SlideShare ist ein Scribd-Unternehmen logo

Man In The Middle

Als PPTX, PDF herunterladen
H
Harun Tamokur

Kablosuz ağ uyglamaları dersi için yaptığım Man in the Middle saldırılarını anlatan sunumum

Technologie
1 von 40
Ortadaki Adam Saldırısı (Man In The Mıddle) ve Türleri
Man In The Mıddle Nedir? • Ağda sunucu ve istemci arasına girerek ya da iki node (düğüm) arasına girerek ağı dinlemeye dayalı bir atak çeşididir. • MITM eski bir kavramdır fakat günümüzde halen yaygın bir şekilde kullanılmaktadır. • Yeni teknolojilerde dahi yaygın bir şekilde kullanılır ve başarılı sonuçlar verebilir.
MITM Mantığı • En basit şekliyle şu şekilde anlatılabilir: • Bir grup çocuk tek sıra oturmuştur ve kulaktan kulağa oyunu oynarken sırasıyla ilk çocuk ikinci ikinci çocukta diğerine ilk çocuğun söylediklerini fısıldar. Sıranın sonunda çocuk ise ona gelen son cümleyi söyler ve oyun tamamlanır. Fakat bazen araya yaramaz çocuklar karışır. Örneğin ilk çocuk “Benim sandalyem mavi” der fakat aradaki bu çocuk diğerine “Benim saçlarım mavi” der. Ardından çocukların hepsi en son çocuğa gülerler. • Yaramaz diye nitelendirilen bu çocuğun yaptığı aslında iletiyi dinleyip içeriğini değiştirmek ardından da diğerlerine farklı ve zararlı olabilecek şekilde göndermektir. • İşte MITM mantığı da buna dayanır.
MITM Nerelerde Kullanılır? • Bu atak tipi telefonlarda, bilgisayar ağlarında ve aslında veri aktarımı söz konusu olabilen her yerde geçerli olabilir. • George W.Bush başkanlık döneminde National Security Agency NSA kuruluşuna El-Kaide örgütüne ait bütün eposta, telefon konuşmaları ve diğer sosyal medya kaynaklarından gelen verileri monitor etmesi için (izlemesi için) görevlendirmişti.
Neden Ortadaki Adam Saldırısı • Yurt dışında bazı kuruluşların düzenlediği konferanslarda bu atak tiplerinin gerçekten uygulanılabilir olduğu ve sonuçlarının tehlikeli olmasından dolayı MITM ile birlikte gelen tehlikeler konulu görüşmeler yapılıyor. • Bu görüşmelerde aynı zamanda MITM ile mücadele adlı konularda işlenmiştir. • Bu atak tipi gerçekten bütün platformla alınan bütün güvenlik tedbirlerine rağmen başarılı olmaktadır. Öğrenilmesi ve uygulanması gayet kolaydır. • Yeni teknolojili sistemlerde hala 100 de 100 başarılı olan exploitler(sömürüler) mevcuttur.
MITM Ağdaki Rolü Basit Senaryo Ağda bazı başarılı teknikler kullanılarak saldırganlar kullanıcı ve yönlendirici ağ cihazı arasına girebilirler. Şekilde de görüldüğü gibi kullanıcı ile aslında chat sunucusu arasına girmiş olan saldırgan bütün veri akışını görüntülemektedir. Saldırgan bu senaryoyu birkaç farklı araç ile gerçekleştirebilir. Bu atak sayesinde saldırgan kullanıcıdan gelen verileri değiştirerek araya zararlı yazılımlar(virüsler,trojanlar,spamlar gibi) ekleyip gönderebilir. Güvenlik konferanslarında MITM ile gelen tehlikeler adı altında bu atak tipide işlenildi. Resim 1
Ağı Dinlemek ve Atak Yapmak • Resim 1 görülen atak tipiyle saldırgan MITM boyunca kullanıcının başarılı session bilgilerini kaydeder. Bu geçerli kimlik bilgileriyle saldırgan daha sonra chat sunucusuna gerçeği gizleyerek legal şekilde bağlanabilir. (Oturum bilgilerini çalmak genelde Hijacking olarak isimlendirilir.) • Buradan şunu anlayabilir: Saldırgan şifrelenmeden ya da şifrelenerek gönderilmiş verilerin bir kopyasını çıkararak daha sonra kullanabilir. • Saldırgan çalışan bazı komutları kullandığı oturum bilgilerine enjekte ederek uygulamayı ve protokolleri daha rahat kullanabilmeyi sağlar. • Saldırgan sistemlere eklediği bazı kod parçacıklarıyla internet aracılığla diğer IP adreslerine DDOS atağı başlatabilir.
(Internet Control Message Protocol Redirect) ICMP • ICMP Redirect routerların mesajları daha kolay ve hızlı bir şekilde ulaştırabilecekleri yollar keşfetmek için kullanılır. • Yeşil çizgilerle belirtilmiş yollar kullanıcı bilgisayarının Ofis bilgisayarına ulaşması için kullandığı ilk yolu gösterir. Kırmızı ile belirtilmiş yollar ise routerlar tarafından belirtilmiş ICMP redirect mesajıyla (type 5) daha kolay ve hızlı bir şekilde hangi düğümlerden nasıl geçeceği gösterilmiştir. Resim 2
ICMP ile MITM • Saldırgan MITM araçlarıyla ağa ICMP redirect mesajı yayınlar. Bütün ağa yapılan bu kava kuvvet saldırısı ile düğümler bir yerden bir yere geçmek için saldırganı ağ geçidi olarak tanıyacaklardır. • Bu sayede bir düğümden diğerine giden paketler görüntülenebilecek ve saldırganlar kullanıcıları ya da sunucuları istenilen yere yölendirebileceklerdir.
MITM ile Gelen Tehlikeler ve Atak Senaryoları • MITM ile ağdaki veri akışlar intercept (önlenebilir) edilebilir. Gönderilen mesajlar değiştirilebilir ve araya farklı içerikli mesajlar sokulabilir. Saldırı farklı bir senaryo ile örneklendirilebilir: • David ve Rob güvenlik şirketinde çalışmaktadırlar. David Rob ile clear text (şifrelenmemiş) bir mesaj ortamından anlık mesajlaşıyorlar. Saldırgan ise konuşma boyunca MITM atağı başlatıyor ve gizlice konuşmayı dinliyor. Gizli yapılan bütün görüşmeleri görüntülüyor. Rob David’e Alan isimli birinin ulusal güvenlik araştırması için bir görüşme talep ettiğini ve öğle yemeğini yerel Thai restoranında yiyeceklerini onunla katılması gerektiğini belirtiyor. Eğer saldırgan David in yolladığı bu gizli görüşmenin Rob’a ulaşmasını engeller ve bu mesajı değiştirip yollarsa muhtemelen Rob bu durumda inanılmaz şaşıracak ve tehlikeye düşecektir.
Adres Resolution Protocol(ARP) • ARP ,MAC adresleri gibi ağdaki routerların diğer cihazlarla haberleşebilmesini sağlayan, routerlar tarafından gönderilen bir adrestir. ARP protokolü tarafından gönderilir. Yönlendiriciler diğer düğümlere ulaşabilmek için MAC adresleriyle IP adreslerini ARP tablosunda tutarlar. Router ağa broadcast mesajlarını yayar bu mesajı alan düğümler yolladıkları cevaptan sonra router bu kurallara göre iletişimi yönlendirir. • Veri akışı bu durumda router üzerinden geçer ve ağ geçidi olur. Windows sistemlerde komut satırından arp –a komutu verilerek sistemdeki ARP tablosu görülebilir. • ARP tablosu sayesinde mesaj sonucunda dönen cevaplarla iletişimin hangi IP’ler arasında olması gerektiği anlaşılır. Resim 3
ARP Cache Posining ARP Zehirlemesi Senayosu • Bu senaryoda saldırganın kullanacağı araçlardan birisi ettercap tir. Ettercap’e internet üzerinden serbestçe lisanssız bir şekilde ulaşılabilir. Eklentileriyle atağı oldukça basitleştirip tehlikeli hale getirmektedir. Bu saldırı bir senaryo ile şu şekilde açıklana Micheal Texas’ta Seguin, şehrinde motosiklet parçaları satan küçük bir şirkette dizayn mühendisi olarak çalışmaktadır. bilir: Micheal bir motosiklet tutkunudur ve işe gelirken kaza yapar. Bu kaza sonucunda kendi herhangi bir zarar almaz fakat motosikleti kullanılamaz hale gelir. Şirketinin sigortası bu kazayı sigorta kapsamı dışında bırakır ve hasarı ödemez. Micheal motosikletini özlerken sinirlenir ve şirket çalışanlarına bir saldırı yapmaya karar verir. Resim 4
ARP Cache Posining ARP Zehirlemesi Senaryosu • Şirketinde çalışan web geliştiricisinin ve ağ mühendisini yakından tanıyor ve bilgisayarının ismini biliyordur. Micheal Ettercap aracı ile ağda bir tarama yapar ve host isimleri ile IP adreslerini görüntüler. Webdev isimli bilgisayarın IP adresini olarak 192.168.204.139 ve Windows Server 2008 işletim sisteminin adını corpweb olarak 192.168.204.131 IP si ile keşfeder. ARP posining atağını başlatır ve ağa sürekli ARP paketleri göndererek routerın ARP tablosunu zehirlemesine (unutmasına) sebep olur. Dolasıyla ağ geçidini kendi üzerine alarak Windows Sunucusu ve diğer istemcinin MAC adreslerinin kendi bilgisayarının IP si üzerinden sistemlere erişmesini sağlar. Web geliştiricinin gün içerisinde bir çok kez sunucuya eriştiğini bildiği için biraz bekler. • Bir süre sonra FTP sunucusuna (web servera) bağlantı kuran Web geliştiricisinin kullanıcı ve adı ve şifresini görüntüler.
