Als Man-in-the-Middle-Angriff oder Man-in-the-Middle-Attacke (MitM) bezeichnet man eine Angriffsart, bei der sich der Hacker oder eine von ihm verwendete Software logisch oder physische zwischen das Opfer und der vom Opfer verwendeten Ressource schaltet. Dies kann innerhalb einer Netzwerkverbindung oder zwischen Prozessen auf einem Rechner geschehen. Durch diese Positionierung ist der Angreifer in der Lage, sämtliche Kommunikation zwischen Opfer und Ressource abzufangen, zu lesen oder zu manipulieren.
Für Man-in-the-Middle-Angriffe lassen sich bestimmte Programme oder Geräte verwenden. Damit der Angriff Erfolg hat, muss der Angreifer sein Vorhandensein vor dem Opfer und der Ressource verbergen. Er gibt sich daher gegenüber dem Opfer oder der Ressource als der eigentliche Kommunikationspartner aus oder arbeitet transparent. Ziele für Man-in-the-Middle-Angriffe sind Online-Datenverkehre und Rechnerprozesse. Die durch die Angriffsmethode erhaltenen Informationen kann der Angreifer verwenden, um illegale Aktionen zu starten wie Identitätsdiebstahl, Fälschen von Transaktionen oder das Stehlen von geistigem Eigentum. Ein manchmal alternativ für Man-in-the-Middle-Angriff verwendeter Begriff ist Janusangriff.
Varianten des Man-in-the-Middle-Angriffs
Je nach Anwendungsbereich der Man-in-the-Middle-Attacke existieren zahlreiche verschiedene Varianten und Methoden. Häufig kommt diese Angriffsart im WLAN-Umfeld zum Einsatz. Ein Angreifer richtet beispielsweise einen WLAN-Router oder -Accesspoint ein, der sich gegenüber dem Opfer als legitimes Gerät ausgibt. Verbindet sich das Opfer mit diesem Gerät, kann der Angreifer sämtliche Daten mitlesen und vertrauliche Daten entwenden. Damit das Opfer die Attacke nicht bemerkt, leitet der gefälschte Accesspoint die Daten nach der Auswertung oder der Manipulation an das eigentliche Ziel weiter.
Auch für das Hijacken von Browser-Sessions oder das Stehlen von Login-Cookies lassen sich Man-in-the-Middle-Attacken einsetzen. In einigen Fällen platzieren Angreifer eine schädliche Software auf dem Rechner des Opfers. Diese befindet sich beispielsweise zwischen dem Browser und der Kommunikationsschnittstelle und zeichnet den Datenverkehr zu den verschiedenen Webseiten auf.
Hat ein Angreifer physischen Zugang zu einem Netzwerk und Datenleitungen, kann er Geräte oder Programme installieren, die den Datenverkehr mitlesen und speichern. Unter Umständen ist es ihm sogar möglich, durch Manipulation von Routing-Einträgen, DNS Cache Poisoning oder das Verändern von ARP-Tabellen den Datenverkehr auf seine Geräte umzuleiten. Dort kann er den Verkehr aufzeichnen, mitlesen und manipulieren.
Schutzmaßnahmen vor einer Man-in-the-Middle-Attacke
Eine wirksame Maßnahme gegen Man-in-the-Middle-Attacken und das Mitlesen von Daten ist das Verschlüsseln der übertragenen Daten. Es sollte eine starke Ende-zu-Ende-Verschlüsselung verwendet werden, damit auf den verschiedenen Teilstrecken die Daten niemals in unverschlüsselter Form vorliegen. Client und Server können digitale Zertifikate für die Verschlüsselung verwenden. Für E-Mails übernimmt Secure/Multipurpose Internet Mail Extensions oder kurz S/MIME diese Aufgabe. Um den Browserverkehr zwischen Client und Server zu schützen, bietet HTTPS (Hypertext Transfer Protocol Secure) geeignete Lösungen. Netzwerke sind zusätzlich vor unbefugtem physischen Zugang zu sichern. Für Transaktionen und Authentifizierungen bietet die Nutzung eines zusätzlichen zweiten Kommunikationskanals Schutz vor einer Man-in-the-Middle-Attacke. Zur Anmeldung an einem System oder zur Durchführung einer Transaktion erhält der User eine PIN oder TAN über den alternativen Kanal auf einem anderen Gerät beispielsweise per SMS. Diese Kommunikation kann der Angreifer nicht mitlesen. Ihm fehlen daher die benötigten Daten für Manipulationen oder gefälschte Transaktionen.
(Quelle: SecurityInsider)