Ve kterém útočník, který se připojil ke kanálu mezi protistranami, zasahuje do přenosového protokolu a vymazává nebo zkresluje informace.

Princip útoku

Útok obvykle začíná poslechem komunikačního kanálu a končí tím, že se kryptoanalytik pokusí zachycenou zprávu nahradit, extrahovat z ní užitečné informace, přesměrujte jej na nějaký externí zdroj.

Předpokládejme, že objekt A plánuje odeslat nějaké informace objektu B. Objekt C má znalosti o struktuře a vlastnostech použité metody přenosu dat, stejně jako o tom, že plánovaný přenos skutečných informací, které C plánuje zachytit. K provedení útoku se C „představí“ objektu A jako B a objektu B jako A. Objekt A, který se mylně domnívá, že posílá informace B, je pošle objektu C. Objekt C poté, co informaci obdržel a provedení některých akcí s nimi (například kopírování nebo úprava pro vlastní účely) odešle data samotnému příjemci - B; objekt B se zase domnívá, že informace obdržel přímo od A.

Příklad útoku

Injekce škodlivého kódu

Útok typu man-in-the-middle umožňuje kryptoanalytikovi vložit svůj kód do e-mailů, příkazů SQL a webových stránek (tj. umožňuje vkládání SQL, vkládání HTML/scriptu nebo útoky XSS) a dokonce i modifikaci binárních souborů nahraných uživatelem. objednat k přístupu účet uživatele nebo změnit chování programu staženého uživatelem z internetu.

Downgrade útok

Pojem „downgrade Attack“ označuje takový útok, při kterém kryptoanalytik nutí uživatele používat méně bezpečné funkce, protokoly, které jsou stále podporovány z důvodu kompatibility. Tento typ útoku lze provést na protokolech SSH, IPsec a PPTP.

Pro ochranu před útokem na nižší verzi je třeba deaktivovat nezabezpečené protokoly alespoň na jedné straně; pouze podpora a používání zabezpečených protokolů ve výchozím nastavení nestačí!

SSH V1 místo SSH V2

Útočník se může pokusit změnit parametry připojení mezi serverem a klientem, když je mezi nimi navázáno spojení. Podle přednášky na konferenci Blackhat Conference Europe 2003 může kryptoanalytik „přinutit“ klienta zahájit relaci SSH1 namísto relace SSH2 změnou čísla verze „1.99“ pro relaci SSH na „1.51“, což znamená pomocí ssh V1. Protokol SSH-1 má zranitelnosti, které může kryptoanalytik zneužít.

IPsec

V tomto scénáři útoku kryptoanalytik klame svou oběť, aby si myslela, že relace IPsec nemůže začít na druhém konci (serveru). To způsobí, že zprávy budou předávány explicitně, pokud je hostitelský počítač v režimu vrácení zpět.

PPTP

Ve fázi vyjednávání parametrů relace PPTP může útočník donutit oběť, aby použila méně bezpečnou autentizaci PAP, MSCHAP V1 (to znamená „vrátit se“ z MSCHAP V2 na verzi 1), nebo šifrování nepoužila vůbec.

Útočník může donutit svou oběť, aby opakovala fázi vyjednávání parametrů relace PPTP (odeslat paket Terminate-Ack), ukrást heslo ze stávajícího tunelu a útok zopakovat.

Veřejné komunikační prostředky bez ochrany pravosti, důvěrnosti, dostupnosti a integrity informací

Nejčastějším komunikačním prostředkem v této skupině je sociální síť, veřejná e-mailová služba a systém pro rychlé zasílání zpráv. Vlastník zdroje, který poskytuje komunikační službu, má plnou kontrolu nad informacemi vyměňovanými korespondenty a podle vlastního uvážení může kdykoli snadno provést útok.

Na rozdíl od předchozích scénářů založených na technických a technologických aspektech komunikace je v tomto případě útok založen na mentálních aspektech, konkrétně na zakořenění v myslích uživatelů konceptu ignorování požadavků na bezpečnost informací.

Zachrání šifrování?

Zvažte případ standardní transakce HTTP. V tomto případě může útočník poměrně snadno rozdělit původní TCP spojení na dvě nová: jedno mezi sebou a klientem, druhé mezi sebou a serverem. To je poměrně snadné, protože jen velmi zřídka je spojení mezi klientem a serverem přímé a ve většině případů jsou připojeni přes řadu zprostředkujících serverů. Útok MITM lze provést na kterémkoli z těchto serverů.

Pokud však klient a server komunikují přes HTTPS - protokol, který podporuje šifrování - může být také proveden útok typu man-in-the-middle. U tohoto typu připojení se k šifrování požadavků používá TLS nebo SSL, což, jak se zdá, činí kanál zabezpečeným před sniffováním a útoky MITM. Útočník může vytvořit dvě nezávislé relace SSL pro každé připojení TCP. Klient naváže spojení SSL s útočníkem, který zase vytvoří spojení se serverem. Prohlížeč v takových případech obvykle upozorní, že certifikát není podepsán důvěryhodnou certifikační autoritou, ale běžní uživatelé starších prohlížečů toto varování snadno obejdou. Útočník může mít navíc certifikát podepsaný kořenovou CA (například takové certifikáty se někdy používají pro DLP) a negenerovat varování. Kromě toho existuje řada útoků na HTTPS. Protokol HTTPS tedy nelze považovat za bezpečný před útoky MITM ze strany běžných uživatelů. [ ] Existuje řada opatření, která zabraňují některým útokům MITM na weby https, zejména HSTS , který zakazuje používání http připojení z webů, Připínání certifikátů a Připínání veřejného klíče HTTP , které zakazují nahrazování certifikátů.

Detekce útoků MITM

Aby bylo možné detekovat útok typu man-in-the-middle, musí být analyzován síťový provoz. Chcete-li například detekovat útok SSL, měli byste věnovat pozornost následujícím parametrům:

  • IP serveru
  • DNS server
  • certifikát serveru X.509
    • Je certifikát podepsaný sám sebou?
    • Je certifikát podepsán certifikační autoritou?
    • Byl certifikát zneplatněn?
    • Změnil se certifikát v poslední době?
    • Získali stejný certifikát i jiní klienti na internetu?

Implementace útoků MITM

Uvedené programy lze použít k provádění útoků typu man-in-the-middle a také k jejich detekci a testování zranitelnosti systému.

viz také

  • Aspidistra (anglicky) - Britský rádiový vysílač používaný během druhé světové války „invaze“, varianta útoku MITM.
  • The Babington Plot (anglicky) – spiknutí proti Alžbětě I., během kterého Walsingham zachytil korespondenci.

