Belgeci.com – Bilgi Paylaştıkça Çoğalır

Kablosuz ağlar, özellikle 802.11b çok fazla bir ilgi uyandırdı ve güvenlik camiasında son birkaç aydır özellikle incelenmektedir. Güvenlik camiası kablosuz ağların kablolu ağlar için yeni giriş noktaları oluşturduğu konusunda hemfikir ve bu kaynak en az internet kadar güvenilmez durumdadır. Standart teknoloji ile kablosuz bir kullanıcı yerel ağdaki diğer kullanıcılara bağlanabilmektedir. Kablosuz ağların çok yararlı olabilmesi için, veriyi internete bağlı olan kablolu ağlar üzerinden geçirmesi şarttır. Bu yazıda, kablolu ağlar için bilinen saldırı tiplerinin kablolu ve kablosuz ekipmanlardan oluşan ağlarda nasıl çalıştığını anlatacağız. Adres çözme protokolü (ARP – Address resolution protocol) önbellek zehirlenmesi,MAC katmanı saldırısı olup, saldırganın hedef makina ile aynı ağda olması gerekmektedir. Ayrıca etkisi anahtar (switch), hub, ve köprüler (bridge) ile sınırlı olup yönlendiriciler (router) üzerinde etkisi yoktur. Birçok 802.11b erişim noktası geçirgen MAC katmanı köprüsü gibi davranır ve ARP paketlerini gerideki ve ilerideki kablolu ve kablosuz ağlara iletir. Bu uygulamada ARP önbellek zehirlenemsi için erişim noktalarının arkası seçilir. Güvenli olmayan planlamalarda, kablosuz saldırgan kablosuz ağın gerisindeki kablolu ağdaki makinaların arasındaki trafiğede nüfuz edebilir ve diğer katlardaki dolaşabilen kablosuz kullanıcılar arasındaki trafiğede aynı şekilde nüfuz edebilir. Evlerde kullanılmak üzere satılan kablosuz erişim noktası, ahantar ve DSL/Kablo Modemden oluşan paket hakkında bir açık uyarısı: Bu popüler tüketici cihazları, saldırganın kullanıcının makinası ile anahtar arasındaki trafiğe rahatlıkla nüfuz etmesine izin vermektedir. Aşağıda, araştırılmış olan başka bir ağlara ait güvenlik açığı mimarisi vardır. ARP önbellek zehirlenmesi yeni bir problem değildir, geniş ölçüde araştırılmış ve kablolu ağlarda buna karşı savunulmaya çalışılmıştır. Ne yazık ki, kablosuz ağ tasarımları ve bunların kullanıldığı ağ tasarımları kısmi olarak bu güvenlik açığından etkilenmektedir. Bu güvenlik açığının yönetim yolu CIGITAL tarafından keşfedilmiş ve ağ mimarilerinin tekrar düşünülmesi, erişim noktaları cihazlarının güncellenmesi veya değiştirilmesi, kablosuz ağlara VPN çözümünün getirilmesi ve erişim noktalarının, VPN’in bir parçası gibi yapılması bu yazının içinde tartışılmıştır. Kablosuz ağlarda çalışacak olan bütün uygulamalar bu riski kaldıracak şekilde tasarlanmalıdır.

ARP Önbellek Zehirlenmesi (Cache poisoning)

ARP önbellek zehirlenmesi, kablolu ağlar için oldukçe akla yatkın ve bilinen türde bir saldırıdır. Standardın gelişi, kablosuz ağlarla birlikte bu riskin özellikle tekrar gündeme gelmedisir.

Terimlerin Tanımlanması

ARP önbellek zehirlenmesi konusunda anlaşılması gereken en önemli konu, ağ ekipmanlarında, collision domain’leri ve broadcast domain’leri arasındaki farktır. Collision domain, aynı yapısal kablo üzerindeki paket gönderen kullanıcıların oluşturduğu gruptur. Broadcast domain ise, bir diğerinin broadcast mesajını alan kullanıcılar grubudur. Bu iki guptaki kullanıcılar her zaman aynı değildir.
Ağlarda kullanılan Hub’lar bir porttan aldığı paketi diğer bütün portlara yayınlarlar. Bu Hub’a bağlı bulunan bütün kullanıcılar aynı Collision ve Broadcast Domain’lerindedir.
Anahtar veya köprüler ise bir porttan aldıkları paketi, hedef makina hangi portta ise sadece o porta yollar (AĞ kartının MAC adresine göre yapılır bu işlem). Buna karşılık Broadcast mesajları ise bütün portlara yollanır. Bu anahtar veya köprüye bağlı olan bütün kullanıcılar aynı broadcast domain’de olurlar fakat collision domain sadece her ayrı port ile sınırlıdır. Collision domain’de anahtarların portlarının birbirinden ayrı olması ap trafik hacmini arttırır fakat güvenliği arttırmaz.
Yönlendiriciler (Router) ise hem Collision hemde Broadcast Domain’ler için bir sınır görevi görürer. Bir yönlendiricinin her portu tek tek broadcast ve collision domain’lerin üyesidir.

