GGüvenlik

MitM (Ortadaki Adam) Saldırısı Nedir, Nasıl Korunabilirsiniz?

  • 11 Nisan 2022
  • 8 dakika okuma süresi
0
Shares
0
0
0
0
Bu İçerikte Bahsedilen Konular
  1. Temel Hatlarıyla MitM
  2. MitM Saldırı Örneği
  3. MitM Saldırıları Tehlikeli mi?
  4. MitM ile Sniffing (Koklama) Arasındaki Farklar
  5. MitM Saldırıları Nerede Olur?
  6. MitM (Ortadaki Adam) Saldırısı Nasıl Olur?
    1. MitM Saldırılarında Kullanılan Bazı Teknikler
    2. MitM Saldırılarına Karşı Güvenlik Çözümleri

Dijital dünyada iletişim olanaklarının gelişmesi beraberinde yeni risk alanları getiriyor. Dijital dünyada iletişim kurarken bilgisayar korsanlarının ve kötü niyetli yazılımların iletişimin güvenliğini her an tehdit edebileceğini unutmamak gerekir. Kökeni yıllar öncesine dayanmakla birlikte günümüzde adını sıkça duyuran Man in the Middle (MitM/Ortadaki Adam), hem internetin kişisel kullanımı hem işletmeler açısından tetikte olmak gereken bir siber saldırı çeşididir. Peki MitM nedir, nasıl meydana gelir, korunmak için neler yapılabilir?

Temel Hatlarıyla MitM

Ortadaki adam saldırısı (MITM saldırısı), bir siber saldırganın “doğrudan iletişim kurduklarını sanan” iki taraf arasındaki iletişimi kendine aktardığı ve muhtemelen değiştirdiği bir siber saldırıdır. Bu durum saldırganın iletişimi iletmesine, dinlemesine ve hatta her bir tarafın söylediklerini değiştirmesine olanak tanır. Ortadaki adam saldırıları, insanlar, istemciler ve sunucular arasında gizlice dinlemeyi mümkün kılar. Bu, web sitelerine HTTPS bağlantılarını, diğer SSL/TLS bağlantılarını, Wi-Fi ağ bağlantılarını ve daha fazlasını içerebilir.

MitM Saldırı Örneği

Sizin ve bir iş arkadaşınızın güvenli bir mesajlaşma platformu üzerinden iletişim kurduğunuzu hayal edin. Saldırgan, gizlice dinlemek ve iş arkadaşınıza sizden yanlış bir mesaj iletmek için konuşmayı kesmek istiyor. Muhtemelen aşağıdaki adımları izleyebiliyor:

  • İlk olarak, iş arkadaşınızdan ortak anahtar istiyorsunuz. Arkadaşınız size genel anahtarını gönderirse ve saldırgan onu ele geçirebilirse, ortadaki adam saldırısı başlayabilir.
  • Saldırgan size, iş arkadaşınızdan geliyormuş gibi görünen ancak bunun yerine saldırganın ortak anahtarını içeren sahte bir mesaj gönderir.
  • Açık anahtarın iş arkadaşınıza ait olduğuna inanan siz, mesajınızı saldırganın anahtarıyla şifreler ve şifrelenmiş mesajı “iş arkadaşınıza” (aslında saldırgana) geri gönderirsiniz.
  • Saldırgan, mesajı tekrar ele geçirir, kendi özel anahtarını kullanarak deşifre eder, değiştirir ve ilk başta size göndermeye çalışan iş arkadaşınızdan ele geçirilen ortak anahtarı kullanarak mesajı yeniden şifreler.
  • İş arkadaşınız da şifrelenmiş mesajı incelediğinde, mesajın sizden geldiğine inanır.
  • İş arkadaşınıza bir saldırgan tarafından ele geçirilen bir mesaj göndermiş olursunuz.
  • “Merhaba [iş arkadaşım], lütfen anahtarını gönderir misin?”
  • Saldırgan mesajı iş arkadaşınıza iletir, iş arkadaşınız ortadaki bir adam olduğunu söyleyemez.
  • Siz [Saldırgan] “Merhaba, lütfen bana anahtarını gönderir misin?”
  • İş arkadaşı şifreleme anahtarıyla yanıt veriyor.
  • Saldırgan, iş arkadaşınızın anahtarını kendisininkiyle değiştirir ve iş arkadaşınızın anahtarı olduğunu iddia ederek mesajı size iletir.
  • Bir mesajı, iş arkadaşınızın anahtarı olduğuna inandığınız bir şeyle şifrelersiniz, sadece iş arkadaşınızın okuyabileceğini düşünürsünüz.
  • Siz “Şifremiz XYZ” [saldırganın anahtarıyla şifrelenmiştir]
  • Mesaj saldırganın anahtarıyla şifrelendiğinden, şifresini çözer, okur ve değiştirir, meslektaşınızın anahtarıyla yeniden şifreler ve mesajı başka bir yere iletirler.