Jiné útoky

  • Man in the Browser je typ útoku, při kterém je útočník schopen okamžitě změnit parametry transakce, změnit stránky zcela transparentně pro oběť.
  • „Meet-in-the-middle attack“ – kryptografický útok, který stejně jako narozeninový útok využívá kompromisu mezi časem a pamětí.
  • "Ztráta uprostřed" (útok slečna uprostřed) je účinná metoda tzv. nemožné diferenciální kryptoanalýzy.
  • Relay attack – Varianta útoku MITM založená na předání zachycené zprávy platnému příjemci, ale ne zamýšlenému příjemci.
  • Rootkit je program navržený tak, aby skryl stopy přítomnosti vetřelce.

Napište recenzi na článek "Útok zprostředkovatele"

Literatura

Odkazy

  • www.all.net/CID/Attack/Attack74.html
  • www.nag.ru/2003/0405/0405.shtml
  • www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Úryvek charakterizující útok prostředníka

"Quartire, quartire, logement," řekl důstojník a pohlédl na malého muže se shovívavým a dobromyslným úsměvem. – Les Francais sont de bons enfants. Que diable! Voyony! Ne nous fachons pas, mon vieux, [Apartmány, apartmány... Francouzi jsou dobří chlapi. Sakra, nehádejme se, dědečku.] - dodal a poplácal vyděšeného a tichého Gerasima po rameni.
– Asi! Dites donc, on ne parle donc pas francais dans cette boutique? [No, nemluví tady taky nikdo francouzsky?] dodal, rozhlédl se a setkal se s Pierrovýma očima. Pierre se vzdálil ode dveří.
Důstojník se znovu obrátil ke Gerasimovi. Požadoval, aby mu Gerasim ukázal pokoje v domě.
"Žádný mistře - nerozumím... můj tvůj..." řekl Gerasim a snažil se svá slova objasnit tím, že je pronesl pozpátku.
Francouzský důstojník s úsměvem roztáhl ruce před Gerasimovým nosem, takže měl pocit, že mu také nerozumí, a kulhal ke dveřím, kde stál Pierre. Pierre se chtěl odstěhovat, aby se před ním schoval, ale právě v tu chvíli uviděl Makara Alekseicha, jak se z kuchyňských dveří otevírají s pistolí v rukou. Makar Alekseevič s vychytralostí šílence pohlédl na Francouze, zvedl pistoli a zamířil.
- Na palubu!!! - vykřikl opilec a stiskl spoušť pistole. Francouzský důstojník se s výkřikem otočil a ve stejnou chvíli se Pierre vrhl na opilce. Zatímco Pierre popadl a zvedl pistoli, Makar Alekseich konečně stiskl spoušť prstem a ozval se výstřel, který všechny ohlušil a zalil prachovým kouřem. Francouz zbledl a vrhl se zpátky ke dveřím.
Pierre zapomněl na svůj úmysl neprozradit své znalosti francouzštiny, popadl pistoli a odhodil ji, přiběhl k důstojníkovi a promluvil na něj francouzsky.
- Vous n "etes pas blesse? [Jsi zraněný?] - řekl.
"Je crois que non," odpověděl důstojník a cítil se sám sebou, "mais je l "ai manque belle cette fois ci," dodal a ukázal na oprýskanou omítku ve zdi. "Quel est cet homme? .. ale jakmile to bylo blízko. Kdo je ten muž?] - podíval se přísně na Pierra, řekl důstojník.
- Ach, je suis vraiment au desespoir de ce qui vient d "příjezd, [Ach, opravdu jsem zoufalý z toho, co se stalo,] - řekl Pierre rychle, úplně zapomněl na svou roli. - C" est un fou, un malheureux qui ne savait pas ce qu "il faisait." [To je nešťastný šílenec, který nevěděl, co dělá.]
Důstojník přistoupil k Makaru Alekseevičovi a chytil ho za límec.
Makar Alekseich s pootevřenými rty, jako by usnul, se zakolísal a opřel se o zeď.
"Brigande, tu me la payeras," řekl Francouz a stáhl ruku.
– Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres, [Loupežníku, za tohle mi zaplatíš. Náš bratr je po vítězství milosrdný, ale zrádcům neodpouštíme,] dodal s ponurou vážností ve tváři a s krásným energickým gestem.
Pierre pokračoval ve francouzštině přesvědčování důstojníka, aby od tohoto opilého, šíleného muže nevymáhal. Francouz mlčky naslouchal, aniž by změnil svůj zachmuřený pohled, a najednou se s úsměvem obrátil k Pierrovi. Několik sekund na něj mlčky hleděl. Jeho hezká tvář nabyla tragicky něžného výrazu a napřáhl ruku.
- Vous m "avez sauve la vie! Vous etes Francais, [Zachránil jsi mi život. Jsi Francouz," řekl. Pro Francouze byl tento závěr nepopiratelný. Jen Francouz mohl udělat velký čin a zachránit si život, m r Ramball „I capitaine du 13 me leger [Monsieur Rambal, kapitán 13. lehkého pluku] byl bezpochyby největší čin.
Ale bez ohledu na to, jak nepochybný byl tento závěr a na něm založené přesvědčení důstojníka, Pierre považoval za nutné ho zklamat.
"Je suis Russe, [jsem Rus]," řekl Pierre rychle.
- Ti ti ti, a d "autres, [řekni to ostatním] - řekl Francouz, zamával si prstem před nosem a usmál se. - Tout a l "heure vous allez me conter tout ca," řekl. – Charme de rencontrer un compatriote. Eh bien! qu "allons nous faire de cet homme? [Teď mi to všechno povíš. Je velmi příjemné potkat krajana. No! co bychom s tím mužem měli dělat?] - dodal a oslovil Pierra, už jako svého bratra. Kdyby jen Pierre nebyl Francouz, který jednou získal tento nejvyšší titul na světě, nemohl by se ho vzdát, řekl výraz ve tváři a tón francouzského důstojníka. Na poslední otázku Pierre ještě jednou vysvětlil, kdo je Makar Alekseich , vysvětlil, že těsně před jejich příjezdem tento opilý nepříčetný muž odtáhl nabitou pistoli, kterou mu nestihli vzít, a požádal, aby jeho čin zůstal bez trestu.
Francouz vystrčil hruď a rukou udělal královské gesto.
- Vous m "avez sauve la vie. Vous etes Francais. Vous me requestez sa grace? Je vous l" souhlasím. Qu "on emmene cet homme, [Zachránil jsi mi život. Jsi Francouz. Chceš, abych mu odpustil? Odpouštím mu. Odnes toho muže," řekl francouzský důstojník rychle a energicky a vzal za paži, co měl se pro záchranu jeho života promluvil do Pierreovy francouzštiny a šel s ním do domu.
Vojáci, kteří byli na dvoře, když slyšeli výstřel, šli do průchodu, ptali se, co se stalo, a vyjádřili svou připravenost potrestat viníky; ale důstojník je tvrdě zastavil.
"Na vous demandera quand on aura besoin de vous, [Když to bude potřeba, budete zavoláni," řekl. Vojáci odešli. Netopýří muž, který byl mezitím v kuchyni, přistoupil k důstojníkovi.
"Kapitáne, je tu polévka a gigot de mouton dans la kuchyně," řekl. - Faut il vous l "apporter? [Kapitán má v kuchyni polévku a pečené jehněčí maso. Chcete to přinést?]
- Oui, et le vin, [Ano, a víno,] - řekl kapitán.