ARP Protokolü ve Önbellek Zehirlenmesi (Cache poisoning)

Adres çözme protokolü (ARP), yerel ağlarda MAC cihaz adresi ile IP adresi arasındaki eşlemeyi çözme fonksiyonunu yüklenir. Örneğin, bir kullanıcı IP adresi 10.0.0.2 olan makinaya mesaj yollamak istiyor. Bu durumda önce yerel ağa ARP yayını yaparak bu IP adresine ait MAC adresinin ne olduğunu sorar. Kendi IP adresinin olduğu paketi alan kullanıcı ise bir ARP cevabı yollayarak kendi MAC adresini yollar. Mesaj yollayan makina daha sonra kullanılmak üzere bu IP-MAC eşlenimini hafızaya saklar. Ağ trafiğini azaltmak için, ARP uygulamaları ARP-IP eşlenimlerini hep güncel tuttarak her ARP isteğine yanıt verir. Eğer MAC adresi verilen IP adresinin değiştiğini bildirirse bu güncelleme adına hafızada da değiştirilir. ARP cevapları unicast olup sadece tek makinaya doğru gerçekleşir ve bu makinanın ARP hafızasının güncellenmesi için yapılır.

Bu yazıda, ARP cevap paketlerinin kullanılarak önbellek zehirlenmesi gibi çeşitli ARP saldırıları incelenecektir. Bu saldırı "man in the middle" (ortadaki adam) olarak bilinir. Örnekle inceleyelim. Saldırgan, C makinası, B makinasına, A’nın IP adresini fakat C’nin MAC adresini içeren ARP cevabı yolluyor ve aynı şekilde A makinasına da, B’nin IP adresi ile C’nin MAC adresini içeren bir ARP cevabı yolluyor (Şekil-1). ARP durumsuz protokol olduğu için, A ve B makinaları daha önc yolladıkları ARP isteklerine cevap olarak kabul ettikleri bu yeni bilgiyi güncelliyorlar.

Şimdi, A, B’ye paket yollamak istediğinde, bu paket B yerine C’ye gidecektir. C kullanıcısı bu durumdan faydalanarak paketi gerçek makinaya yollar veya yollamadan önce pakette değişiklik yapabilir (Şekil-2). Bu ortadaki adam saldırısı, B’nin telnet oturumlarının, gelen veya giden elektronik postalarının, SSH görüşmelerinin, web kullanımının C tarafından dinlenmesi veya değiştirilmesi ve diğer bazı olmaması gereken çirkin durumların gerçekleşmesine izin verir.
ARP önbellek zehirlenme saldırısı saldırgan tarafından, aynı broadcast domain’deki bütün makinalara karşı kullanılabilir. Bu nedenle, Hublar, köprüler, anahtarlar üzerinde çalışır fakat yönlendiricilerden geçemez. Aslında işin doğrusu eğer saldırgan yapabilirse, yönlendiricilerin ARP önbellekleride zehirlenebilir, ama yönlendirici bu ARP paketlerini diğer portlarına aktarmaz. Anahtarlarda ise port güvenliği özelliği ile, her porta bir MAC adresi atanır ve gerekmedikçe bu adres değiştirilmez, ve saldırıdan korunabilirsiniz. Fakat bu sefer de saldırı daha yüksek katmanda gerçekleşir, IP katmanında, anahtarın izlemediği.
Bu atağın etkilerini görmek, test edebilmek ve canlandırabilmek için kullanılabilecek bir uygulama olan Ettercap şu linkte mevcuttur: http://ettercap.sourceforge.net/
Açık kaynak kod olarak yaratılan Ettercap, menü arabirimi veya komut satırı ile, anahtarlı ağlarda ortadaki adam saldırısı için ARP önbellek zehirlenmesi yapmanıza izin vermektedir. Bu yazılım, 802.11b kablosuz cihazlarında Cigital’in denediği ve keşfettiği saldırıda hiçbir değişiklik yapılmadan kullanıldı.

