Sözlük
Man-in-the-middle saldırısı nedir
Birinin kendisini iki taraf arasına soktuğu, hiçbir tarafın farketmediği şekilde trafiği okuduğu veya değiştirdiği saldırı.
Man-in-the-middle (MITM) saldırısı, bir saldırganın bir ağda iletişim kuran iki taraf arasında konum alıp her iki yönde trafiği ya okuduğu ya da değiştirdiği, hiçbir tarafın doğrudan birbiriyle konuşmadığını fark etmediği durumdur.
Resim: bankanın websitesine bağlanıyorsun. Bir saldırgan aradaki ağı ele geçirmiş. Bağlantını yakalıyor, kendi sertifikasını sunuyor (banka gibi davranarak) ve trafiğini gerçek bankaya iletiyor — yolda parolaları toplayarak veya işlemleri değiştirerek.
TLS düzgün çalışıyorsa saldırganın sertifikası doğrulamadan geçmez ve tarayıcı seni uyarır. TLS yanlış çalışıyorsa fark etmezsin.
MITM saldırıları nerede olur
Birkaç gerçekçi senaryo:
- Halka açık Wi-Fi. Otel ağları, kafe Wi-Fi'ları, havaalanı ağları. Saldırgan ağ operatörü veya aynı ağdaki başka biri olabilir. Bu yüzden önemli — halka açık Wi-Fi için VPN.
- Ele geçirilmiş router'lar. Varsayılan parolalı ev router'ları, backdoor'lu ISP-tarafından sağlanan router'lar. Saldırgan gateway'ini kontrol eder; her şey onlardan geçer.
- Devlet seviyesinde rakipler. Bazı ülkeler zorla CA'lardan verilen sahte certificate authorities üzerinden ölçekte MITM çalıştırır. Certificate Transparency misissuance'ı görünür yaptığı için daha az yaygın ama yok olmadı.
- Ele geçirilmiş CA'lar. Bir CA'nın intermediate anahtarı çalınır; saldırganlar keyfi domain'ler için geçerli görünen sertifikalar verir. Oldu (DigiNotar, Comodo). Tarayıcılar sonunda etkilenen CA'ya güvenmemeyi seçer.
TLS MITM'e karşı nasıl savunma yapar
TLS sunucunun kimliğini güvenilir CA'lar tarafından imzalanmış sertifikalar üzerinden doğrular. Bağlandığında sunucu sertifikasını sunar. Tarayıcın kontrol eder: bu sertifika güvendiğim bir CA tarafından mı imzalanmış? Hostname eşleşiyor mu? Revoke edilmemiş mi?
Herhangi bir kontrol başarısız olursa tarayıcı bağlantıyı reddeder veya seni uyarır. Her şey geçerse şifreli oturum devam eder.
Bunun MITM'e karşı savunma yapması için üç şeyin geçerli olması gerekir:
- CA sistemi ele geçirilmemiş olmalı. Hain bir CA herhangi bir domain için geçerli sertifikalar verebilir.
- Trust store'un temiz olmalı. Bir saldırgan CA cert'ini makinene yüklediyse (kurumsal ağlar, malware) güvendiğin geçerli sertifikalar verebilir.
- Uyarıyı dikkate almalısın. Tarayıcılar cert hatalarında uyarır; kullanıcılar yine de tıklayıp geçer.
Certificate pinning: daha güçlü savunma
Yüksek değerli bağlantılar için sıradan CA validasyonu yetmez. Certificate pinning bir istemcinin hangi spesifik sertifikayı (veya CA'yı) beklemesi gerektiğini hard-code eder. Sertifika pin'e uymazsa "güvenilir" bir CA tarafından imzalanmış olsa bile bağlantı başarısız olur.
Fexyn desktop istemcisinde kendi intermediate CA'sını pin'ler. İstemci o intermediate tarafından imzalanmamış herhangi bir VPN bağlantısını reddeder. Ele geçirilmiş bir public CA Fexyn trafiğine MITM yapmak için kullanılamaz — istemci VPN bağlantıları için public CA'lara güvenmez, sadece Fexyn'in iç PKI'sına.
Bu, Fexyn'e MITM saldırılarının özellikle Fexyn'in imzalama altyapısını ele geçirmeyi gerektirmesinin nedenlerinden biridir, sadece internetteki rastgele bir CA'yı değil.
VPN ne yapar ve ne yapmaz
VPN alttaki ağda MITM'ı çoğunlukla imkansız yapar. Tünel cihazın ile VPN sunucusu arasında şifrelenir; aradaki yoldaki kimse içindekine MITM yapamaz.
VPN hedefte MITM'e karşı koruma sağlamaz — trafiğin VPN sunucusundan çıkıp gerçek hedefine gittiği an, sıradan TLS tek savunmadır. Ve VPN kaynakta MITM'e karşı koruma sağlamaz — cihazındaki malware trafik tünele girmeden önce sana MITM yapabilir.
Daha fazlası güvenlik genel bakışı ve halka açık Wi-Fi rehberi'nde.
İlgili terimler
Fexyn'i 7 gün ücretsiz dene
Windows uygulaması Beta'da mevcut. WireGuard, VLESS Reality ve OpenVPN — tarama geçmişi, DNS sorgusu veya trafik içeriği logları tutulmaz.
Fiyatlandırma