Ortadaki adam saldırısı (Man-in-the-Middle, MITM), bir saldırganın iki taraf arasındaki iletişimin arasına gizlice girerek trafiği dinlediği, değiştirdiği veya yönlendirdiği bir saldırı türüdür. Siz bir bankaya veya e-postanıza bağlandığınızı sanırsınız; oysa tüm veri önce saldırganın elinden geçer. MITM, veri hırsızlığından oturum ele geçirmeye kadar birçok saldırının temelini oluşturur.
Bu yazıda MITM saldırısının nasıl çalıştığını, hangi yöntemlerle yapıldığını ve — en önemlisi — HTTPS, HSTS, DNSSEC ve şifreli DNS gibi katmanlarla kendinizi ve sitenizi nasıl koruyacağınızı ele alıyoruz.
Ortadaki Adam Saldırısı Nasıl Çalışır?
Klasik bir MITM saldırısında üç taraf vardır: siz (istemci), gerçek sunucu ve aradaki saldırgan. Saldırgan kendini her iki tarafa da “karşı taraf” gibi tanıtır:
- Siz sunucuya bağlanmak istersiniz; ancak trafiğiniz saldırgana yönlenir.
- Saldırgan sizin adınıza gerçek sunucuya bağlanır ve bir röle (aktarıcı) gibi davranır.
- Aradan geçen tüm veriyi okuyabilir; parolalar, kart bilgileri, çerezler ve mesajlar ifşa olur.
- Dilerse veriyi değiştirebilir: sayfaya zararlı kod enjekte edebilir, para transferindeki hesap numarasını değiştirebilir.
Kritik nokta: iyi yapılmış bir MITM saldırısında hiçbir şey ters gitmiş gibi görünmez. Sayfa normal açılır, işlem tamamlanır — arka planda tüm veri sızmıştır.
Yaygın MITM Saldırı Yöntemleri
- Sahte / açık Wi-Fi ağları: Kafe, havaalanı gibi yerlerde saldırgan “Ücretsiz Wi-Fi” adında sahte bir erişim noktası kurar; bağlanan herkesin trafiği üzerinden geçer.
- ARP zehirlenmesi (ARP spoofing): Yerel ağda saldırgan, kendini ağ geçidi (router) gibi tanıtarak diğer cihazların trafiğini kendine çeker.
- DNS sahteciliği (cache poisoning): Saldırgan DNS yanıtlarını sahteleyerek sizi doğru alan adında yanlış (kendi) sunucusuna yönlendirir. Bu açığı DNSSEC yazımızda ayrıntılı ele aldık.
- SSL stripping: Saldırgan, HTTPS bağlantısını gizlice HTTP’ye düşürerek şifrelemeyi ortadan kaldırır ve trafiği açıkça okur. HSTS bu saldırıyı hedef alır.
- Sahte/hileli sertifika: Saldırgan, kurbanın cihazına güvenilir görünen sahte bir kök sertifika yükleyebilir veya izinsiz bir sertifika kullanabilir.
MITM’e Karşı Birinci Savunma: HTTPS
MITM’e karşı en temel koruma uçtan uca şifrelemedir: HTTPS (TLS). Trafik doğru yapılandırılmış TLS ile şifrelendiğinde, saldırgan araya girse bile veriyi okuyamaz veya sezdirmeden değiştiremez; çünkü sunucunun kimliği geçerli bir SSL sertifikasıyla doğrulanır.
Ancak bu, sertifikanın gerçekten geçerli ve güvenilir olmasına bağlıdır. “Bağlantınız gizli değil” gibi uyarıları asla görmezden gelmeyin — bu uyarılar tam olarak olası bir MITM’e karşı sizi durdurmak içindir. Bu hataların ne anlama geldiğini ayrı bir yazıda açıkladık. Kendi sitenizin sertifikasının, zincirinin ve TLS yapılandırmasının sağlam olduğunu SSL Sorgulama aracıyla düzenli kontrol edin; zayıf TLS sürümleri (TLS 1.0/1.1) MITM’i kolaylaştırdığı için kapatılmalıdır.