Bu durumda hem siz hem iş arkadaşınız mesajın güvenli olduğunu düşünerek iletişime devam edersiniz. Oysa gerçekte, aranızda biri daha vardır: Ortadaki Adam! Bu “ortadaki adam” kötü niyetlidir, gizli kalması gereken bilgileri edinebilir. Farklı bir niyeti varsa, örneğin aranızdaki iletişimi manipüle edebilir.

Bu örnek, tarafların bir saldırganın açık anahtarı yerine birbirlerinin ortak anahtarlarıyla iletişim kurmasını sağlayacak bir sistemin önemini işaret eder. Güçlü bilgi güvenliği uygulamalarına sahip olmak yeterli değildir, MitM (Ortadaki adam) saldırıları riskini her zaman kontrol etmeniz gerekir.

MitM Saldırıları Tehlikeli mi?

Ortadaki adam saldırıları tehlikelidir ve genellikle iki amacı vardır. Bunların biri ya da ikisi birden saldırının amacı olabilir:

  • Hassas verilere ve kişisel bilgilere erişim kazanmak
  • İletilen bir mesajın içeriğini işlemek

Saldırgan MitM saldırısı ile şunlara erişim sağlamayı hedefler:

  • Kimlik hırsızlığı için kişisel olarak tanımlanabilir bilgiler (PII) ve diğer hassas bilgiler
  • Çevrimiçi banka hesaplarına yetkisiz erişim elde etmek için halka açık bir Wi-Fi ağında oturum açma kimlik bilgileri
  • Bir e-ticaret sitesinde kredi kartı numaralarını çalmak
  • Kamuya açık Wi-Fi erişim noktalarındaki trafiği, yasal web sitelerinden kötü amaçlı yazılım barındıran sitelere yönlendirmek.

MITM saldırılarının ortak hedefleri web siteleri ve e-postalardır. E-postalar varsayılan olarak şifreleme kullanmaz, bu da saldırganın gönderenden gelen e-postaları yalnızca oturum açma kimlik bilgileriyle ele geçirmesine ve yanıltmasına olanak tanır.

MitM ile Sniffing (Koklama) Arasındaki Farklar

İnternet protokollerinin doğası gereği, internete gönderilen bilgilerin çoğuna genel olarak erişilebilir. Bir yerel ağa (LAN) bağlandığınızda, diğer tüm bilgisayarlar veri paketlerinizi görebilir. Bir saldırgan sizinle aynı ağdayken, verileri okumak için bir dinleyici kullanabilir ve istemciniz ile sunucu (istemciniz ve sunucu dahil) arasındaki herhangi bir bilgisayara erişebiliyorsa iletişiminizi dinlemelerine izin verebilir.

