Τι είναι η επίθεση Man-in-the-Middle (MitM);

Είναι μια αλήθεια που συχνά παραβλέπουμε στον χώρο της κυβερνοασφάλειας: η εμπιστοσύνη είναι το πιο εύθραυστο νόμισμα στο ψηφιακό βασίλειο. Καθώς γράφω αυτές τις γραμμές, κοιτάζω το εικονίδιο του λουκέτου στον στο πρόγραμμα περιήγησης μου και αναλογίζομαι πόσοι από εμάς, ακόμη και επαγγελματίες του χώρου, επαναπαυόμαστε σε αυτή τη φαινομενική ασφάλεια.

Σήμερα, θα βουτήξουμε στα βαθιά νερά της επίθεσης Man-in-the-Middle (MitM). Όχι, δεν θα μιλήσουμε για απλά σενάρια που διδάσκονται σε πρωτοετείς φοιτητές. Θα αναλύσουμε την αρχιτεκτονική, την εξέλιξη και την εκλέπτυνση αυτής της επίθεσης όπως διαμορφώνεται το 2025, όπου η τεχνητή νοημοσύνη και τα μετα-κβαντικά πρωτόκολλα κρυπτογραφίας αλλάζουν τους κανόνες του παιχνιδιού.

Η θεμελιώδης αρχιτεκτονική της υποκλοπής

Ας ξεκινήσουμε αποδομώντας τον όρο. Ο “Άνθρωπος στο Κέντρο” είναι πλέον ένας ευγενισμός. Στην πραγματικότητα, μιλάμε για αυτοματοποιημένα bots, εξελιγμένα scripts ή κρατικούς δρώντες που παρεμβάλλονται μεταξύ δύο οντοτήτων επικοινωνίας.

Η ουσία της επίθεσης παραμένει σταθερή: η παραβίαση της ακεραιότητας και της εμπιστευτικότητας χωρίς να διακοπεί η διαθεσιμότητα.

Για να το θέσουμε με τεχνικούς όρους δικτύου, φανταστείτε μια επικοινωνία TCP/IP. Η οντότητα Α (Alice) προσπαθεί να δημιουργήσει μια σύνοδο με την οντότητα Β (Bob). Ο επιτιθέμενος Ε (Eve) πρέπει να επιτύχει δύο πράγματα: να πείσει την Alice ότι είναι ο Bob και τον Bob ότι είναι η Alice.

Αυτό απαιτεί συγχρονισμό σε πραγματικό χρόνο και χειραγώγηση των sequence numbers στα πακέτα TCP, ώστε η σύνδεση να παραμένει “ζωντανή” και για τις δύο πλευρές, ενώ τα δεδομένα περνούν μέσα από τον Ε.

Το 2025, αυτή η διαδικασία έχει γίνει εξαιρετικά περίπλοκη λόγω της καθολικής χρήσης κρυπτογράφησης, αλλά όπως θα δούμε, η κρυπτογράφηση δεν είναι πανάκεια.

ARP Spoofing: Η Αχίλλειος πτέρνα του Layer 2

Παρά τις δεκαετίες εξέλιξης, το πρωτόκολλο ARP (Address Resolution Protocol) παραμένει μια ανοιχτή πληγή στα τοπικά δίκτυα (LAN). Το πρόβλημα έγκειται στην κατασκευαστική αφέλεια του πρωτοκόλλου: είναι stateless και δεν διαθέτει μηχανισμό επαλήθευσης.

Όταν ένας υπολογιστής λαμβάνει ένα μήνυμα ARP reply, ενημερώνει την ARP cache του ανεξάρτητα από το αν είχε στείλει προηγουμένως κάποιο αίτημα.

Σε ένα σενάριο επίθεσης, στέλνω συνεχώς πλαστά πακέτα “Gratuitous ARP” στο δίκτυο. Λέω στο gateway ότι η IP του στόχου αντιστοιχεί στη δική μου MAC address και ταυτόχρονα λέω στον στόχο ότι η IP του gateway αντιστοιχεί στη δική μου MAC.

Το αποτέλεσμα είναι η πλήρης ανακατεύθυνση της κίνησης μέσω της συσκευής μου. Σε επίπεδο ψευδοκώδικα, η λογική είναι ανησυχητικά απλή: loop { send(ARP_Reply(target_IP, my_MAC) to gateway); send(ARP_Reply(gateway_IP, my_MAC) to target); sleep(ms); }.

Παρόλο που σύγχρονα switches διαθέτουν Dynamic ARP Inspection (DAI), η κακή παραμετροποίηση σε εταιρικά δίκτυα εξακολουθεί να αφήνει τεράστια κενά ασφαλείας.