Francouzský důstojník spolu s Pierrem vstoupil do domu. Pierre považoval za svou povinnost znovu ujistit kapitána, že není Francouz, a chtěl odejít, ale francouzský důstojník o tom nechtěl ani slyšet. Byl tak zdvořilý, přívětivý, dobromyslný a opravdu vděčný za záchranu jeho života, že Pierre neměl odvahu ho odmítnout a posadil se s ním na chodbu, do první místnosti, do které vešli. Na Pierrovo tvrzení, že není Francouz, kapitán, očividně nechápající, jak je možné odmítnout tak lichotivý titul, pokrčil rameny a řekl, že pokud určitě chce být známý jako Rus, tak ano, ale že se s ním přesto navždy spojil pocitem vděčnosti za záchranu života.
Kdyby byla tato osoba nadaná alespoň nějakou schopností porozumět pocitům druhých a tušila o Pierrových pocitech, Pierre by ho pravděpodobně opustil; ale živá neprostupnost tohoto muže ke všemu, co nebyl sám, Pierra porazila.
- Francais ou prince russe inkognito, [Francouz nebo ruský princ inkognito,] - řekl Francouz a podíval se na Pierrovo špinavé, ale tenké spodní prádlo a prsten na ruce. - Je vous dois la vie je vous offre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offre mon amitie. Je ne vous dis que ca. [Dlužím ti svůj život a nabízím ti přátelství. Francouz nikdy nezapomene na urážky nebo služby. Nabízím své přátelství k tobě, už neříkám.]
Ve zvucích jeho hlasu, ve výrazu jeho tváře, v gestech tohoto důstojníka bylo tolik dobré povahy a ušlechtilosti (ve francouzském smyslu), že Pierre reagoval nevědomým úsměvem na úsměv Francouze: potřásl nataženou rukou.
- Kapitán Ramball du treizieme leger, decore pour l "affaire du Sept, [kapitán Ramball, třináctý lehký pluk, jezdec Čestné legie pro věc sedmého září,] - představil se se samolibým, neovladatelným úsměvem, který svraštil rty pod knírem. - Voudrez vous bien me dire dárek, a qui "j" ai l "honneur de parler aussi agreablement au lieu de rester a l" ambulance avec la balle de ce fou dans le corps. tak laskavý, že mi teď řekneš, s kým jsem, mám tu čest si tak příjemně popovídat, místo abych byl u obvazové stanice s kulkou toho šílence v těle?]
Pierre odpověděl, že nemůže říct své jméno, a začervenal se a začal se snažit vymyslet jméno, mluvit o důvodech, proč to nemůže říct, ale Francouz ho spěšně přerušil.
"De grace," řekl. - Rozumím vos raisons, vous etes officier ... officier superieur, peut etre. Vous avez porte les armes contre nous. Ce n "est pas mon affaire. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme? [Dokončete, prosím. Rozumím vám, jste důstojník ... možná štábní důstojník." Sloužil jsi proti nám To není moje věc. Dlužím ti svůj život. To mi stačí a jsem celý tvůj. Jsi šlechtic?] - dodal s náznakem otázky. Pierre naklonil hlavu. - Votre nom de bapteme, s "il vous plait? Je ne náročné pas davantage. Monsieur Pierre, dites vous... Parfait. C "est tout ce que je touha savoir. [Vaše jméno? Na nic jiného se neptám. Pane Pierre, řekl jste? Dobře. To je vše, co potřebuji.]
Když bylo přivezeno pečené jehněčí, míchaná vejce, samovar, vodka a víno z ruského sklepa, které si Francouzi přivezli, Ramball požádal Pierra, aby se této večeře zúčastnil a okamžitě, dychtivě a rychle, jako zdravý a hladový muž, začal jíst, rychle žvýkal svými silnými zuby, neustále mlátil rty a říkal vynikající, vynikající! [úžasné, vynikající!] Obličej měl zrudlý a pokrytý potem. Pierre měl hlad a rád se zúčastnil večeře. Morel, zřízenec, přinesl hrnec s teplou vodou a dal do něj láhev červeného vína. Navíc přinesl láhev kvasu, kterou si odnesl z kuchyně na testování. Tento nápoj znali již Francouzi a dostal jméno. Říkali kvass limonade de cochon (vepřová limonáda) a Morel chválil tuto limonade de cochon, kterou našel v kuchyni. Ale protože kapitán měl víno získané při průjezdu Moskvou, poskytl kvas Morelovi a vzal láhev Bordeaux. Láhev až po hrdlo zabalil do ubrousku a nalil sobě i Pierrovi víno. Ukojení hladu a vína kapitána ještě více oživilo a během večeře nepřestal mluvit.
- Oui, mon cher monsieur Pierre, je vous dois une fiere chandelle de m "avoir sauve ... de cet enrage ... J" en ai assez, voyez vous, de balles dans le corps. En voila une (ukázal na bok) Wagram et de deux a Smolensk, - ukázal jizvu, kterou měl na tváři. - Et cette jambe, comme vous voyez, qui ne veut pas marcher. C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu, c "etait beau. Il fallait voir ca, c" etait un deluge de feu. Vous nous avez taille une rude besogne; vous pouvez vous en vanter, nom d "un petit bonhomme. Et, ma parole, malgre l" atoux que j "y ai gagne, je serais pret a recommencer. Je plains ceux qui n" ont pas vu ca. [Ano, můj drahý pane Pierre, jsem povinen zapálit vám dobrou svíčku za to, že jste mě zachránil před tímto šílencem. Vidíte, už mám dost kulek, které mám v těle. Tady je jeden u Wagramu, druhý u Smolenska. A tahle noha, jak vidíš, se nechce hýbat. To je během velké bitvy 7. u Moskvy. Ó! Bylo to úžasné! Měli jste to vidět, byla to záplava ohně. Dali jste nám těžkou práci, můžete se pochlubit. A proboha, i přes tento trumf (ukázal na kříž) bych byl připraven začít znovu. Lituji těch, kteří to neviděli.]
- J "y ai ete, [byl jsem tam] - řekl Pierre.
- Bah, vraiment! Eh bien, tant mieux, řekl Francouz. - Vous etes de fiers ennemis, tout de meme. La grande redoute a ete tenace, no d "une pipe. Et vous nous l" avez fait cranement payer. J "y suis alle trois fois, tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes. Oh!! c" etait beau, monsieur Pierre. Vos granátníci ont ete superbes, tonnerre de Dieu. Je les ai vu šest fois de suite serrer les rangs, et marcher comme a une revue. Les beaux hommes! Notre roi de Naples, qui s "y connait a cre: bravo! Ach, ach! soldat comme nous autres! - řekl s úsměvem a chvíli mlčel. - Tant mieux, tant mieux, monsieur Pierre. Terribles en bataille . .. galanti ... - mrkl s úsměvem, - avec les belles, voila les Francais, monsieur Pierre, n "est ce pas? [Ba, opravdu? Tím lépe. Musím uznat, že jste úskoční nepřátelé. Velká reduta obstála dobře, sakra. A donutil jsi nás zaplatit draze. Byl jsem tam třikrát, jak vidíte. Třikrát jsme byli na kanónech, třikrát jsme byli sraženi jako kartáři. Vaši granátníci byli skvělí, proboha. Viděl jsem, jak se jejich řady šestkrát uzavřely a jak pochodovaly přesně do průvodu. Úžasní lidé! Náš neapolský král, který v těchto případech psa snědl, na ně křičel: bravo! - Ha, ha, tak ty jsi náš bratr voják! "Tím lépe, tím lépe, monsieur Pierre." Hrozný v bitvě, laskavý ke kráskám, tady jsou Francouzi, monsieur Pierre. Není to ono?]
Kapitán byl do té míry naivně a dobromyslně veselý, z celého srdce a spokojený sám se sebou, že Pierre na sebe málem mrkl a vesele se na něj díval. Pravděpodobně slovo „galantní“ přimělo kapitána přemýšlet o postavení Moskvy.