Ortadaki adam saldırısında, saldırgan sizi veya bilgisayarınızı kendi bilgisayarlarına bağlanmanız için kandırır. Bu, bağlanmak istediğiniz yerin onlar olduğuna inanmanızı sağlar. Daha sonra asıl hedefinize bağlanıp sizmişsiniz gibi davranırlar, istenirse bilgileri her iki şekilde aktarır ve değiştirirler. Bilgi değiştirilebildiği için bu çok daha büyük bir siber güvenlik riskidir.

Siber güvenlik default (varsayılan olarak) şifrelemeye yöneldikçe, sniffing (koklama) ve MitM (ortadaki adam) saldırıları daha tehditkar hale geliyor. Saldırganlar, kullanıcıları kandırmak veya ortadaki adam olmak için kriptografik protokollerdeki zayıflıklardan yararlanmada çeşitli teknikler kullanabilir. Ortadaki bir adamın iletişiminizi engellemesini önlemek için güvenli bir bağlantı yeterli değildir.

MitM Saldırıları Nerede Olur?

Ortadaki adam saldırılarının birçok türü vardır ancak genel olarak bunlar dört şekilde gerçekleşir:

  • Genel ağlar: Herhangi bir genel ağa bağlandığınızda aslında büyük risk altındasınız. Örnek olarak havaalanlarında veya kafelerde, erişim kısıtlaması olmayan herhangi bir ağda halka açık Wi-Fi bağlantıları verilebilir. Burada bir saldırganın ortadaki adam olması en kolayıdır çünkü birçok MitM tekniğinin en iyi çalıştığı yerler yerel alan ve Wi-Fi ağlarıdır.
  • Bilgisayarınız: İnternet bağlantınızı izleyen ve değiştiren sitelere sizi çekerek bağlantınızı ele geçiren kötü amaçlı yazılımlar ile MitM saldırısı gerçekleştirilebilir.
  • Router: Routerlar (yönlendiriciler) genellikle İnternet servis sağlayıcınız tarafından sağlanır ve varsayılan güvenlik ayarlarına sahiptir. Bu, birçok yönlendiricinin varsayılan oturum açma kimlik bilgilerine (yönetici/parola gibi) veya bilinen bir güvenlik açığına sahip olabilecek güncel olmayan bellenime (firmware) sahip olduğu anlamına gelir.
  • Web sunucusu: Saldırgan, iletişim kurmayı amaçladığınız orijinal web sunucusuna erişim kazanır ve MitM saldırısı gerçekleştirir.

MitM (Ortadaki Adam) Saldırısı Nasıl Olur?

MitM – Ortadaki adam saldırısı üç aşamaya ayrılabilir:

  • Birinci aşama: Saldırıyı gerçekleştirmek için bir konuma erişim sağlama
  • İkinci aşama: Ortadaki adam olma
  • Üçüncü aşama: Gerekirse şifrelemenin üstesinden gelme

Saldırgan, sizinle istediğiniz hedef arasına girdiğinde artık “ortadaki adam” olmuştur. Bunun başarılı olması için bir veya birkaç farklı yanıltma/kandırma/ spoofing saldırı tekniği ile bilgisayarınızı kandırmaya çalışacaktır.

