Открыть сервис

Атака «человек посередине

Атака «человек посередине» (англ. Man-in-the-Middle, MitM) — это тип кибератаки, при которой злоумышленник тайно перехватывает и, возможно, изменяет передаваемые данные между двумя сторонами, которые считают, что общаются напрямую друг с другом. Атака относится к классу активного прослушивания (eavesdropping) и нарушает конфиденциальность, целостность и аутентичность передаваемой информации.

История

Концепция атаки «человек посередине» известна с момента появления первых сетей передачи данных. В классической криптографии она описывалась как проблема обмена ключами: если стороны не имеют защищённого канала для согласования секретного ключа, злоумышленник, находящийся между ними, может перехватить ключи и расшифровать весь трафик. В 1976 году Уитфилд Диффи и Мартин Хеллман предложили протокол обмена ключами Диффи — Хеллмана, который был устойчив к пассивному перехвату, но оставался уязвимым для атаки MitM, если не использовалась аутентификация сторон.

С развитием интернета и беспроводных сетей атаки MitM стали массовыми. В 2000-х годах они активно применялись для кражи учётных данных пользователей незащищённых Wi-Fi-сетей, а также для перехвата трафика в корпоративных сетях. В 2010-х годах атаки MitM усложнились: злоумышленники начали использовать поддельные SSL-сертификаты, компрометацию DNS-серверов и уязвимости в протоколах маршрутизации.

Механизм атаки

Атака «человек посередине» основана на способности злоумышленника перехватывать, читать и модифицировать данные, проходящие между двумя узлами (например, между клиентом и сервером). Для этого необходимо выполнить два условия:

  1. Внедрение в канал связи — злоумышленник должен получить возможность перехватывать трафик между сторонами. Это может быть достигнуто путём:
  • Физического подключения к сети (например, через небезопасный Wi-Fi-роутер).
  • Использования уязвимостей сетевых протоколов (например, ARP-спуфинг, DNS-спуфинг).
  • Компрометации сетевого оборудования (маршрутизаторов, коммутаторов).
  1. Маскировка под легитимные стороны — злоумышленник должен убедить каждую из сторон, что он является другой стороной. Для этого он может:
  • Подделывать IP-адреса или MAC-адреса.
  • Использовать поддельные SSL-сертификаты.
  • Перехватывать и подменять ключи шифрования.

После внедрения злоумышленник может:

  • Прослушивать — читать все передаваемые данные (логины, пароли, сообщения, финансовые данные).
  • Модифицировать — изменять содержимое передаваемых сообщений (например, подменять банковские реквизиты в платёжных поручениях).
  • Внедрять вредоносный код — заменять легитимные файлы или ссылки на вредоносные.

Классификация

Атаки «человек посередине» классифицируются по способу внедрения в канал связи:

По типу перехватываемого трафика

  • Wi-Fi MitM — атаки на беспроводные сети. Злоумышленник создаёт поддельную точку доступа (Evil Twin) с тем же именем (SSID), что и легитимная, или перехватывает трафик через уязвимости протокола WPA2.
  • ARP-спуфинг (ARP poisoning) — атака на локальную сеть. Злоумышленник отправляет поддельные ARP-ответы, связывая свой MAC-адрес с IP-адресом жертвы или шлюза, что позволяет перехватывать трафик.
  • DNS-спуфинг (DNS poisoning) — атака на систему доменных имён. Злоумышленник подменяет DNS-записи, перенаправляя жертву на поддельный сайт, который выглядит как легитимный.
  • SSL-стриппинг (SSL stripping) — атака, при которой злоумышленник понижает защищённое HTTPS-соединение до незащищённого HTTP, перехватывая данные до их шифрования.
  • MitM на уровне приложений — атаки, использующие уязвимости в протоколах прикладного уровня (например, HTTP, SMTP, FTP).

По степени активности

  • Пассивная атака — злоумышленник только перехватывает и читает данные, не изменяя их. Используется для сбора информации (шпионаж).
  • Активная атака — злоумышленник модифицирует, удаляет или вставляет новые данные в поток. Используется для подмены информации, внедрения вредоносного ПО или кражи сессий.

