MITM Saldırısı Nedir Ve Nasıl Korunulur?

0
620

Man In The Middle (MITM) saldırıları nedir? Bu saldırılardan nasıl korunabilirsiniz? Bunlar hakkında konuşacağız.

Not: Her türlü hukuki sorumluluk okuyucuya (kullanıcıya) aittir Tekno Bölge ekibi aşağıdaki bilgilerin kötüye kullanılması durumunda sorumluluk kabul etmez.

MITM Nedir?

Mitm (Man – in – the – middle) Türkçe’ye ortadaki adam saldırısı olarak çevrilir bunun nedeni ise saldırganın araya girerek istediği bilgileri ele geçirmesidir ve bunun çeşitli yolları vardır. Bunlardan bazılarında kurban gerçekten istediği siteye girer ama bilgileri de saldırganın eline geçmiş olur. Bazılarında ise kurban gerçek siteye erişemeden saldırgan tarafından hazırlanmış bir kopyasına erişir , eğer dikkatli olmaz ise şifrelerini saldırganın hazırladığı sahte siteye verebilir. Aşağıda bu saldırının nasıl yapıldığının basit örneklerini bulacaksınız.

1-Normal bir bağlantı ve giriş yapma nasıl gerçekleşir ?

Normal1

duzenlenmis3

Normal3

duzenlenmis4

Normal 5

Normal bir giriş böyle gerçekleşiyor kullanıcı (ileride kurban olacağı için kurban yazdım) servere ping atarak açık olup olmadığını denedikten sonra (yanıt aldıktan sonra), giriş yapıyor , (burada neredeyse her sitede giriş yapmak için mail&şifre kullanıldığından öyle gösterdim kullanıcı adı&şifre olsada aynı)

Not: Sitelerin sadece kullanıcı adınız yanlış veya şifreniz yanlış dememesi sitelere brute force yapılıp kullanıcıları tehlikeye atmamak içindir.

 

2-Saldırgan araya girip bilgileri aldığında ne oluyor ? 

Bunun da iki çeşidi vardır bu çeşitleri aşağıda a ve b diye ayırdım a seçeneğinde saldırgan sürekli giriş sağlamak için mail&şifre yi hedefler b seçeneğinde ise cookie leri hedef alır ama bu yöntem çok tercih edilmez çünkü kurban(kullanıcı) çıkış yaptığında cookie etkisiz kalır. Bu iki yöntemide https kapalı olduğunu (veya saldırgan tarafından http kullanmaya zorlandığını) varsayarak yazıyorum.

   A- Hedef Mail Ve Şifre ise

Not: Kurban https ile girseydi saldırgan B yönteminde anlattığım şekilde http ye çevirerek bilgiyi alabilirdi)

mitm2a1

mitm2a2

mitm2a3

Bu son işlemde saldırgan mail adresi ve şifreyi server’a bildirmeyip kendisi girebilirdi ama bu örnekte saldırgan kurbanın siteye giriş yapmasına izin veriyor .Cookie ele geçirme yöntemi ise (aşağıdaki ) kurban zaten giriş yapmış ise kullanılıyor

B-Hedef Cookie ise

Not: Bunu kurbanın https kullanarak girdiğini varsayarak yazdım

1

2

(HTTPS yi HTTP ye yönlendirmek direkt olarak yönlendirmez istenen linke giden http bir bağlantıya kurbanın tıklaması gerekir örneğin kurban https://www.facebook.com a giriyorsa saldırgan ona http://www.facebook.com ile başlayan bir link atmalıdır bunuda yukardaki şemadaki yeşil şerit ile yapıyor yeşil şerit gönderilen bir facebook mesajı durum güncellemesi veya facebooktaki bir resimin linki gibi sayfalar olabilir)

3

(Kurban siteye isteğini söylerken aynı zamanda kim olduğunu belli etmek için cookie sini de söylüyor bu arada saldırgan cookie yi ele geçiriyor)

3- Saldırgan Site Kopyası Hazırlarsa

clone1

clone2

clone3

Gördüğünüz gibi normal bağlantı ile neredeyse aynı ama burada kurban siteye bağlandığını sanarken aslında saldırganın bilgisayarındaki bir sayfaya bağlanıyor

4- Korunma Yolları

  1. Kablosuz ağınıza güçlü bir şifre koyun
  2. Fazladan güvenlik için kablosuz ağınıza mac filitreleme yapabilirsiniz
  3. Bilmediğiniz/Güvenmediğiniz kablosuz ağlara bağlanmayın
  4. Şifresiz ağlara bağlanmayın
  5. HTTPS kullandığınıza emin olun

MITM hakkında siz ne düşünüyorsunuz?