DNS Spoofing και η τέχνη της παραπλάνησης

Αν το ARP spoofing είναι η ωμή βία στο Layer 2, το DNS Spoofing είναι η χειραγώγηση στο Layer 7. Εδώ, ο στόχος μου δεν είναι να υποκλέψω τα πακέτα στη διαδρομή, αλλά να πείσω το θύμα να έρθει οικειοθελώς σε εμένα.

Στο έτος 2025, με την ευρεία υιοθέτηση του DNS over HTTPS (DoH) και DNS over TLS (DoT), οι παραδοσιακές μέθοδοι cache poisoning έχουν γίνει δυσκολότερες, αλλά όχι αδύνατες.

Η επίθεση συχνά επικεντρώνεται πλέον στο τερματικό σημείο ή σε “rogue” DHCP servers που μοιράζουν κακόβουλους DNS resolvers στους clients. Μόλις ελέγξω την ανάλυση ονομάτων, μπορώ να κατευθύνω τον χρήστη που πληκτρολογεί “bank.com” σε έναν server που ελέγχω απόλυτα, ο οποίος είναι κλώνος του αυθεντικού.

Η λεπτομέρεια που κάνει τη διαφορά είναι ότι σε ένα τέτοιο σενάριο, η σύνδεση μπορεί να φαίνεται ασφαλής αν έχω καταφέρει να εκδώσω ένα έγκυρο πιστοποιητικό για το domain που ελέγχω, χρησιμοποιώντας τεχνικές όπως το Domain Validation bypass.

Η ψευδαίσθηση του HTTPS και το SSL Stripping

Ας είμαστε ειλικρινείς, το HTTPS άλλαξε το διαδίκτυο. Ωστόσο, η μετάβαση από το HTTP στο HTTPS είναι το σημείο όπου καραδοκώ. Η τεχνική SSL Stripping, που παρουσιάστηκε αρχικά από τον Moxie Marlinspike, παραμένει εννοιολογικά επίκαιρη, αν και τεχνικά έχει εξελιχθεί. Η ιδέα είναι η υποβάθμιση της σύνδεσης.

Όταν το θύμα πληκτρολογεί μια διεύθυνση χωρίς πρόθεμα πρωτοκόλλου, ο browser συνήθως δοκιμάζει πρώτα HTTP. Ως MitM, παρεμβαίνω σε αυτό το αρχικό αίτημα. Δημιουργώ μια HTTPS σύνδεση με τον πραγματικό server, αλλά σερβίρω HTTP περιεχόμενο στο θύμα.

Φυσικά, το 2025 έχουμε το HSTS (HTTP Strict Transport Security). Το HSTS υποχρεώνει τον browser να συνδέεται μόνο μέσω HTTPS. Πώς το παρακάμπτουμε;

Μέσω επιθέσεων NTP (Network Time Protocol). Αν μπορέσω να αλλάξω την ώρα του συστήματος του θύματος σε μια ημερομηνία μετά τη λήξη της εγγραφής HSTS, ο browser μπορεί να επιτρέψει μια μη ασφαλή σύνδεση. Είναι μια υπενθύμιση ότι η ασφάλεια είναι μια αλυσίδα και το ρολόι του συστήματος είναι συχνά ένας αδύναμος κρίκος.

Adversary-in-the-Middle (AiTM) και παράκαμψη MFA

Εδώ φτάνουμε στην πιο σύγχρονη και επικίνδυνη μορφή MitM για το 2025. Η πολυπαραγοντική ταυτοποίηση (MFA) θεωρείται το ιερό δισκοπότηρο της ασφάλειας λογαριασμών. Όμως, οι επιθέσεις AiTM (Adversary-in-the-Middle) έχουν αποδείξει ότι ακόμα και το MFA δεν είναι ανίκητο.

Σε αυτή την επίθεση, χρησιμοποιώ εργαλεία τύπου reverse proxy (όπως το εξελιγμένο Evilginx3). Δεν στήνω μια ψεύτικη σελίδα που απλά καταγράφει κωδικούς. Στήνω έναν proxy που μεσολαβεί σε πραγματικό χρόνο μεταξύ του χρήστη και της νόμιμης υπηρεσίας. Όταν η υπηρεσία ζητάει το token του MFA, το ζητάω κι εγώ από τον χρήστη.

Ο χρήστης το εισάγει, εγώ το στέλνω στην υπηρεσία, η υπηρεσία το επικυρώνει και επιστρέφει το Session Cookie. Εδώ είναι το ματ: κρατάω το Session Cookie για τον εαυτό μου. Ο χρήστης μπαίνει στον λογαριασμό του, αλλά εγώ έχω πλέον ένα cookie που μου επιτρέπει πρόσβαση χωρίς να χρειάζομαι ξανά κωδικό ή MFA.

Αυτή η επίθεση έχει καταστήσει τα απλά SMS ή App-based OTPs παρωχημένα, οδηγώντας μας αναγκαστικά προς λύσεις hardware κλειδιών (FIDO2) που είναι ανθεκτικά σε phishing.

