Man-in-the-Middle Saldırısı Nedir?
Gelişen bilim ve teknoloji ile birlikte bilgi miktarında bir artış yaşanıyor. Bu artış, bilgiye olan erişim isteğini de arttırıyor. Ataklar da tam olarak burada devreye giriyor. Erişmek istediğimiz bilgilere çeşitli yollardan erişim imkanı sunan ataklar, birçok farklı türde olabilir ve çeşitli yollarla yapılabilir. Şüphesiz en önemli ataklardan biri de “Man-in- the-Middle Attack (MITM)” dediğimiz “Ortadaki Adam” saldırısıdır.
MITM saldırısı, saldırganın ağ içerisindeki modem, switch, sunucu vb. ile hedef arasına girmesini ve iletişim trafiğini gizlice izlemesini veya değiştirmesini ifade eder. MITM saldırısı, temel tekniklerden biridir. Aslında bu saldırıyı gerçekleştirdikten sonra kişinin amacına bağlı olarak saldırı daha da büyür veya biter. Yani kişiye ve amacına göre yön alır. İsterse sızdığı trafiği sadece izler ve izleyici olarak devam eder. Başka bir seçenek de diğer atakları da gerçekleştirir. Yani bu ağdaki paketleri değiştirerek yetki yükseltme, virüs bulaştırma, backdoor bırakma vs. birçok işlemi yapma imkanı tanır. Aslında ilk adım olarak MITM saldırısını görebiliriz.
MITM Saldırısı’nın Yaygın Türleri Nelerdir?
Bilinen en yaygın MITM saldırı türleri:
1. WiFi Dinleme (Wi-Fi Eavesdropping):
Bu tür bir saldırıda, saldırgan halka açık Wi-Fi ağlarını kullanarak ağa bağlı kullanıcıların iletişimini dinler. Saldırgan bu sayede iletişimin içeriğini ve verileri elde etmiş olur.
2. Oturum Ele Geçirme (Session Hijacking):
Saldırgan, hedef kullanıcının oturum anahtarını veya tarayıcı çerezlerini çalarak çevrimiçi oturumu ele geçirir. Bunu kullanıcının hesabına yetkisiz erişim sağlamak için kullanır.
3. DNS Sahteciliği (DNS Spoofing):
Saldırgan bir DNS sunucusundaki adres kaydını değiştirerek kullanıcının yanıltıcı bir siteye yönlendirilmesini sağlar. Bu sayede sahte siteye kullanıcı girdiğinde saldırgan, kullanıcının verilerini çalar.
MITM Saldırısı Nasıl Yapılır?
MITM saldırısını yapmak için genellikle halka açık olarak kullanılan ortak ağlar tercih edilir. Bu ağlarda kullanıcı bilgilerine erişim daha kolaydır.
MITM saldırısı düzenlerken Ettercap aracını kullanacağız. Siz de buradan Ettercap aracına ulaşıp indirebilirsiniz. Kısaca bahsetmem gerekirse Ettercap, C dilinde yazılmıştır ve ana amacı, ağ üzerindeki kullanıcı trafiğini, paketlerini görüntüleme imkanı tanır. Şimdi bu araçla nasıl MITM saldırısı yapacağımıza bakalım.
Adım 1: İlk olarak terminali açıyoruz ve terminale “ettercap -G” yazıyoruz. Açılan ara yüzde “Primary Interface” seçeneğinden izlemek istediğiniz ağ ara yüzünü seçin (örneğin, wlan0). Bu seçim, gönderilen ve alınan ağ trafiğini görmenizi sağlar.
Adım 2: Program penceresinin sağ üst köşesinde yer alan üç noktaya tıklıyoruz. Ardından “Set Netmask” seçeneğine tıklayarak ağ maskesini ayarlıyoruz. Gelen pencerede ağ maskesini belirleyin (örneğin, 255.255.255.0) ve onaylayın. Sonrasında sağ üst köşedeki tik işaretine tıklayarak devam ediyoruz.
Adım 3:Arayüzün alt bölümünde, işlemle ilgili etkinlikler gözlemlenmeye başlar. Daha sonra yukarıdaki seçeneklerden “Scan for hosts” seçeneğine tıklayarak aktif kullanıcıları tespit ederiz. Bu aşama, ağdaki cihazları tanımlamamıza yardımcı olacaktır.
Adım 4: Sağ üst köşedeki “MITM” sekmesine tıklıyoruz. Ardından “ARP poisoning” seçeneğini seçiyoruz. Ayrıca istersek hedef cihazları “Add to Target” bölümünden belirleriz.
Adım 5: “ARP poisoning” seçeneğini seçtikten sonra “Sniff remote connections” kutucuğunu işaretliyoruz. Bu seçenek, hedeflenen cihazlar arasındaki veri iletişimini dinlememizi sağlar.
