man in the middle attack

• a b'den public keyini ister ki ona sadece b'nin private keyi ile acilabilecek bisi yollayabilsin. c devreye girer, b'den aya yollanan keyi yakalar ve onun yerine kendi public keyini yollar. herseyden habersiz a, b'nin sandigi fakat c'ye ait olay key ile sifreler mesaji ve b'ye yollar. bu mesaji yine arada duran c yakalar, okur degistirir diledigince ve b'nin keyi ile sifreleyip hic bisi olmamis gibi iletir b'ye. iki tarafin da ruhu duymaz. gonul ister ki soyle baba bi d olsa, ondan ogrense herkes arkadasinin public keyini ki c gibi yuvarlaklar sorun olmasa. baksak public keye arasak d babanin imzasini altinda.. peh peh.
• herhangi bir 'trust' modeli üzerinden sertifika kullanılmayan bağlantıların en büyük açığıdır. seni dinlemeye kasan adam uğraşır bunu da yapar zaten. pratikte bir uygulaması yoktur, en azından ben görmedim ve fakat varlığı en muhtemel attack türü budur. işbu yüzden anlamam sertifikasız enkripsiyona sekür diyen zihniyeti, sensin sekür derim hoşlanmam.
• ettercap, aman yanlis ellere gecmesin.
• man in the middle attack sıradan bir packet capture (bkz: sniffing) işlemi değildir, bu yüzden herhangi genel bir uygulayıcı programı falan yoktur. yoktur çünkü uygulamanın önkoşulları ağırdır. mesela nedir bu koşullar:
  
  1) iki node arasında bir yerde durup gelip giden veriyi izleyebiliyor olmak
  2) veri akışına müdahale edebiliyor olmak
  
  1. koşul capture programlarının önkoşuluyken 2.si için network içinde hem görev hem yetki açısından daha sofistike bir konumda bulunmak ve belki de hardware desteği gerekmektedir.
  
  bu iki koşul sağlandıktan sonra ancak ve ancak genel bir man in the middle attack uygulaması yazılabilir ki bunun da perspektifi çok geniş olacağı için böyle karmaşık ve kullanım alanı çok düşük bir projeyle anca pentagon uğraşır mit uğraşır. bunla uğraşan adam için de kimse kalkıp bunların thawthe'nin rsa'in ensesine vurup ver lan private key'ini arada ben sign edicem communication'ı demediğini garanti edemez. nitekim işbu paranoya düzeyindeyseniz bu tip sertifika tabanlı bağlantılar da bok yolunun yolcusudur, ulusal veya uluslararası herhangi bir otoriteye güvenmek saçmadır saçmalıktır.
  
  burda önemli olan neyi kimden koruduğunuzu bilmektir. örneğin deminki örnekte pentagon senin kredi kartı numaranı napacak, zaten biliyordur her şeyi, al gir secure site'ına takıl, o ayrı. ama ben private mail gönderiyorum işte aldım şurdan burdan sertifikayı, programım da otomatik sertifika exchange ediyor dünyanın yerkürenin en güzel programı protokolü diye düşünüyorsanız pek yanılıyorsunuz bunu bilmekte yarar var.
  
  eğer ki herhangi bir protokol public key'lerin exchange edilmesi marifetiyle güvenli iletişim sunduğunu iddia ediyorsa bu man in the middle attack yüzünden yalandır dolandır ve insanlık fena halde kandırılmaktadır. bu yüzden pgp gibi uygulamalarda "key trust" ve "key signing" ön plana çıkmıştır, key exchange ile iletişim protokolünün içiçe olması bir design flawdur, en kısa zamanda türkçe konuşmayı öğrenmem gerekmektedir.
• dogru duzgun authentication yapılmaması durumunda olusması muhtemel guvenlik acıgı ve bu acıga saldırı yontemi
• (bkz: cain/#10279337)
• ssl bir bağlantı için pratikte uygulanamaz çünkü aldığınız paketi aynı sertifikayla tekrar encrypt etmeniz mümkün değildir sertifikanın private key'ine sahip olmadığınızdan. ne yapabilirsiniz? dandik bir ssl sertifika sağlayıcıdan aynı domain için sertifika almayı başarabilir ve gelen bağlantı taleplerini o dandik sertifikayla şifreleyebilirsiniz. o vahim noktaya geldiğiniz vakit de certificate authority'lerin akreditasyon kriterleri üzerinde iyileştirme yapmak suretiyle sistemi yeniden kuvvetlendirebilirsiniz. (bkz: crl)
• charles web debugging proxy de ssl üzerinden giden gelen veriyi monitörlemek için bu yöntemi kullanır.
• (bkz: pcap)
• (bkz: threesome)