802.11b Ağlarda ARP Önbellek Zehirlemnesi

Birçok erişim noktası (AP), kablosuz ağlardaki kullanıcılar için hub gibi çalışır ve kablolu ağ ile kablosuz ağ arasında bir trafik köprüsü görevi görür. Bu durumda Collasion Domain’leri ayrılmıştır; kablosuz ağdaki tüm kullanıcılar bir collasion domain olup, kablolu ağdakiler başka bir collasion domain olur. Broadcast Domain, AP nin durumuna göre limitli değildir, ve kablolu ağıda içermektedir. Broadcast Domain’deki bütün kullanıcılara ARP saldırısı yapılmaya başlandığı zaman, AP bunu kendi üzerinden bağlı oldupu ağlarada yollayacaktır.
Eğer AP direkt olarak anahtara veya hub’a bağlı ise, bu hub veya anahtardaki bütün kullanıcılarda kablosuz ağdan gelen ortadaki adam saldırısına maruz kalacaklardır. Mümkün olursa saldırgan, giriş katında durarak geniş bir ağı kablosuz ağ ile tehdit altına alabilir.

Özel İspat Edilmiş Saldırılar

Aşağıdaki senaryolar Cigital tarafından test edilerek beklendiği gibi çalışıp çalışmadığından emin olunmuştur. Çeşitli işletim sistemleri kullanımıştır test esnasında, mesela çeşitli Linux dağıtımları, Windows 2000 ve Windows NT.

Kuruluş Bazında Saldırılar:

Senaryo-1: Kablosuz ağların açıklarından yararlanılarak, kablolu ağa saldırma

1-) Kablosuz saldırgan, kablolu ağdaki anahtara takılı AP üzerinden aynı anahtara takılı olan 2 ayrı kullanıcıya ortadaki adam saldırısını gerçekleştirebilir. Değiştirilmiş ARP paketleri her 2 hedef makinayada ulaşır. Yine de bu düzenek yayılı ağ içinde kullanılabilir olmamalıydı. Bunun anlamı, birçok organizasyon bu sayfalarda anlatılan risklerden habersiz olarak sistemlerini kurmuşlardır. Kablolu ağdaki bir makinaya ulaşmak için kablosuz ağdaki bir makinayı kullanmak çok belirgin bir saldırı metodudur.

Senaryo-2: Kablosuz ağdaki açıkları kullanarak hem kablosuz hemde kablolu ağdaki kullanıcılara saldırma

2-) Kablosuz saldırgan, kablosuz bir kullanıcı üzerinden, AP nin takılı olduğu hub veya anahtara ortadaki adam saldırısı yapabilir. Her hedef makina aynı broadcast domain içindedir, ve saldırganın değiştirdiği ARP paketlerini alabilmektedir. Bu durum kablosuz kullanıcılar ile internet arasında ortadaki adam şeklinde DEF CON ve Usenix Security konferanslarında gözlenmiştir.

Senaryo-3: Faklı AP’lerdeki gezici kablosuz kullanıcılara saldırma

3-) Kablosuz saldırgan farklı AP lerde olan kullanıcılara her iki AP’yi de kapsayan bir saldırı düzenleyebilir. Şimdiki hali ile 802.11b ağları, AP lerin bilinen hub veya anahtarlara bağlı olmasını gerektirir (Bazı üreticiler daha profesyonel gezici ürünlere sahip olabilirler fakat bunların uygulanması özellikleri hakkında döküman yoktur). Çünki her AP köprü gibi çalışır ve bildiğimiz anahtarlara bağlıdır. Broadcast domain, AP’lere bağlı bulunan ve değiştirilmiş ARP paketlerini alabilen tüm makinalara yayılır. Bütün uygun örnekler ve durum çalışmaları, gezici 802.11b ağlarının uygulanması aşamasında kesinkes bütün AP’lerin bildiğimiz anahtar veya anahtar topluluklarına bağlanacak şekilde kurulması gerektiğini göstermektedir.

Senaryo-4: Aynı AP’deki 2 kablosuz kullanıcıya saldırma

4-) Kablosuz saldırgan aynı AP’deki 2 farklı makinaya ortadaki adam saldırısı yapabilir. Bu önemsiz bir durumdur. Çünki ARP önbellek zehirlenmesi saldırısı kablolu ağlardaki ile şekilde olacaktır.

