Mikä on Man-in-the-Middle (MitM) -hyökkäys?

Man-in-the-Middle-hyökkäys tapahtuu, kun verkkorikolinen salaa sieppaa ja mahdollisesti muuttaa kahden osapuolen välistä viestintää, jotka uskovat kommunikoivansa suoraan keskenään. Hyökkääjä voi salakuunnella, varastaa arkaluonteisia tietoja tai manipuloida informaatiota ilman, että kumpikaan uhri huomaa yhteyden vaarantuneen.

Mitkä ovat yleisiä esimerkkejä Man-in-the-Middle-hyökkäyksistä?

Yleisiä MitM-hyökkäyksiä ovat Wi-Fi-salakuuntelu julkisissa verkoissa, SSL-riisunta (HTTPS:n alentaminen HTTP:ksi), DNS-huijaus, ARP-myrkytys paikallisverkoissa sekä sähköpostin kaappaus. Hyökkääjät kohdistavat toimintansa usein pankkisessioihin, kirjautumistietoihin ja henkilökohtaiseen viestintään kerätäkseen arvokasta dataa tai ohjatakseen käyttäjiä petollisille verkkosivustoille.

Miten VPN suojaa Man-in-the-Middle-hyökkäyksiltä?

VPN luo salatun tunnelin laitteesi ja suojatun palvelimen välille, tehden siepatusta datasta lukukelvotonta hyökkääjille. Vaikka rikollinen asettuisi sinun ja kohteesi väliin, he näkevät ainoastaan salattua sisältöä. VPN on erityisen hyödyllinen julkisissa Wi-Fi-verkoissa, joissa MitM-hyökkäyksiä yritetään useimmiten.

Mitkä ovat parhaat käytännöt Man-in-the-Middle-hyökkäysten estämiseksi?

Tarkista aina HTTPS-yhteydet ja SSL-sertifikaatit ennen arkaluonteisten tietojen syöttämistä. Käytä luotettavaa VPN:ää erityisesti julkisissa verkoissa. Ota käyttöön monivaiheinen tunnistautuminen, pidä ohjelmistot päivitettyinä ja vältä epäilyttävien linkkien klikkaamista. Salattujen viestintäsovellusten käyttö ja odottamattomien sertifikaattivaroitusten seuraaminen voivat myös merkittävästi pienentää MitM-hyökkäysriskiäsi.

Man-in-the-Middle Attack

Man-in-the-Middle -hyökkäys: Kun joku kuuntelee salaa

Kuvittele lähettäväsi yksityisen kirjeen, mutta ennen kuin se saapuu perille, joku avaa sen, lukee sen, mahdollisesti muuttaa sitä, sinetöi kirjekuoren uudelleen ja lähettää sen matkaan. Sen enempää sinulla kuin vastaanottajallakaan ei ole mitään aavistusta tapahtuneesta. Tämä on pohjimmiltaan se, mitä Man-in-the-Middle (MitM) -hyökkäys on — hiljainen, näkymätön tunkeutuminen viestintääsi.

Mitä se on

Man-in-the-Middle -hyökkäys on eräänlainen kyberhyökkäys, jossa pahantahtoinen toimija asettuu salaa kahden viestivän osapuolen väliin. Hyökkääjä voi salakuunnella keskustelua, varastaa arkaluonteisia tietoja tai jopa manipuloida vaihdettavaa tietoa — ilman että kumpikaan osapuoli huomaa mitään olevan vialla.

Termi "man-in-the-middle" kuvaa käsitteen täydellisesti: yksityiseksi tarkoitetun keskustelun keskelle on istuutunut kutsumaton kolmas osapuoli.

Miten se toimii

MitM-hyökkäykset etenevät tyypillisesti kahdessa vaiheessa: sieppaus ja salauksen purku.