ARP Zehirlemesi Senaryosu • Ardından bu kullanıcı adresi ve şifresiyle sisteme girip şirket adına bazı parçalarda yüzde 50 indirim olduğunu ve parçalardan sipariş edilebileceğini yayınlar. Bu durumda müşteriler gördükleri indirim reklamından sonra bir çok kez sisteme sipariş talebi gönderirler. Satış departmanı çalışanı ise bu indirimden sonra teşekkür eden müşterilerden sonra bir terslik olduğunu sezer ve hemen şirketin web sitesine girer. Sitede gördüğü manzarayla birlikte inanılmaz bir şekilde panik geçirir ve durumu web geliştiricisine aktarır. Şuan ki durumda şirketin siparişleri iptal etmesi ya da kendi sistemlerine yabancı birisinin girdiğine yönelik mesajlar bu şirketin artık güvenilmez bir alış veriş şirketi olmasına yol açacaktır. Siparişler gönderilir şirket bir sürü zarara uğrar ve buna sebep olan web geliştiricisi ya da sistem mühendisi belki de işten çıkarılacaktır. Resim 5
Secure Sockets Layer (Güvenli Soket Katmanı) Saldırı Senaryosu • SSL web formlardan gönderilen verileri güvenlik katmanında şifreleyerek ulaştıran ve ulaştığı yerde aynı sertifikanın tanınmasıyla verilerin çözümlenerek değerlendirilmesini sağlayan bir güvenlik tedbiridir. • Webmitm veya sslstrip araçlarıyla bu güvenlik uygulaması geçerliğini yitirerek saldırganların MITM aracılığıyla başarılı kimlik doğrulamasıyla sisteme giriş yapması sağlanır. Bu saldırı için şöyle bir senaryo düşünülebilir. • Web site sahibi sitesinde SSL güvenlik katmanını aktif etmiştir. Saldırgan hezalnut adlı kafede otururken bazı gözlemler yapar ve bunları sonlandırır. Çalışanlar kafe için yapılan bu web sitesindeki XML dosyasına kendilerine ait bazı fikirleri girmek için siteye giriş yaparlar. • Saldırgan kendi bilgisayarına bazı bilinen şirketlerin etiketlerini yapıştırmıştır (XYZ şirketi gibi) ve karşıdan çalışanlara herhangi bir şirket için çalışan normal birisi gibi görünmektedir. Saldırganın MITM yapabilmesi için bu senaryo yeterlidir.
Secure Sockets Layer (Güvenli Soket Katmanı) Saldırı Senaryosu • Saldırgan ağı tarar görüntülediği bilgilerden SSL kullanan siteye girildiğini görür ve bu kafenin sitesine giren kullanıcıların kullandığı bir bilgisayarın IP’sini belirler. • Saldırgan ağdaki doğru bilgisayarı ve ağ geçidini tespit ettikten sonra sslstrip aracını çalıştırır. Sslstrip gelen verileri iptables ile HTTP ve HTTPS portlarını dinleyerek kaydeder. ARP zehirlemesi yapabilmek için Ettercap çalıştırır ve atağını başlatır. • Kurban siteye girerek kullanıcı adı ve şifresini girdikten sonra ssltrip aracı sonradan görüntülemek üzere verileri kaydeder. Saldırgan bu kaydedilen kimlik bilgileri ile sisteme giriş yapar. • İptables aracı linux sistemlerde çalışan: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 Komutuyla TCP port 80 i TCP port 10000 e yönlendirmiştir.
Secure Sockets Layer (Güvenli Soket Katmanı) Saldırı Senaryosu • İptables ile girilen bu kurallar ardından saldırgan sslstrip aracına komut satırından şu komutu verir: ./sslstrip.py --listen=10000 • Python geliştirme ortamında yazılmış sslstrip aracı port 80 den gelip 10000 e giden verileri dinleyerek bu sayede kaydeder. • Saldırgan bütün ARP isteklerini kendi üzerine alabilmek için şu şekilde bir komut verir: arpspoof –i eth0 -10 192.168.204.139 192.168.204.1 • Bir süre sonra çalışan ssltrip aracı loglarına kaydedilen kimlik bilgileri görüntülenir. • Bu atak başarılı olduğunda kafe çalışanları veya şirket için oldukça tehlikeli sonuçlar doğuracaktır.
Domain Name System Spoofing Sahte Alan Adı Kayıtları • DNS adresi Nedir? DNS adresi: ISP tarafından verilmiş domain isimlerini IP adreslerine dönüştürebilmek için gerekli eşleştirmeleri yapan sunucu adresidir. Herhangi bir domain ismini tarayıcıya girdiğimizde bu öncelikle DNS cache uğrar ve burada gerekli cevabı bulabilirse bize doğru cevabı ulaştırarak işlemi hızlandırmamızı sağlar. • DNS spoofing ise bu önbellekteki değerleri doğru adreslere ulaştırmak yerine saldırganın hedeflediği adreslere yönlendirerek spam,virüs,worm gibi zararlı yazılımları enjekte eder. Man In The Middle mantığıyla araya giren saldırgan kurban seçtiği bilgisayarda DNS üzerinden istediği bilgileri alabilmek için bir çok saldırı senaryosu oluşturabilir.
Domain Name System Spoofing Sahte Alan Adı Kayıtları • Saldırgan bu saldırı tipinde bir çok aracı kullanabilir. Bunlardan birisi dnsspoof aracıdır. • Bu araç gelen DNS sorgularını dinler gelen isteklere saldırganın girmiş olduğu DNS cevaplarını gönderir. • Saldırganın yönlendirdiği adres gerçek adres değildir. Şu şekilde örneklenirse: • Kurban www.microsoft.com adresine bağlantı talebinde bulunur. Kurbanın bilgisayarı DNS sunucusuna bu adrese hangi IP adresi ile ulaşacağını sorar. Sunucuya girilen cevap www.fedoraproject.org adlı adresin IP adresidir. Sonuçta dönen bu adresin IP adresi olduğu için kullanıcı ekranında www.fedoraproject.org ait bilgileri görüntüler. • Yönlendirilen bu adres genelde gerçek bir web site adresi değildir. Fakat saldırgan öyle bir dizayn eder ki gerçeğinden ayırmak genelde mümkün olmaz.
Domain Name System Spoofing Sahte Alan Adı Kayıtları • Saldırgan bu adres üzerinden oluşturduğu zararlı içerikli yazılımları ya da reklam virüslerini kurbanın bilgisayarına bulaştırır. • Başka bir senaryo ile açıklamak gerekirse: • Kurban online internet bankacılığı sistemine girmek için bankanın adresini yazar. Saldırgan DNS spoofing ile kendi oluşturduğu online internet bankacılığı sistemine yönlendirilmiştir. Sistem kurbanın ulaşmak istediği online bankacılık sisteminin benzeri hatta kopyası olarak yapılmıştır. • Saldırgan sitede kurbanı kendi hesap bilgilerini girip hesabını kontrol etmesi zorunda olduğunu sitenin bir bakımdan geçtiği uyarısını da vererek onu giriş yapmaya zorlar. • Hiçbir kullanıcı bu mesajı gördükten sonra acaba bu gerçek mi? diye bankayı arayıp kontrol etmek istemez. Kurban kimlik bilgilerini girer ve siteye giriş yapar. Artık kurbanın kimlik bilgileri çoktan saldırganın eline geçmiştir. Bu durumda saldırgan bu kimlikle bir çok yasa dışı platformda harcama yapıyordur.
Gelecekte MITM Saldırıları • Gelecekte bu atak çeşidinin çok zor olacağı öngörülüyor. Fakat her yeni gün hatta saat diliminde kullanılması için yeni araçlar geliştiriliyor ya da var olan araçlara yeni eklentiler konuluyor. • Aksine bu atak ilerleyen zamanlarda daha da geliştirilip yayılabilir. Yeni geliştiriciler için yeni ataklar. • Yazılan kitaplarda ve Blackhat ve DefCon gibi güvenlik konferanslarında bu açıkça belirtiliyor.
Ağda MITM atağı yapmak için Kullanılan Araçlar • Altta listesi görülen bu araçlar atağın başarılı yapılması ve basitleştirilmesi açısından önemlidir. • Cain • Ettercap • AirJack • Ucsniff • Wireshark • SSLStrip
Farklı isimlerde MITM • Ortadaki adam saldırısı bazı ağ uzmanları arasında farklı isimlendirilebiliyor. Monkey in the middle, Bucket-brigade attack, session hijacking ve TCP hijacking gibi. • Ethical hacking grupları ve eğitim platformlarında daha çocuk session hijacking isimlendirilmesi ya da Man In The Mıddle kullanılıyor.
Gelecekte MITM Saldırıları Büyük Hata • Sistem yöneticileri ve güvenlik araştırmacıları gerekli fon bulamadıkları için tehditlerle başa baş bilgi düzeyinde kalamıyorlar. • Konferans ve yayınlardan tehditlerin sürekli değişim içinde olduğu görülüyor. Bu bağlamda yeni araçlar ve tekniklerin geliştirildiğini görüyoruz. • Güvenlik uzmanlarından can sıkıcı şeyler duyulurken yöneticilerin güvenlik alanında kendilerini geliştirmeleri için yeterli zaman bulamamaları ayrı bir tezattır. • Daha kötüsü yöneticilerin bizim bu konularla ilgilenmemize ihtiyacımız yok demesi daha da büyük boyutlu faciaların eşiğinde olduklarını belirtiyor. • Uzmanlar yapılan eğitimlere ve konferanslara sistem yöneticilerinin katılması gerektiğini ve hatta kullanıcılarında katılmalarının çok büyük önem arz ettiğinin altını çizmekteler. • Fakat bu büyük bir bütçe gerektirdiği için kimse yanaşmamakta. • Bu yüzden kuruluşlar şimdiden güvenlik için sağlayacakları önlemleri ve farkındalığı artırmak için planlamalar yapmak zorundadırlar.
MITM Ataklarını Önleme • Yapılan MITM ataklarını görüntülemek ve önlemek mümkündür. Bu önlemler geniş çaplı düşünceler ve katlı network mimarileri sayesinde geliştirilmiş ya da tasarlanmıştır. • Atak yöntemleri sürekli değiştiği için öncelikle gelen atakların paket parçalarını denetleyerek öncelikle bu atağın ne olduğunu anlayabilmek gereklidir. • Devamlı farkındalık sonucunda elde edilen bilgilerde tehdidin ve atak tekniğinin ne olduğu tespit edilerek buna karşı bir strateji geliştirilir.
Saldırılar için Savunma Donanımları • Eksik savunma yöntemleri sistemin saldırgan tarafında düşürülmesine saldırının başarılı olmasına sebep olacaktır. • Yetenekli bir saldırgan farklı katmanlarda güvenlik önlemleri alınmış bir sistem üzerine giderken farklı senaryolar deneyerek başarılı olmaya çalışacaktır. • Bu tür saldırılara maruz kalmamak için şirketlerin güvenlik departmanları için çok geniş çaplı bir güvenlik planlarının olması gerekmektedir. Bir planlama hatası olarak şöyle bir örnek verilebilir.
Saldırılar için Savunma Donanımları • Amerikan hava indirme piyadesinde bir yönetici bir takım piyade erini sistemlerdeki herhangi bir hatayı yahut uyarı görüntülemek ve bildirmek için görevlendirmiştir. • Bu piyadeler sistemde belirli bazı noktalarda dinleme ve gözlemleme yapmaktadırlar. • Bir süre sonra sistemden uyarı alan ve Intrusion Detection Systems(IDS) saldırı engelleme sistemlerinin de faaliyete geçtiğini görürler. • Saldırı IDS sistemleri tarafından erkenden tespit edilmiştir. Bu durumda maliyetler ve saldırının yapılması sonucu potansiyel bir çok atak engellenmiştir.
Saldırılar için Savunma Donanımları • Saldırılar için başka bir yaklaşımda sisteme giriş yapan ağ üzerine sistemden önce oluşturulan fiziksel bariyerlerdir. • Bunlar proxy sunucu ve güvenlik duvarı olarak adlandırılır. • Saldırı esnasında gönderilen verilerin engellenmesi ya da verilere dönen cevapların geciktirilerek saldırganı vazgeçirtmeye yöneliktir. Sıralanılan bu cihazlar kontrol noktalarına yerleştirilen küçük güvenlik önlemleridir. Fakat gelen bir çok saldırıya cevap verme özelliğini barındırırlar. • Daha önce sıralanan bir çok kontrol mekanizması bir masaüstü bilgisayar güvenliği içinde kullanılan bir çok donanımdır. Saldırılar için her ne kadar bu şekilde önlem alınsada bu iş için yetkinlik yine de üst düzeyde tutulmadır. Çünkü bu sistemleri atlatabilecek yetkinlikte saldırganlarda gerçek dünyada mevcut.
Savunma için Derinlemesine Yaklaşım • Public Key Infrastructure (Açık Anahtar Alt Yapısı): Bu sistem sunucu ile istemci arasında başlatılan veri akışının sunucu tarafından şifrelenerek istemci tarafında doğrulanan bu şifreleme türünün çözülmesiyle benzersiz oturum oluşturmayı amaçlar. HTTP ve HTTPS olarak bilinen bu teknoloji önceki slaytlarda da değindiğimiz gibi MITM atakları için tamamen engelleme yapamaz. • PKI protokolü farklı şekillerde ayarlamalarda MITM ataklarını yapan kişileri caydırmaya yönelik kullanılır. Diğer sistemlerle birlikte kullanılırsa MITM ataklarının başarıya ulaşması daha da zorlanabilecektir.
Savunmalar için Derinlemesine Yaklaşım • Port Security (Port Güvenliği) : Open source (Nmap gibi) araçlarla ağ bağlantı protokollerinin erişilebilir olanlarının çıkarılması bir çok atak vektörünün engellenmesi için önem arz etmektedir. • Şirketler genelde çalışma alanlarındaki erişilebilir ağ bağlantıları çıkarmazlar. Bu yüzden çalışma alanlarındaki ağ protokolleri gerçek tehditlere açık durumdadırlar. • Şirketler ziyaretçilerin sistemlere ulaşabilmeleri için geçici olarak internet erişimlerini açmak zorundadırlar. • Sistem yöneticileri bu durumda ziyaretçilerin sisteme erişebilmeleri için önlemleri kaldırırlar. Bu durumda bazı tehlikeler doğmaktadır.
Port Güvenliği • Cisco, L Juniper ve HP gibi bir çok ürün sağlayıcıları port güvenliği sağlamak amacıyla bazı ürünler sunmaktalar. • Bu ürünler portlara gerçek kimlikle gelen yöneticiler ve ziyaretçilerin sisteme bağlantı kurmasını kabul ederler. Fakat sahte kimliklerle girmeye çalışan kişilerin bağlantı taleplerini süzerek engellerler. • Bu sayede yöneticiler için potansiyel tehditleri engellemiş olurlar. Ayrıca bunların yöneticilere hangi IP adreslerinden ulaştığını listeleme özellikleri bulunmaktadır. • Ayrıca bu ürünler bağlantı talep edilen portları keşfederek o portları kapatarak başka portlara aktarırlar. Portların sürekli değiştirilmesiyle sisteme yasadışı bağlanmaya çalışan saldırganların oturumunu sonlandırmış olurlar. Bir kez daha bu porta bağlantı talebinde bulunan saldırgan bilgilerini yöneticiye uyarı vererek görüntüleyebilirler.
Port Güvenliği • Bahsedilen kısıtlayıcı mantıksal güvenlik önlemi her ne kadar kulağa hoş gelse de saldırgan erişmek istediği portların fiziksel adresini biliyorsa kendi bilgilerini spoof ederek (gizleyerek) sisteme geçerli erişim başlatabilirler. • Bazı yetenekli cihazlar dinamik ARP isteklerini tespit eder ve önleyebilirler.
Use Encrypted Protocols Şifreli Protokoller Kullanmak • FTP, Telnet ve HTTP uygulamalarının clear text (şifrelenmemiş veri) yollanması MITM ataklarını kolaylaştırmaktadır. • Bu protokoller yerine bünyelerine eklenmiş şifreleme algoritmaları içeren SFTP, SSH ve HTTPS kullanılmalıdır. • Yöneticilerin uzaktan sunucuya erişimleri ve kullanıcıların yine bu sunucular içerisinde yetkilendirilmiş sunuculardan bazılarına erişim istekleri şifreli protokoller vasıtayla gerçekleştirilmelidir. • Şifreleme tekniği yalnız başına MITM ataklarını engellemeye yetmeyecektir.
Low-Level Detection Alçak Seviye Tespitleri • Ağ trafiğine dair herhangi bir şüpheli durumda sisteme gelen trafiği dinleme yöntemleriyle ya da arp tablosuna bakarak herhangi bir tehdidin olup olmadığı gözlenebilir. • Amaç merkezi bir sistemle bütün ağı gözlemleyebilmektir. Arp tablosu görüntülendiğinde resimdekine benzer bir durumla karşılaşılırsa o anda atak yapıldığının anlaşılmasına için
Low-Level Detection Alçak Seviye Tespitleri • Merkezi bir sistemden ağa dair herhangi bir saldırının olup olmadığı denetlenebilir. • Ağda yavaşlama ya da herhangi bir durumdan şüphelenilirse arp tablosu incelemeye alınır. Resim 6
Low-Level Detection Alçak Seviye Tespitleri • Resim 6 daki gibi fiziksel adres kolonunda aynı fiziksel adres görüntülenmekteyse ağda MITM atağı yapıldığı anlaşılmalıdır. • Fiziksel katmanda bu görülen iki IP adresi üzerinden ARP verileri yollanılıyor. Fakat gerçekte 192.168.1.131 adresi bir Windows 2008 sunucusuna aittir. Bu durumda ağda MITM yapıldığı aşikardır.
Low-Level Detection Alçak Seviye Tespitleri • MITM atağından şüphelenilen durumda ağ wireshark aracılığıyla dinlenilebilir. Bu durumda karşımıza gelen veriler değerlendirilerek atağın nereden geldiği tespit edilebilir.
Low-Level Detection Alçak Seviye Tespitleri • Wireshark ile görüntülenen verilerde fark edilirse iki farklı IP adreslerinden ARP verileri gönderildiği anlaşılıyor. • Subnet adresi ile 192.168.1.1 bu 192.168.1.197 adres arasına konuşlan bir saldırganın gönderdiği ARP verileri bulunmaktadır. Bu verilerin gönderildiği donanım arayüzünün fiziksel adres ise gerçekte 00:21:70:7E:51:17 saldırganın bilgisayarına aittir. • Arpwatch adlı araçla sistemi belli zaman dilimlerinde görüntülenerek farklı ARP istekleri alındığında mail adreslerine mesaj bırakarak ya da syslog mesajlarıyla yöneticiler uyarılmaktadır.
Özet • Sunuda verilen senaryolar ve atak tipleri bilgilendirme amaçlıdır. • Bir çok saldırgan temelde bu atakların daha farklı tipleriyle sistemlere giriş senaryoları hazırlamaktadırlar. • Ayrıca savunma sistemleri için geliştirilmiş bir çok atlatma yöntemi mevcuttur. Saldırılardan 100 de 100 korunmak çokta mümkün olmasa da etkileri en alt seviyeye indirgenmeye çalışılır. • Bunlara ek olarak 0 day ataklarından bahsetmek gerekirse güncel durumda bulunmuş hiçbir güvenlik bülteninde bahsedilmemiş atakların maalesef engellenme yöntemi yoktur.
Dinlediğiniz için teşekkürler  Harun Tamokur Sakarya Üniversitesi Bilgisayar Mühendisliği 2015

Empfohlen

Man in the Middle Atack
Man in the Middle AtackMan in the Middle Atack
Man in the Middle AtackSDU CYBERLAB
 
Hacking – Ethical Hacking
Hacking – Ethical HackingHacking – Ethical Hacking
Hacking – Ethical HackingAhmet TOPRAKCI
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...SDU CYBERLAB
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 RaporuBGA Cyber Security
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı GüvenliğiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma TeorisiBGA Cyber Security
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit YöntemleriBGA Cyber Security
 

Empfohlen

Man in the Middle Atack
Man in the Middle AtackMan in the Middle Atack
Man in the Middle AtackSDU CYBERLAB
 
Hacking – Ethical Hacking
Hacking – Ethical HackingHacking – Ethical Hacking
Hacking – Ethical HackingAhmet TOPRAKCI
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...SDU CYBERLAB
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 RaporuBGA Cyber Security
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı GüvenliğiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma TeorisiBGA Cyber Security
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit YöntemleriBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Cyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
Cyber Security-Şirket içi Çalışan Eğitim ve BilgilendirmeCyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
Cyber Security-Şirket içi Çalışan Eğitim ve BilgilendirmeGökhan CANSIZ
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarTurkIOT
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıAlper Başaran
 
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıKurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıBGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Hackerlar Hakkınızda Neler Biliyor?
Hackerlar Hakkınızda Neler Biliyor?Hackerlar Hakkınızda Neler Biliyor?
Hackerlar Hakkınızda Neler Biliyor?BGA Cyber Security
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiEmre ERKIRAN
 
Güvenlik Mühendisliği
Güvenlik MühendisliğiGüvenlik Mühendisliği
Güvenlik MühendisliğiBGA Cyber Security
 
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu Alper Başaran
 
Kişisel Bilgi Güvenliği
Kişisel Bilgi GüvenliğiKişisel Bilgi Güvenliği
Kişisel Bilgi GüvenliğiMesut Güngör
 
ISTSEC 2013 - Bir Hacker'in Düşünce Dünyası
ISTSEC 2013 - Bir Hacker'in Düşünce DünyasıISTSEC 2013 - Bir Hacker'in Düşünce Dünyası
ISTSEC 2013 - Bir Hacker'in Düşünce DünyasıBGA Cyber Security
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratSeyfullah KILIÇ
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Mustafa
 
Bilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeBilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeMesut Güngör
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 
Man in the Middle Attack on Banks
Man in the Middle Attack on BanksMan in the Middle Attack on Banks
Man in the Middle Attack on BanksMarko Elezović
 
Feb-8-2012-Breaking-Wireless-Security
Feb-8-2012-Breaking-Wireless-SecurityFeb-8-2012-Breaking-Wireless-Security
Feb-8-2012-Breaking-Wireless-SecurityCasey Dunham
 
Sistem koruyucu bakım
Sistem koruyucu bakımSistem koruyucu bakım
Sistem koruyucu bakımSahin Akturk
 

Weitere ähnliche Inhalte

Was ist angesagt?

3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Cyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
Cyber Security-Şirket içi Çalışan Eğitim ve BilgilendirmeCyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
Cyber Security-Şirket içi Çalışan Eğitim ve BilgilendirmeGökhan CANSIZ
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarTurkIOT
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıAlper Başaran
 
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıKurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıBGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Hackerlar Hakkınızda Neler Biliyor?
Hackerlar Hakkınızda Neler Biliyor?Hackerlar Hakkınızda Neler Biliyor?
Hackerlar Hakkınızda Neler Biliyor?BGA Cyber Security
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiEmre ERKIRAN
 
Kişisel Bilgi Güvenliği
Kişisel Bilgi GüvenliğiKişisel Bilgi Güvenliği
Kişisel Bilgi GüvenliğiMesut Güngör
 
ISTSEC 2013 - Bir Hacker'in Düşünce Dünyası
ISTSEC 2013 - Bir Hacker'in Düşünce DünyasıISTSEC 2013 - Bir Hacker'in Düşünce Dünyası
ISTSEC 2013 - Bir Hacker'in Düşünce DünyasıBGA Cyber Security
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratSeyfullah KILIÇ
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Mustafa
 
Bilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeBilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeMesut Güngör
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 

Was ist angesagt? (19)

3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Cyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
Cyber Security-Şirket içi Çalışan Eğitim ve BilgilendirmeCyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
Cyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırıları
 
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıKurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Hackerlar Hakkınızda Neler Biliyor?
Hackerlar Hakkınızda Neler Biliyor?Hackerlar Hakkınızda Neler Biliyor?
Hackerlar Hakkınızda Neler Biliyor?
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
 
Güvenlik Mühendisliği
Güvenlik MühendisliğiGüvenlik Mühendisliği
Güvenlik Mühendisliği
 
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu
 
Kişisel Bilgi Güvenliği
Kişisel Bilgi GüvenliğiKişisel Bilgi Güvenliği
Kişisel Bilgi Güvenliği
 
ISTSEC 2013 - Bir Hacker'in Düşünce Dünyası
ISTSEC 2013 - Bir Hacker'in Düşünce DünyasıISTSEC 2013 - Bir Hacker'in Düşünce Dünyası
ISTSEC 2013 - Bir Hacker'in Düşünce Dünyası
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
 
Bilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeBilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği Bilinçlendirme
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?
 

Andere mochten auch

Man in the Middle Attack on Banks
Man in the Middle Attack on BanksMan in the Middle Attack on Banks
Man in the Middle Attack on BanksMarko Elezović
 
Feb-8-2012-Breaking-Wireless-Security
Feb-8-2012-Breaking-Wireless-SecurityFeb-8-2012-Breaking-Wireless-Security
Feb-8-2012-Breaking-Wireless-SecurityCasey Dunham
 
Sistem koruyucu bakım
Sistem koruyucu bakımSistem koruyucu bakım
Sistem koruyucu bakımSahin Akturk
 
Gelişmiş Sunucu İşletim Sistemlerinde Veri Yönetimi
Gelişmiş Sunucu İşletim Sistemlerinde Veri YönetimiGelişmiş Sunucu İşletim Sistemlerinde Veri Yönetimi
Gelişmiş Sunucu İşletim Sistemlerinde Veri YönetimiVural Yalçın
 
Man in The Middle Attack
Man in The Middle AttackMan in The Middle Attack
Man in The Middle AttackDeepak Upadhyay
 
Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...
Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...
Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...Sarah Jiffry
 
Hacking By Nirmal
Hacking By NirmalHacking By Nirmal
Hacking By NirmalNIRMAL RAJ
 
Man in the middle attacks on IEC 60870-5-104
Man in the middle attacks on IEC 60870-5-104Man in the middle attacks on IEC 60870-5-104
Man in the middle attacks on IEC 60870-5-104pgmaynard
 
The cat and the bellالقط والجرس
The cat and the bellالقط والجرسThe cat and the bellالقط والجرس
The cat and the bellالقط والجرسmustafa002
 
Windows Server Containers
Windows Server ContainersWindows Server Containers
Windows Server ContainersÖnder Değer
 
Git - Bildiğiniz Gibi Değil
Git - Bildiğiniz Gibi DeğilGit - Bildiğiniz Gibi Değil
Git - Bildiğiniz Gibi DeğilLemi Orhan Ergin
 
التعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحليةالتعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحليةAhmed Al Enizi
 
How to hack wireless internet connections using aircrack-ng
How to hack wireless internet connections using aircrack-ngHow to hack wireless internet connections using aircrack-ng
How to hack wireless internet connections using aircrack-ngOpen Knowledge Nepal
 
Bilgi Sistemleri Güvenliği Metasploit
Bilgi Sistemleri Güvenliği MetasploitBilgi Sistemleri Güvenliği Metasploit
Bilgi Sistemleri Güvenliği Metasploitmsoner
 
How To Hack Wireless Internet Connections
How To Hack Wireless Internet ConnectionsHow To Hack Wireless Internet Connections
How To Hack Wireless Internet Connectionsguest85e156e
 

Andere mochten auch (17)

Man in the Middle Attack on Banks
Man in the Middle Attack on BanksMan in the Middle Attack on Banks
Man in the Middle Attack on Banks
 
Feb-8-2012-Breaking-Wireless-Security
Feb-8-2012-Breaking-Wireless-SecurityFeb-8-2012-Breaking-Wireless-Security
Feb-8-2012-Breaking-Wireless-Security
 
Sistem koruyucu bakım
Sistem koruyucu bakımSistem koruyucu bakım
Sistem koruyucu bakım
 
Etkili sunucu
Etkili sunucuEtkili sunucu
Etkili sunucu
 
Gelişmiş Sunucu İşletim Sistemlerinde Veri Yönetimi
Gelişmiş Sunucu İşletim Sistemlerinde Veri YönetimiGelişmiş Sunucu İşletim Sistemlerinde Veri Yönetimi
Gelişmiş Sunucu İşletim Sistemlerinde Veri Yönetimi
 
Man in The Middle Attack
Man in The Middle AttackMan in The Middle Attack
Man in The Middle Attack
 
Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...
Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...
Heart Attack !! Survival Technique -Don’t Ever Think That You Are Not Prone T...
 
Hacking By Nirmal
Hacking By NirmalHacking By Nirmal
Hacking By Nirmal
 
Man in the middle attacks on IEC 60870-5-104
Man in the middle attacks on IEC 60870-5-104Man in the middle attacks on IEC 60870-5-104
Man in the middle attacks on IEC 60870-5-104
 
The cat and the bellالقط والجرس
The cat and the bellالقط والجرسThe cat and the bellالقط والجرس
The cat and the bellالقط والجرس
 
Windows Server Containers
Windows Server ContainersWindows Server Containers
Windows Server Containers
 
Git - Bildiğiniz Gibi Değil
Git - Bildiğiniz Gibi DeğilGit - Bildiğiniz Gibi Değil
Git - Bildiğiniz Gibi Değil
 
Introduction to security
Introduction to securityIntroduction to security
Introduction to security
 
التعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحليةالتعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحلية
 
How to hack wireless internet connections using aircrack-ng
How to hack wireless internet connections using aircrack-ngHow to hack wireless internet connections using aircrack-ng
How to hack wireless internet connections using aircrack-ng
 
Bilgi Sistemleri Güvenliği Metasploit
Bilgi Sistemleri Güvenliği MetasploitBilgi Sistemleri Güvenliği Metasploit
Bilgi Sistemleri Güvenliği Metasploit
 
How To Hack Wireless Internet Connections
How To Hack Wireless Internet ConnectionsHow To Hack Wireless Internet Connections
How To Hack Wireless Internet Connections
 

Ähnlich wie Man In The Middle

DDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriDDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriOğuzcan Pamuk
 
Bilgisayar Ağları ve İletişim
Bilgisayar Ağları ve İletişimBilgisayar Ağları ve İletişim
Bilgisayar Ağları ve İletişimOulcanE
 
DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuOğuzcan Pamuk
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfMurat KARA
 
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfMurat KARA
 
38263104760 hamza durak
38263104760 hamza durak38263104760 hamza durak
38263104760 hamza durakHamzaDurak1
 
OWASP Top 10 for Large Language Models (Türkçe Çeviri)
OWASP Top 10 for Large Language Models (Türkçe Çeviri)OWASP Top 10 for Large Language Models (Türkçe Çeviri)
OWASP Top 10 for Large Language Models (Türkçe Çeviri)AISecLab
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıBGA Cyber Security
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
Bilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuBilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuUmut YILMAZ
 

Ähnlich wie Man In The Middle (20)

DDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriDDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim Teknikleri
 
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
 
Kriptografi
Kriptografi Kriptografi
Kriptografi
 
Dijital Güvenlik
Dijital GüvenlikDijital Güvenlik
Dijital Güvenlik
 
Bilgi güvenliği
Bilgi güvenliğiBilgi güvenliği
Bilgi güvenliği
 
Bilgisayar Ağları ve İletişim
Bilgisayar Ağları ve İletişimBilgisayar Ağları ve İletişim
Bilgisayar Ağları ve İletişim
 
Owasp top 10 inceleme
Owasp top 10 incelemeOwasp top 10 inceleme
Owasp top 10 inceleme
 
DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara Raporu
 
Hamza durak
Hamza durakHamza durak
Hamza durak
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
 
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
 
38263104760 hamza durak
38263104760 hamza durak38263104760 hamza durak
38263104760 hamza durak
 
Hamza durak
Hamza durakHamza durak
Hamza durak
 
OWASP Top 10 for Large Language Models (Türkçe Çeviri)
OWASP Top 10 for Large Language Models (Türkçe Çeviri)OWASP Top 10 for Large Language Models (Türkçe Çeviri)
OWASP Top 10 for Large Language Models (Türkçe Çeviri)
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma Yolları
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
 
Sosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikSosyal Medya ve Güvenlik
Sosyal Medya ve Güvenlik
 
Bilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuBilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumu
 

