Man-in-the-Middle

Atak, w którym napastnik wpina się pomiędzy dwie komunikujące się strony, podsłuchując lub modyfikując przesyłane dane bez ich wiedzy.

Man-in-the-Middle (MITM) to atak, w którym ktoś niepowołany wciska się dokładnie pomiędzy dwie komunikujące się strony — np. Twoją przeglądarkę i serwer banku — i po cichu przechwytuje ruch, który leci w obie strony. Z perspektywy obu końców wygląda to tak, jakby rozmawiały bezpośrednio ze sobą. W praktyce każda paczka danych przechodzi przez atakującego, który może ją podsłuchać, zmodyfikować albo podstawić własną. Po polsku spotkasz czasem nazwę „atak człowiek pośrodku”, ale w branży i tak wszyscy mówią MITM.

Jak to działa

Sedno polega na tym, że obie strony są przekonane, iż gadają z właściwym rozmówcą, a tak naprawdę gadają z atakującym, który udaje każdą z nich. Żeby się tam wcisnąć, napastnik musi najpierw przejąć trasę pakietów. Najczęstsze metody to ARP spoofing w sieci lokalnej (przekonujesz ofiarę, że to Ty jesteś bramą domyślną), DNS spoofing (kierujesz domenę na swój serwer), podstawiony fałszywy hotspot Wi-Fi (tzw. evil twin) albo SSL stripping — degradowanie połączenia z HTTPS do gołego HTTP, żeby dało się czytać treść.

Gdy atakujący już siedzi w środku, ma dostęp do loginów, ciasteczek sesyjnych, numerów kart czy tokenów. Może też podmieniać dane w locie — np. wstrzyknąć złośliwy skrypt albo zamienić numer konta w przelewie.

Przykład z praktyki

Klasyczny test penetracyjny w sieci lokalnej zaczyna się od narzędzia ettercap albo bettercap. Najprostszy scenariusz to zatrucie tablic ARP, żeby ruch ofiary szedł przez maszynę testera:

bettercap -iface eth0 -eval "set arp.spoof.targets 192.168.1.10; arp.spoof on; net.sniff on"

Od tego momentu pakiety ofiary przechodzą przez Twój sniffer i lądują np. w Wiresharku. Jeśli ofiara wchodzi gdzieś po HTTP — masz login w czytelnej formie. Po HTTPS zobaczysz głównie szyfrowany szum, chyba że uda się SSL strip albo podstawienie certyfikatu.

Częste mity i na co uważać

Mit pierwszy: „mam HTTPS, więc jestem bezpieczny”. HTTPS bardzo pomaga, ale jeśli klikniesz „kontynuuj mimo ostrzeżenia o certyfikacie”, sam otwierasz drzwi. Nigdy nie ignoruj błędów certyfikatu — to często jedyny sygnał, że ktoś siedzi w środku.

Mit drugi: „MITM dotyczy tylko Wi-Fi w kawiarni”. Atak równie dobrze działa w sieci firmowej, przez zhakowany router czy złośliwy serwer DNS. Obrona to HSTS, certificate pinning, VPN w niezaufanych sieciach i weryfikacja certyfikatów. Co ciekawe, firmowe proxy SSL to „legalny” MITM na własnym ruchu — dlatego pinning bywa tam problematyczny.

Pojęcia powiązane: ARP spoofing, DNS spoofing, SSL stripping, HSTS, certificate pinning, sniffing, replay attack, evil twin.