Открыть сервис

Атака человек посередине

Атака человек посередине (англ. Man-in-the-Middle, MitM) — это тип кибератаки, при котором злоумышленник тайно перехватывает и, возможно, изменяет передаваемые данные между двумя сторонами, которые считают, что общаются напрямую друг с другом. Атака относится к классу активного прослушивания сети и нарушает конфиденциальность, целостность и подлинность информационного обмена.

Принцип действия

В классической модели связи между отправителем (Алисой) и получателем (Бобом) присутствует третья сторона — злоумышленник (Мэллори). Мэллори внедряется в канал связи и выполняет две роли: для Алисы он представляется Бобом, а для Боба — Алисой. В результате:

Таким образом, злоумышленник получает полный контроль над сеансом связи, оставаясь незамеченным для обеих сторон. Ключевым условием успешной атаки является отсутствие или обход механизмов взаимной аутентификации и шифрования.

История

Первые упоминания о концепции MitM относятся к 1970-м годам, когда исследователи в области криптографии (в частности, Уитфилд Диффи и Мартин Хеллман) описали уязвимость протоколов обмена ключами без аутентификации. В 1981 году Лесли Лэмпорт в работе «Password Authentication with Insecure Communication» формализовал проблему «человека посередине» как угрозу для протоколов аутентификации.

С развитием интернета и сетевых технологий в 1990-х годах атаки MitM стали массовыми. Одним из первых широко известных примеров стала атака на протокол SSL (Secure Sockets Layer) в 1998 году, когда исследователи продемонстрировали возможность перехвата защищённого трафика через подмену сертификатов.

В 2010-х годах атаки MitM активно использовались для перехвата данных в общественных Wi-Fi-сетях, а также для внедрения вредоносного кода на веб-страницы. В 2015 году компания Superfish (организация, признанная нежелательной в РФ) была уличены в использовании MitM-атак через предустановленное ПО на ноутбуках Lenovo для вставки рекламы в защищённые HTTPS-соединения.

Классификация атак

Атаки «человек посередине» классифицируются по способу внедрения в канал связи и типу перехватываемого трафика.

По способу внедрения

По типу перехватываемого трафика

Примеры реализации

Атака на протокол Диффи-Хеллмана

Классический пример MitM — атака на протокол обмена ключами Диффи-Хеллмана (Diffie-Hellman). Если стороны не аутентифицируют друг друга, злоумышленник может перехватить открытые ключи обеих сторон, сгенерировать свои пары ключей и установить два отдельных защищённых канала: один с Алисой, другой с Бобом. В результате Мэллори может читать и изменять все сообщения, проходящие через него.

Атака на HTTPS-соединение

При использовании HTTPS злоумышленник может попытаться перехватить трафик, если жертва игнорирует предупреждения браузера о недействительном сертификате. В более сложных сценариях атакующий устанавливает на устройство жертвы поддельный корневой сертификат (например, через вредоносное ПО или принудительную установку в корпоративной сети), что позволяет браузеру считать поддельные сертификаты доверенными.

Атака на мобильные приложения

Приложения, использующие незащищённые протоколы (HTTP, незашифрованные WebSocket) или неправильно проверяющие сертификаты, уязвимы для MitM. Например, в 2018 году исследователи обнаружили, что многие популярные мобильные приложения для Android и iOS не проверяют сертификаты TLS, что позволяет перехватывать их трафик в общественных сетях.

Методы защиты

Защита от атак «человек посередине» основана на криптографических механизмах, обеспечивающих аутентификацию, целостность и конфиденциальность данных.

Аутентификация сторон

Шифрование и контроль целостности

Сетевые меры

Пользовательские меры

Критика и ограничения

Несмотря на наличие эффективных методов защиты, атаки MitM остаются распространёнными по нескольким причинам:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →