Man in the Middle Attack (Ortadaki Adam Saldırısı) 

1.Giriş

Dijitalleşmenin hayatımıza entegrasyonu ile her gün sayısız siber saldırı yaşanmaktadır. Büyük veri ihlallerine sebep olabilecek bu saldırılar; hem bilgisayarlara hem de kullanıcılara yönelik olabilir. Bu yazımızda son zamanlarda adını sıkça duyduğumuz Man In The Middle (Ortadaki adam) saldırısını, bu saldırılardan korunma yöntemlerini ve bu saldırıların Türk Ceza Hukuku bağlamında değerlendirilmesini anlatacağız.

 2. Man in the Middle Attack (Ortadaki Adam Saldırısı) Nedir? 

Ortadaki Adam Saldırısı, ağ cihazları ve kurban bilgisayarlar arasında yetkisiz erişim ile gizlice veri yakalama ve şifrelenmemiş verileri takip etme ilkesine dayanan bir tür saldırıdır. (Efe, Kalkancı, Donk, Cihangir, & Uysal, 2019) Bu saldırı türünde siber saldırgan kendi bilgisayarında oluşturduğu gizli sahte bir ağ ile gerçek zamanlı veri aktarımında olan iki tarafın arasındaki iletişime gizlice dahil olur. 

Saldırının başarılı olması durumunda siber saldırgan tüm internet trafiği akışını yönlendirebilmekte ve şifreli “https” sitelerindeki bilgileri dahi ele geçirebilmektedir. Saldırgan; İnternet trafiğinde yer edinmesi nedeniyle tüm verilere ulaşabilmekte verileri aktarabilmekte veya değiştirebilmektedir.

Kısaca siber saldırganların, ara sunucular oluşturarak iletişime dahil olduğu bir siber saldırı türü olarak tanımlayabileceğimiz “MitM”, herkes tarafından ağ güvenliğine ilişkin iyi bilinen bir saldırı olmakla birlikte koruma önlemlerinin en az olduğu saldırı türlerinden biridir. Bunun nedeni, dikkatli bir siber saldırgan tarafından gerçekleştirildiğinde, ortadaki adam saldırısını tespit etmenin ve buna ilişkin siber güvenlik önlemleri almanın mümkün olmamasıdır. 

3. Man in the Middle (Ortadaki Adam) Saldırısı Nasıl Gerçekleşir?

Ortadaki adam saldırıları iki aşamalı gerçekleştirilir. Müdahale (Interception) aşaması siber saldırganın meşru bir ağa sahte bir ağla ile müdahale ederek kendisini “ortadaki adam” yaptığı aşama olarak tanımlanmaktadır. En yaygın kullanılan yöntem saldırganın halka açık parola gerektirmeyen bir Wi-Fi ağı oluşturması ve kurbanlarının etkin noktaya bağlanması şeklinde gerçekleştirilir. Bağlantının gerçekleşmesi ile siber saldırgan, kurbanın internet trafiğine dahil olmaktadır. Saldırgan sonraki hedefleri için çeşitli yöntemler kullanmaya devam etmektedir.

• IP Spoofing:”Internet Protocol” bilinen ismiyle İnternet Protokolü Sahtekarlığı olan bu yöntemde siber saldırganın kimliğini gizleyerek kurbanın bilgisayar sistemini taklit etmesi için IP’nin değiştirilmesi ile meydana gelmektedir. Kurban sisteme bağlı bir alan adına erişmeye çalıştığında farkında olmadan siber saldırganın web sitesine yönlendirilir.
• ARP Spoofing:“Address Resolution Protocol” Türkçe ismiyle Adres Çözümleme Protokolü olarak bilinen bu yöntemde siber saldırgan kendi bilgisayarının MAC adresini modeme kurbanın bilgisayarının MAC adresi gibi göstererek internet trafiğine yetkisiz erişim sağlamaktadır.
• DNS Spoofing:“Domain Name System” diğer bir adıyla Alan İsimlendirme Sistemi olarak bilinen bu yöntemde saldırgan; kurbanı, ziyaret etmek istediği gerçek web sitesi yerine sahte bir web sitesine yönlendirerek yaptığı işlemleri izleme yoluyla kişisel verilerini elde eder. 

Ortadaki Adam (MıtM) saldırısı müdahale aşamasında sona ermemektedir. Siber saldırganın verilere erişmesini takiben ikinci aşama olan şifre çözme (decryption) aşamasına geçilmektedir. Bu aşamada kurbanın şifrelenmiş verilerine erişilmesinin ardından erişilen verilerin okunabilmesi için ilgili şifrelerin çözülmesi gerekmektedir. Şifrenin çözülmesi ile birlikte kimlik hırsızlığı, para aktarımları veya dolandırıcılık faaliyetleri baş gösterebilmektedir. Kullanıcının veya sistemin fark etmeden şifrenin çözülmesi için kullanılan birkaç yöntem mevcuttur.