Sieppaus on tapa, jolla hyökkääjä pääsee liikenteesi väliin. Yleisiä menetelmiä ovat:

Evil twin -Wi-Fi-hotspotit — Hyökkääjä pystyttää väärennettyn julkisen Wi-Fi-verkon, joka jäljittelee aitoa (kuten "Airport_Free_WiFi"). Kun muodostat yhteyden, kaikki liikenteesi kulkee heidän järjestelmänsä kautta.
ARP-huijaus — Paikallisverkossa hyökkääjä lähettää väärennettyjä ARP (Address Resolution Protocol) -viestejä yhdistääkseen oman laitteensa MAC-osoitteen johonkin lailliseen IP-osoitteeseen, ohjaten liikenteen itselleen.
DNS-huijaus — Hyökkääjä vääristää DNS-välimuistin merkintöjä ohjatakseen käyttäjät laillisilta verkkosivustoilta petollisille sivustoille ilman näkyvää varoitusta.
SSL-stripping — Hyökkääjä alentaa suojatun HTTPS-yhteyden salaamattomaksi HTTP-yhteydeksi, mikä mahdollistaa tietojesi lukemisen selkokielisenä.

Päästyään väliin hyökkääjä pyrkii purkamaan sieppatun liikenteen salauksen. Jos yhteyttä ei ole salattu — tai jos he pystyvät murtamaan salauksen — heillä on täysi pääsy kaikkeen lähettämääsi ja vastaanottamaasi: kirjautumistietoihin, taloudellisiin tietoihin, yksityisviesteihin ja muuhun.

Miksi tämä on tärkeää VPN-käyttäjille

Tässä kohtaa VPN:t nousevat ratkaisevan tärkeiksi. VPN luo salatun tunnelin laitteesi ja VPN-palvelimen välille, mikä tekee liikenteesi sieppaamisesta ja lukemisesta erittäin vaikeaa hyökkääjälle. Vaikka joku onnistuisi asettumaan sinun ja verkon väliin, he näkevät vain sekavaa, lukukelvatonta dataa.

VPN-käyttäjien tulisi kuitenkin olla tietoisia muutamasta tärkeästä varauksesta:

VPN suojaa tietoja siirron aikana, mutta se ei suojaa sinua MitM-hyökkäyksiltä, jotka tapahtuvat VPN-palvelintasolla, jos käytät epäluotettavaa palveluntarjoajaa. Hyvämaineisen, auditoidun VPN-palvelun valitseminen vahvalla no-log-käytännöllä on tärkeää.
Ilmaiset VPN:t muodostavat erityisen riskin. Joidenkin ilmaisten palveluntarjoajien on todettu toimivan itse "man in the middle" -roolissa — kirjaamalla, myymällä tai sieppaamalla käyttäjädataa.
SSL-sertifikaattien varmennus on edelleen tärkeää, vaikka käyttäisit VPN:ää. Jos hyökkääjä esittää väärennettyn sertifikaatin ja selaimesi hyväksyy sen, liikenne voi vaarantua ennen kuin se edes pääsee VPN-tunneliin.

Käytännön esimerkkejä

Kahvilahyökkäys: Muodostat yhteyden ilmaiseen kahvilan Wi-Fi-verkkoon (todellisuudessa väärennelty hotspot) ja kirjaudut pankkiisi. Hyökkääjä sieppaa kirjautumistietosi.
Yritysspionaasi: Hyökkääjä yritysverkossa käyttää ARP-huijausta sieppaakseen työntekijöiden välistä sisäistä viestintää.
Istuntokaappaus: Siepattuaan todennetun istuntocookien hyökkääjä ottaa haltuunsa kirjautuneen tilisi tarvitsematta salasanaasi.
Julkisten tapahtumien verkot: Suuret kokoontumiset, kuten konferenssit, ovat ensisijaisia kohteita, joissa hyökkääjät pystyttävät vilpillisiä tukiasemia kerätäkseen dataa sadoilta kytketyiltä laitteilta.

Suojautuminen

VPN:n käytön lisäksi hyviä puolustuskeinoja MitM-hyökkäyksiä vastaan ovat HTTPS:n tarkistaminen selaimesta, kaksivaiheisen todennuksen käyttöönotto, tuntemattomien julkisten Wi-Fi-verkkojen välttäminen sekä ohjelmistojen pitäminen ajan tasalla tunnettujen haavoittuvuuksien korjaamiseksi. Nämä suojauskerrokset yhdessä tekevät onnistuneiden MitM-hyökkäysten toteuttamisesta huomattavasti vaikeampaa.

Man-in-the-Middle AttackKeskitaso