Примеры реализации

Атака на протокол HTTPS

Одним из наиболее опасных вариантов MitM является атака на HTTPS-соединения. В 2011 году была обнаружена уязвимость в протоколе SSL/TLS, позволяющая злоумышленнику, имеющему доступ к сети, подменять сертификаты безопасности. В 2015 году исследователи из компании Google выявили атаку, при которой злоумышленник, используя поддельный SSL-сертификат, мог перехватывать трафик между пользователем и сайтом, не вызывая предупреждений браузера.

Атака на банковские системы

В 2016 году была зафиксирована серия атак MitM на клиентов российских банков. Злоумышленники, используя ARP-спуфинг в публичных Wi-Fi-сетях, перехватывали HTTP-запросы и подменяли номера банковских карт в платёжных формах. В результате средства переводились на счета мошенников.

Атака на мессенджеры

В 2019 году исследователи из Университета ИТМО (Санкт-Петербург) продемонстрировали атаку MitM на популярный мессенджер Telegram. Злоумышленник, контролирующий сетевой трафик, мог перехватывать ключи шифрования, если пользователь не включал режим «секретный чат». Разработчики Telegram устранили уязвимость в последующих обновлениях.

Защита от атак «человек посередине»

Для защиты от MitM-атак применяются следующие методы:

  • Использование шифрования — обязательное применение HTTPS для веб-сайтов, а также шифрование всех сетевых протоколов (SSH, SFTP, SMTPS). Шифрование не предотвращает перехват, но делает данные нечитаемыми для злоумышленника.
  • Аутентификация сторон — использование цифровых сертификатов, проверяемых через доверенные центры сертификации (CA). Применение протоколов с взаимной аутентификацией (например, TLS с взаимными сертификатами).
  • Использование VPN — виртуальные частные сети создают зашифрованный туннель между клиентом и сервером, что делает перехват трафика практически невозможным.
  • Проверка сертификатов — пользователям рекомендуется проверять, что сайт использует HTTPS, а сертификат выдан легитимным центром сертификации. Браузеры предупреждают о недействительных сертификатах.
  • Использование DNSSEC — расширение системы доменных имён, которое подписывает DNS-записи цифровой подписью, предотвращая DNS-спуфинг.
  • Обновление программного обеспечения — своевременное обновление операционных систем, браузеров и сетевых устройств для устранения известных уязвимостей.
  • Использование двухфакторной аутентификации — даже если злоумышленник перехватит пароль, для входа потребуется второй фактор (например, одноразовый код из SMS или приложения-аутентификатора).

Критика и ограничения

Атаки «человек посередине» считаются одними из самых опасных, поскольку они могут быть незаметны для пользователя. Однако их эффективность снижается при использовании современных методов шифрования и аутентификации. Основные ограничения MitM-атак:

  • Требуется контроль над сетью — злоумышленник должен иметь доступ к каналу связи между сторонами. В защищённых сетях (например, корпоративных VPN) это затруднено.
  • Сложность маскировки — при использовании современных протоколов (например, TLS 1.3) подделка сертификатов становится сложнее, особенно если браузер проверяет их через Certificate Transparency.
  • Необходимость в реальном времени — MitM-атаки требуют, чтобы злоумышленник обрабатывал трафик в реальном времени, что может быть технически сложно при больших объёмах данных.

Интересные факты

  • В 2013 году бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден раскрыл, что АНБ использовало атаки MitM для массового перехвата интернет-трафика, в том числе через подделку SSL-сертификатов.
  • В 2017 году компания Cloudflare (организация признана нежелательной в РФ) обнаружила уязвимость Cloudbleed, которая позволяла злоумышленникам, контролирующим сеть, перехватывать трафик через утечку данных из кэша.
  • Атаки MitM активно используются в «умных» домах: злоумышленники, перехватывая трафик между датчиками и контроллерами, могут получать доступ к видеокамерам и замкам.

Источники

  • Книга: «Секреты хакеров. Безопасность Windows и сетей» (С. Мак-Клар, Д. Скембрей, Д. Курц, 2005).
  • Статья: «Man-in-the-Middle Attack: Understanding and Mitigation» (IEEE Security & Privacy, 2014).
  • Доклад: «SSL/TLS and the Man-in-the-Middle Attack» (Black Hat USA, 2011).
  • Материалы: «Атаки типа «человек посередине» и методы защиты» (журнал «Информационная безопасность», № 3, 2018).
  • Исследование: «ARP Spoofing and MitM Attacks in Wireless Networks» (Университет ИТМО, 2019).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →