Man-in-the-middle (MITM) — атакующий встаёт между тобой и сервером с которым ты общаешься. Видит/модифицирует трафик незаметно для обеих сторон.
Виды MITM
Evil twin WiFi
Атакующий поднимает WiFi-точку с именем "Starbucks Free WiFi". Юзеры подключаются автоматом думая что это легитимная сеть. Атакующий — теперь posredник всего трафика.
ARP spoofing
На локальной сети атакующий говорит "я — роутер" через поддельные ARP-ответы. Устройства начинают слать трафик ему.
DNS hijacking
Подмена DNS-ответов. Юзер просит IP "google.com" — получает IP атакующего. Подключается к фейковому Google который выглядит как настоящий.
SSL stripping
Атакующий перехватывает HTTPS-подключение и форсит downgrade до HTTP — без шифрования трафик читается. Работает только если юзер заходит на сайт через HTTP (типа кликнул "http://bank.com" вместо "https://").
Rogue root CA
Если атакующий может установить свой root CA сертификат в устройство (managed corporate device, malware), может подделывать HTTPS незаметно. Самый серьёзный — но требует доступа к устройству.
Как HTTPS защищает
HTTPS юзает сертификаты доверенных CA. Когда подключаешься — сервер показывает cert, браузер проверяет подпись доверенного CA. Если что-то не так — браузер показывает ошибку.
Это закрывает большинство MITM на сетевом слое — атакующий не может подделать cert без compromised CA.
Как ВПН помогает
ВПН шифрует весь трафик между устройством и ВПН-сервером. MITM-атака на локальной сети видит только шифрованный туннель — не может:
- Подделать конкретные сайты (видит только ВПН-сервер).
- Украсть пароли в незашифрованном трафике.
- Сделать DNS hijacking (DNS идёт через шифрованный туннель).
- Сделать SSL stripping (всё уже шифровано).
Атака сдвигается с твоей локальной сети на ВПН-сервер. ВПН-провайдер в позиции для теоретической MITM — поэтому важна репутация и no-log архитектура.
Чего ВПН не закрывает
- Malware на твоём устройстве (видит трафик до шифрования).
- Rogue root CA на твоём устройстве.
- Compromised ВПН-провайдер.
- Фишинг (сам кликаешь на фейк-сайт, ВПН не помогает).