Adım 6: Bu adımda, Türkçe karakter sorunlarından kaçınmak için “üç nokta” simgesine tıklayıp “View” sekmesine geçiyoruz. “Visualization method” seçeneğine tıklayarak “UTF8” seçeneğini seçiyoruz. Bu şekilde karakter sorunlarını önlemiş oluruz.
Adım 7: Son olarak sağ üst köşedeki “üç nokta” simgesine tıklayıp “View” sekmesinden “Connections” seçeneğini seçiyoruz. Bu pencerede hedeflenen cihazlar arasındaki bağlantıları ve etkileşimleri gözlemleyebiliriz.
Adım 8: “Profiles” ve “Statistics” seçenekleriyle diğer verilere ve ziyaret edilen sitelere dair bilgilere ulaşabiliriz. Bu seçenekler, izleme ve analiz yeteneklerini genişletmemizi sağlar.
MITM Saldırısı’ndan Nasıl Korunulur?
Ortadaki adam ve benzeri bir yerel ağ saldırısından korunmanın en iyi yolu bağlı olduğunuz ağın güvenli olmasıdır. Bulunduğunuz ağda önlemler almalısınız ve yabancı cihazların girişini engellemelisiniz.
İlk olarak kesinlikle yapmanız gereken gitmek istediğiniz sitenin adres satırını incelemektir. Sitenin https kullandığından emin olun. Http kullanan SSL kullanmayan sitelerde bilgileriniz saldırganların eline kolaylıkla geçer. Bu sebeple bu tarz sitelerde oturum açmayın, giriş yapmayın. Giriş yapmasanız da bu sitelere giriş yaptığınızı görebilirler. Ortadaki adam saldırısıyla bunun mümkün olduğunu öğrendik. Ama bunu engelleyebiliriz de. Peki nasıl?
MITM saldırısı olup olmadığını anlamak için ARP tablosuna bakmamız gerekiyor. ARP tablosunda modemin MAC adresi ile saldırganın kendi adresi değiştiği için birçok IP adresi de MAC adresi de değişiklik göstermiş olacaktır. Bu da MITM saldırısına işarettir.
Sonuç olarak en önemli önlem halka açık, bilinmeyen ağlara bağlanmamaktır.
Gerçek Hayattan MITM Saldırısı Örnekleri
Ortadaki adam saldırısının günlük hayatta birçok örneğine rastlayabiliriz. Örneğin, Bursa polisi, Türkiye’de bir çetenin kurduğu şirketlerle uluslararası çapta dolandırıcılık yaptıklarını tespit etti. Bunun üzerine “Man in the middle attack” tekniğini kullanan çete 3 ilde yapılan operasyonlarla çökertildi. Bu örneğin detayına buradan ulaşabilirsiniz.
Bir başka örnek de Türk bir firmaya ait mail hesabını hackleyerek “Man in the middle attack ” yöntemiyle firmanın ihracat yapacağı Kuveytli şirkete mail atan ve firmadan gelecek olan 108 bin 625 doları kendi banka hesaplarına aktaran şebekeye operasyon düzenlendi. Operasyonda 5 şüpheli gözaltına alındı. Bu örneğin detayına buradan ulaşabilirsiniz.
Kaynakça
Gangan, S. (2015). A review of man-in-the-middle attacks. arXiv preprint arXiv:1504.02115.
https://www.researchgate.net/profile/Mahmut-Alperen-Guener/publication/348098380_Yaygin_Ag_Saldirilari_ve_Genel_Hatlariyla_Ag_Savunmasi/links/5fef05c3a6fdccdcb81ec923/Yaygin-Ag-Saldirilari-ve-Genel-Hatlariyla-Ag-Savunmasi.pdf
Bhushan, B., Sahoo, G., & Rai, A. K. (2017, September). Man-in-the-middle attack in wireless and computer networking—A review. In 2017 3rd International Conference on Advances in Computing, Communication & Automation (ICACCA)(Fall) (pp. 1-6). IEEE.Nayak, G. N., & Samaddar, S. G. (2010, July). Different flavours of man-in-the-middle attack, consequences and feasible solutions. In 2010 3rd International Conference on Computer Science and Information Technology (Vol. 5, pp. 491-495). IEEE.
https://www.cumhuriyet.com.tr/turkiye/man-in-the-middle-yontemiyle-vurgun-5-kisi-gozaltinda-1999536
https://sibermetin.com/hackerlerin-gozde-araclarindan-biri-olan-ag-dinleme-araci-ettercap-kullanimi
Callegati, F., Cerroni, W., & Ramilli, M. (2009). Man-in-the-Middle Attack to the HTTPS Protocol. IEEE Security & Privacy, 7(1), 78-81.
Mallik, A. (2019). Man-in-the-middle-attack: Understanding in simple words. Cyberspace: Jurnal Pendidikan Teknologi Informasi, 2(2), 109-134.