• HTTPS Spoofing: “HTTPS” yer alan S eki Security yani güvenlik anlamına gelmektedir. Güvenli olmayan web sitesine bağlanılmaya çalışıldığında sunucu güvenli olana otomatik yönlendirmektedir. HTTPS sahtekarlığında güvenli ve gerçek olmayan bir siteye tarayıcınız kandırılarak güvenli olduğu algısı yaratılır. Kurban güvenli bir siteye bağlanmak istediğinde ise tarayıcısına gönderilen sahte sertifikayla kurbanın, siber saldırgan tarafından oluşturulan kötü amaçlı web sitesine yönlendirilmesi sağlanır. Bu yöntemle saldırgan kurbanın yönlendirdiği sitede paylaştığı tüm verilere erişebilmektedir.
• SSL Hijacking: “Secure Sockets Layer” Türkçe anlamı ile güvenli yuva katmanı, tarayıcı ve web sunucusu arasında şifreli bağlantı olmasını sağlayan bir protokoldür. Bu yöntemde saldırgan, kullanıcıyı güvenli olmayan bir web sitesine yönlendirir ancak kullanıcı bunu farketmemektedir. Çünkü siber saldırgan web sitesinin şifrelenmemiş sürümünü kullanıcıya göndermektedir

• Man in the Middle (Ortadaki Adam) Saldırısından Korunma Yöntemleri

Ortadaki Adam saldırısı tespit edilmesi en güç siber saldırılardan biridir. Dikkatli olunmalı ve güvenliğin ihlal edildiğine ilişkin işaretler kontrol edilmelidir. Bu saldırı çeşidinden korunmanın en etkili yolu saldırıyı önlemek olacaktır. Bu nedenle yapılabilecek birkaç önemli husus bulunmaktadır.

• Halka açık ve parola korumalı olmayan Wi-Fi ağlarından kaçınılmalıdır. Bu ağlara bağlı iken kişisel veri içeren işlemler yapılmamalıdır.
• Kişisel veri içeren işlemlerin yapıldığı web sitelerinde yapılan işlem bitirildiğinde oturum kapatılmalıdır.
• Anti-virüs güvenlik yazılımı kullanmak önemlidir, bu nedenle en güncel anti-virüs yazılımları kullanılmalıdır.
• Tüm parolalar için çift faktörlü kimlik doğrulama kullanılmalıdır.
• Ağ güvenliğini sağlamak için, çevrimiçi bağlanırken VPN (sanal özel ağ) kullanılmalıdır. Bu sayede siber saldırgan söz konusu ağda bulunsa dahi VPN verileri şifreleyeceğinden verilere erişemeyecektir.
• HTTPS olmayan web sitelerini kullanmaktan kaçınılmalıdır.
• Bu konuda bilinçlenmeli ve sosyal mühendislik oyunlarına kanılmamalıdır. Kimliği bilinmeyen kişilerden gelen e-postaların ekleri indirilmemelidir.

4. Man in the Middle Attack (Ortadaki Adam Saldırısının) Türk Ceza Hukuku Kapsamında Değerlendirilmesi

5237 sayılı Türk Ceza Kanunu’nda, MITM saldırılarına ilişkin olarak özel bir hüküm bulunmamaktadır. Ancak Türk Ceza Kanunu’nun Onuncu Bölüm (TCK 243-246) “Bilişim Alanında Suçlar” başlığı altında düzenlenen suçlar kapsamında değerlendirilir.

• Bilişim sistemine girme (TCK 243)

(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.

(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.

(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.

(4) (Ek: 24/3/2016-6698/30 md.) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.

Bilişim sistemine girme, mülga 765 sayılı Türk Ceza Kanunu’nda düzenlenmeyen bir suçtur. Bu fiilin suç haline getirilmesine yönelik bir yükümlülük Avrupa Konseyi Siber Suç Sözleşmesi’nde düzenlenmiştir. Bu suçun mağduru herkes olabilirken tüzel kişiler suçun faili olamazlar. Bilişim sistemine girme suçunun oluşabilmesi için sisteme kasten ve haksız olarak girilmesi yeterlidir, sistemdeki verilerin ele geçirilmesi veya içerdiği verdilerin zarar görmesi şartı aranmamaktadır. “Man in the Middle Attack” kavramı bu suçun unsurlarını sağlamaktadır.