SSL Stripping’e Karşı HSTS
SSL stripping saldırısında, kullanıcı siteye ilk kez http:// ile bağlanırken saldırgan bağlantıyı HTTPS’e yükseltmeyi engeller ve trafiği açık tutar. HSTS (HTTP Strict Transport Security) tam olarak bunu önler: tarayıcıya “bu siteye yalnızca HTTPS ile bağlan” talimatı verir, böylece HTTP’ye düşürme denemesi baştan başarısız olur.
En güçlü koruma için HSTS’i includeSubDomains ve preload ile kullanmak, alan adınızı tarayıcıların yerleşik HSTS listesine ekletmek gerekir — böylece ilk ziyaret bile HTTP’ye düşürülemez. HSTS yapılandırmasını HSTS rehberimizde anlattık; sitenizin bu başlığı doğru gönderip göndermediğini HTTP Güvenlik Başlıkları aracıyla test edebilirsiniz.
DNS Katmanında Koruma: DNSSEC ve Şifreli DNS
MITM her zaman TLS katmanında olmaz; bazen daha aşağıda, DNS’te başlar. Saldırgan DNS yanıtını sahteleyerek sizi doğru alan adında yanlış IP’ye yönlendirebilir:
- DNSSEC, DNS yanıtlarını dijital imzayla doğrular; sahtelenmiş bir yanıt reddedilir. Alan adınızda DNSSEC’i etkinleştirmek DNS tabanlı yönlendirme saldırılarını engeller. Ayrıntılar: DNSSEC Nedir?
- Şifreli DNS (DoH/DoT), DNS sorgularınızı şifreleyerek ağdaki bir saldırganın hangi siteleri ziyaret ettiğinizi görmesini ve yanıtları kurcalamasını zorlaştırır. Bkz. Şifreli DNS (DoH/DoT).
Alan adınızın DNS ve DNSSEC durumunu WHOIS ve DNS Sorgulama araçlarıyla denetleyebilirsiniz.
Kullanıcı Olarak MITM’den Nasıl Korunursunuz?
- Açık/halka açık Wi-Fi’de dikkatli olun. Zorunluysa güvenilir bir VPN kullanın; VPN tüm trafiğinizi şifreleyerek ağdaki saldırgana karşı ek bir katman ekler. (VPN ve olası sızıntılar için WebRTC IP Sızıntısı yazımıza bakın.)
- Sertifika uyarılarını asla atlamayın. “Bağlantınız gizli değil” ekranını görüyorsanız o siteye bilgi girmeyin.
- Adres çubuğunda HTTPS olduğundan emin olun ve hassas işlemlerde alan adını dikkatle okuyun (oltalama ile birleşebilir; bkz. Oltalama Nedir?).
- Cihaz ve tarayıcınızı güncel tutun; güvenlik yamaları birçok MITM tekniğini kapatır.
- Tanımadığınız kök sertifikaları yüklemeyin; “bu sertifikayı güven” isteyen kurulumlara şüpheyle yaklaşın.
Site Sahibi Olarak Alınacak Önlemler
- Tüm siteyi HTTPS’e taşıyın ve HTTP’yi HTTPS’e yönlendirin.
- HSTS’i preload ile etkinleştirin; SSL stripping’i baştan imkânsız kılın.
- Zayıf TLS sürümlerini ve cipher’ları kapatın; SSL Sorgulama ile A/A+ hedefleyin.
- Alan adınızda DNSSEC’i etkinleştirin ve CAA kaydı ile yalnızca kullandığınız CA’lara sertifika izni verin.
- Güvenlik başlıklarınızı sıkılaştırın; sertifika ve yapılandırma değişikliklerini sürekli izleyin.
Özetle
Ortadaki adam saldırısı, iletişimin arasına sızarak veriyi dinlemeyi ve değiştirmeyi hedefler; en tehlikeli yanı çoğu zaman fark edilmemesidir. Savunma tek bir sihirli ayar değil, katmanların birleşimidir: doğru yapılandırılmış HTTPS, HSTS ile zorunlu şifreleme, DNSSEC ile doğrulanmış DNS ve şifreli DNS. Bu katmanları birlikte kurduğunuzda, saldırganın araya girmesi ya imkânsız ya da anında fark edilir hâle gelir.
Sitenizin bu savunma katmanlarını SSL Sorgulama, HTTP Güvenlik Başlıkları ve DNS Sorgulama araçlarımızla denetleyin. Kurumsal SSL, DNS ve güvenlik hizmetleri için İHS Telekom‘u inceleyebilirsiniz.