Man In The Middle

  • 1. Ortadaki Adam Saldırısı (Man In The Mıddle) ve Türleri
  • 2. Man In The Mıddle Nedir? • Ağda sunucu ve istemci arasına girerek ya da iki node (düğüm) arasına girerek ağı dinlemeye dayalı bir atak çeşididir. • MITM eski bir kavramdır fakat günümüzde halen yaygın bir şekilde kullanılmaktadır. • Yeni teknolojilerde dahi yaygın bir şekilde kullanılır ve başarılı sonuçlar verebilir.
  • 3. MITM Mantığı • En basit şekliyle şu şekilde anlatılabilir: • Bir grup çocuk tek sıra oturmuştur ve kulaktan kulağa oyunu oynarken sırasıyla ilk çocuk ikinci ikinci çocukta diğerine ilk çocuğun söylediklerini fısıldar. Sıranın sonunda çocuk ise ona gelen son cümleyi söyler ve oyun tamamlanır. Fakat bazen araya yaramaz çocuklar karışır. Örneğin ilk çocuk “Benim sandalyem mavi” der fakat aradaki bu çocuk diğerine “Benim saçlarım mavi” der. Ardından çocukların hepsi en son çocuğa gülerler. • Yaramaz diye nitelendirilen bu çocuğun yaptığı aslında iletiyi dinleyip içeriğini değiştirmek ardından da diğerlerine farklı ve zararlı olabilecek şekilde göndermektir. • İşte MITM mantığı da buna dayanır.
  • 4. MITM Nerelerde Kullanılır? • Bu atak tipi telefonlarda, bilgisayar ağlarında ve aslında veri aktarımı söz konusu olabilen her yerde geçerli olabilir. • George W.Bush başkanlık döneminde National Security Agency NSA kuruluşuna El-Kaide örgütüne ait bütün eposta, telefon konuşmaları ve diğer sosyal medya kaynaklarından gelen verileri monitor etmesi için (izlemesi için) görevlendirmişti.
  • 5. Neden Ortadaki Adam Saldırısı • Yurt dışında bazı kuruluşların düzenlediği konferanslarda bu atak tiplerinin gerçekten uygulanılabilir olduğu ve sonuçlarının tehlikeli olmasından dolayı MITM ile birlikte gelen tehlikeler konulu görüşmeler yapılıyor. • Bu görüşmelerde aynı zamanda MITM ile mücadele adlı konularda işlenmiştir. • Bu atak tipi gerçekten bütün platformla alınan bütün güvenlik tedbirlerine rağmen başarılı olmaktadır. Öğrenilmesi ve uygulanması gayet kolaydır. • Yeni teknolojili sistemlerde hala 100 de 100 başarılı olan exploitler(sömürüler) mevcuttur.
  • 6. MITM Ağdaki Rolü Basit Senaryo Ağda bazı başarılı teknikler kullanılarak saldırganlar kullanıcı ve yönlendirici ağ cihazı arasına girebilirler. Şekilde de görüldüğü gibi kullanıcı ile aslında chat sunucusu arasına girmiş olan saldırgan bütün veri akışını görüntülemektedir. Saldırgan bu senaryoyu birkaç farklı araç ile gerçekleştirebilir. Bu atak sayesinde saldırgan kullanıcıdan gelen verileri değiştirerek araya zararlı yazılımlar(virüsler,trojanlar,spamlar gibi) ekleyip gönderebilir. Güvenlik konferanslarında MITM ile gelen tehlikeler adı altında bu atak tipide işlenildi. Resim 1
  • 7. Ağı Dinlemek ve Atak Yapmak • Resim 1 görülen atak tipiyle saldırgan MITM boyunca kullanıcının başarılı session bilgilerini kaydeder. Bu geçerli kimlik bilgileriyle saldırgan daha sonra chat sunucusuna gerçeği gizleyerek legal şekilde bağlanabilir. (Oturum bilgilerini çalmak genelde Hijacking olarak isimlendirilir.) • Buradan şunu anlayabilir: Saldırgan şifrelenmeden ya da şifrelenerek gönderilmiş verilerin bir kopyasını çıkararak daha sonra kullanabilir. • Saldırgan çalışan bazı komutları kullandığı oturum bilgilerine enjekte ederek uygulamayı ve protokolleri daha rahat kullanabilmeyi sağlar. • Saldırgan sistemlere eklediği bazı kod parçacıklarıyla internet aracılığla diğer IP adreslerine DDOS atağı başlatabilir.
  • 8. (Internet Control Message Protocol Redirect) ICMP • ICMP Redirect routerların mesajları daha kolay ve hızlı bir şekilde ulaştırabilecekleri yollar keşfetmek için kullanılır. • Yeşil çizgilerle belirtilmiş yollar kullanıcı bilgisayarının Ofis bilgisayarına ulaşması için kullandığı ilk yolu gösterir. Kırmızı ile belirtilmiş yollar ise routerlar tarafından belirtilmiş ICMP redirect mesajıyla (type 5) daha kolay ve hızlı bir şekilde hangi düğümlerden nasıl geçeceği gösterilmiştir. Resim 2
  • 9. ICMP ile MITM • Saldırgan MITM araçlarıyla ağa ICMP redirect mesajı yayınlar. Bütün ağa yapılan bu kava kuvvet saldırısı ile düğümler bir yerden bir yere geçmek için saldırganı ağ geçidi olarak tanıyacaklardır. • Bu sayede bir düğümden diğerine giden paketler görüntülenebilecek ve saldırganlar kullanıcıları ya da sunucuları istenilen yere yölendirebileceklerdir.
  • 10. MITM ile Gelen Tehlikeler ve Atak Senaryoları • MITM ile ağdaki veri akışlar intercept (önlenebilir) edilebilir. Gönderilen mesajlar değiştirilebilir ve araya farklı içerikli mesajlar sokulabilir. Saldırı farklı bir senaryo ile örneklendirilebilir: • David ve Rob güvenlik şirketinde çalışmaktadırlar. David Rob ile clear text (şifrelenmemiş) bir mesaj ortamından anlık mesajlaşıyorlar. Saldırgan ise konuşma boyunca MITM atağı başlatıyor ve gizlice konuşmayı dinliyor. Gizli yapılan bütün görüşmeleri görüntülüyor. Rob David’e Alan isimli birinin ulusal güvenlik araştırması için bir görüşme talep ettiğini ve öğle yemeğini yerel Thai restoranında yiyeceklerini onunla katılması gerektiğini belirtiyor. Eğer saldırgan David in yolladığı bu gizli görüşmenin Rob’a ulaşmasını engeller ve bu mesajı değiştirip yollarsa muhtemelen Rob bu durumda inanılmaz şaşıracak ve tehlikeye düşecektir.
  • 11. Adres Resolution Protocol(ARP) • ARP ,MAC adresleri gibi ağdaki routerların diğer cihazlarla haberleşebilmesini sağlayan, routerlar tarafından gönderilen bir adrestir. ARP protokolü tarafından gönderilir. Yönlendiriciler diğer düğümlere ulaşabilmek için MAC adresleriyle IP adreslerini ARP tablosunda tutarlar. Router ağa broadcast mesajlarını yayar bu mesajı alan düğümler yolladıkları cevaptan sonra router bu kurallara göre iletişimi yönlendirir. • Veri akışı bu durumda router üzerinden geçer ve ağ geçidi olur. Windows sistemlerde komut satırından arp –a komutu verilerek sistemdeki ARP tablosu görülebilir. • ARP tablosu sayesinde mesaj sonucunda dönen cevaplarla iletişimin hangi IP’ler arasında olması gerektiği anlaşılır. Resim 3
  • 12. ARP Cache Posining ARP Zehirlemesi Senayosu • Bu senaryoda saldırganın kullanacağı araçlardan birisi ettercap tir. Ettercap’e internet üzerinden serbestçe lisanssız bir şekilde ulaşılabilir. Eklentileriyle atağı oldukça basitleştirip tehlikeli hale getirmektedir. Bu saldırı bir senaryo ile şu şekilde açıklana Micheal Texas’ta Seguin, şehrinde motosiklet parçaları satan küçük bir şirkette dizayn mühendisi olarak çalışmaktadır. bilir: Micheal bir motosiklet tutkunudur ve işe gelirken kaza yapar. Bu kaza sonucunda kendi herhangi bir zarar almaz fakat motosikleti kullanılamaz hale gelir. Şirketinin sigortası bu kazayı sigorta kapsamı dışında bırakır ve hasarı ödemez. Micheal motosikletini özlerken sinirlenir ve şirket çalışanlarına bir saldırı yapmaya karar verir. Resim 4
  • 13. ARP Cache Posining ARP Zehirlemesi Senaryosu • Şirketinde çalışan web geliştiricisinin ve ağ mühendisini yakından tanıyor ve bilgisayarının ismini biliyordur. Micheal Ettercap aracı ile ağda bir tarama yapar ve host isimleri ile IP adreslerini görüntüler. Webdev isimli bilgisayarın IP adresini olarak 192.168.204.139 ve Windows Server 2008 işletim sisteminin adını corpweb olarak 192.168.204.131 IP si ile keşfeder. ARP posining atağını başlatır ve ağa sürekli ARP paketleri göndererek routerın ARP tablosunu zehirlemesine (unutmasına) sebep olur. Dolasıyla ağ geçidini kendi üzerine alarak Windows Sunucusu ve diğer istemcinin MAC adreslerinin kendi bilgisayarının IP si üzerinden sistemlere erişmesini sağlar. Web geliştiricinin gün içerisinde bir çok kez sunucuya eriştiğini bildiği için biraz bekler. • Bir süre sonra FTP sunucusuna (web servera) bağlantı kuran Web geliştiricisinin kullanıcı ve adı ve şifresini görüntüler.