V tomto článku se pokusíme přijít na teorii útoků typu man-in-the-middle a některé praktické body, které pomohou těmto typům útoků předcházet. To nám pomůže porozumět riziku, které takovéto narušení představuje pro naše soukromí, protože útoky MitM nám umožňují narušovat komunikaci a naslouchat našim rozhovorům.

Pochopení toho, jak funguje internet

Abyste pochopili útok typu man-in-the-middle, musíte nejprve pochopit, jak funguje samotný internet. Hlavní body interakce: klienti, routery, servery. Nejběžnějším komunikačním protokolem mezi klientem a serverem je Hypertext Transfer Protocol (HTTP). Surfování po webu pomocí prohlížeče, e-mail, rychlé zasílání zpráv – to vše přes HTTP.

Když zadáte do adresního řádku prohlížeče, klient (vy) odešle požadavek na zobrazení webové stránky na server. Paket (požadavek HTTP GET) je odeslán přes několik směrovačů na server. Server poté odpoví webovou stránkou, která je odeslána klientovi a zobrazena na jeho monitoru. Zprávy HTTP musí být přenášeny v zabezpečeném režimu, aby byla zajištěna důvěrnost a anonymita.

Obrázek 1. Interakce klient-server

Zabezpečení komunikačního protokolu

Zabezpečený komunikační protokol musí mít každou z následujících vlastností:

  1. Soukromí- Zprávu si může přečíst pouze určený příjemce.
  2. Pravost- je prokázána totožnost spolupracujících stran.
  3. Integrita- potvrzení, že zpráva nebyla při přepravě změněna.

Pokud není dodrženo alespoň jedno z těchto pravidel, je ohrožen celý protokol.

Man-in-the-middle útok přes protokol HTTP

Útočník může snadno provést útok typu man-in-the-middle pomocí techniky zvané ARP spoofing. Kdokoli ve vaší síti Wi-Fi vám může poslat falešný paket ARP, což způsobí, že veškerý provoz nevědomky pošlete přes útočníka místo routeru.

Poté útočník převezme plnou kontrolu nad provozem a může sledovat požadavky odeslané oběma směry.

Obrázek 2. Schéma útoku typu Man-in-the-middle


Aby se takovým útokům zabránilo, byla vytvořena zabezpečená verze protokolu HTTP. Transport Layer Security (TLS) a jeho předchůdce Secure Socket Layer (SSL) jsou kryptografické protokoly, které poskytují zabezpečenou komunikaci po síti. Proto se zabezpečený protokol bude nazývat HTTPS. Jak funguje zabezpečený protokol, můžete zjistit zadáním do adresního řádku prohlížeče (všimněte si S v https).

Man-in-the-middle útok na špatně implementované SSL

Moderní SSL používá dobrý šifrovací algoritmus, ale nezáleží na tom, pokud není implementován správně. Pokud se hackerovi podaří požadavek zachytit, může jej změnit odstraněním písmene „S“ z požadované adresy URL, a tím obejít SSL.

Takové zachycení a úprava požadavku lze zaznamenat. Pokud například požadujete https://login.yahoo.com/ a odpověď je http://login.yahoo.com/ , mělo by to vyvolat podezření. V době psaní tohoto článku takový útok skutečně funguje na e-mailové službě Yahoo.

Obrázek 3. Zachycení a úprava požadavku


Aby se takovému útoku zabránilo, mohou servery implementovat HTTP Strict Transport Security (HSTS), mechanismus, který vynucuje vynucené zabezpečené připojení přes protokol HTTPS. V tomto případě, pokud útočník upraví požadavek odstraněním „S“ z adresy URL, server stále přesměruje uživatele pomocí přesměrování 302 na stránku se zabezpečeným protokolem.

Obrázek 4. Schéma provozu HSTS


Tento způsob implementace SSL je zranitelný vůči jinému typu útoku – útočník vytvoří SSL připojení k serveru, ale přiměje uživatele k použití HTTP.

Obrázek 5. Schéma útoku pro HSTS


Aby se takovým útokům zabránilo, moderní prohlížeče jako Chrome, Firefox a Tor monitorují weby, které používají HSTS, a vynucují s nimi připojení SSL na straně klienta. V tomto případě bude muset útočník provádějící útok typu man-in-the-middle vytvořit SSL spojení s obětí.

Obrázek 6. Schéma útoku, kdy útočník naváže SSL spojení s obětí


Aby bylo možné zabezpečit SLL připojení k uživateli, musí útočník vědět, jak se chovat jako server. Pojďme pochopit technické aspekty SSL.

Porozumění SSL

Z pohledu hackera kompromitace jakéhokoli komunikačního protokolu spočívá v nalezení slabého článku mezi výše uvedenými komponentami (soukromí, autenticita a integrita).

SSL používá asymetrický šifrovací algoritmus. V symetrickém šifrování je problém, že k šifrování a dešifrování dat se používá stejný klíč, tento přístup není přijatelný pro internetové protokoly, protože útočník může tento klíč vysledovat.

