Ortadaki Adam Saldırısı (Man in The Middle – MiTM)
2 uç arasındaki haberleşmenin arasına girilmesine verilen addır. Bu bir siber saldırı cinsidir. 2 taraf arasındaki iletişim kesilir ya da yanıltıcı bir iletişim yaratılır.
İçindekiler
Amacı Nedir?
Ortadaki adam saldırısının amacı, iletişimi dinlemek ya da bozmaktır.
Dinlemek denildiğinde; 2 uç arasındaki iletişim kastediliyor. Bu 2 uçtaki 2 kişinin iletişimi olabileceği gibi, bir kişi ile bir sunucu arasındaki iletişim (bu kişi hangi sitelere giriyor) de olabilir.
Ya da İletişimi bozmak amaçlanır. Örneğin siz bir bankanın sitesine gittiğinizi sanırken, aslında MiTM saldırısını düzenleyen kişi/kişilerin sizi yönlendirdiği bir başka siteye (mesela dolandırıcılık yapılacak, müşteri numara ve şifrenizi çalacak) gidiyor olabilirsiniz. Ya da size karşı taraftan iletildiğini sandığınız mesajlar, ortadaki adamın mesajları olabilir.
İletişimi Kim Dinler ya da Bozar?
MiTM saldırısı yapacak kişilerin amacı casusluk ya da dolandırıcılık yapmaktır. Her 2 durumda da kullanıcı için tehlike vardır.
Dinleme yapacak olanlar (casus) genellikle devlet / hükümet yetkilileridir. Son Snowden olayının gösterdiği şey; hükümetlerin artık kendi vatandaşlarını da dinlediği, takip ettiği şeklindedir.
Dolandırıcılık yapacak kişiler ise, bildiğimiz adi suçluların online hale dönüşmüşleridir. Bunlar bankalarla olan iletişiminizi ya da diğer finansal/ mahrem / gizli bilgilerinizi çalmayı hedeflerler.
İnternet Servis Sağlayıcı (ISS), İletişimi İzler mi?
Burada akla hemen gelen bir soru budur. İnternet Servis Sağlayıcınız, eğer girdiğiniz sitelerin adresini şifreleyecek bir mekanizma (mesela DNS Over TLS) kullanmıyorsanız, İnternet Erişim Servisi aldığınız firma sizin hangi siteleri ziyaret ettiğinizi görebilmektedir. Bu nedenle de, DNS Over TLS gibi servisler “Artık ISS’iniz sizin hakkınızda casusuluk yapamayacak” diye sunulur.
Bedava Wi-Fi Veren Yerlerde MiTM Saldırısı..
Ücretsiz Wi-Fi sağlayan noktalar, Mesela bir kahve dükkanı, MiTM saldırısına uğranması potansiyel olarak yüksek alanlardır. Veriler WPA-PSK ya da WPA2-PSK güvenliği kullanılarak bir WiFi ağı üzerinden gönderildiğinde, oturum başına Katman 2 de şifrelenir ve ancak varış yerinde şifresi çözülebilir.
Wifi alanlarındaki saldırganlar ise, network iletişim protokollarındaki zayıflıkları bilirler ve trafiği normal yönlendirici (router) yerine kendi üzerilerinden geçecek şekilde yönlendirirler. Böylece o networkü kullanan kişilerin trafiği saldırgan üzerinden geçmeye başlar.
Nasıl Tespit Olur?
MITM saldırıları iki yolla önlenebilir veya tespit edilebilir: “Doğrulama” ve “dış müdahele algılama”. Kimlik doğrulama, verilen bir mesajın meşru bir kaynaktan geldiğini kesinleştirir. Dış müdahale algılama ise yalnızca bir mesajın değiştirilebileceğinin kanıtını gösterir.
Bir saldırı olduğundan şüphelenilen network analiz edilebilir. Bunun için;
- Sunucunun IP adresi
- Sunucunun DNS adresi
- Sunucunun X.509 sertifikası
incelenir.