  • 14. ARP Zehirlemesi Senaryosu • Ardından bu kullanıcı adresi ve şifresiyle sisteme girip şirket adına bazı parçalarda yüzde 50 indirim olduğunu ve parçalardan sipariş edilebileceğini yayınlar. Bu durumda müşteriler gördükleri indirim reklamından sonra bir çok kez sisteme sipariş talebi gönderirler. Satış departmanı çalışanı ise bu indirimden sonra teşekkür eden müşterilerden sonra bir terslik olduğunu sezer ve hemen şirketin web sitesine girer. Sitede gördüğü manzarayla birlikte inanılmaz bir şekilde panik geçirir ve durumu web geliştiricisine aktarır. Şuan ki durumda şirketin siparişleri iptal etmesi ya da kendi sistemlerine yabancı birisinin girdiğine yönelik mesajlar bu şirketin artık güvenilmez bir alış veriş şirketi olmasına yol açacaktır. Siparişler gönderilir şirket bir sürü zarara uğrar ve buna sebep olan web geliştiricisi ya da sistem mühendisi belki de işten çıkarılacaktır. Resim 5
  • 15. Secure Sockets Layer (Güvenli Soket Katmanı) Saldırı Senaryosu • SSL web formlardan gönderilen verileri güvenlik katmanında şifreleyerek ulaştıran ve ulaştığı yerde aynı sertifikanın tanınmasıyla verilerin çözümlenerek değerlendirilmesini sağlayan bir güvenlik tedbiridir. • Webmitm veya sslstrip araçlarıyla bu güvenlik uygulaması geçerliğini yitirerek saldırganların MITM aracılığıyla başarılı kimlik doğrulamasıyla sisteme giriş yapması sağlanır. Bu saldırı için şöyle bir senaryo düşünülebilir. • Web site sahibi sitesinde SSL güvenlik katmanını aktif etmiştir. Saldırgan hezalnut adlı kafede otururken bazı gözlemler yapar ve bunları sonlandırır. Çalışanlar kafe için yapılan bu web sitesindeki XML dosyasına kendilerine ait bazı fikirleri girmek için siteye giriş yaparlar. • Saldırgan kendi bilgisayarına bazı bilinen şirketlerin etiketlerini yapıştırmıştır (XYZ şirketi gibi) ve karşıdan çalışanlara herhangi bir şirket için çalışan normal birisi gibi görünmektedir. Saldırganın MITM yapabilmesi için bu senaryo yeterlidir.
  • 16. Secure Sockets Layer (Güvenli Soket Katmanı) Saldırı Senaryosu • Saldırgan ağı tarar görüntülediği bilgilerden SSL kullanan siteye girildiğini görür ve bu kafenin sitesine giren kullanıcıların kullandığı bir bilgisayarın IP’sini belirler. • Saldırgan ağdaki doğru bilgisayarı ve ağ geçidini tespit ettikten sonra sslstrip aracını çalıştırır. Sslstrip gelen verileri iptables ile HTTP ve HTTPS portlarını dinleyerek kaydeder. ARP zehirlemesi yapabilmek için Ettercap çalıştırır ve atağını başlatır. • Kurban siteye girerek kullanıcı adı ve şifresini girdikten sonra ssltrip aracı sonradan görüntülemek üzere verileri kaydeder. Saldırgan bu kaydedilen kimlik bilgileri ile sisteme giriş yapar. • İptables aracı linux sistemlerde çalışan: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 Komutuyla TCP port 80 i TCP port 10000 e yönlendirmiştir.
  • 17. Secure Sockets Layer (Güvenli Soket Katmanı) Saldırı Senaryosu • İptables ile girilen bu kurallar ardından saldırgan sslstrip aracına komut satırından şu komutu verir: ./sslstrip.py --listen=10000 • Python geliştirme ortamında yazılmış sslstrip aracı port 80 den gelip 10000 e giden verileri dinleyerek bu sayede kaydeder. • Saldırgan bütün ARP isteklerini kendi üzerine alabilmek için şu şekilde bir komut verir: arpspoof –i eth0 -10 192.168.204.139 192.168.204.1 • Bir süre sonra çalışan ssltrip aracı loglarına kaydedilen kimlik bilgileri görüntülenir. • Bu atak başarılı olduğunda kafe çalışanları veya şirket için oldukça tehlikeli sonuçlar doğuracaktır.
  • 18. Domain Name System Spoofing Sahte Alan Adı Kayıtları • DNS adresi Nedir? DNS adresi: ISP tarafından verilmiş domain isimlerini IP adreslerine dönüştürebilmek için gerekli eşleştirmeleri yapan sunucu adresidir. Herhangi bir domain ismini tarayıcıya girdiğimizde bu öncelikle DNS cache uğrar ve burada gerekli cevabı bulabilirse bize doğru cevabı ulaştırarak işlemi hızlandırmamızı sağlar. • DNS spoofing ise bu önbellekteki değerleri doğru adreslere ulaştırmak yerine saldırganın hedeflediği adreslere yönlendirerek spam,virüs,worm gibi zararlı yazılımları enjekte eder. Man In The Middle mantığıyla araya giren saldırgan kurban seçtiği bilgisayarda DNS üzerinden istediği bilgileri alabilmek için bir çok saldırı senaryosu oluşturabilir.
  • 19. Domain Name System Spoofing Sahte Alan Adı Kayıtları • Saldırgan bu saldırı tipinde bir çok aracı kullanabilir. Bunlardan birisi dnsspoof aracıdır. • Bu araç gelen DNS sorgularını dinler gelen isteklere saldırganın girmiş olduğu DNS cevaplarını gönderir. • Saldırganın yönlendirdiği adres gerçek adres değildir. Şu şekilde örneklenirse: • Kurban www.microsoft.com adresine bağlantı talebinde bulunur. Kurbanın bilgisayarı DNS sunucusuna bu adrese hangi IP adresi ile ulaşacağını sorar. Sunucuya girilen cevap www.fedoraproject.org adlı adresin IP adresidir. Sonuçta dönen bu adresin IP adresi olduğu için kullanıcı ekranında www.fedoraproject.org ait bilgileri görüntüler. • Yönlendirilen bu adres genelde gerçek bir web site adresi değildir. Fakat saldırgan öyle bir dizayn eder ki gerçeğinden ayırmak genelde mümkün olmaz.
  • 20. Domain Name System Spoofing Sahte Alan Adı Kayıtları • Saldırgan bu adres üzerinden oluşturduğu zararlı içerikli yazılımları ya da reklam virüslerini kurbanın bilgisayarına bulaştırır. • Başka bir senaryo ile açıklamak gerekirse: • Kurban online internet bankacılığı sistemine girmek için bankanın adresini yazar. Saldırgan DNS spoofing ile kendi oluşturduğu online internet bankacılığı sistemine yönlendirilmiştir. Sistem kurbanın ulaşmak istediği online bankacılık sisteminin benzeri hatta kopyası olarak yapılmıştır. • Saldırgan sitede kurbanı kendi hesap bilgilerini girip hesabını kontrol etmesi zorunda olduğunu sitenin bir bakımdan geçtiği uyarısını da vererek onu giriş yapmaya zorlar. • Hiçbir kullanıcı bu mesajı gördükten sonra acaba bu gerçek mi? diye bankayı arayıp kontrol etmek istemez. Kurban kimlik bilgilerini girer ve siteye giriş yapar. Artık kurbanın kimlik bilgileri çoktan saldırganın eline geçmiştir. Bu durumda saldırgan bu kimlikle bir çok yasa dışı platformda harcama yapıyordur.
  • 21. Gelecekte MITM Saldırıları • Gelecekte bu atak çeşidinin çok zor olacağı öngörülüyor. Fakat her yeni gün hatta saat diliminde kullanılması için yeni araçlar geliştiriliyor ya da var olan araçlara yeni eklentiler konuluyor. • Aksine bu atak ilerleyen zamanlarda daha da geliştirilip yayılabilir. Yeni geliştiriciler için yeni ataklar. • Yazılan kitaplarda ve Blackhat ve DefCon gibi güvenlik konferanslarında bu açıkça belirtiliyor.
  • 22. Ağda MITM atağı yapmak için Kullanılan Araçlar • Altta listesi görülen bu araçlar atağın başarılı yapılması ve basitleştirilmesi açısından önemlidir. • Cain • Ettercap • AirJack • Ucsniff • Wireshark • SSLStrip
  • 23. Farklı isimlerde MITM • Ortadaki adam saldırısı bazı ağ uzmanları arasında farklı isimlendirilebiliyor. Monkey in the middle, Bucket-brigade attack, session hijacking ve TCP hijacking gibi. • Ethical hacking grupları ve eğitim platformlarında daha çocuk session hijacking isimlendirilmesi ya da Man In The Mıddle kullanılıyor.
  • 24. Gelecekte MITM Saldırıları Büyük Hata • Sistem yöneticileri ve güvenlik araştırmacıları gerekli fon bulamadıkları için tehditlerle başa baş bilgi düzeyinde kalamıyorlar. • Konferans ve yayınlardan tehditlerin sürekli değişim içinde olduğu görülüyor. Bu bağlamda yeni araçlar ve tekniklerin geliştirildiğini görüyoruz. • Güvenlik uzmanlarından can sıkıcı şeyler duyulurken yöneticilerin güvenlik alanında kendilerini geliştirmeleri için yeterli zaman bulamamaları ayrı bir tezattır. • Daha kötüsü yöneticilerin bizim bu konularla ilgilenmemize ihtiyacımız yok demesi daha da büyük boyutlu faciaların eşiğinde olduklarını belirtiyor. • Uzmanlar yapılan eğitimlere ve konferanslara sistem yöneticilerinin katılması gerektiğini ve hatta kullanıcılarında katılmalarının çok büyük önem arz ettiğinin altını çizmekteler. • Fakat bu büyük bir bütçe gerektirdiği için kimse yanaşmamakta. • Bu yüzden kuruluşlar şimdiden güvenlik için sağlayacakları önlemleri ve farkındalığı artırmak için planlamalar yapmak zorundadırlar.
