Siber Güvenlikte Ortadaki Adam Saldırısı (MITM) Nedir?

Ortadaki Adam Saldırısı (MITM) Nedir?

Ortadaki adam saldırısı olarak bilinen MITM (Man in the Middle), ağ üzerindeki cihazlar ile hedef bilgisayarlar arasında izinsiz bir erişim kurularak veri trafiğinin takibi ve değiştirilmesine yönelik bir saldırı biçimidir. Bu tür saldırılarda, saldırganlar verilerin şifrelenmiş ya da şifrelenmemiş hallerini hedefler. MITM saldırıları, OSI modelinin ikinci katmanı olan veri bağlantı katmanında gerçekleşir ve başarılı olduğunda saldırgan, tüm veri akışını denetim altına alabilir. Bu akış, şifrelenmemiş verilerden HTTPS gibi güvenli trafiğe kadar geniş bir yelpazeyi kapsar. Saldırı başarılı olursa, saldırgan veri trafiğini gizlice izleyebilir, değiştirebilir ve bağlantıyı manipüle edebilir.

MITM Saldırı Türleri

1. ARP Zehirlenmesi
   • ARP (Adres Çözümleme Protokolü), ağdaki cihazların birbirleriyle iletişim kurabilmesi için IP adreslerini fiziksel MAC adreslerine dönüştüren bir protokoldür. Ne var ki, saldırganlar bu protokolü kötüye kullanarak iki cihaz arasındaki bağlantıyı kontrol altına alabilir. ARP zehirlenmesi, saldırganın bir cihazın MAC adresini hedef IP adresine yanlış eşleştirmesiyle oluşur. Bu sayede, veri trafiği saldırganın cihazı üzerinden geçer ve saldırgan, trafiği gizlice takip edebilir veya değiştirebilir.
2. DNS Yanıltması
   • DNS (Etki Alanı Adı Sunucusu) protokolü, alan adlarını IP adreslerine çevirerek cihazların internet sitelerine erişimini sağlar. Ancak, DNS yanıltması yoluyla saldırganlar bir DNS sunucusuna sızarak alan adı ve IP adresi eşleştirmelerini bozar. Bu yöntemle, kullanıcılar sahte web sitelerine yönlendirilir ve hassas verileri çalınabilir. Örneğin, bir kullanıcı güvenilir bir banka sitesine girmeye çalışırken, bu saldırı nedeniyle sahte bir siteye düşebilir ve bilgileri ele geçirilebilir.
3. SSL/TLS Sıyırma
   • SSL (Güvenli Yuva Katmanı) ve TLS (Aktarım Katmanı Güvenliği), web siteleri üzerinden veri aktarımını güvenli hale getiren protokollerdir. MITM saldırılarında, saldırganlar bu şifrelemeyi atlatıp bağlantıyı güvensiz bir HTTP protokolüne indirger. Bu durumda, kullanıcı güvensiz bir bağlantıya yönlendirilir ve veri akışı saldırgan tarafından yakalanabilir.
4. MAC Adresi Saldırısı
   • MAC adres saldırısı, ağ anahtarlarının MAC adres tablosunu yanlış bilgilerle doldurarak gerçekleşir. Saldırgan, ağdaki cihazların MAC adreslerini manipüle ederek trafiği kontrol altına alır. Bu işlem, ağın performansını bozabilir ve saldırgana tüm trafiği gizlice dinleme olanağı tanır.

MITM Saldırılarından Korunma Yöntemleri

1. Şifreleme Kullanın

• Web sitenizde HTTPS ve güvenli bağlantılar için VPN kullanarak veri trafiğinizi şifreleyin.

2. Güçlü Parolalar ve 2FA

• Karmaşık parolalar ve iki faktörlü kimlik doğrulama (2FA) ile hesaplarınızı güvence altına alın.

3. Güvenilir Sertifikalarla Kimlik Doğrulama

• Dijital sertifikalar ve SSL kullanarak sunucularınızın kimliğini doğrulayın.

4. Güncellemeleri ve Güvenlik Yamalarını Yükleyin

• İşletim sistemi, tarayıcı ve uygulamaların güncel kalmasını sağlayarak güvenlik açıklarını kapatın.

5. Kamuya Açık Wi-Fi’de Dikkatli Olun

• Kamuya açık ağlarda hassas işlemlerden kaçının veya VPN kullanarak bağlantınızı güvenli hale getirin.

6. Firewall ve Antivirüs Yazılımları Kullanın

• Güvenlik duvarı ve antivirüs yazılımlarıyla zararlı trafiği engelleyin.

MITM Saldırılarına Örnekler

1. 2003 Belkin Yönlendirici Vakası
   2003 yılında, Belkin kablosuz yönlendiricilerinde bir MITM saldırısı tespit edildi. Bu cihazlar, HTTP bağlantılarını yüklerken trafiği doğru hedefe iletmek yerine kendileri cevap veriyordu. Sonuç olarak, kullanıcılara istenen sayfa yerine Belkin ürünlerinin reklamı gösteriliyordu. Teknik kullanıcıların yoğun tepkisiyle bu özellik sonraki sürümlerde kaldırıldı.
2. 2011 DigiNotar İhlali
   Hollandalı sertifika otoritesi DigiNotar’ın güvenlik ihlali, saldırganların sahte sertifikalar üretmesine yol açtı. Bu sertifikalar daha sonra MITM saldırıları için kullanıldı.
3. 2013 Nokia Xpress Tarayıcı Olayı
   Nokia’nın Xpress tarayıcısı, HTTPS trafiğini Nokia proxy sunucularında şifre çözerken analiz ediyordu ve bu şekilde müşterilerin şifreli verilerine düz metin olarak erişim sağlanıyordu. Şirket güvenlik önlemleri aldığını belirtse de, bu durum ciddi bir gizlilik sorunu yarattı.
4. 2017 Equifax Mobil Uygulaması
   2017’de Equifax, MITM zafiyetleri nedeniyle mobil uygulamalarını geri çekti. Bu karar, kullanıcı güvenliğini artırmak amacıyla alındı.

Diğer Dikkat Çeken MITM Araçları ve Uygulamaları

• DSniff: SSL ve SSH’ye karşı kullanılan ilk açık MITM saldırı araçlarından biri.
• Fiddler2: HTTP(S) trafiğini analiz eden bir araçtır.
• Superfish: Kullanıcı cihazlarına istenmeyen reklamlar enjekte eden zararlı bir yazılımdır.
• Forcepoint Content Gateway: SSL trafiğini denetlemek için bir proxy aracı olarak kullanılır.
• Comcast: Üçüncü taraf sayfalara JavaScript kodu enjekte ederek web sayfalarında reklam ve mesajlar gösteren bir sistemdir.

Bu örnekler, ortadaki adam saldırılarının ne kadar çeşitli ve ciddi olduğunu göstermektedir. Siber güvenlik alanında hızla artan bu tehditlere karşı korunmak, kurumlar için hayati öneme sahiptir.