarılarına asla tıklayıp geçmeyin. Tarayıcıda tam ekran sertifika uyarısı görürseniz sekmeyi kapatın. Ev ağınızda bu neredeyse her zaman yanlış yapılandırılmış bir sitedir; kafeterya Wi-Fi'ında aktif olarak araya giren biri olabilir. Yanılma bedeli yeterince yüksek ki “sonra tekrar dene” doğru varsayılandır.
5. Hassas girişleri ve işlemleri güvenilir ağlara saklayın. Bankacılık, şifre sıfırlama, kurtarma kodu veya iki faktörlü akış gerektiren her şey — bunlar mobil veriye veya ev Wi-Fi'ına dönene kadar beklemenin küçük zahmetine değer. Havalimanında yapmanın sağladığı kolaylık, ters gittiğinde yaşanacak asimetrik sonuca değmez.

VPN Neyi Çözer, Neyi Çözmez

Bu konuda çok fazla gürültü var, bu yüzden net olmakta fayda var.

VPN şunları çözer:

• Yerel ağın DNS sorgularınızı görmesi
• SSL stripping (trafiğiniz düz metin olarak düşmanca ağ üzerinden geçmez)
• Captive portal'ı geçtikten sonra captive portal profilleme
• Sahte erişim noktasının aktiviteniz hakkında işe yarar bir şey öğrenmesi

VPN şunları çözmez:

• Yine de tıklayıp geçtiğiniz sertifika uyarısı
• Aktif olarak giriş yaptığınız kimlik avı sayfaları
• Cihazınızda zaten bulunan kötü amaçlı yazılım
• Ziyaret ettiğiniz web sitelerinin sizi hesaplar ve çerezler aracılığıyla tanımlamaya devam etmesi

VPN, halka açık Wi-Fi risklerinin belirli bir sınıfına karşı keskin bir araçtır. Sihirli bir kalkan değildir; onu öyle sunan ürünler ne yaptığını abartıyor. Yaygın VPN mitlerini ele alan yazımız pazarlama ile gerçek arasındaki uçuruma daha ayrıntılı giriyor.

Sonuç

HTTPS sorunun kolay versiyonunu çözdü. Daha zor versiyon — DNS'in, captive portal'ların ve sahte erişim noktalarının yaşadığı, bağlantının altındaki katman — bir şeyler ters gidene kadar büyük ölçüde görünmezdir.

Bu konuda makul olmak için ağ mühendisi olmanız gerekmiyor. Otomatik katılmayı kapatın, captive portal'lara şüpheyle yaklaşın, sertifika uyarılarına tıklayıp geçmeyin ve riskler gerçek olduğunda mobil veri veya VPN kullanın.

iOS'ta VPN kısmının temiz biçimde halledilmesini istiyorsanız — kayıt sırasında e-posta yok, trafik günlüğü yok, abonelik Apple ID'niz üzerinden sessizce faturalanıyor — Snap tam da bu tutum etrafında inşa edilmiştir. macOS yolda. Her iki durumda da en önemli şey hangi uygulamayı yüklediğiniz değil; kafeterya ağını kendi ağınız gibi görmeyi bırakmanızdır.