  • 25. MITM Ataklarını Önleme • Yapılan MITM ataklarını görüntülemek ve önlemek mümkündür. Bu önlemler geniş çaplı düşünceler ve katlı network mimarileri sayesinde geliştirilmiş ya da tasarlanmıştır. • Atak yöntemleri sürekli değiştiği için öncelikle gelen atakların paket parçalarını denetleyerek öncelikle bu atağın ne olduğunu anlayabilmek gereklidir. • Devamlı farkındalık sonucunda elde edilen bilgilerde tehdidin ve atak tekniğinin ne olduğu tespit edilerek buna karşı bir strateji geliştirilir.
  • 26. Saldırılar için Savunma Donanımları • Eksik savunma yöntemleri sistemin saldırgan tarafında düşürülmesine saldırının başarılı olmasına sebep olacaktır. • Yetenekli bir saldırgan farklı katmanlarda güvenlik önlemleri alınmış bir sistem üzerine giderken farklı senaryolar deneyerek başarılı olmaya çalışacaktır. • Bu tür saldırılara maruz kalmamak için şirketlerin güvenlik departmanları için çok geniş çaplı bir güvenlik planlarının olması gerekmektedir. Bir planlama hatası olarak şöyle bir örnek verilebilir.
  • 27. Saldırılar için Savunma Donanımları • Amerikan hava indirme piyadesinde bir yönetici bir takım piyade erini sistemlerdeki herhangi bir hatayı yahut uyarı görüntülemek ve bildirmek için görevlendirmiştir. • Bu piyadeler sistemde belirli bazı noktalarda dinleme ve gözlemleme yapmaktadırlar. • Bir süre sonra sistemden uyarı alan ve Intrusion Detection Systems(IDS) saldırı engelleme sistemlerinin de faaliyete geçtiğini görürler. • Saldırı IDS sistemleri tarafından erkenden tespit edilmiştir. Bu durumda maliyetler ve saldırının yapılması sonucu potansiyel bir çok atak engellenmiştir.
  • 28. Saldırılar için Savunma Donanımları • Saldırılar için başka bir yaklaşımda sisteme giriş yapan ağ üzerine sistemden önce oluşturulan fiziksel bariyerlerdir. • Bunlar proxy sunucu ve güvenlik duvarı olarak adlandırılır. • Saldırı esnasında gönderilen verilerin engellenmesi ya da verilere dönen cevapların geciktirilerek saldırganı vazgeçirtmeye yöneliktir. Sıralanılan bu cihazlar kontrol noktalarına yerleştirilen küçük güvenlik önlemleridir. Fakat gelen bir çok saldırıya cevap verme özelliğini barındırırlar. • Daha önce sıralanan bir çok kontrol mekanizması bir masaüstü bilgisayar güvenliği içinde kullanılan bir çok donanımdır. Saldırılar için her ne kadar bu şekilde önlem alınsada bu iş için yetkinlik yine de üst düzeyde tutulmadır. Çünkü bu sistemleri atlatabilecek yetkinlikte saldırganlarda gerçek dünyada mevcut.
  • 29. Savunma için Derinlemesine Yaklaşım • Public Key Infrastructure (Açık Anahtar Alt Yapısı): Bu sistem sunucu ile istemci arasında başlatılan veri akışının sunucu tarafından şifrelenerek istemci tarafında doğrulanan bu şifreleme türünün çözülmesiyle benzersiz oturum oluşturmayı amaçlar. HTTP ve HTTPS olarak bilinen bu teknoloji önceki slaytlarda da değindiğimiz gibi MITM atakları için tamamen engelleme yapamaz. • PKI protokolü farklı şekillerde ayarlamalarda MITM ataklarını yapan kişileri caydırmaya yönelik kullanılır. Diğer sistemlerle birlikte kullanılırsa MITM ataklarının başarıya ulaşması daha da zorlanabilecektir.
  • 30. Savunmalar için Derinlemesine Yaklaşım • Port Security (Port Güvenliği) : Open source (Nmap gibi) araçlarla ağ bağlantı protokollerinin erişilebilir olanlarının çıkarılması bir çok atak vektörünün engellenmesi için önem arz etmektedir. • Şirketler genelde çalışma alanlarındaki erişilebilir ağ bağlantıları çıkarmazlar. Bu yüzden çalışma alanlarındaki ağ protokolleri gerçek tehditlere açık durumdadırlar. • Şirketler ziyaretçilerin sistemlere ulaşabilmeleri için geçici olarak internet erişimlerini açmak zorundadırlar. • Sistem yöneticileri bu durumda ziyaretçilerin sisteme erişebilmeleri için önlemleri kaldırırlar. Bu durumda bazı tehlikeler doğmaktadır.
  • 31. Port Güvenliği • Cisco, L Juniper ve HP gibi bir çok ürün sağlayıcıları port güvenliği sağlamak amacıyla bazı ürünler sunmaktalar. • Bu ürünler portlara gerçek kimlikle gelen yöneticiler ve ziyaretçilerin sisteme bağlantı kurmasını kabul ederler. Fakat sahte kimliklerle girmeye çalışan kişilerin bağlantı taleplerini süzerek engellerler. • Bu sayede yöneticiler için potansiyel tehditleri engellemiş olurlar. Ayrıca bunların yöneticilere hangi IP adreslerinden ulaştığını listeleme özellikleri bulunmaktadır. • Ayrıca bu ürünler bağlantı talep edilen portları keşfederek o portları kapatarak başka portlara aktarırlar. Portların sürekli değiştirilmesiyle sisteme yasadışı bağlanmaya çalışan saldırganların oturumunu sonlandırmış olurlar. Bir kez daha bu porta bağlantı talebinde bulunan saldırgan bilgilerini yöneticiye uyarı vererek görüntüleyebilirler.
  • 32. Port Güvenliği • Bahsedilen kısıtlayıcı mantıksal güvenlik önlemi her ne kadar kulağa hoş gelse de saldırgan erişmek istediği portların fiziksel adresini biliyorsa kendi bilgilerini spoof ederek (gizleyerek) sisteme geçerli erişim başlatabilirler. • Bazı yetenekli cihazlar dinamik ARP isteklerini tespit eder ve önleyebilirler.
  • 33. Use Encrypted Protocols Şifreli Protokoller Kullanmak • FTP, Telnet ve HTTP uygulamalarının clear text (şifrelenmemiş veri) yollanması MITM ataklarını kolaylaştırmaktadır. • Bu protokoller yerine bünyelerine eklenmiş şifreleme algoritmaları içeren SFTP, SSH ve HTTPS kullanılmalıdır. • Yöneticilerin uzaktan sunucuya erişimleri ve kullanıcıların yine bu sunucular içerisinde yetkilendirilmiş sunuculardan bazılarına erişim istekleri şifreli protokoller vasıtayla gerçekleştirilmelidir. • Şifreleme tekniği yalnız başına MITM ataklarını engellemeye yetmeyecektir.
  • 34. Low-Level Detection Alçak Seviye Tespitleri • Ağ trafiğine dair herhangi bir şüpheli durumda sisteme gelen trafiği dinleme yöntemleriyle ya da arp tablosuna bakarak herhangi bir tehdidin olup olmadığı gözlenebilir. • Amaç merkezi bir sistemle bütün ağı gözlemleyebilmektir. Arp tablosu görüntülendiğinde resimdekine benzer bir durumla karşılaşılırsa o anda atak yapıldığının anlaşılmasına için
  • 35. Low-Level Detection Alçak Seviye Tespitleri • Merkezi bir sistemden ağa dair herhangi bir saldırının olup olmadığı denetlenebilir. • Ağda yavaşlama ya da herhangi bir durumdan şüphelenilirse arp tablosu incelemeye alınır. Resim 6
  • 36. Low-Level Detection Alçak Seviye Tespitleri • Resim 6 daki gibi fiziksel adres kolonunda aynı fiziksel adres görüntülenmekteyse ağda MITM atağı yapıldığı anlaşılmalıdır. • Fiziksel katmanda bu görülen iki IP adresi üzerinden ARP verileri yollanılıyor. Fakat gerçekte 192.168.1.131 adresi bir Windows 2008 sunucusuna aittir. Bu durumda ağda MITM yapıldığı aşikardır.
  • 37. Low-Level Detection Alçak Seviye Tespitleri • MITM atağından şüphelenilen durumda ağ wireshark aracılığıyla dinlenilebilir. Bu durumda karşımıza gelen veriler değerlendirilerek atağın nereden geldiği tespit edilebilir.
  • 38. Low-Level Detection Alçak Seviye Tespitleri • Wireshark ile görüntülenen verilerde fark edilirse iki farklı IP adreslerinden ARP verileri gönderildiği anlaşılıyor. • Subnet adresi ile 192.168.1.1 bu 192.168.1.197 adres arasına konuşlan bir saldırganın gönderdiği ARP verileri bulunmaktadır. Bu verilerin gönderildiği donanım arayüzünün fiziksel adres ise gerçekte 00:21:70:7E:51:17 saldırganın bilgisayarına aittir. • Arpwatch adlı araçla sistemi belli zaman dilimlerinde görüntülenerek farklı ARP istekleri alındığında mail adreslerine mesaj bırakarak ya da syslog mesajlarıyla yöneticiler uyarılmaktadır.
  • 39. Özet • Sunuda verilen senaryolar ve atak tipleri bilgilendirme amaçlıdır. • Bir çok saldırgan temelde bu atakların daha farklı tipleriyle sistemlere giriş senaryoları hazırlamaktadırlar. • Ayrıca savunma sistemleri için geliştirilmiş bir çok atlatma yöntemi mevcuttur. Saldırılardan 100 de 100 korunmak çokta mümkün olmasa da etkileri en alt seviyeye indirgenmeye çalışılır. • Bunlara ek olarak 0 day ataklarından bahsetmek gerekirse güncel durumda bulunmuş hiçbir güvenlik bülteninde bahsedilmemiş atakların maalesef engellenme yöntemi yoktur.
  • 40. Dinlediğiniz için teşekkürler  Harun Tamokur Sakarya Üniversitesi Bilgisayar Mühendisliği 2015