Begriff
Man-in-the-Middle (MitM)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Alice will Bob einen Brief schreiben. Max (der Man in the Middle) fängt den Brief ab. Er öffnet ihn, liest ihn, ändert "Ich liebe dich" in "Ich hasse dich", klebt ihn zu und gibt ihn Bob. Bob denkt, der Brief kommt von Alice. Alice denkt, Bob hat den Brief bekommen. Niemand merkt, dass Max dazwischen sitzt und manipuliert. Im Internet passiert das oft in offenen WLANs (Café). Der Hacker sitzt zwischen deinem Laptop und dem Router.
Merksatz: Ein Angriff, bei dem sich ein Angreifer unbemerkt in die Kommunikation zwischen zwei Parteien einklinkt, um Daten abzuhören oder zu manipulieren.
Schutzmaßnahme Nummer 1: HTTPS (TLS). Wenn der Brief (Daten) in einem unknackbaren Tresor liegt, kann Max ihn zwar abfangen, aber nicht lesen oder ändern. Er kann den Tresor nur weiterleiten oder zerstören (DoS). Deshalb warnt der Browser rot ("Zertifikatsfehler"), wenn jemand versucht, die Verschlüsselung aufzubrechen.
1. ARP Spoofing (LAN)
Wie wird man zum "Mann in der Mitte"? Im lokalen Netzwerk schreit der Hacker: "Hallo! Ich bin der Router (IP 192.168.1.1)!" Er sendet gefälschte ARP-Pakete. Die PCs der Opfer glauben ihm und senden ihren Traffic an den Hacker statt an den echten Router. Der Hacker leitet es dann an den echten Router weiter (damit das Internet noch geht), liest aber alles mit.
2. Evil Twin (WLAN)
Der Hacker stellt einen eigenen WLAN-Hotspot auf. Er nennt ihn genauso wie das Café-WLAN ("Starbucks WiFi"). Er hat ein stärkeres Signal. Dein Handy verbindet sich automatisch mit dem Hacker. Jetzt fließt dein ganzer Traffic über sein Gerät.
3. SSL Stripping
Hacker fängt den ersten Request ab (http://bank.com).
Die Bank antwortet mit Redirect auf https://bank.com.
Der Hacker fängt den Redirect ab.
Er redet mit der Bank per HTTPS (verschlüsselt).
Aber er redet mit dir per HTTP (unverschlüsselt).
Er strippt das "S" weg. Du siehst kein Schloss-Symbol, aber die Seite sieht echt aus.
HSTS (Strict Transport Security) verhindert das (Browser merkt sich: "Bank.com NUR mit HTTPS").
BGP Hijacking und Backbone MitM
MitM passiert nicht nur im Café. Er passiert im Backbone des Internets. Router navigieren anhand des Border Gateway Protocol (BGP). Ein bösartiger ISP (oft staatliche Akteure) broadcastet eine BGP-Route: "Ich bin der kürzeste Weg zu Google Networks". Der restliche globale Routing-Schwarm glaubt das (BGP hat per default keine Authentifizierung!) und leitet Millionen TCP-Pakete mitten durch den Schurkenstaat. Dieser liest sie aus, manipuliert DNS-Verweise und reicht sie verzögert an das "echte" Google durch. Prävention ist hier nur durch harte RPKI (Resource Public Key Infrastructure) Signierung auf Backbone-Level möglich.
Corporate TLS Interception (Break and Inspect)
Viele Firmen betreiben absichtliches, legales MitM an ihren eigenen Mitarbeitern (Palo Alto, Zscaler).
Wenn ein Dev HTTPS zu gmail.com öffnet, fängt die Firewall den Call ab. Da sie reingucken will (DLP - Data Loss Prevention), serviert sie dem Mitarbeiter-PC ein Fake-Zertifikat der Firewall. Normalerweise schreit der Browser "Warnung, Betrug!". Da die Admins aber das Stammzertifikat der Firewall auf alle Firmenlaptops per Active Directory ausgerollt haben, vertraut der Browser ihm blind. Die Firewall entschlüsselt die E-Mail, liest den Anhang, verschlüsselt es mit dem echten Google-Zertifikat und schickt es raus. ("Break and Inspect").
Certificate Public Key Pinning (HPKP / App-Level)
Die brutalste Abwehr gegen jegliche Art von TLS-Spoofing (auch staatlich und korporativ) ist Certificate Pinning.
Eine Mobile App (z.B. Banking-App) traut nicht dem Windows-Zertifikatsstore oder Let's Encrypt.
Der Entwickler brennt den exakten kryptographischen Hashwert des echten Bank-Zertifikats hart in den Code (Binary) der App ein.
Sitzt die App nun hinter dem Zscaler-Firmen-Proxy (oder in einem Hacker-Café), erhält sie das manipulierte TLS-Zertifikat. Da der Hash nicht in der .apk/.ipa verankert ist, verweigert die App die HTTP-Verbindung radikal mit einem Zero-Tolerance-Drop. Die Bank-App zerschellt lieber im Error, als ihre Geheimnisse zu übergeben.
Quick-Check
Warum VPN nutzen?
Im offenen WLAN schützt ein VPN vor MitM. Der Hacker sieht nur den VPN-Tunnel (verschlüsselten Müll), egal ob er ARP Spoofing oder Evil Twin macht.Burp Suite / Fiddler?
Tools für Entwickler (und Hacker), die absichtlich MitM spielen. Du installierst ein Zertifikat auf deinem PC, damit das Tool HTTPS aufbrechen kann. Genutzt zum Debuggen von Apps.Was ist Session Hijacking?
Eine Folge von MitM. Wenn die Verbindung unverschlüsselt ist, klaut der Hacker dein Session-Cookie und übernimmt deinen Account.