Атака «человек посередине
Атака «человек посередине» (англ. Man-in-the-Middle, MitM) — это тип кибератаки, при которой злоумышленник тайно перехватывает и, возможно, изменяет передаваемые данные между двумя сторонами, которые считают, что общаются напрямую друг с другом. Атака относится к классу активного прослушивания (eavesdropping) и нарушает конфиденциальность, целостность и аутентичность передаваемой информации.
История
Концепция атаки «человек посередине» известна с момента появления первых сетей передачи данных. В классической криптографии она описывалась как проблема обмена ключами: если стороны не имеют защищённого канала для согласования секретного ключа, злоумышленник, находящийся между ними, может перехватить ключи и расшифровать весь трафик. В 1976 году Уитфилд Диффи и Мартин Хеллман предложили протокол обмена ключами Диффи — Хеллмана, который был устойчив к пассивному перехвату, но оставался уязвимым для атаки MitM, если не использовалась аутентификация сторон.
С развитием интернета и беспроводных сетей атаки MitM стали массовыми. В 2000-х годах они активно применялись для кражи учётных данных пользователей незащищённых Wi-Fi-сетей, а также для перехвата трафика в корпоративных сетях. В 2010-х годах атаки MitM усложнились: злоумышленники начали использовать поддельные SSL-сертификаты, компрометацию DNS-серверов и уязвимости в протоколах маршрутизации.
Механизм атаки
Атака «человек посередине» основана на способности злоумышленника перехватывать, читать и модифицировать данные, проходящие между двумя узлами (например, между клиентом и сервером). Для этого необходимо выполнить два условия:
- Внедрение в канал связи — злоумышленник должен получить возможность перехватывать трафик между сторонами. Это может быть достигнуто путём:
- Физического подключения к сети (например, через небезопасный Wi-Fi-роутер).
- Использования уязвимостей сетевых протоколов (например, ARP-спуфинг, DNS-спуфинг).
- Компрометации сетевого оборудования (маршрутизаторов, коммутаторов).
- Маскировка под легитимные стороны — злоумышленник должен убедить каждую из сторон, что он является другой стороной. Для этого он может:
- Подделывать IP-адреса или MAC-адреса.
- Использовать поддельные SSL-сертификаты.
- Перехватывать и подменять ключи шифрования.
После внедрения злоумышленник может:
- Прослушивать — читать все передаваемые данные (логины, пароли, сообщения, финансовые данные).
- Модифицировать — изменять содержимое передаваемых сообщений (например, подменять банковские реквизиты в платёжных поручениях).
- Внедрять вредоносный код — заменять легитимные файлы или ссылки на вредоносные.
Классификация
Атаки «человек посередине» классифицируются по способу внедрения в канал связи:
По типу перехватываемого трафика
- Wi-Fi MitM — атаки на беспроводные сети. Злоумышленник создаёт поддельную точку доступа (Evil Twin) с тем же именем (SSID), что и легитимная, или перехватывает трафик через уязвимости протокола WPA2.
- ARP-спуфинг (ARP poisoning) — атака на локальную сеть. Злоумышленник отправляет поддельные ARP-ответы, связывая свой MAC-адрес с IP-адресом жертвы или шлюза, что позволяет перехватывать трафик.
- DNS-спуфинг (DNS poisoning) — атака на систему доменных имён. Злоумышленник подменяет DNS-записи, перенаправляя жертву на поддельный сайт, который выглядит как легитимный.
- SSL-стриппинг (SSL stripping) — атака, при которой злоумышленник понижает защищённое HTTPS-соединение до незащищённого HTTP, перехватывая данные до их шифрования.
- MitM на уровне приложений — атаки, использующие уязвимости в протоколах прикладного уровня (например, HTTP, SMTP, FTP).
По степени активности
- Пассивная атака — злоумышленник только перехватывает и читает данные, не изменяя их. Используется для сбора информации (шпионаж).
- Активная атака — злоумышленник модифицирует, удаляет или вставляет новые данные в поток. Используется для подмены информации, внедрения вредоносного ПО или кражи сессий.
Примеры реализации
Атака на протокол HTTPS
Одним из наиболее опасных вариантов MitM является атака на HTTPS-соединения. В 2011 году была обнаружена уязвимость в протоколе SSL/TLS, позволяющая злоумышленнику, имеющему доступ к сети, подменять сертификаты безопасности. В 2015 году исследователи из компании Google выявили атаку, при которой злоумышленник, используя поддельный SSL-сертификат, мог перехватывать трафик между пользователем и сайтом, не вызывая предупреждений браузера.
Атака на банковские системы
В 2016 году была зафиксирована серия атак MitM на клиентов российских банков. Злоумышленники, используя ARP-спуфинг в публичных Wi-Fi-сетях, перехватывали HTTP-запросы и подменяли номера банковских карт в платёжных формах. В результате средства переводились на счета мошенников.
Атака на мессенджеры
В 2019 году исследователи из Университета ИТМО (Санкт-Петербург) продемонстрировали атаку MitM на популярный мессенджер Telegram. Злоумышленник, контролирующий сетевой трафик, мог перехватывать ключи шифрования, если пользователь не включал режим «секретный чат». Разработчики Telegram устранили уязвимость в последующих обновлениях.
Защита от атак «человек посередине»
Для защиты от MitM-атак применяются следующие методы:
- Использование шифрования — обязательное применение HTTPS для веб-сайтов, а также шифрование всех сетевых протоколов (SSH, SFTP, SMTPS). Шифрование не предотвращает перехват, но делает данные нечитаемыми для злоумышленника.
- Аутентификация сторон — использование цифровых сертификатов, проверяемых через доверенные центры сертификации (CA). Применение протоколов с взаимной аутентификацией (например, TLS с взаимными сертификатами).
- Использование VPN — виртуальные частные сети создают зашифрованный туннель между клиентом и сервером, что делает перехват трафика практически невозможным.
- Проверка сертификатов — пользователям рекомендуется проверять, что сайт использует HTTPS, а сертификат выдан легитимным центром сертификации. Браузеры предупреждают о недействительных сертификатах.
- Использование DNSSEC — расширение системы доменных имён, которое подписывает DNS-записи цифровой подписью, предотвращая DNS-спуфинг.
- Обновление программного обеспечения — своевременное обновление операционных систем, браузеров и сетевых устройств для устранения известных уязвимостей.
- Использование двухфакторной аутентификации — даже если злоумышленник перехватит пароль, для входа потребуется второй фактор (например, одноразовый код из SMS или приложения-аутентификатора).
Критика и ограничения
Атаки «человек посередине» считаются одними из самых опасных, поскольку они могут быть незаметны для пользователя. Однако их эффективность снижается при использовании современных методов шифрования и аутентификации. Основные ограничения MitM-атак:
- Требуется контроль над сетью — злоумышленник должен иметь доступ к каналу связи между сторонами. В защищённых сетях (например, корпоративных VPN) это затруднено.
- Сложность маскировки — при использовании современных протоколов (например, TLS 1.3) подделка сертификатов становится сложнее, особенно если браузер проверяет их через Certificate Transparency.
- Необходимость в реальном времени — MitM-атаки требуют, чтобы злоумышленник обрабатывал трафик в реальном времени, что может быть технически сложно при больших объёмах данных.
Интересные факты
- В 2013 году бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден раскрыл, что АНБ использовало атаки MitM для массового перехвата интернет-трафика, в том числе через подделку SSL-сертификатов.
- В 2017 году компания Cloudflare (организация признана нежелательной в РФ) обнаружила уязвимость Cloudbleed, которая позволяла злоумышленникам, контролирующим сеть, перехватывать трафик через утечку данных из кэша.
- Атаки MitM активно используются в «умных» домах: злоумышленники, перехватывая трафик между датчиками и контроллерами, могут получать доступ к видеокамерам и замкам.
Источники
- Книга: «Секреты хакеров. Безопасность Windows и сетей» (С. Мак-Клар, Д. Скембрей, Д. Курц, 2005).
- Статья: «Man-in-the-Middle Attack: Understanding and Mitigation» (IEEE Security & Privacy, 2014).
- Доклад: «SSL/TLS and the Man-in-the-Middle Attack» (Black Hat USA, 2011).
- Материалы: «Атаки типа «человек посередине» и методы защиты» (журнал «Информационная безопасность», № 3, 2018).
- Исследование: «ARP Spoofing and MitM Attacks in Wireless Networks» (Университет ИТМО, 2019).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →