Man-in-the-Middle (MitM) saldırıları, modern internet güvenliği dünyasında önemli bir tehdit oluşturan ve siber suçluların verileri çalmasına, manipüle etmesine ya da sistemlere izinsiz erişim sağlamasına olanak tanıyan saldırı türlerindendir. Bu tür saldırılar, özellikle kullanıcıların ve sistemlerin iletişim sırasında, araya girerek verilerin üçüncü bir şahıs tarafından ele geçirilmesine neden olur. MitM saldırıları, her geçen gün daha sofistike hale gelmekte, bu da onları tespit edilmesi ve engellenmesi zor bir tehdit unsuru yapmaktadır.

Bu makalede, Man-in-the-Middle (MitM) saldırılarının nasıl işlediği, saldırı türleri, hedefler ve MitM saldırılarına karşı alınabilecek savunma teknikleri detaylı bir şekilde ele alınacaktır.

Man-in-the-Middle (MitM) Saldırısı Nedir?

Man-in-the-Middle (MitM) saldırısı, saldırganın, iki taraf arasında gerçekleşen iletişime gizlice müdahale ederek, iletilen verileri okuması, değiştirmesi ya da yönlendirmesi yoluyla gerçekleştirilen bir siber saldırıdır. Bu tür bir saldırıda, kurbanlar genellikle saldırganı fark etmeden iletişim kurar. Saldırgan, bir ara nokta (man) olarak hareket eder ve bu iletişimdeki verileri ele geçirir.

MitM saldırıları genellikle şu aşamalardan oluşur:

1. İletişim Kurulumunun Engellenmesi: Saldırgan, iki taraf arasında güvenli bir iletişim kanalının kurulmasını engelleyebilir. Bu, SSL/TLS sertifikası manipülasyonu ya da güvenli olmayan ağların kullanımı yoluyla yapılabilir.
2. Veri Dinleme: Saldırgan, iki taraf arasında gönderilen verileri (örneğin, şifreler, kredi kartı bilgileri, kişisel bilgiler) dinler ve toplar.
3. Veri Manipülasyonu: Saldırgan, iletilen verileri değiştirerek, örneğin bankacılık işlemlerindeki hesap bilgilerini ya da mesaj içeriklerini değiştirebilir.
4. Kimlik Sahteciliği: Saldırgan, kurbanın kimliğini taklit ederek, şifreli verileri deşifre edebilir veya iki tarafın birbirlerine gönderecekleri verileri manipüle edebilir.

MitM Saldırı Türleri

MitM saldırıları, farklı yöntemler ve tekniklerle gerçekleştirilebilir. Aşağıda, en yaygın MitM saldırı türleri incelenmiştir:

1. Eavesdropping (Dinleme)

Eavesdropping, saldırganın yalnızca iletilen verileri gizlice dinlemesi işlemidir. Bu tür saldırılarda, saldırganın amacı genellikle, şifreler, kredi kartı bilgileri, e-posta içerikleri gibi hassas verileri ele geçirmektir. Bu saldırı türü, genellikle şifreli olmayan ağlarda veya güvenli olmayan Wi-Fi bağlantılarında gerçekleştirilir.

2. Session Hijacking (Oturum Ele Geçirme)

Session hijacking, saldırganın kurbanın oturumunu ele geçirmesidir. Örneğin, bir kullanıcı bir web sitesine giriş yaptıktan sonra, oturum açma süreci sırasında kullanılan oturum kimlik bilgilerini (session cookie) çalan saldırgan, kullanıcı adına işlemler yapabilir. Bu tür saldırılar, HTTPS yerine HTTP protokolünün kullanıldığı durumlarda daha yaygındır.

3. SSL Stripping (SSL Sökme)

SSL stripping, HTTPS ile korunan bir bağlantıyı HTTP’ye düşürerek, bağlantıyı şifrelemeyi ortadan kaldıran bir saldırı türüdür. Bu tür saldırılarda, saldırgan, HTTPS bağlantısı kurmak isteyen bir kullanıcıyı, HTTP bağlantısına yönlendirir ve böylece iletilen tüm veriler şifrelenmeden aktarılır. Bu, şifreli verilerin saldırgan tarafından okunabilmesine yol açar.

4. DNS Spoofing (DNS Sahteciliği)

DNS spoofing saldırısı, saldırganın hedef kullanıcının DNS sorgularını manipüle etmesiyle gerçekleştirilir. Bu saldırı türünde, kullanıcının gittiği web sitesinin IP adresi yanlış yönlendirilir ve saldırgan, kurbanı sahte bir web sitesine yönlendirir. Bu şekilde, kullanıcılar sahte bir giriş sayfası aracılığıyla kişisel bilgilerini verir.

