Атака человек посередине
Атака человек посередине (англ. Man-in-the-Middle, MitM) — это тип кибератаки, при котором злоумышленник тайно перехватывает и, возможно, изменяет передаваемые данные между двумя сторонами, которые считают, что общаются напрямую друг с другом. Атака относится к классу активного прослушивания сети и нарушает конфиденциальность, целостность и подлинность информационного обмена.
Принцип действия
В классической модели связи между отправителем (Алисой) и получателем (Бобом) присутствует третья сторона — злоумышленник (Мэллори). Мэллори внедряется в канал связи и выполняет две роли: для Алисы он представляется Бобом, а для Боба — Алисой. В результате:
- Алиса отправляет сообщение, думая, что оно адресовано Бобу, но на самом деле оно попадает к Мэллори.
- Мэллори может прочитать, изменить или задержать сообщение, после чего переслать его настоящему получателю (Бобу).
- Боб получает модифицированное сообщение, полагая, что оно пришло от Алисы.
Таким образом, злоумышленник получает полный контроль над сеансом связи, оставаясь незамеченным для обеих сторон. Ключевым условием успешной атаки является отсутствие или обход механизмов взаимной аутентификации и шифрования.
История
Первые упоминания о концепции MitM относятся к 1970-м годам, когда исследователи в области криптографии (в частности, Уитфилд Диффи и Мартин Хеллман) описали уязвимость протоколов обмена ключами без аутентификации. В 1981 году Лесли Лэмпорт в работе «Password Authentication with Insecure Communication» формализовал проблему «человека посередине» как угрозу для протоколов аутентификации.
С развитием интернета и сетевых технологий в 1990-х годах атаки MitM стали массовыми. Одним из первых широко известных примеров стала атака на протокол SSL (Secure Sockets Layer) в 1998 году, когда исследователи продемонстрировали возможность перехвата защищённого трафика через подмену сертификатов.
В 2010-х годах атаки MitM активно использовались для перехвата данных в общественных Wi-Fi-сетях, а также для внедрения вредоносного кода на веб-страницы. В 2015 году компания Superfish (организация, признанная нежелательной в РФ) была уличены в использовании MitM-атак через предустановленное ПО на ноутбуках Lenovo для вставки рекламы в защищённые HTTPS-соединения.
Классификация атак
Атаки «человек посередине» классифицируются по способу внедрения в канал связи и типу перехватываемого трафика.
По способу внедрения
- ARP-спуфинг (ARP-отравление) — злоумышленник отправляет поддельные ARP-ответы в локальную сеть, привязывая свой MAC-адрес к IP-адресу жертвы (обычно шлюза). В результате весь трафик жертвы проходит через атакующего.
- DNS-спуфинг (отравление кэша DNS) — злоумышленник подменяет записи DNS-сервера, перенаправляя пользователя на поддельный сайт, внешне неотличимый от легитимного.
- DHCP-спуфинг — атакующий разворачивает поддельный DHCP-сервер, выдавая жертве ложные сетевые настройки (IP-адрес шлюза, DNS-сервера), что позволяет перехватывать трафик.
- BGP-перехват — атака на уровне маршрутизации интернета, когда злоумышленник объявляет ложные маршруты через протокол BGP, перенаправляя трафик целых сетей через свои узлы.
- Wi-Fi-атаки — создание поддельной точки доступа (Evil Twin) с тем же именем (SSID), что и легитимная сеть. Устройства жертв автоматически подключаются к подделке, и весь трафик проходит через атакующего.
- SSL/TLS-атаки — перехват защищённого трафика через подмену сертификатов (например, с помощью предустановленных корневых сертификатов) или использование уязвимостей в протоколах (POODLE, Heartbleed).
По типу перехватываемого трафика
- Пассивный MitM — злоумышленник только перехватывает и читает данные, не изменяя их. Используется для кражи паролей, банковских данных, личной переписки.
- Активный MitM — злоумышленник модифицирует передаваемые данные: подменяет содержимое веб-страниц, внедряет вредоносный код, изменяет финансовые транзакции, перехватывает и подменяет криптографические ключи.
Примеры реализации
Атака на протокол Диффи-Хеллмана
Классический пример MitM — атака на протокол обмена ключами Диффи-Хеллмана (Diffie-Hellman). Если стороны не аутентифицируют друг друга, злоумышленник может перехватить открытые ключи обеих сторон, сгенерировать свои пары ключей и установить два отдельных защищённых канала: один с Алисой, другой с Бобом. В результате Мэллори может читать и изменять все сообщения, проходящие через него.
Атака на HTTPS-соединение
При использовании HTTPS злоумышленник может попытаться перехватить трафик, если жертва игнорирует предупреждения браузера о недействительном сертификате. В более сложных сценариях атакующий устанавливает на устройство жертвы поддельный корневой сертификат (например, через вредоносное ПО или принудительную установку в корпоративной сети), что позволяет браузеру считать поддельные сертификаты доверенными.
