Mehmet Deniz Özkahraman tarafından yazıldı.
[TR] Man in the Middle (MITM) Saldırısı ve Korunma Yöntemleri
Merhaba, ben Mehmet Deniz Özkahraman. Bu yazımda, size Man-in-the-Middle (MITM) Saldırısı'nın ne olduğundan, çalışma mekanizmasından, gerçekleşebileceği senaryolardan ve nasıl önlem almanız gerektiğinden olabildiğince teknik detaydan uzak, sade ve anlaşılır bir şekilde bahsedeceğim.
Man-in-the-Middle (MITM) saldırıları, özellikle günümüzde internet kullanımının yaygınlaşmasıyla birlikte daha fazla önem kazanmıştır. Bu tür saldırılar, hassas bilgilerin çalınması, kimlik avı (phishing) saldırıları ve veri manipülasyonu gibi potansiyel tehlikeler içerir. Özellikle finansal işlemler, kişisel iletişimler ve ticari faaliyetler, MITM saldırılarına karşı korunma gerektiren önemli alanlardır.
Man-in-the-Middle (MITM) saldırısı, kriptografik güvenlik kullanılarak korunan bir iletişimde, saldırganın iki tarafın arasına girerek (intercepting) verileri izlemesini, değiştirmesini hatta sahte veriler eklemesini sağlayan bir saldırı türüdür. Bu tür saldırılar, güvenli olmayan veya güvenliği yetersiz iletişim protokollerinde gerçekleştirilebilir.
Daha basit bir dille anlatacak olursak; saldırganın, kullanıcı ve uygulama arasına girerek veri iletişimini izlemesi, değiştirmesi veya bozması işlemidir.
Man-in-the-Middle (MITM) Saldırısının Çalışma Mekanizması:
- Trafik İzleme: Saldırgan, iki taraf arasındaki iletişimi dinlemek için araya girer. İletişimin gerçek alıcı ve gönderici olmadan önce ve sonra saldırganın eline geçer. Böylece, orijinal iletişim mesajları saldırganın görebileceği şekilde manipüle edilebilir.
- Veri Değiştirme: Saldırgan, alıcı ve gönderici arasındaki verileri değiştirerek iletişimi manipüle edebilir. İletilen verileri okuyabilir, değiştirebilir veya tamamen sahte veriler ekleyebilir. Bu şekilde, alıcı ve gönderici arasında güvenilir bir iletişim gerçekleşemez.
- Doğrulama Süreci Bozma: Eğer iki taraf arasında doğrulama süreçleri varsa (örneğin, SSL/TLS sertifikaları ile web sitesi kimlik doğrulaması), saldırgan bu süreçleri kendi lehine manipüle ederek kullanıcıları yanıltabilir ve sahte kimlik doğrulamaları yapabilir.
Man-in-the-Middle (MITM) Saldırısının Gerçekleşebileceği Senaryolar:
a. Ağ Tabanlı MITM Saldırısı: Saldırgan, ağa arka kapılar veya güvenlik açıklarından faydalanarak ağ geçitleri veya yönlendiriciler aracılığıyla verileri dinler ve manipüle eder.b. Kablosuz Ağlarda MITM Saldırısı: Kablosuz ağlar, saldırganlar için özellikle savunmasız olabilir ve saldırganlar, alıcı ve gönderici arasındaki verileri kablosuz ağ trafiğini dinleyerek ele geçirebilir.
c. Phishing: Saldırgan, kurbanları sahte web sitelerine yönlendirerek veya sahte e-postalar göndererek, kullanıcıların kişisel bilgilerini çalmak için MITM saldırısını başlatabilir.
Man-in-the-Middle Saldırılarından Korunma Yöntemleri:
- Şifreli İletişim Kullanmak: SSL/TLS gibi şifreleme protokolleri, verilerin iletişim sırasında şifrelenmesini sağlayarak MITM saldırılarını zorlaştırır.
- Güvenilir Ağlar ve Wi-Fi Kullanımı: Kamu Wi-Fi ağları yerine, güvenilir ağları kullanmaya çalışın ve açık Wi-Fi ağlarında özellikle dikkatli olun.
- Güvenlik Duvarları ve Antivirüs Yazılımları: Güvenlik duvarları ve güncel antivirüs yazılımları kullanmak, potansiyel tehditleri tespit etmede yardımcı olabilir.
- Güvenilir Sertifika Doğrulaması: İnternet tarayıcıları, güvenilir sertifikaları olan web sitelerini vurgulayarak kullanıcıları uyarır. Bu tür uyarılara dikkat etmek önemlidir.
- Güvenlik Farkındalığı: Kullanıcılar, potansiyel tehditleri ve saldırıları tanımak ve farkındalık seviyelerini artırmak için düzenli olarak güvenlik bilincini geliştirmelidir.
- Güçlü Kimlik Doğrulama Yöntemleri: Kullanıcılar ve hizmet sağlayıcılar, güçlü kimlik doğrulama yöntemlerini kullanarak hesaplarını korumalıdır.
Man-in-the-Middle Saldırısı Nasıl Gerçekleşir?
Aşağıda, kendi laboratuvarımda uyguladığım Man-in-the-Middle saldırısının nasıl gerçekleştiğini görseller yardımıyla göstereceğim.1-) Ağa Erişim
Saldırgan, aynı ağda bulunan hedef cihazlarla iletişime geçmek için ağa erişim sağlar. Bu, halka açık bir Wi-Fi ağına veya aynı kablosuz ağı kullanan bir router'a saldırganın bağlanması olabilir.
2-) ARP Poisoning (ARP Zehirlenmesi)
Saldırgan, ARP (Address Resolution Protocol) zehirleme veya sahte MAC adresi kullanarak hedef cihazlara kendi makine adresini hedef cihazın gerçek adresi gibi gösterir. Böylece, trafiği saldırganın cihazına yönlendirir.
İlk görsele baktığımızda kurban bilgisayarın saldırıdan önceki arp tablosunu görüyoruz.
İkinci görsele baktığımızda ise kurban bilgisayarın saldırı anındaki arp tablosunu görüyoruz.
Fark etmemiz gereken şey saldırganın (10.0.2.4) MAC adresi ile modemimizin (10.0.2.1) MAC adresi aynı.
Bu noktada saldırgan modeme kendisini user (10.0.2.15) olarak tanıtıyor, usera ise kendisini modem (10.0.2.1) olarak tanıtıyor. Böylece user ve modem arasında konumlanarak tüm trafiği izleyebiliyor veya değiştirebiliyor.
3-) İletişim Yönlendirme
Hedef cihazların trafiği saldırganın cihazına yönlendirildiğinde, saldırgan gerçek hedef ve kaynak cihaz arasında bir "man-in-the-middle" konumunda olur. Artık saldırgan, her iki cihaz arasındaki tüm iletişimi gözlemleyebilir ve hatta değiştirebilir.
4-) SSL Strip
Bu adımda, saldırgan HTTPS bağlantılarını HTTP bağlantılarına çevirme işlemi yapar. Kullanıcılar genellikle güvenli iletişim kurmak için HTTPS'i tercih ederler, ancak saldırgan bu bağlantıları SSL strip adı verilen bir yöntemle çözebilir ve trafiği şifrelenmemiş HTTP bağlantılarına dönüştürebilir. Böylece, saldırgan, iletişimde yer alan hassas bilgilere erişebilir.
Saldırıyı gerçekleştirirken kurbanın güvenli olmayan yani https olmayan bir sitede kullanıcı girişi yaptığını varsaydık.
Kullanıcı adı: test123
Parola: testpassword123 olarak girildi.
5-) Veri İzleme ve Manipülasyon
Saldırgan, şimdi iletişim trafiğini izleyebilir ve hatta içerdiği verileri değiştirebilir. Örneğin, kullanıcının girdiği şifreleri veya diğer hassas bilgileri ele geçirebilir veya gönderdiği verileri hedefe ulaşmadan önce değiştirebilir.
Bu noktada Wireshark aracı ile kurban bilgisayarın ağ trafiğini incelemeye aldık ve aşağıdaki sonuçla karşılaştık.
Gördüğünüz gibi güvenli olmayan bir web sitesinde yapacağımız her aktivite kötü niyetli kişiler tarafından kolaylıkla takip edilebilir.
Dolayısıyla internette gezerken bulunduğunuz sayfanın güvenli olmasına dikkat edin ve ücretsiz Wi-Fi'dan uzak durmaya çalışın. Aksi taktirde başınız ağrayabilir.
Bir sonraki yazıda görüşünceye dek kendinize iyi bakın, güvenle kalın.
Mehmet Deniz Özkahraman
-------------------------------------------------------------------------------------------------------------------------
Aşağıdaki adreslerden bana ulaşabilirsiniz.
E-mail: [email protected]
Linkedin: mdenizozkahraman
Twitter: @mdenizsec , @denizozkahraman
Github: mdenizozkahraman