Man-in-the-Middle (MITM)

Czym jest atak Man-in-the-Middle?

Man-in-the-Middle (MITM) to atak, w którym atakujący potajemnie przechwytuje i potencjalnie modyfikuje komunikację między dwoma stronami, które wierzą, że komunikują się bezpośrednio. Atakujący "stoi pośrodku" — widzi wszystko co jest przesyłane, w tym hasła, tokeny sesji, dane finansowe.

MITRE ATT&CK klasyfikuje ten atak jako Adversary-in-the-Middle (AiTM), podkreślając, że atakujący aktywnie manipuluje ruchem sieciowym.

Jak działa atak?

1. Przechwycenie — atakujący włącza się w komunikację (ARP spoofing, DNS spoofing, rogue access point)
2. Podsłuch — cały ruch przechodzi przez urządzenie atakującego — widzi hasła, e-maile, tokeny
3. Modyfikacja — może zmieniać zawartość komunikacji (np. podmienić numer konta w e-mailu)
4. Relay — przekazuje ruch dalej, więc ofiara nie zauważa przerwy

Warianty:

• ARP Spoofing — w sieci LAN, podszywanie się pod bramę domyślną
• DNS Spoofing — przekierowanie na fałszywe serwery
• SSL Stripping — degradacja HTTPS do HTTP
• Evil Twin — fałszywy punkt dostępowy Wi-Fi

Kogo dotyczy w Polsce?

• Podróżujący biznesowo — publiczne Wi-Fi w hotelach, na lotniskach, w pociągach
• Pracownicy zdalni — praca z kawiarni lub coworkingów bez VPN
• Firmy bez segmentacji sieci — atakujący w sieci wewnętrznej widzi cały ruch
• Użytkownicy niezaszyfrowanej poczty — SMTP bez TLS

Jak się chronić?

1. VPN firmowy — obowiązkowy przy każdym połączeniu z niezaufaną siecią
2. HTTPS everywhere — sprawdzaj kłódkę w przeglądarce
3. Nie loguj się na publicznym Wi-Fi — na krytyczne konta (bank, e-mail firmowy)
4. 802.1X — w firmie: uwierzytelnianie urządzeń na poziomie portu sieciowego
5. HSTS — wymuszanie HTTPS na stronach firmowych

Jak SecIQ pomaga?

• SecIQ SOC monitoruje anomalie w ruchu sieciowym (ARP spoofing detection)
• Konfiguracja VPN — wdrożenie firmowego VPN z always-on policy
• Segmentacja sieci — ograniczenie zasięgu potencjalnego MITM
• Szkolenia — edukacja o ryzykach publicznych sieci Wi-Fi

Zamów audyt bezpieczeństwa sieci.