Tüketici Saldırıları

İşlenen son senaryo ev kullanıcılarına odaklanmaktadır. Birkaç üretici AP, anahtar ve DSL/Kablo Modem Router cihazının birleşmiş halini önermektedir. Bu cihaz AP olarak görev yaparken kablolu kullanıcılar için anahtar ve ISP ye bağlanmak içinde Modem/Router görevini görmektedir. AP direkt olarak anahtara bağlı olduğunda şu tip saldırılar mümkün olmaktadır:

Senaryo-1: Kablosuz ağdaki açıkları kullanarak kablolu ağdaki 2 kullanıcıya saldırma

1-) Kablosuz saldırgan, birbirleri ile anahtar üzerinden konuşan 2 kablolu kullnıcıya ortadaki adam saldırısı uygulayabilir. Bu Özel denenmiş saldırılar senaryo-1 ile aynı durumdur. Bu saldırıdaki başarı özellikle dikkate değerdir, çünki ev kullanıcısı bu ağ geçidi cihazının kablolu ağ ile kablosuz ağı birbirinden ayırmış olmasını beklemektedir. Aslında bu ürünler çok popülerdir, çünki ev kullanıcılar evdeki ağlarının güvenliği için pek kaygı duymamaktadırlar veya nasıl güvenli hale getirebileceklerini bilmemektedirler. Birçok tüketici başlarını fazla ağrıtmamak için bu tarzda birleşik cihazları satın almak ister.

Senaryo-2: Kablosuz ağlardaki açıkları kullanarak kablolu ve kablosuz kullanıcılara saldırma

2-) Kablosuz saldırgan, evdeki kablolu kullanıcı ile konuşmakta olan başka bir kablosuz kullanıcıya ortadaki adam saldırısı yapabilir. Bu saldırı, anahtarın AP’ye direkt olarak bağlanmış olmasının haricinde, Özel denenmiş saldırılar senaryo-2 ile aynıdır (Hedef kablolu makina, aslında ağ geçidindeki yönlendirici (Router) olabilirdi).

Okyanusta bir damla

Yukarıda kabataslak anlatılan saldırı senaryoları, kablolu ve kablosuz ağların tümleşik olarak çalışmasına birçok örnekten sadece birkaçı. Şu anki uygulamalarda bulunmuş olduğu gibi olası örneklerde de ARP kaynaklı çeşitli güvenlik açıkları bulabilirler.
Ağlar için birçok olası konfigürasyon vardır, okuyucu kendi durumuna göre risk analizi yapıp, uygun önlemleri almalıdır. Not olarak, anlatılan her senaryoda tersi durum da sözkonusu olabilir, kablolu ağda ortadaki adam saldırısına uğramış kullanıcılar ile kablosuz kullanıcılarda etkilenebilir. Bununla birlikte, bu durum çok az ağ modeli için tehdit teşkil eder.

Hafifletme Stratejileri

Kablosuz ağ uygulamaları ile ilgili yeni riskleri anlattıktan sonra, sonraki adım bunları azaltmanın en iyi yollarıdır. Teknik hafifletme stratejileri 2 geniş sınıfta incelenebilir: Engelleme Metodları ve Tespit Etme Yöntemleri. Bütün hafifletme aktiviteleri mantıklı risk yönetim yaklaşımları taşımalıdır. Bunun anlamı, alınacak teknik kararlar, iş içeriği ve tehdit modeli ışığı altında alınmalıdır.

