Man In The Middle Attack
Saldırganın; havaalanları, fastfoodlar, işyerleri v.b. internetin genel kullanıma açıldığı güvensiz alanlarda kullanıcı ile Web sitesi arasındaki bağlantıyı kesip, değiştirerek kullanıcının hassas bilgilerine erişim sağlamasını mümkün kılan bir saldırı yöntemidir. Buna güvenli kabul ettiğimiz ssl bağlantıları ve http den httpse geçiş yapan sitelerde dahildir.
Mitm yöntemi çok ciddi network bilgisine ihtiyaç duyulmadan da uygulanabilecek araçlara entegre olarak karşımıza çıkmaktadır. Bu araçlar kullanılarak sadece bir kaç tıklama ile saldırı yapılacak sistemler belirlenebilir. Ardından uygulanacak Mitm ile network trafiği rahatlıkla saldırgan üzerine yönlendirilebilir. Kullanılan araç içine yerleşik sertifika sistemi sayesinde ssl bağlantılarının da taklidi yapılarak kişisel güvenliğiniz ile ilgili bilgilere ulaşılabilir.
Bunu önlemek için, E-posta sağlayıcıları Hypertext Transfer Protocol Secure (HTTPS) kullanmaya başladılar. Bu; sunucu ve istemci arasındaki bağlantıyı şifrelemeyi sağlayan SSL ile birlikte kullanılan bir Hypertext Transfer
Protocol (HTTP) kombinasyonudur.
MitM saldırıları farklı şekillerde gerçekleştirilebilir. Bunlardan biri;
- Saldırgan bir ortak ağ (halka açık yerler) üzerinden aktarılan iletişimi dinliyordur.
- Bu ağ üzerinden kurban internette zararsız sayılabilecekler arasında olan bir haber sitesine göz atıyordur.
- Saldırgan, kurban ile web site arasındaki bağlantıyı keser ve kurbanı önceden belirlediği IFRAMEe (sitede html belgelesinin içine yerleştirilmiş başka bir html belgesi) yönlendirir.
- Kurbanın tarayıcısı, isteklerine cevap alırken, farkında olmadan aynı zamanda site için kullanıcı bilgilerini depolayan çerezleri de talep eder.
- Bu yanıtlar saldırganın geçerli kullanıcı olarak siteye girmesini sağlar.
Saldırgan saldırıyı uzun tutmak için cache poisoning (url poisoning) yapabilir.
Saldırganların MitM saldırılarında başarılı olabilmesi için, kurbanı gerçek sunucu yerine proxy sunucusuna yönlendirmesi gerekir. Bunun içinde aşağıdaki senaryolar uygulanır;
LOCAL AREA NETWORK:
- ARP poisoning
- DNS spoofing
- STP mangling
- Port stealing
FROM LOCAL TO REMOTE (through a gateway):
- ARP poisoning
- DNS spoofing
- DHCP spoofing
- ICMP redirection
- IRDP spoofing - route mangling
REMOTE:
- DNS poisoning
- Traffic tunneling
- Route mangling
Kimlik hırsızlığı ile ilgili olarak Transparent proxy attack ve DNS poisoning attack hackerlar arasında en populer olan saldırılardır. Her iki saldırının da belirgin bir açıklaması vardır .
Transparent proxy attack
Bu saldırıları gerçekleştirmek amacıyla hackerlar aşağıda sözü edilen 4 adımda kurbanı kandırmaya çalışırlar
1. Adım
URL rewriting : Tüm URL ler saldırganınkiyle önüne eklenir. http://siteadı.com/, sitesi http://www.attacker.org/http://www.server.com/ olur.
2. Adım
Sayfalar, bu süreçte saldırganın istediği formasyonu uygulamak üzere gerçek ( http://www.server.com/) sayfayı almak için proxy görevini gören www.attacker.org üzerinden talep edilir.
3. Adım
4. Adım
Yukarıdaki adımlar gerçekleştirildikten sonra saldırgan ile kurban arasında kurbanın farkında bile olmadığı güvenli bir bağlantı vardır. Saldırgan alınan verileri çözebilir, tekrar şifreleyebilir, dönüşümleri uygulayabilir, ana bilgisayara güvenli bir bağlantı oluşturabilir ve bunu kurbana gönderir.