Υποκλοπή συνεδρίας: Πέρα από τα Cookies

Η διαχείριση συνεδρίας (Session Management) είναι ένα πεδίο μάχης. Πέρα από την κλοπή του cookie που περιέγραψα παραπάνω, έχουμε την πολυπλοκότητα των JSON Web Tokens (JWT).

Σε σύγχρονες εφαρμογές Single Page Applications (SPA), το JWT αποθηκεύεται συχνά στο Local Storage αντί για httpOnly cookies, καθιστώντας το ευάλωτο σε επιθέσεις Cross-Site Scripting (XSS).

Αν ως επιτιθέμενος καταφέρω να εκτελέσω JavaScript στον browser του θύματος (μέσω XSS), μπορώ να διαβάσω το token και να το χρησιμοποιήσω για να κάνω impersonation.

Ακόμα πιο ύπουλα, σε ορισμένες υλοποιήσεις OAuth 2.0, μπορώ να προσπαθήσω να υποκλέψω το Authorization Code κατά την ανακατεύθυνση, ειδικά αν η εφαρμογή δεν εφαρμόζει σωστά το PKCE (Proof Key for Code Exchange).

Η επίθεση MitM εδώ δεν γίνεται απαραίτητα στο επίπεδο δικτύου, αλλά στο επίπεδο της εφαρμογής, παρεμβαίνοντας στη ροή των δεδομένων μεταξύ των διαφόρων components της αυθεντικοποίησης.

Wi-Fi: Evil Twins και Karma Attacks

Το ασύρματο μέσο είναι από τη φύση του ανασφαλές γιατί εκπέμπει πληροφορία προς κάθε κατεύθυνση. Η επίθεση Evil Twin παραμένει κλασική αξία. Στήνω ένα Access Point (AP) με το ίδιο SSID με ένα νόμιμο δίκτυο, αλλά με ισχυρότερο σήμα. Οι συσκευές των θυμάτων, ρυθμισμένες να συνδέονται αυτόματα στο γνωστό SSID, συνδέονται σε εμένα.

Το ενδιαφέρον τεχνικό στοιχείο εδώ είναι η εκμετάλλευση των “Probe Requests”. Οι συσκευές μας εκπέμπουν συνεχώς ερωτήματα: “Υπάρχει εδώ το δίκτυο ‘Home_WiFi’;”.

Σε μια επίθεση Karma (και τις εξελίξεις της όπως το MANA), το κακόβουλο AP απαντά καταφατικά σε όποιο δίκτυο κι αν ζητήσει η συσκευή. “Ψάχνεις το ‘Office_WiFi’; Ναι, είμαι εγώ!”. Μόλις συνδεθεί το θύμα, όλη η κίνηση περνάει από εμένα.

Το 2025, με το WPA3 να είναι πιο διαδεδομένο, η επίθεση αυτή δυσκολεύει λόγω του SAE (Simultaneous Authentication of Equals), το οποίο αποτρέπει την απλή αποκρυπτογράφηση παθητικά καταγεγραμμένης κίνησης, αλλά οι επιθέσεις downgrade και social engineering παραμένουν ενεργές.

Η σκοτεινή πλευρά του BGP Hijacking

Αν ανέβουμε επίπεδο, από το τοπικό δίκτυο στον κορμό του διαδικτύου, συναντάμε το Border Gateway Protocol (BGP). Το BGP είναι η “κολλητική ταινία” που κρατάει το διαδίκτυο ενωμένο, δρομολογώντας την κίνηση μεταξύ των Αυτόνομων Συστημάτων (AS). Το πρόβλημα; Βασίζεται στην εμπιστοσύνη.

Σε ένα BGP Hijacking, ένας κακόβουλος πάροχος (ή κάποιος που έχει παραβιάσει έναν router παρόχου) ανακοινώνει ότι κατέχει μια σειρά IP διευθύνσεων που στην πραγματικότητα δεν του ανήκουν.

Λόγω της φύσης του πρωτοκόλλου, οι γειτονικοί routers ενημερώνουν τους πίνακές τους και η παγκόσμια κίνηση προς αυτές τις IP ανακατευθύνεται μέσω του επιτιθέμενου. Αυτό δεν είναι θεωρητικό· έχει χρησιμοποιηθεί για την υποκλοπή κίνησης χρηματοπιστωτικών ιδρυμάτων και κρυπτονομισμάτων.

Το RPKI (Resource Public Key Infrastructure) προσπαθεί να λύσει αυτό το πρόβλημα υπογράφοντας ψηφιακά τις διαδρομές, αλλά η καθολική υιοθέτησή του προχωρά αργά, αφήνοντας ακόμη και το 2025 μεγάλα τμήματα του διαδικτύου εκτεθειμένα.