Asymetrické šifrování na druhé straně zahrnuje 2 klíče pro každou stranu: veřejný klíč používaný k šifrování a soukromý klíč používaný k dešifrování dat.

Obrázek 7. Práce veřejného a soukromého klíče

Jak SSL poskytuje tři vlastnosti potřebné pro zabezpečenou komunikaci?

  1. Protože se k šifrování dat používá asymetrická kryptografie, SSL poskytuje soukromé připojení. Toto šifrování není tak snadné prolomit a zůstat bez povšimnutí.
  2. Server prokazuje svou legitimitu zasláním SSL certifikátu klientovi vydaného certifikační autoritou, důvěryhodnou třetí stranou.

Pokud se útočníkovi nějakým způsobem podaří certifikát získat, může vytvořit podmínky pro útok typu man-in-the-middle. Vytvoří tedy 2 spojení – se serverem a s obětí. Server si v tomto případě myslí, že útočníkem je normální klient, a oběť nemá jak útočníka identifikovat, protože poskytla certifikát prokazující, že je server.

Vaše zprávy se dostávají a přicházejí v zašifrované podobě, ale procházejí řetězcem přes počítač kyberzločince, kde má plnou kontrolu.

Obrázek 8. Schéma útoku, pokud má útočník certifikát


Certifikát nemusí být padělaný, pokud má útočník schopnost kompromitovat prohlížeč oběti. V tomto případě může vložit certifikát s vlastním podpisem, který bude ve výchozím nastavení důvěryhodný. Takto je implementována většina útoků typu man-in-the-middle. Ve složitějších případech musí hacker jít jinou cestou – zfalšovat certifikát.

Problémy certifikačních autorit

Certifikát odeslaný serverem je vydán a podepsán certifikační autoritou. Každý prohlížeč má seznam důvěryhodných certifikačních autorit a můžete je přidat nebo odebrat. Problém je v tom, že pokud se rozhodnete odebrat velké autority, nebudete moci navštěvovat stránky, které používají certifikáty podepsané těmito autoritami.

Certifikáty a CA byly vždy nejslabším článkem HTTPS připojení. I když bylo vše správně implementováno a každá certifikační autorita má solidní autoritu, je stále těžké smířit se s tím, že musíte důvěřovat mnoha třetím stranám.

Dnes existuje více než 650 organizací schopných vydávat certifikáty. Pokud útočník některý z nich hackne, získá certifikáty, které chce.

I když existovala pouze jedna certifikační autorita, VeriSign, nastal problém – lidé, kteří měli zabránit útokům typu man-in-the-middle, prodávali odposlechové služby.

Mnoho certifikátů bylo také vytvořeno hackerskými certifikačními autoritami. Byly použity různé techniky a triky, jak donutit napadeného uživatele věřit podvodným certifikátům.

Kriminalistika

Protože útočník posílá falešné ARP pakety, nevidíte jeho IP adresu. Místo toho je třeba věnovat pozornost MAC adrese, která je specifická pro každé zařízení v síti. Pokud znáte MAC adresu svého routeru, můžete ji porovnat s MAC adresou výchozí brány a zjistit, zda je to skutečně váš router nebo narušitel.

Například v systému Windows můžete pomocí příkazu ipconfig v příkazovém řádku (CMD) zobrazit IP adresu vaší výchozí brány (poslední řádek):

Obrázek 9 Použití příkazu ipconfig


Poté pomocí příkazu arp -a zjistěte MAC adresu této brány:

Obrázek 10. Použití příkazu arp –a


Existuje ale i jiný způsob, jak si útok všimnout – pokud jste sledovali síťovou aktivitu v době, kdy začal, a sledovali pakety ARP. K tomuto účelu můžete použít například Wireshark, tento program vás upozorní, pokud se změnila MAC adresa výchozí brány.

Poznámka: Pokud útočník správně podvrhne MAC adresy, bude velký problém ho vystopovat.

Závěr

SSL je protokol, který nutí útočníka k provedení útoku. Ale neochrání vás před útoky sponzorovanými vládou nebo kvalifikovanými hackerskými organizacemi.

Úkolem uživatele je chránit svůj prohlížeč a počítač, aby zabránil vložení falešného certifikátu (velmi častá technika). Měli byste také věnovat pozornost seznamu důvěryhodných certifikátů a odstranit ty, kterým nedůvěřujete.

18. 10. 2016 | Vladimír Chazov

Plány FSB, ministerstva telekomunikací a masových komunikací a ministerstva průmyslu a obchodu implementovat ustanovení zákona Yarovaya, pokud jde o zachycování a dešifrování korespondence Rusů, již nejsou jen plány, ale již se začínají uveden do akce příkazem k vypracování odborného posudku na možnost odposlechu zpráv WhatsApp, Viber, Facebook Messenger, Telegram, Skype pomocí útoků MITM a předvedení prototypu takového nástroje.

O schématu organizace „legitimního“ MITM útoku jsme psali v předchozím článku. Dnes se podrobněji zastavíme u samotného principu takového útoku a jak jej realizovat.

Co je útok MITM

Man In The Middle (MITM) se překládá jako „muž uprostřed“. Tento termín označuje síťový útok, kdy se útočník nachází mezi uživatelem internetu a aplikací, ke které přistupuje. Ne samozřejmě fyzicky, ale pomocí speciálního softwaru. To je uživateli prezentováno požadovanou aplikací (může to být webová stránka nebo internetová služba), napodobuje práci s ní, dělá ji tak, aby působila dojmem běžného provozu a výměny informací.

Cílem útoku jsou osobní údaje uživatele, jako jsou přihlašovací údaje do různých systémů, bankovní spojení a čísla karet, osobní korespondence a další důvěrné informace. Ve většině případů jsou napadeny finanční aplikace (bankovní klienti, online banky, služby plateb a převodů peněz), firemní služby SaaS, stránky elektronického obchodu (online obchody) a další stránky, kde je pro vstup do systému vyžadována autorizace.

Informace získané útočníkem mohou být použity k různým účelům, včetně nelegálních převodů peněz, přepínání účtů, zachycování osobní korespondence, nákupu na cizí náklady, kompromitování a vydírání.

Po krádeži přihlašovacích údajů a nabourání se do systému se navíc mohou zločinci nainstalovat firemní síťškodlivý software pro organizování krádeží duševního vlastnictví (patentů, projektů, databází) a způsobování ekonomických škod mazáním důležitých dat.