SSL
Bilindiği üzere güvenli şifreli bağlantı türü SSL (Secure Socket Layer) olan bağlantının kullanıcı tarafında ciddi sayılabilecek bir açığı bulunmaktadir. Mitm saldırısıyla araya giren saldırgan sahte SSL sertifikaları oluşturarak bağlantıyı taklit edebilir. Normalde https baglantısı (SSL gibi) yapmak istedigimizde tarayıcı (explorer, firefox, safari) güvenli bağlantı yapmak istediğimiz sitenin SSL sertifikasını otomatik olarak kontrol eder. Sertifika doğru ise sorunsuz olarak site açılır güvenle işlemlerimizi yaparız. Sertifika ile ilgili problem varsa, kullanıcı tarafındaki SSL açığı bu aşamada başlamaktadır.
Özetlersek normal bağlantıda paketin sizden sonraki hedefi ağınızın çıkış kapısı olmalı, değilse saldırı altında olabilirsiniz. İşletim sistemlerinde gönderilen paketin geçtiği yolları gösteren programlar vardır. Bu programları kullanarak trafiğin yönünün değişip değişmediğini anlayabiliriz.
Genellikle ağ çıkış kapıları 192.168.0.1, 192.168.1.1, 192.168.2.1, 10.0.0.1 olduğu için ve buna yönelik olarak
www.turkhackteam.org adresine giden paketleri izlediğimizde, takip ettiği ilk adres 192.168.1.1 olduğu için sorun yok.
Saldırı olduğunu düşünüyorsanız ilk çıkan adres 192.168.1.1 olması gerekirken ekran çıktısında 192.168.1. (2,3) ise Mitm saldırısı ile araya girilmiştir.
Netice itibariyle; bu tür saldırılardan korunmak için internetin genel kullanıma açıldığı alanlarda ağ trafiği kontrol edilmeli ve sertifika hatalarına dikkat edilmesi gerekir.
Kaynak
Kaynak
Alıntıdır.
Saldırganın; havaalanları, fastfoodlar, işyerleri v.b. internetin genel kullanıma açıldığı güvensiz alanlarda kullanıcı ile Web sitesi arasındaki bağlantıyı kesip, değiştirerek kullanıcının hassas bilgilerine erişim sağlamasını mümkün kılan bir saldırı yöntemidir. Buna güvenli kabul ettiğimiz ssl bağlantıları ve http den httpse geçiş yapan sitelerde dahildir.
Mitm yöntemi çok ciddi network bilgisine ihtiyaç duyulmadan da uygulanabilecek araçlara entegre olarak karşımıza çıkmaktadır. Bu araçlar kullanılarak sadece bir kaç tıklama ile saldırı yapılacak sistemler belirlenebilir. Ardından uygulanacak Mitm ile network trafiği rahatlıkla saldırgan üzerine yönlendirilebilir. Kullanılan araç içine yerleşik sertifika sistemi sayesinde ssl bağlantılarının da taklidi yapılarak kişisel güvenliğiniz ile ilgili bilgilere ulaşılabilir.
Bunu önlemek için, E-posta sağlayıcıları Hypertext Transfer Protocol Secure (HTTPS) kullanmaya başladılar. Bu; sunucu ve istemci arasındaki bağlantıyı şifrelemeyi sağlayan SSL ile birlikte kullanılan bir Hypertext Transfer
Protocol (HTTP) kombinasyonudur.
MitM saldırıları farklı şekillerde gerçekleştirilebilir. Bunlardan biri;
- Saldırgan bir ortak ağ (halka açık yerler) üzerinden aktarılan iletişimi dinliyordur.
- Bu ağ üzerinden kurban internette zararsız sayılabilecekler arasında olan bir haber sitesine göz atıyordur.
- Saldırgan, kurban ile web site arasındaki bağlantıyı keser ve kurbanı önceden belirlediği IFRAMEe (sitede html belgelesinin içine yerleştirilmiş başka bir html belgesi) yönlendirir.