Ο Ρόλος της Τεχνητής Νοημοσύνης στο MitM

Δεν θα μπορούσαμε να μιλάμε για το 2025 χωρίς να αναφέρουμε την AI. Η τεχνητή νοημοσύνη έχει μετασχηματίσει το MitM από μια στατική διαδικασία σε μια δυναμική, προσαρμοστική επίθεση. Οι αλγόριθμοι μηχανικής μάθησης μπορούν πλέον να αναλύουν μοτίβα κίνησης σε πραγματικό χρόνο για να εντοπίσουν τα πιο πολύτιμα δεδομένα προς υποκλοπή, αγνοώντας τον θόρυβο.

Ακόμα πιο τρομακτικό είναι το Deepfake Audio/Video σε πραγματικό χρόνο κατά τη διάρκεια μιας επίθεσης MitM σε VoIP ή βιντεοκλήσεις. Φανταστείτε να παρεμβάλλομαι σε μια κλήση Teams ή Zoom. Όχι μόνο ακούω, αλλά μπορώ να αλλάξω τη φωνή του ομιλητή ή ακόμη και την εικόνα του ελάχιστα αλλά κρίσιμα, για να χειραγωγήσω τη συζήτηση.

Η υπολογιστική ισχύς στις παρυφές (Edge Computing) επιτρέπει αυτή την επεξεργασία με ελάχιστη καθυστέρηση, καθιστώντας την παρέμβαση αόρατη στο ανθρώπινο αντιληπτικό σύστημα.

TLS 1.3, QUIC και Μετα-Κβαντική Ασφάλεια

Κλείνοντας την τεχνική μας ανάλυση, πρέπει να δούμε τι κάνουμε για όλα αυτά. Το TLS 1.3 έχει εξαλείψει πολλές ευπάθειες των προκατόχων του (όπως τη στήριξη αδύναμων αλγορίθμων κρυπτογράφησης), αλλά εισήγαγε το 0-RTT (Zero Round Trip Time) resumption, το οποίο, αν και γρήγορο, είναι θεωρητικά ευάλωτο σε Replay Attacks αν δεν υλοποιηθεί σωστά.

Παράλληλα, η άνοδος του πρωτοκόλλου QUIC (πάνω στο οποίο τρέχει το HTTP/3) αλλάζει το τοπίο. Το QUIC χρησιμοποιεί UDP αντί για TCP και ενσωματώνει την κρυπτογράφηση από το σχεδιασμό του.

Αυτό σημαίνει ότι τα παραδοσιακά εργαλεία ασφαλείας που έκαναν “καλόβουλο” MitM για έλεγχο κίνησης (Deep Packet Inspection) είναι πλέον τυφλά. Οι οργανισμοί παλεύουν να βρουν ισορροπία μεταξύ της ιδιωτικότητας και της εταιρικής ασφάλειας.

Τέλος, η σκιά των κβαντικών υπολογιστών πέφτει βαριά. Η τρέχουσα κρυπτογράφηση δημοσίου κλειδιού (RSA, ECC) θα σπάσει μόλις οι κβαντικοί υπολογιστές φτάσουν σε επαρκή ισχύ.

Το 2025, βλέπουμε την αρχή της μετάβασης σε αλγορίθμους Post-Quantum Cryptography (PQC), όπως αυτοί που τυποποιήθηκαν από το NIST (π.χ., ML-KEM πρώην CRYSTALS-Kyber). Η εφαρμογή τους είναι κρίσιμη για την προστασία δεδομένων που υποκλέπτονται σήμερα για να αποκρυπτογραφηθούν στο μέλλον (“Harvest Now, Decrypt Later”).

Συμπεράσματα

Η επίθεση Man-in-the-Middle δεν είναι απλώς μια τεχνική· είναι μια υπενθύμιση της ανάγκης για συνεχή επαγρύπνηση. Από τα ταπεινά ARP spoofing μέχρι τα εξελιγμένα AiTM attacks με παράκαμψη MFA και την απειλή της κβαντικής αποκρυπτογράφησης, ο κοινός παρονομαστής είναι η εκμετάλλευση της εμπιστοσύνης μεταξύ δύο άκρων.

Ως επαγγελματίες, οφείλουμε να υιοθετήσουμε την αρχιτεκτονική Zero Trust. Δεν εμπιστευόμαστε τίποτα, επαληθεύουμε τα πάντα, συνεχώς. Η μάχη μεταξύ κρυπτογράφησης και υποκλοπής είναι ένας αέναος αγώνας δρόμου, και το 2025 τρέχουμε πιο γρήγορα από ποτέ.

Για να συνοψίσουμε τα παραπάνω, ετοίμασα έναν πίνακα που συγκρίνει τις βασικές μορφές επίθεσης που αναλύσαμε με τις αντίστοιχες σύγχρονες άμυνες.