man-in-the-middle attack
Főnév
man-in-the-middle attack (tsz. man-in-the-middle attacks)
- (informatika) A man-in-the-middle attack (MITM), azaz „ember a középben” támadás, egy olyan kiberbiztonsági támadástípus, amely során a támadó titokban elfogja és manipulálja a két fél közötti kommunikációt, miközben mindkét fél azt hiszi, hogy közvetlenül egymással kommunikálnak. Ez a támadás különösen veszélyes, mert nehezen észlelhető, és lehetővé teszi az adatlopást, adatmanipulációt, vagy akár hamis identitással való visszaélést.
🧠 MITM alapötlete
Képzeld el, hogy Alice és Bob kommunikálni akarnak egymással. A háttérben azonban Eve, a támadó, “közéjük ékelődik” úgy, hogy:
- Alice azt hiszi, Bobbal beszél.
- Bob azt hiszi, Alice-szel beszél.
- Valójában Eve mindkét oldalt egyedileg kommunikálja le, és így mindent lát, hall, akár módosítani is tud.
📦 MITM típusai
1. Passzív MITM
- A támadó csak figyel, nem módosítja az adatokat.
- Cél: adatlopás, például jelszavak, banki adatok megszerzése.
2. Aktív MITM
- A támadó manipulálja az adatokat.
- Pl.: módosít egy tranzakció címzettjét vagy egy üzenet tartalmát.
🔍 Hogyan történik a támadás?
1. Kommunikáció elfogása
A támadó valamilyen technikával rákapcsolódik a két fél közötti kapcsolatra:
- ARP Spoofing / Poisoning (helyi hálózatokon)
- DNS Spoofing (hamis címek visszaadása)
- Rogue Access Point (Fake Wi-Fi) (pl. nyilvános Wi-Fi másolata)
- SSL Stripping (HTTPS → HTTP visszaalakítás)
- Session Hijacking (sütik eltérítése)
2. Adatok visszafejtése, manipulálása
Ha a kapcsolat nem titkosított, vagy hibás titkosítást használ, a támadó:
- Kiszedi a jelszavakat, leveleket, banki adatokat.
- Módosítja az adatokat (pl. utalási címzett).
🛠️ Konkrét példák
✉️ E-mail MITM
Egy támadó elfogja Alice e-mailjét Bob felé, módosítja benne a banki adatokat, majd továbbküldi Bobnak.
🌐 HTTPS támadás (SSL stripping)
Egy weboldalt HTTPS helyett HTTP-n keresztül ér el a felhasználó, mert a támadó visszaalakította a biztonságos kapcsolatot, így a forgalom lehallgatható.
💻 ARP spoofing
A támadó hamis ARP válaszokat küld, így a hálózaton lévő eszközök azt hiszik, hogy ő a gateway – az összes forgalom rajta keresztül megy.
📉 Milyen adatokat lehet megszerezni?
| Adat | Mire használható |
|---|---|
| Jelszavak | Belépés más fiókokba, hitelesítés |
| Banki adatok | Pénzügyi csalás, kártyaadatok klónozása |
| E-mailek, üzenetek | Megfigyelés, zsarolás |
| Sütik (session tokenek) | Session hijacking → belépés mások nevében |
| Titkosított fájlok | Ha gyenge a kulcskezelés, visszafejthetők |
💣 Hosszabb távú következmények
- Identitáslopás
- Hozzáférés vállalati hálózatokhoz
- Belső titkok kiszivárgása
- Cenzúra kikerülésének megtörése (pl. totalitárius rendszerekben)
- Digitális aláírások hamisítása
🛡️ Védekezés a MITM támadás ellen
1. HTTPS és SSL/TLS
- Minden webes kommunikáció titkosítása HTTPS-en keresztül.
- Helyes tanúsítvány-ellenőrzés (certificate validation).
2. HSTS (HTTP Strict Transport Security)
- A böngésző csak HTTPS kapcsolatot engedélyez az adott domainre.
3. VPN használata
- A VPN minden forgalmat titkosít, még a helyi hálózat előtt.
4. Kétfaktoros hitelesítés
- Ha jelszavak ki is szivárognak, a támadó nem tud belépni.
5. DNSSEC + DoH/DoT
- DNS válaszok hitelesítése + titkosítása → megakadályozza a DNS hamisítást.
6. Hálózati figyelés és IDS
- Helyi hálózatban ARP spoofing vagy más gyanús tevékenységek észlelése.
🧪 MITM felismerése
| Jelenség | Magyarázat |
|---|---|
| HTTPS figyelmeztetés | A böngésző tanúsítvány hibára figyelmeztet |
| Lassú hálózat | A támadó átirányít minden csomagot, késleltetve a kapcsolatot |
| Furcsa IP-címek | Idegen IP címek a traceroute vagy ARP táblákban |
| SSL stripping eszközök (pl. ettercap) működése | Ismertek és szimulálhatók laborkörnyezetben |
🧠 Híres MITM esetek
| Esemény | Leírás |
|---|---|
| Superfish botrány (Lenovo, 2015) | Előretelepített MITM szoftver, amely HTTPS forgalmat hallgatott le |
| Gmail tanúsítvány-hamisítás (2011) | Iránban egy állami MITM támadás során hamis tanúsítvánnyal próbálták elfogni a forgalmat |
| Fake Wi-Fi hálózatok reptereken | Hamis hotspot, MITM-en keresztüli adatlopással |
📚 MITM szimuláció (Linux + ettercap)
echo 1 > /proc/sys/net/ipv4/ip_forward
ettercap -T -q -M arp:remote /victim_IP/ /gateway_IP/
- Ez egy ARP spoofing alapú MITM, ahol a támadó a két fél között „forwardolja” a csomagokat.
- Ha nincs HTTPS, minden világosan látható (pl. jelszavak POST mezőben).
🧠 Összefoglalás
| Fogalom | Jelentés |
|---|---|
| Man-in-the-middle attack | Olyan támadás, ahol a támadó két fél közé „áll be” a kommunikációban |
| Típusai | Passzív (lehallgatás), Aktív (adatmanipuláció) |
| Alkalmazott technikák | ARP spoofing, DNS hamisítás, SSL stripping |
| Célja | Adatlopás, hamisítás, megfigyelés |
| Védekezés | HTTPS, VPN, tanúsítványellenőrzés, HSTS, 2FA, IDS |
| Híres esetek | Superfish, állami megfigyelés, fake Wi-Fi támadások |
A MITM támadás az egyik legveszélyesebb, mégis legtöbbször alábecsült támadási forma, különösen nyilvános vagy nem védett hálózatokban. Megértése alapvető fontosságú a kiberbiztonság szempontjából.
- man-in-the-middle attack - Szótár.net (en-hu)
- man-in-the-middle attack - Sztaki (en-hu)
- man-in-the-middle attack - Merriam–Webster
- man-in-the-middle attack - Cambridge
- man-in-the-middle attack - WordNet
- man-in-the-middle attack - Яндекс (en-ru)
- man-in-the-middle attack - Google (en-hu)
- man-in-the-middle attack - Wikidata
- man-in-the-middle attack - Wikipédia (angol)