- Kurbanın tarayıcısı, isteklerine cevap alırken, farkında olmadan aynı zamanda site için kullanıcı bilgilerini depolayan çerezleri de talep eder.
- Bu yanıtlar saldırganın geçerli kullanıcı olarak siteye girmesini sağlar.
Saldırgan saldırıyı uzun tutmak için cache poisoning (url poisoning) yapabilir.
Saldırganların MitM saldırılarında başarılı olabilmesi için, kurbanı gerçek sunucu yerine proxy sunucusuna yönlendirmesi gerekir. Bunun içinde aşağıdaki senaryolar uygulanır;
LOCAL AREA NETWORK:
- ARP poisoning
- DNS spoofing
- STP mangling
- Port stealing
FROM LOCAL TO REMOTE (through a gateway):
- ARP poisoning
- DNS spoofing
- DHCP spoofing
- ICMP redirection
- IRDP spoofing - route mangling
REMOTE:
- DNS poisoning
- Traffic tunneling
- Route mangling
Kimlik hırsızlığı ile ilgili olarak Transparent proxy attack ve DNS poisoning attack hackerlar arasında en populer olan saldırılardır. Her iki saldırının da belirgin bir açıklaması vardır .
Transparent proxy attack
Bu saldırıları gerçekleştirmek amacıyla hackerlar aşağıda sözü edilen 4 adımda kurbanı kandırmaya çalışırlar
1. Adım
URL rewriting : Tüm URL ler saldırganınkiyle önüne eklenir. http://siteadı.com/, sitesi http://www.attacker.org/http://www.server.com/ olur.
2. Adım
Sayfalar, bu süreçte saldırganın istediği formasyonu uygulamak üzere gerçek ( http://www.server.com/) sayfayı almak için proxy görevini gören www.attacker.org üzerinden talep edilir.
3. Adım
4. Adım
Yukarıdaki adımlar gerçekleştirildikten sonra saldırgan ile kurban arasında kurbanın farkında bile olmadığı güvenli bir bağlantı vardır. Saldırgan alınan verileri çözebilir, tekrar şifreleyebilir, dönüşümleri uygulayabilir, ana bilgisayara güvenli bir bağlantı oluşturabilir ve bunu kurbana gönderir.
SSL
Bilindiği üzere güvenli şifreli bağlantı türü SSL (Secure Socket Layer) olan bağlantının kullanıcı tarafında ciddi sayılabilecek bir açığı bulunmaktadir. Mitm saldırısıyla araya giren saldırgan sahte SSL sertifikaları oluşturarak bağlantıyı taklit edebilir. Normalde https baglantısı (SSL gibi) yapmak istedigimizde tarayıcı (explorer, firefox, safari) güvenli bağlantı yapmak istediğimiz sitenin SSL sertifikasını otomatik olarak kontrol eder. Sertifika doğru ise sorunsuz olarak site açılır güvenle işlemlerimizi yaparız. Sertifika ile ilgili problem varsa, kullanıcı tarafındaki SSL açığı bu aşamada başlamaktadır.
Özetlersek normal bağlantıda paketin sizden sonraki hedefi ağınızın çıkış kapısı olmalı, değilse saldırı altında olabilirsiniz. İşletim sistemlerinde gönderilen paketin geçtiği yolları gösteren programlar vardır. Bu programları kullanarak trafiğin yönünün değişip değişmediğini anlayabiliriz.
Genellikle ağ çıkış kapıları 192.168.0.1, 192.168.1.1, 192.168.2.1, 10.0.0.1 olduğu için ve buna yönelik olarak
www.turkhackteam.org adresine giden paketleri izlediğimizde, takip ettiği ilk adres 192.168.1.1 olduğu için sorun yok.
Saldırı olduğunu düşünüyorsanız ilk çıkan adres 192.168.1.1 olması gerekirken ekran çıktısında 192.168.1. (2,3) ise Mitm saldırısı ile araya girilmiştir.
Netice itibariyle; bu tür saldırılardan korunmak için internetin genel kullanıma açıldığı alanlarda ağ trafiği kontrol edilmeli ve sertifika hatalarına dikkat edilmesi gerekir.
Kaynak
Kaynak
Alıntıdır.