• Sistemi engelleme, bozma, verileri yok etme veya değiştirme (TCK 244)

(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.

(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.

(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.

(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.

Kanunun bu maddesi bilişim sistemlerinin doğru şekilde işleyişini korumak amacıyla düzenlenmiştir. Suçun konusunu “bilişim sisteminin işleyişi” oluşturmaktadır. Suçun manevi unsuru bakımından bu suçlar ancak kasıtla işlenebilmekte olup taksirle işlenmeleri mümkün değildir. 

• Man in the Middle Attack (Ortadaki Adam Saldırısı) İle İşlenebilen Diğer Suçlar

• Bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık (TCK 158/1-f)

• Haberleşmenin gizliliğini ihlal (TCK 132)

• Özel hayatın gizliliğini ihlal (TCK 134)

• Kişisel verilerin kaydedilmesi (TCK 135)

• Verileri hukuka aykırı olarak verme veya ele geçirme (TCK 136)

• Man in the Middle Attack (Ortadaki Adam Saldırısı) İlişkin Senaryolar

• Bir kullanıcı, internet üzerinden “A” kurumunun bilgi sistemine girmek istemektedir. Saldırgan, kullanıcının internet bağlantısına araya girerek, kullanıcının bilgi sistemine olan iletişimini keserek “A” kurumu yerine kendisiyle bağlantı kurmasını sağlar. Kullanıcı, saldırganın kontrolündeki web sitesine bilgilerini girer ve bu bilgiler arasında bilgi sistemine erişim bilgileri de yer alabilir. Bu senaryoda, saldırganın kullanıcının bilgi sistemine olan iletişimini keserek ortadaki adam saldırısı yapması ve kullanıcının bilgi sistemine erişim bilgilerini ele geçirmesi, Bilişim sistemine girme (TCK 243) suçunu oluşturmaktadır. 

• “Mutlukrediler” bankasının müşterisi, internet bankacılığı üzerinden kendi hesabına giriş yapmak istiyor. Saldırgan, müşterinin bilgisayarına kötü amaçlı yazılım yükleyerek müşterinin internet tarayıcısını kontrol altına almıştır. Müşterinin internet bankacılığına giriş yaparken saldırgan, müşterinin hesap bilgilerini, şifrelerini ve doğrulama kodlarını toplamıştır.Bu senaryoda, saldırganın müşterinin bilgisayarına kötü amaçlı yazılım yükleyerek ortadaki adam saldırısı yapması ile verileri hukuka aykırı olarak verme veya ele geçirme (TCK 136) suçuna vücut vermiştir.

• İki arkadaş tarafından şifreli olarak iletişim kurulmaktadır. Saldırgan, iletişim şifresini kırarak iletişim kanalının ortasına girer.  iletişimi dinlemeye başlar. Tüm iletişim içeriğine erişir, mesajların içeriğini okur. Bu senaryoda, saldırganın iletişimi dinleyerek ve içeriğine erişerek ortadaki adam saldırısı yapması, haberleşmenin gizliliğini ihlal ettiği için Türk Ceza Kanunu’nun 132. maddesi olan Haberleşmenin gizliliğini ihlal suçunu oluşturur.

5. Sonuç

• Ortadaki Adam Saldırısı, ağ cihazları ve kurban bilgisayarlar arasında yetkisiz erişim ile gizlice veri yakalama ve şifrelenmemiş verileri takip etme ilkesine dayanan bir tür saldırıdır.
• 5237 sayılı Türk Ceza Kanunu’nda, MITM saldırılarına ilişkin olarak özel bir hüküm bulunmamaktadır. 
• Türk Ceza Kanunu’nun Onuncu Bölüm (TCK 243-246) “Bilişim Alanında Suçlar” başlığı altında düzenlenen suçlar kapsamında değerlendirilir.

 

Referanslar

• A Hidden Hazard: Man-In-The-Middle Attack in Networks

• https://ceur-ws.org/Vol-2872/short08.pdf

• Man-in-the-middle (MitM) attack definition and examples | CSO Online

• TÜRK CEZA KANUNU1 Kanun Numarası : 5237 Kabul Tarihi : 26/9/2004 Yayımlandığı Resmî Gazete

• BİLİŞİM SUÇLARI

• AVRUPA KONSEYİ SİBER SUÇ SÖZLEŞMESİ – AÇIKLAYICI MEMORANDUM [ İnternet ve Hukuk Platformu -İ v H P- çevirisi ] – Eralp Avukatlık Bürosu

• Koca/Üzülmez, Türk Ceza Hukuku Özel Hükümleri