5. Man-in-the-Browser (MitB)

Man-in-the-Browser saldırısı, kullanıcıların tarayıcıları üzerinden gerçekleştirilen bir MitM saldırı türüdür. Burada saldırgan, kurbanın tarayıcısına kötü amaçlı bir yazılım enjekte eder ve web uygulamaları üzerinden gerçekleştirilen işlemleri izler veya değiştirir. Bu tür saldırılar, özellikle internet bankacılığı gibi finansal işlemlerle ilişkilidir.

MitM Saldırıları ile İlgili Örnekler

• Wi-Fi Ağları Üzerinden Eavesdropping: Kamuya açık Wi-Fi ağlarında, saldırganlar kullanıcıların internet trafiğini dinleyebilir ve şifreler, e-posta içeriği gibi hassas verilere erişebilir.
• Man-in-the-Middle ile Web Bankacılığı: Kullanıcı bir bankacılık uygulamasına girdiğinde, SSL stripping ile güvenli olmayan bir HTTP bağlantısına yönlendirilir. Saldırgan, bu bağlantıyı dinleyerek kullanıcının hesap bilgilerini ve işlemlerini çalabilir.
• Sosyal Mühendislik ve DNS Spoofing: Bir saldırgan, bir kullanıcıyı sahte bir web sitesine yönlendirebilir. Bu sahte siteye girilen bilgiler, saldırgana iletilir.

MitM Saldırılarına Karşı Savunma Teknikleri

MitM saldırılarının etkili bir şekilde önlenmesi için çeşitli savunma tekniklerinin uygulanması gerekir. İşte MitM saldırılarına karşı alınabilecek bazı önemli savunma yöntemleri:

1. SSL/TLS Kullanımı ve Sertifikaların Doğrulanması

En temel savunma tekniği, iletişimin her aşamasında SSL/TLS şifreleme kullanmaktır. HTTPS, verilerin güvenli bir şekilde iletilmesini sağlayan bir şifreleme protokolüdür. Bunun yanı sıra, web sunucuları ve kullanıcıların, kullanılan SSL/TLS sertifikalarının doğruluğunu her zaman kontrol etmeleri gerekmektedir. Sahte bir SSL sertifikası ile yapılan saldırılar, SSL/TLS doğrulaması ile engellenebilir.

2. Public Key Infrastructure (PKI) ve Sertifika Zinciri Yönetimi

Public Key Infrastructure (PKI), kullanıcılar ve sunucular arasında güvenli iletişim sağlamak için kullanılan bir sistemdir. PKI kullanımı, özellikle dijital sertifikaların doğrulanması ve şifreleme işlemleri için gereklidir. Sertifika zincirinin düzgün yönetilmesi, saldırganların sahte sertifikalarla iletişimi ele geçirmesini zorlaştırır.

3. VPN Kullanımı (Sanal Özel Ağ)

Kamuya açık ağlar üzerinden iletişim kurarken, sanal özel ağ (VPN) kullanmak, güvenli bir bağlantı oluşturur. VPN, tüm trafiği şifreler ve kullanıcının internet verilerini korur. Bu, özellikle güvenli olmayan Wi-Fi ağları üzerinden iletişim kurarken önemlidir.

4. İki Faktörlü Kimlik Doğrulama (2FA)

İki faktörlü kimlik doğrulama (2FA), kullanıcıların sistemlere giriş yaparken, yalnızca şifre değil, aynı zamanda bir ek doğrulama faktörü kullanmalarını gerektirir. Bu, bir oturumun ele geçirilmesi durumunda bile, saldırganların ek doğrulama gereksinimlerini geçmesi zordur.

5. DNSSEC ve DNS Güvenliği

DNS Spoofing saldırılarına karşı, DNSSEC (DNS Security Extensions) gibi güvenlik protokollerinin kullanılması önerilir. DNSSEC, DNS sorgularının doğruluğunu doğrulayan bir protokoldür ve kullanıcıları sahte web sitelerinden korur.

6. Web Uygulama Güvenliği ve Güncellemeler

Web uygulamalarının güvenliği, MitM saldırılarına karşı alınabilecek bir diğer önlemdir. Web uygulamaları, sürekli olarak güncellenmeli ve güvenlik açıkları kapatılmalıdır. Özellikle SSL/TLS protokollerinin güncel sürümleri ve güvenlik yamaları uygulanmalıdır.

7. Güvenli Wi-Fi Ağları ve İletişim Protokolleri

Wi-Fi ağlarında WPA2 veya WPA3 şifreleme protokollerinin kullanılması, MITM saldırılarına karşı etkin bir savunma sağlar. Ayrıca, kullanıcıların yalnızca güvenli Wi-Fi ağlarına bağlanması sağlanmalıdır.