MitM Saldırılarında Kullanılan Bazı Teknikler

  • ARP Spoofing: ARP (veya Adres Çözümleme Protokolü), bir cihazın fiziksel adresini (MAC adresi veya medya erişim kontrol adresi) ve yerel alan ağında ona atanan IP adresini çevirir. ARP kimlik sahtekarlığı kullanan bir saldırgan, bağlantılarını cihazlarına yeniden yönlendirmek için yerel alan ağına yanlış bilgiler enjekte etmeyi amaçlar.
  • IP Spoofing: IP sahtekarlığı, bir makinenin farklı bir IP adresine, genellikle başka bir makineyle aynı adrese sahipmiş gibi davranmasıdır. Kendi başına, IP sahtekarlığı bir ortadaki adam saldırısı değildir, ancak TCP dizi tahmini ile birleştirildiğinde bir saldırı haline gelir. Genel olarak İnternet bağlantıları TCP/IP (İletim Kontrol Protokolü / İnternet Protokolü) ile kurulur.
  • DNS Spoofing: ARP sızdırma ve IP sızdırma, saldırının sizinle aynı yerel alan ağına bağlanmasına dayanır. DNS sahtekarlığı ile herhangi bir yerden bir saldırı gelebilir. DNS sahtekarlığı, savunmasız bir DNS önbelleğine dayandığından genellikle daha zordur. Ancak DNS sahtekarlığı başarılı olursa çok sayıda insanı etkileyebilir.
  • HTTPS Spoofing: Web tarayıcı sahtekarlığı, bir saldırganın bağlanmak istediğiniz alan adına çok benzeyen bir alan adını kaydettiği bir yazım hatası biçimidir. Ardından, kimlik avı gibi diğer teknikleri kullanmak için yanlış URL’yi teslim ederler. Örnek: faceboook.com
  • E-posta ele geçirme, bir saldırganın bir e-posta hesabını ele geçirmesi ve e-posta konuşmalarını “dinleyerek” sessizce bilgi toplamasıdır. E-posta korsanlığı, e-postanın sahibi olan ve genellikle hedef odaklı kimlik avı için kullanılan yaygın bir metottur.

MitM Saldırılarına Karşı Güvenlik Çözümleri

MitM – Ortadaki adam saldırılarının birçok türü vardır ve bazılarının tespit edilmesi zordur. Ortadaki adam saldırılarına karşı en iyi çözüm, onları önlemektir. Bir saldırganın ağınıza erişimi varsa bağlantınızı ele geçirmesini engellemek zor olsa da, iletişiminizin güçlü bir şekilde şifrelenmesini sağlayabilirsiniz.

  • Sanal Özel Ağ (VPN): VPN’ler, bir saldırganın iletişimi okuma veya değiştirme yeteneğini sınırlayarak web trafiğinizi şifreler.
  • Ağ izinsiz giriş tespit sistemi (NIDS): NIDS, ağdaki tüm cihazlardan gelen ve giden trafiği izlemek için bir ağ içindeki stratejik noktalara yerleştirilir. Tüm alt ağda geçen trafiğin analizini gerçekleştirir ve alt ağlarda geçirilen trafiği bilinen saldırıların kitaplığına eşleştirir. Bir saldırı tespit edildiğinde veya anormal davranış bulunduğunda uyarı gönderilebilir.
  • Güvenlik Duvarı: Güçlü bir güvenlik duvarı yetkisiz erişimi engelleyebilir.
  • İki faktörlü kimlik doğrulama: E-postaların ele geçirilmesini önlemenin iyi bir yolu, parolanızın ötesinde ek bir kimlik doğrulama vektörü gerektiren iki faktörlü kimlik doğrulama kullanmaktır.

MitM dahil olmak üzere siber güvenliği ilgilendiren tüm konularda Natro.com üzerinden destek alabilirsiniz. Alanında deneyimli Natro teknik ekibi kişisel siteleriniz ya da işletmeleriniz için en etkili güvenlik çözümlerini sunar.

0 Shares:
Paylaş 0
Tweet'le 0
Paylaş 0
Paylaş 0
Share 0
Benzer İçerikler
NNedir?
Devamını Oku

FTP Nedir, Nasıl Kullanılır?

Bu İçerikte Bahsedilen Konular FTP İndirme İşlemi Nasıl Yapılır?FTP Kurulumu Nasıl Yapılır?FTP Yapmak için GerekenlerFTP Nasıl Kullanılır?File Transfer…
NNedir?
Devamını Oku

Web Site Trafiği Nedir?

Web site trafiği, internet sitenizi ziyaret eden kullanıcı kitlesiyle doğru orantılıdır. Bu trafiği, kullanılan bir internet kotası gibi…