Атака на мобильные приложения
Приложения, использующие незащищённые протоколы (HTTP, незашифрованные WebSocket) или неправильно проверяющие сертификаты, уязвимы для MitM. Например, в 2018 году исследователи обнаружили, что многие популярные мобильные приложения для Android и iOS не проверяют сертификаты TLS, что позволяет перехватывать их трафик в общественных сетях.
Методы защиты
Защита от атак «человек посередине» основана на криптографических механизмах, обеспечивающих аутентификацию, целостность и конфиденциальность данных.
Аутентификация сторон
- Сертификаты TLS/SSL — использование цифровых сертификатов, подписанных доверенными удостоверяющими центрами, позволяет клиенту убедиться в подлинности сервера. Взаимная аутентификация (mTLS) дополнительно проверяет подлинность клиента.
- Протоколы с аутентификацией — использование протоколов, которые включают аутентификацию на этапе установления соединения (например, SSH, IPsec, Signal Protocol).
Шифрование и контроль целостности
- Сквозное шифрование (E2EE) — данные шифруются на стороне отправителя и расшифровываются только на стороне получателя. Даже если злоумышленник перехватит трафик, он не сможет его прочитать. Примеры: Signal, WhatsApp, Telegram (в секретных чатах).
- Коды аутентичности сообщений (MAC) — добавление к сообщению контрольной суммы, вычисленной с использованием общего ключа, позволяет получателю проверить, что сообщение не было изменено.
- Цифровые подписи — использование асимметричной криптографии для подписи сообщений, что гарантирует их подлинность и целостность.
Сетевые меры
- VPN (виртуальные частные сети) — шифрование всего трафика между устройством и VPN-сервером делает MitM-атаки на локальном уровне бесполезными.
- DNSSEC (DNS Security Extensions) — криптографическая подпись DNS-записей, предотвращающая DNS-спуфинг.
- HTTPS Everywhere — принудительное использование HTTPS на всех сайтах, поддерживающих этот протокол.
- Мониторинг сети — использование систем обнаружения вторжений (IDS) для выявления аномалий, таких как множественные ARP-ответы от одного MAC-адреса.
Пользовательские меры
- Проверка сертификатов сайтов (наличие замка в адресной строке браузера, отсутствие предупреждений о недействительном сертификате).
- Использование надёжных паролей и двухфакторной аутентификации (2FA), которая не зависит от перехватываемого канала.
- Осторожность при подключении к общественным Wi-Fi-сетям, предпочтение мобильного интернета или VPN.
- Регулярное обновление операционной системы и приложений для устранения известных уязвимостей.
Критика и ограничения
Несмотря на наличие эффективных методов защиты, атаки MitM остаются распространёнными по нескольким причинам:
- Человеческий фактор — пользователи часто игнорируют предупреждения браузера о недействительных сертификатах или подключаются к незащищённым сетям.
- Сложность реализации защиты — настройка взаимной аутентификации и сквозного шифрования требует дополнительных усилий от разработчиков и администраторов.
- Уязвимости в протоколах и реализациях — периодически обнаруживаются критические уязвимости (например, Heartbleed в OpenSSL, 2014 год), которые позволяют обходить защиту.
- Государственный надзор — в некоторых странах правоохранительные органы требуют от провайдеров установки систем перехвата трафика (например, СОРМ в России, система «Демократия» в некоторых странах), что технически является MitM-атакой, но с санкции государства.
Интересные факты
- Термин «Man-in-the-Middle» впервые появился в открытой печати в 1981 году в статье Лесли Лэмпорта.
- В 2013 году бывший сотрудник АНБ Эдвард Сноуден раскрыл информацию о программе MUSCULAR, в рамках которой АНБ перехватывало трафик между дата-центрами Google и Yahoo, фактически проводя MitM-атаки на уровне магистральных каналов.
- В 2017 году исследователи из Университета Принстона продемонстрировали атаку на протокол Bluetooth, позволяющую перехватывать и изменять данные между устройствами, используя уязвимость в процессе сопряжения.
Источники
- Diffie, W., & Hellman, M. (1976). New directions in cryptography. IEEE Transactions on Information Theory.
- Lamport, L. (1981). Password authentication with insecure communication. Communications of the ACM.
- Schneier, B. (1996). Applied Cryptography: Protocols, Algorithms, and Source Code in C. John Wiley & Sons.
- Rescorla, E. (2001). SSL and TLS: Designing and Building Secure Systems. Addison-Wesley.
- RFC 5246 — The Transport Layer Security (TLS) Protocol Version 1.2.
- RFC 4251 — The Secure Shell (SSH) Protocol Architecture.
- Официальные материалы ФСТЭК России по защите информации от несанкционированного доступа.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →