MITM (Ortadaki Adam) nedir? — Bilgi Güvenliği Sözlüğü

Kötü Amaçlı Yazılım & Saldırılar

MITM (Ortadaki Adam)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Havalimanının ücretsiz Wi-Fi'sine bağlanıp banka hesabınıza girdiğinizi düşünün; o sırada yan masadaki birinin kurduğu sahte ağ, sizinle banka arasına sessizce girip her şifrenizi okuyor olabilir — işte bu, ortadaki adam saldırısıdır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta MITM (Ortadaki Adam / Man-in-the-Middle) saldırısını öğreniyoruz: iki taraf arasındaki iletişimin nasıl gizlice araya girilip dinlenebildiğini ya da değiştirilebildiğini, hangi tekniklerle yapıldığını ve iş yerinde kendimizi nasıl koruyacağımızı adım adım inceleyeceğiz.

Anlatım

NEDİR? MITM (Man-in-the-Middle, Ortadaki Adam) saldırısı, birbiriyle iletişim kuran iki taraf (örneğin kullanıcı ile bir web sitesi) arasına saldırganın gizlice girerek trafiği DİNLEMESİ (gizli izleme) veya DEĞİŞTİRMESİ (içeriğe müdahale) saldırısıdır. Her iki taraf da hâlâ doğrudan birbiriyle konuştuğunu sanırken, aslında tüm veri saldırganın üzerinden akar. Saldırgan bir nevi gizli bir "röle" gibi davranır: A'dan gelen mesajı okur/değiştirir, sonra B'ye iletir; B'nin cevabını da aynı şekilde A'ya geri taşır. MITM iki temel biçimde olur: • Pasif (dinleme): Saldırgan trafiği yalnızca izler, kullanıcı adı/parola, oturum çerezleri, kredi kartı gibi bilgileri toplar. • Aktif (değiştirme): Saldırgan akan veriyi değiştirir; örneğin bir havale işlemindeki IBAN'ı kendi hesabıyla değiştirir veya indirilen dosyaya zararlı kod ekler. NASIL ÇALIŞIR? 1) Araya girme (konumlanma): Saldırgan, kurbanla hedef arasındaki yola yerleşir. Yaygın yöntemler: sahte/ücretsiz Wi-Fi erişim noktası (evil twin), yerel ağda ARP zehirleme (ARP spoofing), DNS sahteciliği (DNS spoofing) ile kullanıcıyı sahte siteye yönlendirme, ya da ele geçirilmiş bir yönlendirici/proxy. 2) Trafiği yakalama: Tüm istek ve cevaplar artık saldırganın cihazından geçer; saldırgan paketleri okuyabilir. 3) Şifrelemeyi aşma denemesi: Trafik HTTPS/TLS ile şifreliyse saldırgan içeriği okuyamaz. Bunu aşmak için SSL stripping (kullanıcıyı güvenli HTTPS yerine şifresiz HTTP'ye düşürme) veya sahte/uydurma sertifika sunma gibi tekniklere başvurur. Tarayıcının sertifika uyarısını kullanıcı geçerse saldırı başarılı olur. 4) Dinleme veya değiştirme: Saldırgan ya bilgileri sessizce toplar ya da içeriği değiştirip taraflara iletir. 5) İletmeye devam etme: İletişim normal görünmeye devam ettiği için kullanıcı genellikle hiçbir şey fark etmez. NEDEN ÖNEMLİ / İŞ YERİNDE MITM, hem bireysel hem kurumsal ortamda en sinsi saldırılardandır çünkü kullanıcıya "her şey normal" görünür. Halka açık Wi-Fi (kafe, otel, havalimanı) kullanan çalışanlar, doğru korunmazsa kurumsal e-posta, VPN ve uygulama parolalarını saldırgana kaptırabilir. Ele geçirilen oturum çerezleri ile saldırgan parolayı bilmeden bile hesabı devralabilir (oturum çalma). Aktif MITM ile değiştirilen banka/havale bilgileri doğrudan finansal kayba yol açar. Bu nedenle uçtan uca şifreleme ve sertifika doğrulaması kurumsal güvenliğin temel taşıdır. DİKKAT / İYİ UYGULAMA • Yalnızca HTTPS (kilit simgesi) olan sitelerde hassas işlem yapın; tarayıcının sertifika/güvenlik uyarısını ASLA geçmeyin. • Halka açık Wi-Fi'de bankacılık/kurumsal erişim yaparken mutlaka güvenilir bir VPN kullanın (trafiği uçtan uca şifreler). • Kurumsal sistemlerde HSTS, sertifika sabitleme (certificate pinning) ve güçlü TLS yapılandırması uygulayın. • Bilinmeyen/sahte olabilecek açık ağlara otomatik bağlanmayı kapatın; ağ adını (SSID) doğrulayın. • Çok faktörlü kimlik doğrulama (MFA) kullanın — parola çalınsa bile ikinci faktör ek koruma sağlar.

