Ortadaki Adam Saldırısı (MITM) Nedir?
MITM (Ortadaki Adam) Saldırısı, bilgisayar korsanlarının iki hedefin etkileşimlerini dinlemesine izin veren yaygın bir siber güvenlik saldırısıdır. Saldırı, geçerli bir şekilde iletişim kuran iki ana bilgisayar arasında gerçekleşir ve bir saldırganın genellikle duymaması gereken bir konuşmayı “dinlemesine” olanak tanır.
Ortadaki adam saldırısı, en eski siber saldırı türlerinden biridir. 1980’lerin başından beri, bilgisayar bilimcileri, tehdit aktörlerinin iletişimleri kurcalamasını veya gizlice dinlemesini önleme yöntemleri araştırıyorlar. Yakın tarihli bir örnek, bir grup Rus GRU ajanının bir Wi-Fi sahtekarlığı cihazı kullanarak Kimyasal Silahların Yasaklanması (OPCW) ofisini hacklemeye çalışmasıydı.
Ortadaki Adam Saldırısı (MITM) Nasıl Çalışır?
Ortadaki bir adamın infazını iki aşamaya ayırabiliriz: müdahale ve şifre çözme.
Müdahale: İlk adım, saldırganın ağı aracılığıyla hedefine ulaşmadan önce kullanıcı trafiğini yakalar. En yaygın yöntem, bir saldırganın halka ücretsiz, kötü niyetli WiFi erişim noktaları sağladığı pasif bir saldırıdır. Bir kişi böyle bir ortak erişim noktasına bağlandığında, saldırgan herhangi bir çevrimiçi veri alışverişinin net bir şekilde görülebilmesini sağlar. Saldırganlar genellikle IP sızdırma, ARP sızdırma ve diğer yöntemleri kullanır.
Şifre çözme: Saldırgan, herhangi bir iki yönlü SSL trafiğini, kullanıcıya veya uygulamaya bildirimde bulunmadan kesmelidir. HTTPS sızdırma, SSL BEAST ve diğer teknikler, bir saldırganın bunu gerçekleştirmek için kullandığı standart tekniklerdir.
Ortadaki Adam Saldırısı (MITM) Türleri
Ortadaki adam saldırılarının yaygın türlerinden bazıları şunlardır:
Wifi gizli dinleme: Şüphelenmeyen kurbanların kötü amaçlı bir Wi-Fi ağına katılmaları için kandırıldığı bir tür ortadaki adam saldırısıdır.
SSL soyma saldırıları: Bu, saldırganların bir web bağlantısını HTTPS’den HTTP’ye indirgediği bir siber saldırı biçimidir.
Adres Çözümleme Protokolü (ARP) sızdırma: Bilgisayar korsanları tarafından verileri ele geçirmek için kullanılan bir tür sızdırma saldırısıdır. Bir saldırgan, geçerli bir alıcı yerine bilgisayar korsanının makinesiyle metin alışverişi yapması için bir makineyi kandırarak ARP sahtekarlığı saldırısını gerçekleştirir.
DNS Sahtekarlığı: Hedeflenen bir kullanıcıyı yanıltarak saldırgan tarafından kontrol edilen kötü niyetli bir siteye yönlendirmek için DNS sunucu girişlerini zehirleme işlemidir.
IP Sahtekarlığı: Tehdit aktörünün nereden kaynaklandığını belirlemeyi zorlaştırmak için IP paketlerinin güvenilir kaynağını gizlediği bir tür kötü niyetli saldırıdır.
E-posta korsanlığı: Bilgisayar korsanının kurbanın e-posta hesabını tehlikeye attığı ve bu hesaba erişim kazandığı bir tür ortadaki adam saldırısıdır.
Oturum ele geçirme: Oturum kimliğini gizlice elde ederek ve yetkili kullanıcının kimliğine bürünerek bir Web kullanıcı oturumunun kontrolünü ele geçirme yöntemidir.
Ortadaki Adam Saldırısı (MITM) Örnekleri
on yıllarda orta saldırılarda iyi tanınan çok sayıda adam oldu, örneğin:
- Babington Komplosu ilk vakalardan biriydi. Bir kriptografi uzmanı olan Thomas Phelippes, Mary Stuart ve komplocu arkadaşları arasındaki konuşmaları yakaladı, şifresini çözdü ve değiştirdi.
- 2015 yılında Superfish olarak bilinen bir reklam yazılımı programı vardı. Bu reklam yazılımı, 2014 yılında Lenovo makinelerine önceden yüklenmişti. SSL trafiğini tarıyor ve sahte sertifikalar kuruyor, üçüncü taraf dinleyicilerin güvenli gelen trafiği engellemesine ve yeniden yönlendirmesine izin veriyordu. Saldırganlar, şifrelenmiş sayfalara reklam eklemek için bu sahte sertifikaları da kullanıyordu.
- Equifax, kişisel bilgilerin sızdırıldığı bir veri ihlalinin ardından 2017 yılında uygulamalarını Google ve Apple’dan kaldırdı. Bir araştırmacı, uygulamanın HTTPS’yi tutarlı bir şekilde kullanmadığını ve davetsiz misafirlerin, istemciler birinin hesaplarına bağlanırken gizlice dinlemesine olanak sağladığını keşfetti.
- İngiliz istihbaratı, İkinci Dünya Savaşı sırasında Nazi güçlerine karşı ortada bir adam saldırısı düzenledi.
