|
[[Tiedosto:MITM Diagramm.png|pienoiskuva|Yksinkertaistettu esimerkki: Käyttäjä ottaa puhelimella yhteyttä palvelimeen, mutta välistävetäjä tunkeutuu yhteyden väliin ja yrittää huijata käyttäjää väärennetyllä sertifikaatilla / varmenteella esimerkiksi vakoillakseen tai rahaa viedäkseen.]]
'''Mies välissä -hyökkäys''' ({{k-en|man-in-the-middle attack}}, lyhenne ''MITMA''<ref name=":2">{{Verkkoviite|osoite=https://www.suomidigi.fi/sites/default/files/2020-06/mainbook_8_2008.pdf|nimeke=VAHTI 8/2008 Valtionhallinnon tietoturvasanasto|julkaisija=Valtiovarainministeriö|viitattu=2021-04-06}}</ref> tai ''MITM''<ref name=":1" />), joka tunnetaan myös nimillä '''epärehellinen välittäjä''', '''välistävetohyökkäys''',<ref name=":2" /> '''kolmas mies -hyökkäys'''<ref name=":2" /> tai '''väliintulohyökkäys''', on tietoturvahyökkäys, jossa kahden viestijän väliseen viestintäreittiin tunkeutuu viestijöiden huomaamatta kolmas osapuoli, joka esittää kummallekin viestivälle osapuolelle olevansa toinen viestijä. Kolmas osapuoli saattaa aiheuttaa vahinkoa esimerkiksi muuttamalla tai poistamalla viestejä, urkkimalla [[salaus]]avaimia tai korvaamalla pyydetyn [[Julkisen avaimen salaus|julkisen avaimen]] omalla julkisella avaimellaan.<ref>{{Verkkoviite|osoite=https://www.vahtiohje.fi/web/guest/maaritelmat-v|nimeke=VAHTI 8/2008 Valtionhallinnon tietoturvasanasto|julkaisija=Valtiovarainministeriö|arkisto=https://web.archive.org/web/20160316020252/https://www.vahtiohje.fi/web/guest/maaritelmat-v|viitattu=2018-01-20}}</ref>
Hyökkäys voidaan tehdä tavallista [[tietokone]]tta vastaan esimerkiksi tavanomaisilla verkkolaitteilla tai [[matkapuhelin]]ta vastaan esimerkiksi [[IMSI]]-siepparilla, joista kumpaankin tapaukseen on kuitenkin suojautumiskeinoja.<ref name=":1">{{Lehtiviite|Tekijä=Altaf Shaik, Ravishankar Borgaonkar, N. Asokan, Valtteri Niemi, Jean-Pierre Seifert|Otsikko=Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems|Julkaisu=arXiv:1510.07563 [cs]|Ajankohta=2015-10-26|Doi=10.14722/ndss.2016.23236
===Varmenteet ja varmennejärjestelmät===
Esimerkiksi salattua [[HTTPS]] -yhteyttä käytettäessä välistävetohyökkäystä vastaan puolustaudutaan internetissä käyttämällä [[Kryptologia|kryptografisia]] varmenteita (eli sertifikaatteja tai todenteita), joita käyttämällä viestivät osapuolet voivat todistaa henkilöllisyytensä välistävetäjän pystymättä matkimaan kumpaakaan. Varmenteita voisi verrata vaikkapa [[DNA-profilointi|DNA]]- tai [[Sormenjälkitunnistus|sormenjälkitunnistukseen]], mutta todellisuudessa varmenteet perustuvat matematiikkaan pohjautuvaan [[Julkisen avaimen salaus|julkisen avaimen salaukseen]] ja niistä on rakennettu luottamukseen pohjautuva hierarkkinen [[PKI|varmenne infrastruktuuri]], jonka huipulla ovat laajalti luotetut ja itsemyönnetyt ns. [[Juurivarmenne|juurivarmenteet]]. Rakennetta hallinnoidaan muun muassa varmenneviranomaisten (eng. ''certificate authority'') ja [[OCSP]]-palveluiden avulla.<ref name=":0">{{Verkkoviite|osoite=https://www.swedbank.ee/download/gateway/PKI-in-nutshell.pdf|nimeke=PKI in a nutshell|julkaisija=Swedbank|arkisto=https://web.archive.org/web/20180121095724/https://www.swedbank.ee/download/gateway/PKI-in-nutshell.pdf|tiedostomuoto=pdf|viitattu=21.1.2018}}</ref> Muita ehdotettuja ja käytössä olevia parannuksia ovat muun muassa [[HPKP]], [[DNSSEC]], [[DANE]]<ref>{{Verkkoviite|osoite=https://www.imperialviolet.org/2015/01/17/notdane.html|nimeke=Why not DANE in browsers|tekijä=Adam Langley|julkaisu=imperialviolet.org|arkisto=https://web.archive.org/web/20171227150905/https://www.imperialviolet.org/2015/01/17/notdane.html|viitattu=2018-01-21}}</ref> ja [[lohkoketju]]un pohjautuvat varmenteet.<ref>{{Verkkoviite|osoite=https://blog.css-security.com/blog/how-will-blockchain-impact-pki|nimeke=How Will Blockchain Impact PKI?|tekijä=Ted Shorter|arkisto=https://web.archive.org/web/20180121171920/https://blog.css-security.com/blog/how-will-blockchain-impact-pki|viitattu=2018-01-21}}</ref><ref>{{Lehtiviite|Tekijä=Stephen Thompson|Otsikko=The preservation of digital signatures on the blockchain|Julkaisu=See Also|Ajankohta=2017-07-31|Numero=3|www=http://ojs.library.ubc.ca/index.php/seealso/article/view/188841}}</ref>