📌 Senaryolar

📌 Örnek 1: Bir çalışan havalimanında "Free_Airport_WiFi" adlı açık ağa bağlanır. Bu ağ aslında saldırganın kurduğu sahte erişim noktasıdır (evil twin). Çalışan kurumsal e-postasına girerken tüm trafik saldırganın cihazından geçer ve oturum bilgileri kaydedilir.
  Açıklama: Sahte Wi-Fi, saldırganı kullanıcı ile internet arasına yerleştirir — klasik konumlanma adımı. Korunma: açık ağlarda VPN kullanmak ve ağ adının gerçekliğinden emin olmak.

📌 Örnek 2: Kullanıcı tarayıcıya "banka.com" yazar; saldırgan SSL stripping ile bağlantıyı güvenli HTTPS yerine şifresiz HTTP'ye düşürür. Adres çubuğunda kilit simgesi görünmez, ama kullanıcı fark etmeden giriş yapar ve parolası düz metin olarak ele geçirilir.
  Açıklama: SSL stripping, şifrelemeyi devre dışı bırakarak pasif dinlemeyi mümkün kılar. Korunma: kilit simgesini/HTTPS'i kontrol etmek ve sitelerin HSTS kullanması.

📌 Örnek 3: Bir şirket muhasebecisi tedarikçiye havale yaparken, yerel ağa sızan saldırgan ARP zehirleme ile araya girer ve sayfadaki IBAN numarasını kendi hesabıyla değiştirir (aktif MITM). Para yanlış hesaba gider.
  Açıklama: Aktif MITM yalnızca dinlemez, içeriği gerçek zamanlı değiştirir. Korunma: uçtan uca şifreleme, IBAN'ı ikinci bir kanaldan (telefon) teyit etmek ve ağ segmentasyonu/izleme.

Özet

• MITM (Ortadaki Adam) = iki taraf arasındaki iletişime gizlice girip onu dinleme veya değiştirme saldırısı. • İki biçimi: pasif (sessizce dinleme/bilgi toplama) ve aktif (içeriği değiştirme, örn. IBAN/dosya). • Tipik teknikler: sahte Wi-Fi (evil twin), ARP zehirleme, DNS sahteciliği, SSL stripping, sahte sertifika. • Korunma: HTTPS + sertifika uyarılarını asla geçmeme, açık ağda VPN, HSTS/sertifika sabitleme, MFA.

✅ Mini-Test (3)

1.MITM (Ortadaki Adam) saldırısını en iyi tanımlayan ifade hangisidir?

2.Halka açık bir Wi-Fi ağında VPN kullanmak, MITM saldırısına karşı korunmaya yardımcı olur.

3.Aşağıdakilerden hangisi saldırganın HTTPS şifrelemesini aşmak için MITM'de kullandığı bir tekniktir?

← Tüm sözlük terimleri · Farkındalık eğitimi