Ortadaki Adam Saldırısı (MITM) Nasıl Tespit Edilir?
Uygun önlemler olmadan, bir saldırganın çevrimiçi etkileşimlerinizi tehlikeye attığına dair aktif olarak kanıt aramıyorsanız, ortadaki bir adam saldırısını tespit etmek zor olabilir. Doğru sayfa kimlik doğrulamasının doğrulanması ve kimlik sahtekarlığı tespitinin başlatılması, potansiyel bir saldırıyı tespit etmek için kritik yöntemlerdir, ancak bu prosedürler ek adli analiz gerektirebilir. Web’de gezinirken birkaç şeye, özellikle de URL çubuğunuzdaki URL’ye çok dikkat etmelisiniz.
Bir web sitesinin URL’sindeki “HTTPS” harfi, o sitenin güvenli olduğunu gösterir. Bir URL’de “S” yoksa ve “HTTP” olarak okuyorsa, bağlantınızın güvenli olmadığının kesin kanıtıdır. URL’nin solunda, güvenli bir siteyi belirten bir SSL logosu da arayabilirsiniz. Halka açık Wi-Fi ağlarına bağlanmaktan kaçınmalısınız. Siber suçlular sık sık halka açık Wi-Fi ağlarını izler ve bunları ortadaki adam saldırılarını başlatmak için kullanır. Halka açık bir Wi-Fi ağına güvenmemek ve tanınmayan Wi-Fi ağlarına bağlanmaktan kaçınmak en iyisidir.
Doğru sayfa kimlik doğrulamasının doğrulanması ve kimlik sahtekarlığı tespitinin başlatılması, potansiyel bir saldırıyı tespit etmenin temel yöntemleridir, ancak bu prosedürler ek adli tıp analizi gerektirebilir.
Ortadaki Adam Saldırıları (MITM) Nasıl Önlenir?
Etkileşimlere yönelik ortadaki adam saldırılarından kaçınmak için bazı önleme teknikleri şunlardır:
VPN: İnternete bağlanmak için ortak bir bilgisayar kullanırken. VPN’ler web iletişimlerinizi kodlar ve saldırganların parolalar veya banka hesabı ayrıntıları gibi kişisel bilgilerinizi okumasını engeller.
Ortak anahtar çifti kimlik doğrulaması: RSA gibi ortak anahtar çifti kimlik doğrulaması, iletişim kurduğunuz nesnelerin aslında iletişim kurmak istediğiniz nesneler olmasını sağlar.
Hassas web sitelerinden çıkış yapın: Oturumun ele geçirilmesini önlemek için, çevrimiçi bankacılık web sitesi gibi web sitelerini kullanmayı bitirir bitirmez oturumunuzu kapatın.
Güvenli tarama: Google Güvenli Tarama, web sitesi sahiplerini ve kullanıcıları kötü amaçlı web sitelerine ve indirmelere karşı koruyan ücretsiz bir hizmettir.
Ayrıca okuyun: Güvenlik Duvarı (Firewall) Nedir?
Çok faktörlü kimlik doğrulama: Güvenliği artırmak ve saldırganların kötü niyetli faaliyetler gerçekleştirmesini önlemek için tüm parolalarınız için çok faktörlü kimlik doğrulama kullanmalısınız.
İzinsiz giriş tespit sistemi: Ortadaki adam saldırısını azaltmak için, altyapınızı bir saldırı tespit sistemi ile korumanız gerekir. Sistem yöneticileri, olağandışı davranışları belirlemek için trafik modellerini analiz etmek gibi iyi bir ağ hijyeni uygulaması yapmalıdır.
Antivirüs: Cihazlarınızı kötü amaçlı yazılımlardan korumak ve böylece saldırganların sizi dinlemesini önlemek için antivirüs yazılımı kullanın.
Güvenlik Duvarı: Güvenli internet bağlantılarını sağlamak için, gelen ve giden ağ trafiğini izleyen ve önceden tanımlanmış kurallara dayalı olarak şüpheli veri paketlerini algılayıp önleyen ve yalnızca gerçek trafiğin özel ağınıza girmesine izin veren bir güvenlik duvarı kullanın.
İlgili Makale: Farklı Güvenlik Duvarı Türleri Nelerdir?
Sıkça Sorulan Sorular
Bir güvenlik duvarı ortadaki bir adam saldırısına karşı koruma sağlayabilir mi?
Evet, bir web uygulaması güvenlik duvarı ağınızı ortadaki adam saldırısından koruyabilir.
Bir saldırgan ortadaki adam saldırısını hangi amaçla kullanır?
Saldırgan, taraflardan birini dinlemek veya taklit etmek için ortadaki adam saldırısını kullanır ve düzenli bir bilgi paylaşımının gerçekleştiği yanılsamasını verir.
Çözüm
Ortadaki adam saldırısı, saldırganların kimlik hırsızlığı veya yasa dışı fon transferleri gibi ek suçlar işlemek için kullanabilecekleri banka hesabı bilgileri, kredi kartı numaraları veya oturum açma kimlik bilgileri gibi gizli verileri elde etmeye çalışır. Ortadaki adam saldırıları gerçek zamanlı olarak meydana geldiğinden, genellikle çok geç olana kadar fark edilmezler. Bu nedenle, üzülmek yerine, yukarıda özetlenen önleme tekniklerini kullanın!