Korunma

Ticari Kurulumlar

Yukarıda anlatılan senaryolar, birçok ticari kablosuz ağlar olarak uygulanabilir. Bu sistemlerin güvenliğini sağlamlaştırmak için birkaç güvenliği arttırma seviyesi vardır.
İlk adımi firmanın kablolu ağı ile kablosuz ağını birbirinden ayırmaktır. AP ile anahtar arasına ateş duvarı koymak ve geri kalan kablolu ağı ARP saldırılarından korumak için ateş duvarının ötesine yaymak. Bu teknik, diğer kablosuz kullanıcılara karşı yöneltilen ARP zehirlenmesi saldırılarına veya ateş duvarı ile kablosuz kullanıcılar arasındaki iletişime karşı korumaz. AP’ler için ateş duvarı kullanmak, kablosuz ağlardan gelen yetkisiz erişimlere veya diğer saldırılara karşı filtreleme kazancı sağlar.
VPN uygulamak kimlik tanımlaması sağlar ve kullanıcıdan ağ geçidine veri transferinde güvenlik sağlayarak kısmi bir çözümdür. VPN korumasındaki ağda, saldırgan hala trafiği yönlendirebilir ve daha önce açıkladığımız ARP tabanlı saldırılar ile pasif olarak dinleyebilir, fakat bu saldırganın sadece şifreli veri akışını elde etmesini sağlar. Saldırgan hala hedefe değiştirilmiş ARP paketleri yollayarak DoS a neden olabilir, fakat eğer VPN doğru uygulanmış ise verinin ele geçirilmesi mümkün olmayacaktır (Bu zaten WEP’in zayıflığına karşı uygulanabilecek en çekici seçenektir).
Not olarak, VPN çözümü kullanılarak tam olarak güvenli hale getirilmiş kablosuz ağlar, kablolu omurgada harici VPN sunucu kurmaktan daha kolaydır. Kablolu ağdaki ve kablosuz ile kablolu ağlar arasındaki trafiği korumak için ayar yaparken, kablosuz ağdaki iki kullanıcı arasındaki trafik ayar dışı kalabilir. Bu problemi çözmek için, bazı üreticiler IPSec uyumlu AP’ler duyurdular. Bu sayede güvenli iletişimde olmayan makinaların trafiklerini engellemek mümkün olabilecektir. Diğer VPN uyumlu AP’ler yetersin kullanımlarından dolayı daha çok kişi tarafından bilinir duruma gelmeyi beklemektedirler. Bazı ürünler burada yer almayan ama can sıkıcı olan ufak tefek DoS saldırılarınıda azaltabilmektedir.
Diğer ve daha az uygun çözüm şu şekildedir: Her kablosuz ağ hücresini ARP zehirlenmesine karşı limitlemek için erişim noktalarını kendi içindeki ateş duvarı ile izole etmek, ve üreticilerin sağladığı, köprüleme haricinde yönlendirme tabanlı gezici protokollerin uygulanması. Bu AP’lerin köprü gibi davranması gerekliliğini kaldırır.
Son olarak tekrar not edin, Kablosuz ağ üzerinde çalışacak olan tüm uygulamalar belirli bir risk profili taşıyacak şekilde tasarlanmalıdır. Riskleri tekrar gözden geçirmeden, kablolu uygulamaları kablosuz uygulamalara yönlendirmek güvenlik problemlerini yanında getirecektir.

Ev Kurulumları

Ev kullanıcıları kablosuz trafik ile kablolu trafiği birbirinden ayırmalıdırlar. Tek cihaz olarak satılan ev ağ geçitleri şu an için, bahsedilen saldırılara karşı koruma sağlamamaktadır. Eğer bu tip cihazlar kullanılırsa, her makinada önlem alınmalıdır. Makinalarda static ARP girişleri yapılarak ("arp" komutunu kullanarak), üretilmiş ARP trafiklerive karşı korunmuş olurlar, ve sahte ARP cevaplarının içerdiği bilgileri kendi bilgilerinin üzerine yazılmasını engellemiş olurlar (Dikkatli ve emin olun. Çünki bu sistem bazı işletim sistemlerinde böyle çalışmaktadır. Windows ve diğer işletim sistemlerinin bazı sürümleri, dinamik ARP girişlerinin statik ARP girişlerinin üzerine yazılması gibi kusurlara sahiptir). Komple tek cihaz halinde satılan bu ev tipi cihazlarını düzeltmenin tek yolu, sadece bileşik AP ve anahtar ile ISP arasındaki yönlendirme yerine, AP, anahtar ve ISP bağlantısı arasındaki yönlendirmenin tekrar tasarlanmasıdır. Bu belki yeni ağ geçidi ürünü gerektirebilir, fakat bazı ev tipi ağ geçitleri üretici firma tarafından sağlanan güncellemeler ile bu sorunu halledebilmektedir.
3. bir seçenek ise, teknik olarak becerikli ev kullanıcıları 3 bacaklı bir ateş duvarı yaratarak trafiği ayırabilirler. Bu ateş duvarındaki bir port AP’e, bir port yerel kablolu trafiğe ve son protuda ISP’ye giden internet trafiğine gibi. Bu çok fazla esneklik sağlayacaktır, fakat kayda değer bir bilgi birikimi gerektirmektedir. Bu çözüm aynı zamanda ateş duvarına IPSec desteği eklemeyide sağlar, ve kablosuz trafikte şifreleme sağlar.

