• a b'den public keyini ister ki ona sadece b'nin private keyi ile acilabilecek bisi yollayabilsin. c devreye girer, b'den aya yollanan keyi yakalar ve onun yerine kendi public keyini yollar. herseyden habersiz a, b'nin sandigi fakat c'ye ait olay key ile sifreler mesaji ve b'ye yollar. bu mesaji yine arada duran c yakalar, okur degistirir diledigince ve b'nin keyi ile sifreleyip hic bisi olmamis gibi iletir b'ye. iki tarafin da ruhu duymaz. gonul ister ki soyle baba bi d olsa, ondan ogrense herkes arkadasinin public keyini ki c gibi yuvarlaklar sorun olmasa. baksak public keye arasak d babanin imzasini altinda.. peh peh.
  • man in the middle attack sıradan bir packet capture (bkz: sniffing) işlemi değildir, bu yüzden herhangi genel bir uygulayıcı programı falan yoktur. yoktur çünkü uygulamanın önkoşulları ağırdır. mesela nedir bu koşullar:

    1) iki node arasında bir yerde durup gelip giden veriyi izleyebiliyor olmak
    2) veri akışına müdahale edebiliyor olmak

    1. koşul capture programlarının önkoşuluyken 2.si için network içinde hem görev hem yetki açısından daha sofistike bir konumda bulunmak ve belki de hardware desteği gerekmektedir.

    bu iki koşul sağlandıktan sonra ancak ve ancak genel bir man in the middle attack uygulaması yazılabilir ki bunun da perspektifi çok geniş olacağı için böyle karmaşık ve kullanım alanı çok düşük bir projeyle anca pentagon uğraşır mit uğraşır. bunla uğraşan adam için de kimse kalkıp bunların thawthe'nin rsa'in ensesine vurup ver lan private key'ini arada ben sign edicem communication'ı demediğini garanti edemez. nitekim işbu paranoya düzeyindeyseniz bu tip sertifika tabanlı bağlantılar da bok yolunun yolcusudur, ulusal veya uluslararası herhangi bir otoriteye güvenmek saçmadır saçmalıktır.

    burda önemli olan neyi kimden koruduğunuzu bilmektir. örneğin deminki örnekte pentagon senin kredi kartı numaranı napacak, zaten biliyordur her şeyi, al gir secure site'ına takıl, o ayrı. ama ben private mail gönderiyorum işte aldım şurdan burdan sertifikayı, programım da otomatik sertifika exchange ediyor dünyanın yerkürenin en güzel programı protokolü diye düşünüyorsanız pek yanılıyorsunuz bunu bilmekte yarar var.

    eğer ki herhangi bir protokol public key'lerin exchange edilmesi marifetiyle güvenli iletişim sunduğunu iddia ediyorsa bu man in the middle attack yüzünden yalandır dolandır ve insanlık fena halde kandırılmaktadır. bu yüzden pgp gibi uygulamalarda "key trust" ve "key signing" ön plana çıkmıştır, key exchange ile iletişim protokolünün içiçe olması bir design flawdur, en kısa zamanda türkçe konuşmayı öğrenmem gerekmektedir.
  • man in the middle = aradaki ibne

    "acaba ssl olmadan da bertaraf edilebilir mi?" gibi bir hayalden yola çıkarak birkaç akşamdır boş vakitlerimde bu konuyu araştırıyorum. çok da güzel yöntemler var: rsa ile istemcide rastgele private/public key üretip isteği private key ile şifrelemek, public key ile birlikte sunucuya göndermek gibi mesela. bu durumda private key asla bir yerden başka bir yere iletilmediği ve rastgele oluşturulduğu için "aradaki ibne" bu isteği yakalasa ve public key ile açıp ne olduğuna baksa bile private key'i bilmediğinden aynı şekilde yeniden şifreleme şansı yok. ve fakat lakin kendi private/public key'lerini üretip istemciden gelen isteğin bir benzerini sunucuya iletebilir. ne istemcinin ne de sunucunun aradaki ibneden haberi olur. iletişimde nonce ya da timestamp kullanımı da pek bir şey değiştirmiyor. sonuçta her şey "aradaki ibne"nin kontrolü altında.

    bu tür güvenlik tedbirlerinin javascript ile uygulandığı örnekler var ama istemcinin bir web tarayıcı olduğu durumlarda kullandığınız şifreleme kodu da güvensiz yollarla sunucudan geldiği için ve bu kod da "aradaki ibne" tarafından rahatlıkla değiştirilebileceği için yapabileceğiniz pek bir şey yok.

    sonuç olarak, aradaki ibne her zaman kazanır. ssl tek çözüm diyoruz da o bile yeterince güvenli olmayabiliyor bazen, türktrust örneğinde olduğu gibi.
  • milli eğitim bakanlığı'nın bağıra çağıra, resmi duyurularla falan uyguladığı olağan bir süreç haline gelmiş:

    https://medium.com/…ckliyor-95e96a9094f1#.dyo6idbqd
  • ssl bir bağlantı için pratikte uygulanamaz çünkü aldığınız paketi aynı sertifikayla tekrar encrypt etmeniz mümkün değildir sertifikanın private key'ine sahip olmadığınızdan. ne yapabilirsiniz? dandik bir ssl sertifika sağlayıcıdan aynı domain için sertifika almayı başarabilir ve gelen bağlantı taleplerini o dandik sertifikayla şifreleyebilirsiniz. o vahim noktaya geldiğiniz vakit de certificate authority'lerin akreditasyon kriterleri üzerinde iyileştirme yapmak suretiyle sistemi yeniden kuvvetlendirebilirsiniz. (bkz: crl)
  • (bkz: threesome)
  • eğer erk bu yöntemi kullanırsa yöntem birden yasal oluveriri. https bağlantıların içeriğinin de dinlenebilmesi için akıllara gelen yöntem. elealem savaş zamanı sanayide, teknolojide ilerler, bizdeyse faşist diktatörlük zamanında internet yasaklama yöntemleri ilerliyor. gerçekten boş bakkal tartıyor.
  • özellikle internette veriniz o kadar çok aracı üzerinden geçerek size ulaşır ki, her zaman man in the middle attack varmış gibi düşünmek lazım esasında. trafiğiniz şifreli değilse hiç bir zaman doğru veriyi aldığınızı düşünmeyin.

    hadi web'de browser söylüyor durumu, yeşil yeşil yanan adres çubuğu içimizi rahatlatıyor ama bilgisayara, telefona yüklenen uygulamaların nereye bağlandığını, nasıl bağlandığını pek göremiyoruz.
  • kali linux kullanarak yapılan bir man in the middle attack kılavuzu şuradan izlenebilir:

    http://www.youtube.com/watch?v=dat5kjxpwbi

    yeni internet yasası, tib başkanı'na sadece böyle konular üzerine çalışan timler kurma yetkisi veriyor.

    ağ güvenliği, iletişim güvenliği gibi konularda dünyanın en önde giden insanları, önümüzdeki 10 yıl içinde bu faşist diktatörlük ortamında yetişeceğe benziyor.

    hırsızlığın böylesine damarlarına işlediği bir ekip nadir bulunur. akademik ortamlarda kaç yayın çıkacak bu ekip hakkında, kestirmek oldukça güç. ama kendimizi yeni türktrustlara hazırlamamız gerektiğini kestirebiliyoruz.
  • (bkz: hükümetin man in the middle attack yapması)
hesabın var mı? giriş yap