Útok MITM lze přirovnat k pošťákovi, který při doručování vaší korespondence dopis otevře, přepíše jeho obsah pro osobní potřebu, nebo dokonce zfalšováním rukopisu přidá něco vlastního a poté obálku zalepí a doručí adresátovi jako by se nic nestalo . Navíc, pokud jste text dopisu zašifrovali a chcete adresátovi dešifrovací kód osobně sdělit, pošťák se představí jako adresát, takže si záměny ani nevšimnete.

Jak se provádí útok MITM

Provedení útoku MITM se skládá ze dvou fází: zachycení a dešifrování.

  • Zachycení

První fází útoku je zachycení provozu od uživatele k zamýšlenému cíli a jeho nasměrování do sítě útočníka.

Nejběžnějším a nejjednodušším způsobem zachycení je pasivní útok, kdy útočník vytvoří Wi-Fi body s volným přístupem (bez hesla a autorizace). V okamžiku, kdy se uživatel k takovému bodu připojí, má útočník přístup k veškerému provozu, který jím prochází, a může z něj získat jakákoli data pro odposlech.

Druhým způsobem je aktivní odposlech, který lze provést jednou z následujících možností:

IP spoofing– nahrazení cílové IP adresy v hlavičce paketu adresou útočníka. Výsledkem je, že uživatelé místo toho, aby přešli na požadovanou adresu URL, skončí na webu útočníka.

ARP spoofing– nahrazení skutečné MAC adresy hostitele adresou útočníka v tabulce ARP oběti. Díky tomu se data odeslaná uživatelem na IP adresu požadovaného uzlu dostanou na adresu útočníka.

DNS spoofing - infikování mezipaměti DNS, infiltrace serveru DNS a falšování záznamů o shodě webové adresy. V důsledku toho se uživatel pokusí získat přístup k požadovanému webu, ale ze serveru DNS obdrží adresu webu útočníka.

  • Dešifrování

Po zachycení musí být obousměrný provoz SSL dešifrován, a to tak, aby uživatel a jím požadovaný zdroj rušení nezaznamenali.

K tomu existuje několik metod:

HTTPS spoofing– falešný certifikát je odeslán do prohlížeče oběti, když je navázáno spojení se stránkou prostřednictvím protokolu HTTPS. Tento certifikát obsahuje digitální podpis napadené aplikace, což způsobí, že prohlížeč přijme spojení s útočníkem jako důvěryhodné. Jakmile je takové spojení navázáno, útočník má přístup ke všem datům zadaným obětí, než jsou předána aplikaci.

SSL BEAST(využití prohlížeče proti SSL/TLS) – útok využívá zranitelnost SSL v TLS verze 1.0 a 1.2. Počítač oběti je infikován škodlivým JavaScriptem, který zachycuje šifrované soubory cookie odeslané webové aplikaci. To ohrozí režim šifrování „zřetězení bloků šifrovaného textu“ takovým způsobem, že útočník získá dešifrované soubory cookie a ověřovací klíče.

SSL únos– přenos falešných autentizačních klíčů uživateli a aplikaci v době zahájení TCP relace. To vytváří dojem zabezpečeného spojení, i když ve skutečnosti relaci řídí „muž uprostřed“.

Odstraňování SSL- Downgrade připojení ze zabezpečeného HTTPS na prostý HTTP zachycením ověřování TLS odeslaného aplikací uživateli. Útočník poskytuje uživateli nešifrovaný přístup na stránku, přičemž sám udržuje bezpečnou relaci s aplikací, čímž získává možnost vidět přenášená data oběti.\

Ochrana proti útokům MITM

Spolehlivá ochrana proti útokům MITM je možná, když uživatel provede několik preventivních akcí a použije kombinaci šifrovacích a autentizačních metod vývojářů webových aplikací.

Akce uživatele:

  • Nepřipojujte se k Wi-Fi hotspotům, které nemají ochranu heslem. Zakázat funkci automatické připojení ke známým přístupovým bodům – útočník může svou Wi-Fi maskovat jako legální.
  • Věnujte pozornost upozornění prohlížeče o přechodu na nezabezpečený web. Taková zpráva může naznačovat, že jste se dostali na falešnou stránku útočníka nebo že existují problémy s ochranou legitimní stránky.
  • Ukončete relaci s aplikací (odhlášení), pokud se nepoužívá.
  • Nepoužívejte veřejné sítě (kavárna, park, hotel atd.) pro důvěrné transakce ( obchodní korespondence, finanční transakce, nákupy v internetových obchodech atd.).
  • Používejte na svém počítači nebo notebooku aktuální antivirus, pomůže vám chránit se před útoky pomocí škodlivého softwaru.

Vývojáři webových aplikací a webů by měli používat zabezpečené protokoly TLS a HTTPS, které spoofingové útoky značně komplikují šifrováním přenášených dat. Jejich použití také zabraňuje odposlechu provozu za účelem získání autorizačních parametrů a přístupových klíčů.

Považuje se za dobrou praxi chránit TLS a HTTPS nejen pro autorizační stránky, ale také pro všechny ostatní části webu. To snižuje možnost, že útočník ukradne soubory cookie uživatele při procházení nezabezpečených stránek po přihlášení.

Za ochranu před útoky MITM odpovídá uživatel a telekomunikační operátor. Pro uživatele je nejdůležitější neztrácet ostražitost, používat pouze osvědčené způsoby přístupu na internet a pro přenos osobních údajů volit stránky s HTTPS šifrováním. Telekomunikačním operátorům lze doporučit, aby používali systémy Deep Packet Inspection (DPI) k detekci anomálií v datových sítích a prevenci spoofingových útoků.

Vládní agentury plánují na rozdíl od útočníků útok MITM využít k ochraně občanů a ne ke způsobení škod. Odposlech osobních zpráv a jiného uživatelského provozu se provádí v rámci platné právní úpravy, je prováděn rozhodnutím justičních orgánů v boji proti terorismu, obchodu s drogami a jiným zakázaným činnostem. Pro běžné uživatele nejsou „legitimní“ MITM útoky nebezpečné.

Téměř vždy můžete dosáhnout požadovaného výsledku několika způsoby. To platí i pro oblast informační bezpečnosti. Někdy, abyste dosáhli cíle, můžete brutálně, nezávisle hledat díry a vyvinout sploity nebo poslouchat, co se přenáší přes síť. A poslední možnost je často optimální. Proto si dnes povíme něco o nástrojích, které nám pomohou zachytit pro nás cenné informace ze síťového provozu pomocí útoků MITM.

