MITM (Man In The Middle) yani “Ortadaki Adam Saldırısı” yerel ağ üzerinde yapılan, seçilen kurbanın internet trafiğini veya başka cihazlarla olan iletişimini dinleme, düzenleme, durdurma, yönlendirme gibi birçok imkana olanak sağlayan ve siber dünyada sıkça kullanılan bir saldırı çeşididir. Bu saldırıda yerel ağ (Local Network) üzerinde haberleşen iki cihazın trafiği manipüle edilebilir ve trafik akışı okunabilir/engellenebilir. Bu saldırı gelen giden paket alışverişini dinleyip analiz etme mantığında çalışır.
Saldırgan bir networkte internet akışını kendine yönlendirir ve cihazların istek ve cevapları saldırgan üzerinden geçer. Bu sayede saldırgan, üzerinden geçen paketleri okuyabilme gibi birçok imkana yani yetkiye sahip olur. Saldırgan üzerinden gelen-giden paketlerde analiz yaparak veya bazı hazır araçları kullanarak önemli şifrelerimizi, tarayıcıda tutulan cookie (çerez) bilgilerimiz gibi birçok bilgiyi saldırgan eline geçirebilir.
Saldırıda temel amaç cihazları kandırmaya yöneliktir. Bu ise ARP protokolü ile yapılır. ARP Protokolü nedir ve ne işe yarar bundan bahsedelim.
Arp protokolü adres çözümleme protokolü olarak bilinir. Cihazlar birbirlerini MAC adresleri ile tanır. Bir networkde cihazların iletişim kurabilmesi için her bir cihazın Local IP adreslerinin olması gereklidir. Buda ya manuel olarak ya da DHCP ile IP adresleri cihazlara atanır.
Her IP adresinin karşısında bir MAC adresi vardır. Bir cihaz bir paketi başka bir cihaza göndermek isterse ilk başta ARP-Tablosuna bakar. Windows işletim sistemlerinde arp tablosuna bakmak için Komut istemcisine yani CMD’ye “arp -a” komutu girilir.
*Basit bir şekilde tanımlamak gerekirse MAC adresi;
Açılımı; Media Access Control Address olan MAC adresi, mevcut cihaz haricindeki cihazlar ile bağlantı kurabilen ve her aygıt için eşsiz olarak tanımlanan bir terimdir. Hemen her aygıtta bulunan donanım adresi veya fiziksel adres olarak da bilinir.
Man In The Middle(MITM) Saldırısının Tehlikeli Boyutu?
Saldırganların, ara sunucular oluşturarak, kurbanların bir iletişimde gerçek tarafla konuştuklarına inanmasını sağlayabildiği bu saldırı türü genellikle bireyleri hedef alsa da işletmeler ve büyük kuruluşlar için de önemli endişe kaynağıdır. Bilgisayar korsanları; ortak bir erişim noktasını, mesajlaşma hizmetlerini, dosya depolama sistemlerini veya uzaktan çalışma uygulamalarını işletmelerin ağlarına giriş yolu olarak kullanılabilmektedir.
Genellikle casusluk veya finansal kazanç elde etme amacıyla kullanılan man-in-the-middle sadırıları, iş süreçlerine zarar vermek ve kurbanlar açısından kaos yaratmak için de gerçekleştirilir. Saldırganlar, kötü amaçlı yazılımların kurbanların mobil cihazlarına gönderilmesini sağlayabilir, trafiği şifreleyemedikleri göz önüne alındığında, mobil cihazlar bu senaryoya duyarlıdır.
Ayrıca bir MITM saldırısında virüslü bilgisayarlara yasal olmayan SSL sertifikaları yüklenebilir ve kurbanın cihazından ekran görüntüleri vs. istediği herhangi bir dosyayı alabilir.
Son zamanlarda finans dünyasında heyecan yaratan kripto paralar (Cryptocurrency) açısından da ortadaki adam saldırıları güvenlik sorunları yaratabilir.
Man In the Middle Saldırılarından Nasıl Korunuruz?
1. Şirket çalışanlarına en yaygın siber saldırı teknikleri ve halka açık Wi-Fi ağlarının riskleri gibi konularda eğitim vermelidir.
2. Güçlü bir parola oluşturmak, siber saldırıları önlemeye yönelik temel ancak son derece önemli bir adımdır. Bir şifre yöneticisi kullanarak şifrelerinizi koruyabilir ve şifrelerinizi farklı hesaplarda asla tekrar kullanmadığınızdan emin olabilirsiniz.
3. Yeni başlayanlar için, halka açık bir Wi-fi ağına giriş yaparken dikkatli olun. Yalnızca WPA2 güvenliğini kullananlar gibi güvenli Wi-Fi yönlendiricileri kullanın.
4. Ortadaki adam saldırılarının önlenmesini sağlamak için temel siber güvenlik uygulamalarını takip edin.
5. Saldırıların çoğu kötü amaçlı yazılımlara dayandığından virüsten koruma yazılımı yüklemeniz, MITM saldırılarını tespit etmek için tasarlanan araçlardan ve kapsamlı tehdit izleme ve algılama çözümlerinden yararlanmanız önerilir. Güvenlik yazılımının güncellemelerine de dikkat edilmelidir.