Tespit Etme

Korunma yöntemleri mümkün değilse veya tespit etme metodları çalışmayacaksa, ARP zehirlenmesi saldırılarını tespit etmeye çalışmak gerekli değildir. ARP zehirlenmesi saldırılarına karşı birkaç metod için çalışılmaktadır.
Arpwatch uygulaması (http://www.nrg.ee.lbl.gov/), IP-MAC eşlemesi değiştiğinde sistem sorumlusuna elektronik posta atarak haber vermektedir. Birçok ARP saldırısı uygulaması, sistem sorumlusuna elektronik posta göderecek tetiklemeyi yaratmaktadır. Ne yazık ki, DHCP’nin adres ataması da uyarı tetiklemesini yaratır. Bu yüzden DHCP kullanılan ağlarda, fazla sayıda yanlış uyarı almamak için, eğer uygulama izin veriyorsa limitleme yapmak gerekir.
ARP zehirlenmesi saldırısına maruz kalmış makinalarda, ARP önbelleğinin içeriğine göre tespit etmek daha uygun olur. Eğer aynı MAC adresi için birden fazla IP adresi ataması oluyorsa bu saldırının ya gerçekleşmek üzere olduğunu yada gerçekleştiğini gösterir. Benzer bir şekilde, her makina için yayınlanan ters adres çözümleme protokolü (RARP) mesajlarından da, ağda birden fazla cevap veren aynı makina olduğu sonucuna varılması beklenebilir. Bu yaklaşım belki kabul edilemez bir sistem yönetimi yükü gerektirebilir. Çünki çok fazla MAC adresi korunmak zorunda olabilir.
Sonuç olarak, saldırı tespit sistemleri çok fazla sayıda istenmeyen ARP cevabını tespit etmek zorunda kalabilir. Birçok uygulama gizli modda kullanılabilir, fakat ortalama bir ‘script kiddie’ normal ARP paketlerini doğru bir şekilde gizlemeyi bilecek kadar yeterli bilgiye sahip değildir.

Sonuç

Cigital, normal korunan makinalara sahip, standart kablolu iç ağlara sızabilmek için yeni bir kablosuz ağ saldırı tipi keşfetmiştir. Kablosuz ağlar normal iç ağa AP’ler koyulmasını gerektirmektedir. Bu AP’ler normal iç ağa bir anahtar veya hub vasıtası ile bağlanırlar. Cigital tarafından keşfedilen saldırılar, kablolu ağ dünyasında ARP önbellek zehirlenmesi olarak çok iyi bilinen ağ saldırısının türetilmiş halidir. Bu, eski risklerin yeni teknolojiler ışığında yeniden ele alınmasının önemini vurgulamaktadır. Özellikle yazılım tabanlı sistemlerde.
Bu saldırıları hafifletmek mümkün. En iyi düzeltme yolu, kablolu ağ ile kablosuz ağ arasına teknik bir bariyer koymaktır. Bu kablosuz ağlara sızmaya karşı sadece kısmi bir çözüm sağlayacaktır, fakat yine de Cigital’in bulduğu en kötü saldırılara karşı koruyacaktır. Riskler, kablosuz ağlarda kullanılmak üzere yapılan uygulamaların profesyonel bir şekilde tasarlanması ile hafifletilebilir.

Esinlenme Hikayesi

2001’de, Las Vegas’daki DEF CON (www.defcon.org) ve Washington DC’deki Usenix Güvenlik Konferansında, birtakım işgüzarlar konferansın kablosuz ağının internete olan trafiğini bloklayan bir saldırı düzenlediler. Saldırganlar kablosuz ağdaki herkezi sahte bir ağ geçidine yönlendirdiler, ve bütün HTTP isteklerini hack başarılarını öven bir web sayfası ile karşıladılar (Bu web sayfasında şu yazmakta idi : "All your base are belong to us" ). Bu yazıda anlatılan ARP saldırılarını kullanan saldırganın bunu sahiplenip sahiplenmediğini bilmiyorum, veya ICMP tabanlı saldırıları, fakat DEF CON’da yapılan ağ izleme yazılımları ile yapılan incelemede Ettercap ARP saldırı yazılımının imzası bulunmuştu. Bu konferanslardaki saldırganlar, ağ geçidini yönlendirmek ve kablosuz ağdaki kullanıcılara SSH Ortadaki Adam saldırısı ile limitli kaldılar. Bu hikaye belki sizlerin çalışmalarına bir ilham kaynağı olur.