Man in the Middle (MITM) Saldırısı Nedir? Man in the Middle Saldırısı Hakkında Her Şey

MITM (Man in the middle) yani “Ortadaki Adam Saldırısı” yerel ağ üzerinde yapılan,seçilen kurbanın internet trafiğini veyahutta başka cihazlarla olan iletişimini dinleme, düzenleme,durdurma, yönlendirme gibi bir çok imkana olanak sağlayan ve siber dünyada sıkça kullanılan bir saldırı çeşididir.

Saldırgan bir networkte internet akışını kendine yönlendirir ve cihazların istek ve cevapları saldırgan üzerinde geçer.Bu sayede saldırgan üzerinden geçen paketleri okuyabilme gibi birçok imkana yani yetkiye sahip olur. Saldırgan üzerinden gelen-giden paketlerde analiz yaparak veyahutta bazı hazır araçları kullanarak önemli şifrelerimizi, tarayıcıda tutulan cookie(çerez) bilgilerimiz gibi bir çok bilgiyi saldırgan eline geçirebilir.

Saldırıda temel amaç cihazları kandırmaya yöneliktir. Bu ise ARP protokolü ile yapılır. ARP Protokolü nedir ve ne işe yarar bundan bahsedelim.

Arp protokolü adres çözümleme protokolü olarak bilinir. Cihazlar birbirlerini MAC adresleri ile tanır.Bir networkde cihazların iletişim kurabilmesi için her bir cihazın Local IP adreslerinin olması gereklidir.Buda ya manuel olarak ya da DHCP ile IP adresleri cihazlara atanır.

Her IP adresinin karşısında bir MAC adresi vardır.Bir cihaz bir paketi başka bir cihaza göndermek isterse ilk başta ARP-Tablosuna bakar.Windows işletim sistemlerinde arp tablosuna bakmak için Komut istemcisine yani CMD’ye “arp -a” komutu girilir.

Basit bir şekilde tanımlamak gerekirse MAC adresi;

Açılımı; Media Access Control Address olan MAC adresi, mevcut cihaz haricindeki cihazlar ile bağlantı kurabilen ve her aygıt için eşsiz olarak tanımlanan bir terimdir. Hemen her aygıtta bulunan donanım adresi veya fiziksel adres olarak da bilinir.

Man in The Middle (MITM) Saldırısı Neden Bu Kadar Tehlikeli ?

Saldırganların, ara sunucular oluşturarak, kurbanların bir iletişimde gerçek tarafla konuştuklarına inanmasını sağlayabildiği bu saldırı türü genellikle bireyleri hedef alsa da işletmeler ve büyük kuruluşlar için de önemli endişe kaynağıdır. Bilgisayar korsanları; ortak bir erişim noktasını, mesajlaşma hizmetlerini, dosya depolama sistemlerini veya uzaktan çalışma uygulamalarını işletmelerin ağlarına giriş yolu olarak kullanılabilmektedir.

Genellikle casusluk veya finansal kazanç elde etme amacıyla kullanılan man-in-the-middle sadırıları, iş süreçlerine zarar vermek ve kurbanlar açısından kaos yaratmak için de gerçekleştirilir. Saldırganlar, kötü amaçlı yazılımların kurbanların mobil cihazlarına gönderilmesini sağlayabilir, trafiği şifreleyemedikleri göz önüne alındığında, mobil cihazlar bu senaryoya duyarlıdır.

Ayrıca bir MitM saldırısında virüslü bilgisayarlara yasal olmayan SSL sertifikaları yüklenebilir ve kurbanın cihazından ekran görüntüleri vs. istediği herhangi bir dosyayı alabilir.

***

Ortadaki Adam Saldırısının Günlük Hayat Senaryoları

Örnek Senaryo 1 ;

Evrim Ağacı'ndan Mesaj

Neden Desteğe İhtiyacımız Var?

Aslında maddi destek istememizin nedeni çok basit: Çünkü Evrim Ağacı, bizim tek mesleğimiz, tek gelir kaynağımız. Birçoklarının aksine bizler, sosyal medyada gördüğünüz makale ve videolarımızı hobi olarak, mesleğimizden arta kalan zamanlarda yapmıyoruz. Dolayısıyla bu işi sürdürebilmek için gelir elde etmemiz gerekiyor.

Bunda elbette ki hiçbir sakınca yok; kimin, ne şartlar altında yayın yapmayı seçtiği büyük oranda bir tercih meselesi. Ne var ki biz, eğer ana mesleklerimizi icra edecek olursak (yani kendi mesleğimiz doğrultusunda bir iş sahibi olursak) Evrim Ağacı'na zaman ayıramayacağımızı, ayakta tutamayacağımızı biliyoruz. Çünkü az sonra detaylarını vereceğimiz üzere, Evrim Ağacı sosyal medyada denk geldiğiniz makale ve videolardan çok daha büyük, kapsamlı ve aşırı zaman alan bir bilim platformu projesi. Bu nedenle bizler, meslek olarak Evrim Ağacı'nı seçtik.