MITMf

Začněme jedním ze zajímavějších kandidátů. Toto je celý rámec pro útoky typu man-in-the-middle, postavený na sergio-proxy. Nedávno zahrnuto do Kali Linuxu. Chcete-li jej nainstalovat sami, stačí naklonovat úložiště a spustit několik příkazů:

# setup.sh # pip install -r požadavky.txt

# pip install -r requirements.txt

Má architekturu, kterou lze rozšířit pomocí zásuvných modulů. Mezi hlavní patří následující:

  • Spoof - umožňuje přesměrovat provoz pomocí ARP / DHCP spoofing, ICMP přesměrování a upravit DNS dotazy;
  • Sniffer - tento plugin sleduje pokusy o přihlášení pro různé protokoly;
  • BeEFAutorun - umožňuje automaticky spouštět moduly BeEF na základě typu OS a klientského prohlížeče;
  • AppCachePoison - provede útok na otravu mezipamětí;
  • SessionHijacking - unese relace a uloží přijaté cookies do profilu firelis;
  • BrowserProfiler – pokusí se získat seznam pluginů používaných prohlížečem;
  • FilePwn - umožňuje nahradit soubory odeslané přes HTTP pomocí Backdoor Factory a BDFProxy;
  • Vložit - vloží libovolný obsah do stránky HTML;
  • jskeylogger – vloží JavaScript keylogger do klientských stránek.

Pokud vám tato funkce nestačí, můžete si vždy přidat vlastní implementací příslušného rozšíření.

putty jezdec

Další pozoruhodná pomůcka. Pravda, na rozdíl od všech ostatních dnes zvažovaných nástrojů je velmi úzce specializovaný. Jak sám autor projektu říká, k vytvoření takové utility ho inspirovala skutečnost, že při penetračních testech byla nejdůležitější data umístěna na Linux / UNIX serverech, ke kterým se admini připojovali přes SSH / Telnet / rlogin. A ve většině případů byl přístup k počítači administrátorů mnohem jednodušší než přístup k cílovému serveru. Po proniknutí do stroje správce systému zbývá pouze ujistit se, že PuTTY běží a použít tento nástroj k vybudování zpětného mostu k útočníkovi.

Utilita umožňuje nejen čichat „komunikaci“ mezi správcem a vzdálený server(včetně hesel), ale také provádět libovolné příkazy shellu v rámci dané relace. A to vše proběhne pro uživatele (administrátora) naprosto transparentně. Pokud vás zajímají technické detaily, například jak je implementována implementace procesu PuTTY, doporučuji si přečíst autorovu prezentaci.

Poměrně starý nástroj, který se zrodil před více než osmi lety. Navrženo pro klonování relací krádeží souborů cookie. Pro únos relace má základní dovednosti pro detekci hostitelů (v případě připojení k otevřenému bezdrátová síť nebo habu) a provést otravu ARP. Jediným problémem je, že dnes, na rozdíl od doby před osmi lety, téměř všechny velké společnosti jako Yahoo nebo Facebook používají šifrování SSL, díky čemuž je tento nástroj zcela zbytečný. Navzdory tomu je na webu stále dostatek zdrojů, které nepoužívají SSL, takže je příliš brzy na odepisování nástroje. Mezi jeho výhody patří skutečnost, že se automaticky integruje do Firefoxu a pro každou zachycenou relaci vytvoří samostatný profil. Zdroj je k dispozici v úložišti a můžete jej vytvořit sami pomocí následující sekvence příkazů:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip zloděj sezení

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev

# g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp

# setcap cap_net_raw,cap_net_admin=eip sessionthief

Proxy Fuzz

ProzyFuzz nemá nic společného přímo s útoky MITM. Jak můžete uhodnout z názvu, nástroj je určen pro fuzzing. Jedná se o malý nedeterministický síťový fuzzer implementovaný v pythonu, který náhodně mění obsah paketů síťového provozu. Podporuje protokoly TCP a UDP. Lze nakonfigurovat tak, aby fuzz pouze na jedné straně. Užitečné, když potřebujete rychle otestovat nějakou síťovou aplikaci (nebo protokol) a vyvinout PoC. Příklad použití:

Python proxyfuzz -l -r -p

python proxyfuzz -l -r -p

Seznam možností zahrnuje:

  • w - nastavuje počet požadavků odeslaných před zahájením fuzzingu;
  • c - fuzz pouze klienta (jinak obě strany);
  • s - fuzz pouze server (jinak obě strany);
  • u - protokol UDP (jinak se používá TCP).

Prostředník

Na konferenci DEF CON byl představen nástroj pro provádění MITM útoků na různé protokoly. Alfa verze podporovala protokol HTTP a měla ve svém arzenálu tři skvělé pluginy:

  • plugin-beef.py - vloží Browser Exploitation Framework (BeEF) do jakéhokoli HTTP požadavku přicházejícího z lokální sítě;
  • plugin-metasploit.py - vloží do nešifrovaných (HTTP) požadavků IFRAME, který načte exploity prohlížeče z Metasploitu;
  • plugin-keylogger.py – Vloží obslužnou rutinu události onKeyPress JavaScript pro všechna textová pole, která budou odeslána přes HTTPS, což způsobí, že prohlížeč odešle heslo uživatele znak po znaku na server útočníka před odesláním celého formuláře.

Middler nejen automaticky analyzuje síťový provoz a nachází v něm soubory cookie, ale také je nezávisle požaduje od klienta, to znamená, že proces je maximálně automatizován. Program zaručuje shromažďování všech nechráněných účtů v počítačová síť(nebo veřejný hotspot), k jehož provozu má přístup. Aby program správně fungoval, musí být v systému nainstalovány následující balíčky: Scapy, libpcap, readline, libdnet, python-netfilter. Bohužel úložiště nebylo dlouho aktualizováno, takže si budete muset přidat novou funkcionalitu sami.

Nástroj konzoly, který umožňuje interaktivně zkoumat a upravovat provoz HTTP. Díky takovým dovednostem utilitu využívají nejen penetrační testeři / hackeři, ale i běžní vývojáři, kteří ji využívají například k ladění webových aplikací. Lze jej použít k získání podrobných informací o tom, jaké požadavky aplikace vznáší a jaké odpovědi dostává. Také mitmproxy vám může pomoci zjistit, jak fungují některá rozhraní REST API, zejména ta špatně zdokumentovaná.

Instalace je velmi jednoduchá:

$ sudo aptitude install mitmproxy

Za zmínku stojí, že mitmproxy také umožňuje zachytit HTTPS provoz vydáním certifikátu s vlastním podpisem klientovi. Dobrý příklad, jak nastavit odposlech a úpravu dopravy, lze nalézt.

Dsniff

Tato utilita je obecně jednou z prvních věcí, které by vás měly napadnout, jakmile uslyšíte
„útok MITM“. Nástroj je poměrně starý, ale stále se aktivně aktualizuje, což je dobrá zpráva. O jeho schopnostech nemá smysl podrobně hovořit, za čtrnáct let své existence byl na síti pokryt nejednou. Například v průvodci, jako je tento:

nebo pokyny z našeho webu:

Konečně..