====Heikkouksia====
Viestintämenetelmät eivät ole kuitenkaan välttämättä ole täydellisiä: esimerkiksi aiemmin usein internetissä käytetyn SSL 3.0-[[Protokolla (tietoliikenne)|protokollan]] kaikki versiot on todettu alttiiksi välistävetohyökkäyksille lokakuussa 2014 löytyneen [[POODLE]] -haavoittuvuuden takia, jonka vuoksi SSL on nykyään laajalti korvattu [[TLS]]:llä. TLS:sänkin joistakin toteutuksista löytyi pian tämän jälkeen joulukuussa 2014 vastaavanlaisia ongelmia.<ref>{{Verkkoviite|osoite=https://www.imperialviolet.org/2014/12/08/poodleagain.html|nimeke=The POODLE bites again|tekijä=Adam Langley|julkaisu=imperialviolet.org|arkisto=https://web.archive.org/web/20171219041350/https://www.imperialviolet.org/2014/12/08/poodleagain.html|viitattu=2018-01-21}}</ref>
[[Matkapuhelinverkko|Matkapuhelinverkoissa]] käytetyissä vanhoissa [[2G]]:hen kuuluvissa toteuksissa kuten [[GSM]]:ssä on ollut välistävetohyökkäyksen sallivia ongelmia, joita on pyritty parantamaan uudempien teknologioiden varmennejärjestelmien avulla parantamaan. Uusista [[3G]]-teknologioihin kuuluvista toteutuksissa ja [[LTE]]:n toteutuksista on kuitenkin löytynyt epäkohtia, jotka voivat mahdollistaa välistävetohyökkäyksen.<ref name=":1" />
Varmenneviranomaiset ovat heikko kohta varmenne infrastruktuurissa. 2001 [[VeriSign]] varmenneviranomainen myönsi varmenteen, jossa luki "[[Microsoft]] Corporation" VeriSignia huijanneelle yksittäiselle henkilölle. Varmenteella olisi voinut suorittaa esimerkiksi välistävetohyökkäyksen.<ref>{{Verkkoviite|osoite=https://www.cert.org/advisories/CA-2001-04.html|nimeke=CA-2001-04|julkaisu=cert.org|arkisto=https://web.archive.org/web/20170909234250/https://www.cert.org/historical/advisories/CA-2001-04.cfm|viitattu=2018-01-21}}</ref> Vuonna 2011 onnistuttiin hakkeroimaan [[Comodo Internet Security|Comodo]]- ja [[DigiNotar]]-viranomaiset huijattiin myöntämään varmenteita hakkereille,<ref>{{Verkkoviite|osoite=https://arstechnica.com/information-technology/2011/03/independent-iranian-hacker-claims-responsibility-for-comodo-hack/|nimeke=Independent Iranian hacker claims responsibility for Comodo hack|julkaisu=Ars Technica|arkisto=https://web.archive.org/web/20180121201522/https://arstechnica.com/information-technology/2011/03/independent-iranian-hacker-claims-responsibility-for-comodo-hack/|viitattu=2018-01-21}}</ref><ref>{{Verkkoviite|osoite=https://arstechnica.com/security/news/2011/08/earlier-this-year-an-iranian.ars|nimeke=Another fraudulent certificate raises the same old questions about certificate authorities|julkaisu=Ars Technica|arkisto=https://web.archive.org/web/20170406033306/https://arstechnica.com/security/2011/08/earlier-this-year-an-iranian/|viitattu=2018-01-21}}</ref> joita todennäköisesti käytettiin välistävetohyökkäyksessä [[Iran]]issa.<ref>{{Verkkoviite|osoite=https://www.theregister.co.uk/2011/09/06/diginotar_audit_damning_fail/|nimeke=Inside 'Operation Black Tulip': DigiNotar hack analysed|arkisto=https://web.archive.org/web/20171203091829/http://www.theregister.co.uk/2011/09/06/diginotar_audit_damning_fail/|viitattu=2018-01-21}}</ref>
===Muut menetelmät===
| 