Eğer hem Evrim Ağacı'ndan hayatımızı idame ettirecek, mesleklerimizi bırakmayı en azından kısmen meşrulaştıracak ve mantıklı kılacak kadar bir gelir kaynağı elde edemezsek, mecburen Evrim Ağacı'nı bırakıp, kendi mesleklerimize döneceğiz. Ama bunu istemiyoruz ve bu nedenle didiniyoruz.

Destek Ol

Ali Bey yeni aldığı bulaşık makinasını, satın aldığı markanın web sitesinden o ayın taksitini ödeyecektir. Web sitesine giriş yaptığında üstte çıkan sekmeye basınca sayfa yenilenmiş ve yeniden web sitesi açılmıştır. Sitenin ödeme yapacağı kısma gelip EFT/Havale yapıp kredi kartı bilgilerini girmiştir ve siteden çıkış yaptıktan haftalar sonra banka hesabındaki parasının azaldığını fark etmiştir.

Aslında burada DNS Spoofing yapmaya çalışan bir hacker bulunmakta olup web sitenin birebir aynısını tasarlayarak ortadaki adam saldırısını uygulamıştır. Bu bağlamda hacker’lar kendilerini bu IP adreslerinden sorumlu olarak internette tanıtabiliyorlar ve ardından internet bu IP adreslerini hacker’a yönlendiriyor ve bu durumda hacker yine ortadaki adam saldırıları başlatabilir.

Örnek Senaryo 2 ;

Ercüment Bey iş arkadaşına onun ortak anahtarını istediğini bildiren bir mesaj atmaktadır.

Burada bir hacker iş arkadaşının Ercüment'e attığı anahtarı ele geçirmiş ve ortadaki adam saldırısını başlatmıştır.

Hacker, Ercüment'e iş arkadaşından geliyormuş gibi görünen sahte bir mesaj gönderir.

Ortak anahtarın iş arkadaşından geldiğine inanan Ercüment Bey, mesajı hacker’ın anahtarıyla şifreler ve şifrelenmiş mesajı “iş arkadaşına” gönderir.

Hacker mesajı tekrar ele geçirir, kendi özel anahtarını kullanarak deşifre eder, değiştirir ve ilk başta Ercüment'e göndermeye çalışılan iş arkadaşından ele geçirilen ortak anahtarı kullanarak yeniden şifreler.

Ercüment'in iş arkadaşı şifrelenmiş mesajın Ercümentten geldiğine inanıyor.

Halbuki Ercüment iş arkadaşına bir hacker tarafından ele geçirilen mesajı gönderiyor ve hem Ercüment hem de onun iş arkadaşı mesajın güvenli olduğunu düşünüyor.

Bu durumda güçlü bilgi güvenliği uygulamalarına sahip olmak yeterli değildir, ortadaki adam saldırılarının riski kontrol edilmesi gerekmektedir.

Man In the Middle Saldırılarından Nasıl Korunuruz ?

1. Yeni başlayanlar için, halka açık bir Wi-fi ağına giriş yaparken dikkatli olun. Yalnızca WPA2 güvenliğini kullananlar gibi güvenli Wi-Fi yönlendiricileri kullanın.

2. Güçlü bir parola oluşturmak, siber saldırıları önlemeye yönelik temel ancak son derece önemli bir adımdır. Bir şifre yöneticisi kullanarak şifrelerinizi koruyabilir ve şifrelerinizi farklı hesaplarda asla tekrar kullanmadığınızdan emin olabilirsiniz.

3. Ayrıca internette gezinirken yalnızca HTTPS bağlantılarına bağlanmalısınız. DNS isteğinizi şifrelemek için HTTPS üzerinden DNS kullanın. Kullanıcılar ve sunucu arasındaki trafiği şifrelemek için VPN kullanın.

4. Ortadaki adam saldırılarının önlenmesini sağlamak için temel siber güvenlik uygulamalarını takip edin.

5. Şirket çalışanlarına en yaygın siber saldırı teknikleri ve halka açık Wi-Fi ağlarının riskleri gibi konularda eğitim vermelidir.

6. Saldırıların çoğu kötü amaçlı yazılımlara dayandığından virüsten koruma yazılımı yüklemeniz, MITM saldırılarını tespit etmek için tasarlanan araçlardan ve kapsamlı tehdit izleme ve algılama çözümlerinden yararlanmanız önerilir. Güvenlik yazılımının güncellemelerine de dikkat edilmelidir.

Man in the Middle (MITM) Saldırı Yöntemlerinide eklemek isterdim ama daha fazla kafa karıştırmak istemedim. Diğer bloglarda görüşmek üzere...

Hiçbir sistem güvenli değildir, unutmayın ki şüphecilik sizi güvende tutar