Jako obvykle jsme nezvážili všechny nástroje, ale pouze ty nejoblíbenější, stále existuje mnoho málo známých projektů, o kterých bychom mohli někdy mluvit. Jak vidíte, nástroje pro provádění útoků MITM nechybí a, což se nestává tak často, jeden ze skvělých nástrojů je implementován pod Windows. O nixových systémech není co říci - celá řada. Takže si myslím, že vždy najdete ten správný nástroj na únos.
pověření někoho jiného. Jejda, to znamená pro účely testování.

Attack "man in the middle" (angl. Man in the middle, MitM-attack) - termín v kryptografii označující situaci, kdy je útočník schopen číst a upravovat zprávy vyměňované korespondenty dle libosti a žádný z nich nemůže hádat o jeho přítomnosti v kanálu.

Způsob kompromitování komunikačního kanálu, při kterém útočník po připojení ke kanálu mezi protistranami aktivně zasahuje do přenosového protokolu, maže, zkresluje informace nebo vnucuje nepravdivé informace.

Princip útoku:

Řekněme, že objekt „A“ plánuje odeslat nějaké informace objektu „B“. Objekt "C" má znalosti o struktuře a vlastnostech použité metody přenosu dat, stejně jako o skutečnosti plánovaného přenosu aktuální informace, kterou "C" plánuje zachytit.

K provedení útoku je "C" "reprezentováno" objektu "A" jako "B" a objektu "B" jako "A". Objekt "A", mylně se domnívající, že posílá informace "B", je posílá do objektu "C".

Objekt "C" po obdržení informací a provedení některých akcí s nimi (například zkopírování nebo úprava pro vlastní účely) odešle data samotnému příjemci - "B"; objekt "B" se zase domnívá, že informace obdržel přímo od "A".

Příklad útoku MitM:

Předpokládejme, že Alice má finanční potíže a pomocí programu pro rychlé zasílání zpráv se rozhodne požádat Johna o částku peněz zasláním zprávy:
Alice: Johne, ahoj!
Alice: Zašlete prosím šifrovací klíč, existuje malý požadavek!
John: Ahoj! Počkej!

Ale v tu chvíli pan X, který si při analýze provozu pomocí čichače všiml této zprávy a slov „šifrovací klíč“, vzbudil zvědavost. Proto se rozhodl zachytit následující zprávy a nahradit je údaji, které potřeboval, a když obdržel následující zprávu:
John: Zde je můj klíč: 1111_D

Změnil Johnův klíč za svůj a poslal Alici zprávu:
John: Zde je můj klíč: 6666_M

Alice, která si neuvědomuje a myslí si, že je to Johnův klíč, používá soukromý klíč 6666_M, posílá zašifrované zprávy Johnovi:
Alice: Johne, mám potíže a naléhavě potřebuji peníze, převeďte prosím 300 $ na můj účet: Z12345. Děkuji. p.s. Můj klíč: 2222_A

Po obdržení zprávy ji Mister-X dešifruje pomocí svého klíče, přečte si ji a s radostí změní Alicino číslo účtu a šifrovací klíč na své vlastní, zašifruje zprávu klíčem. 1111_D a pošle Johnovi zprávu:
Alice: Johne, mám problémy a naléhavě potřebuji peníze, převeďte prosím 300 $ na můj účet: Z67890. Děkuji. p.s. Můj klíč: 6666_A

Po obdržení zprávy ji John dešifruje pomocí klíče. 1111_D a bez pochyby převede peníze na účet Z67890...

A tak si pan X vydělal 300 dolarů pomocí útoku typu man-in-the-middle, ale Alice teď musí vysvětlit, že peníze nedostala... A John? John musí Alici dokázat, že je poslal...

Implementace:

Podobný typ útoku se používá v některých softwarových produktech pro naslouchání v síti, například:
NetStumbler- program, pomocí kterého můžete shromáždit mnoho užitečných dat o bezdrátové síti a vyřešit některé problémy spojené s jejím provozem. NetStumbler vám umožňuje určit dosah sítě a pomůže vám přesně nasměrovat anténu pro komunikaci na velké vzdálenosti. U každého nalezeného přístupového bodu lze zjistit MAC adresu, odstup signálu od šumu, název služby a stupeň jejího zabezpečení. Pokud provoz není šifrován, bude užitečná schopnost programu detekovat neoprávněná připojení.

dsniff- je sada programů pro síťový audit a kontrolu penetrace, poskytuje pasivní monitorování sítě pro vyhledávání zájmových dat (hesla, e-mailové adresy, soubory atd.), zachycování síťového provozu, který je běžně pro analýzu nepřístupný (např. , na přepínané síti), stejně jako možnost organizovat útoky MITM k zachycení relací SSH a HTTPS využitím nedostatků PKI.

Kain a Ábel- bezplatný program, který vám umožní obnovit ztracená hesla operační systémy Rodina Windows. Je podporováno několik režimů obnovy: prolomení hrubou silou, výběr slovníku, zobrazení hesel skrytých hvězdičkami atd. K dispozici jsou také možnosti detekce hesel zachycením informačních paketů a jejich následnou analýzou, záznamem síťové konverzace, analýzou mezipaměti a dalšími.

Ettercap- je sniffer, zachycovač paketů a registrátor pro lokální ethernetové sítě, který podporuje aktivní i pasivní analýzu mnoha protokolů, stejně jako "házení" vlastních dat do existujícího připojení a filtrování "za běhu" bez narušení synchronizace připojení . Program umožňuje zachytit SSH1, HTTPS a další zabezpečené protokoly a poskytuje možnost dešifrovat hesla pro následující protokoly: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA- sada utilit pro hodnocení bezpečnosti bezdrátových klientů, je bezdrátový sniffer, který pasivním nasloucháním rámcům 802.11 Probe Request umožňuje objevit klienty a jejich preferované/důvěryhodné sítě. Pro jednu z požadovaných sítí pak lze vytvořit falešný přístupový bod, ke kterému se automaticky připojí. Falešné služby na vysoké úrovni lze použít ke krádeži osobních údajů nebo zneužití zranitelnosti na straně klienta na hostiteli.

airjack- sada programů, která podle odborníků z oblasti WiFi hackingu je nejlepší nástroj generovat různé rámce 802.11. AirJack obsahuje řadu utilit určených k detekci skrytého ESSID, odesílání rámců ukončení relace s falešným MAC, provádění útoků MitM a jeho úpravy.

opozice:

Aby se zabránilo útokům tohoto typu, stačí, aby si účastníci „A“ a „B“ vzájemně přenesli digitální podpisy veřejných šifrovacích klíčů pomocí spolehlivého kanálu. Poté při porovnávání podpisů klíčů v šifrovacích relacích bude možné zjistit, kterým klíčem byla data zašifrována a zda byly klíče podvrženy.