6. Ayrıca internette gezinirken yalnızca HTTPS bağlantılarına bağlanmalısınız. DNS isteğinizi şifrelemek için HTTPS üzerinden DNS kullanın. Kullanıcılar ve sunucu arasındaki trafiği şifrelemek için VPN kullanın.
Man In the Middle (MITM) Saldırı Yöntemleri
E-mail Hijacking: Siber suçlular, bankaların e-posta mesajlarını taklit ederek kurbanın oturum açma ve banka kartı bilgilerini elde etmeye çalışır. Siber suçlular bazen de bankaların ve diğer finansal kurumların e-posta hesaplarını hedefler. Erişim sağlandıktan sonra kurum ile müşterileri arasındaki işlemleri izleyebilirler. Saldırganlar daha sonra bankanın e-posta adresini taklit edebilir ve müşterilere kendi talimatlarını gönderebilir.
ARP Spoofing: Bu tür bir saldırı, ARP protokolünü kullanan bir yerel alan ağında gerçekleştirilir. ARP, Adres Çözümleme Protokolü anlamına gelir. ARP zehirlenmesi olarak da bilinen bu saldırılarda, ARP paketleri saldırganın cihazına veri göndermeye zorlanır. Saldırı, çok sayıda zorunlu ARP isteği oluşturur. Kullanıcı bir istek gönderdiğinde, saldırgan cihaz gibi davranarak sahte bir yanıt gönderir.
Tarayıcı Çerezlerini Çalmak: Tarayıcı tanımlama bilgisi, bir web sitesinin bilgisayarınızda sakladığı küçük bir veri parçasıdır. Örneğin, çevrimiçi bir satıcı, girdiğiniz kişisel bilgileri ve seçtiğiniz alışveriş sepeti öğelerini bir tanımlama bilgisinde saklayabilir, böylece siteyi tekrar ziyaret ettiğinizde bu bilgileri yeniden girmeniz gerekmez. Siber suçlular bu tarayıcı çerezlerini ele geçirerek, parolalarınız ve adresiniz gibi hassas bilgilerinize erişebilir.
Man In The Browser: Tarayıcıdaki adam (MitB) saldırısı olarak adlandırılan bu saldırılar; bir tarayıcı ve bir web sunucusu arasında gönderilen verileri değiştirmek için Truva atlarının kullanıldığı siber tehditlerdir. Tarayıcıdaki adam saldırısı, ağ düzeyinden ziyade uygulama düzeyinde müdahale ile özdeştir.
Kimlik avı saldırılarının aksine, kullanıcının kötü amaçlı bir web sitesini ziyaret etmesi gerekmez. Bunun yerine, kullanıcı meşru bir web sitesini ziyaret eder, ancak gerçekte gördükleri saldırgan tarafından kontrol edilir.
Tarayıcıdaki adam saldırıları ile bir web sitesinin görünümü değiştirilebilir, kullanıcı tarafından gönderilen bilgiler değiştirilebilir, oturum gerçek zamanlı olarak ele geçirilebilir.
Bu saldırılarda Trojan (Truva Atı), uyumlu olduğu web sitelerinin bir listesine sahiptir. Kullanıcı listedekilerden birini ziyaret edene kadar, saldırı pasiftir. Listedeki örneğin bir banka web sitesini ziyaret ederseniz yazdığınız her şey kaydedilir ve transfer ettiğiniz para sandığınız kişiye değil saldırganın banka hesabına gönderilir. Üstelik saldırgan miktarı ve bankanızın transferin başarılı olduğuna dair mesajını değiştirebilir; ne sizin ne de bankanızın bir sorundan şüphelenmek için herhangi bir nedeni yoktur!
DNS Zehirlenmesi
DNS sahtekarlığı (DNS Spoofing) adıyla da karşımıza çıkan bu saldırılarda, siber suçlular sunucuya erişir ve web sitesi adres kaydını kendi web sitesi kayıtlarıyla eşleşecek şekilde değiştirir. Saldırganlar ulaşmaya çalıştığınız web sitesiyle aynı görünen ancak benzer bir URL’ye sahip kendi web sitelerini oluştururlar. Böylece saldırganlar kullanıcıları ziyaret etmeyi planladıkları gerçek web sitesi yerine sahte bir web sitesine yönlendirir. Örneğin, Kiril alfabesinden harfleri kullanarak tarayıcınızı, güvenilir bir web sitesini ziyaret etmediği halde, buna inandırabilirler.
Amaç kullanıcının, meşru web uygulamasıyla iletişim kurduğunu düşünmesini sağlamak ve banka kartı bilgileri gibi hassas verileri ele geçirmektir. Sahte web sitesiyle olan etkileşimlerinizi izleyen ve paylaştığınız kişisel bilgileri çalan korsanlar, kimlik avı e-postaları gibi hedefli saldırıları başlatmak için kullanabilecekleri oturum açma bilgilerini elde etmiş olur.