حمله مرد میانی

حمله مرد میانی چیست

حمله مردی میانی یا Man in the middle، یک اصطلاح کلی برای زمانی است که تبادل اطلاعات بین یک شخص و یک برنامه در جریان است و فردی، خود را در مکالمه بین این دو قرار می‌دهد؛ چه برای استراق سمع و چه برای جعل هویت یکی از طرفین.

هدف از این حمله، سرقت اطلاعات شخصی مانند اطلاعات ورود به سیستم، جزئیات حساب و شماره کارت اعتباری است. سوژه‌ها معمولاً کاربران برنامه‌های مالی، مشاغل اس‌ای‌ای‌اس (SaaS)، سایت‌های تجارت الکترونیک و سایر وب سایت‌هایی هستند که ورود به سیستم در آن‌ها لازم است.

اطلاعات به‌دست‌آمده در طول حمله می‌تواند برای اهداف بسیاری، از جمله سرقت هویت، انتقال وجه یا تغییر رمزعبور غیرقانونی استفاده شود.

علاوه بر این، می‌توان از آن به عنوان پایگاه در یک محیط امن برای نفوذ و حمله‌ای تحت عنوان “تهدید مداوم پیشرفته (APT)” استفاده کرد.

به طور کلی، حمله مرد میانی معادل این است که یک پستچی صورت حساب بانکی شما را باز می‌کند، جزئیات حساب شما را می‌نویسد و سپس پاکت را دوباره مهروموم می‌کند و آن را به درب منزل شما تحویل می‌دهد.

نمونه ای از حمله مرد میانی

فرایند حمله مرد میانی

اجرای موفق این حمله دارای دو مرحله مجزا است: رهگیری و رمزگشایی.

نفوذ یا مداخله

در اولین مرحله، فرد مهاجم، ترافیک کاربر را قبل از رسیدن‌به مقصد مورد نظر خود توسط شبکه دریافت می‌کند. رایج‌‌ترین و ساده‌‌ترین راه انجام این کار، حمله غیرفعال است که در آن مهاجم، هات‌اسپات‌های وای فای رایگان و مخرب را در دسترس عموم قرار می‌دهد. معمولاً این هات‌اسپات‌های وای فای رایگان به گونه‌ای نام‌گذاری می‌شوند که با موقعیت مکانی آن‌ها مطابقت دارد. آن‌ها پسورد یا رمز عبور ندارند. هنگامی که قربانی به این وای فای متصل می‌شود، مهاجم به هر تبادل اطلاعات آنلاین، دسترسی کاملی پیدا می‌کند.

مهاجمانی که روش‌های حرفه‌ای‌تری برای رهگیری ترافیک قربانی‌ها دارند ممکن است یکی از حملات زیر را انجام دهند:

جعلIP : مهاجم با جایگزین کردن محتویات یک بسته اطلاعاتی در شبکه مبتنی بر IP، خود را به عنوان یک برنامه یا اپلیکیشن جا می‌زند .در نتیجه، کاربرانی که تلاش می‌کنند به یک URL متصل به برنامه دسترسی پیدا کنند، به وب سایت مهاجم فرستاده‌می‌شوند.

جعل ARP: این روش به معنای اتصال مک آدرس (MAC address) مهاجم با IP کاربر در یک شبکه محلی با استفاده از پیام‌های پروتکل ARP جعلی است. در نتیجه داده‌های ارسال‌شده توسط کاربر به جای انتقال به آدرس IP شبکه میزبان، به فرد مهاجم منتقل می‌شود.

جعل DNS: همچنین به عنوان مسموم‌کردن کَش دی‌ان‌اس (DNS cache) شناخته می‌شود و شامل نفوذ به سرور DNS و تغییر سابقه آدرس وب سایت می‌شود. در نتیجه، کاربرانی که تلاش می‌کنند به سایت دسترسی پیدا کنند، توسط سابقه DNS تغییریافته به سایت مهاجم فرستاده می‌شوند.

رمزگشایی

بعد از نفوذ، هر ترافیک SSL دو طرفه باید بدون هشدار به کاربر یا برنامه رمزگشایی شود. تعدادی روش برای دستیابی به همچین چیزی وجود دارد:

جعل HTTPS: پس از انجام درخواست اتصال اولیه به یک سایت امن، یک گواهی ساختگی به مرورگر قربانی ارسال می‌شود. این گواهی ساختگی دارای یک اثر انگشت دیجیتال مرتبط با برنامه است که مرورگر آن را مطابق با لیست موجود از سایت‌های مورد اعتماد تأیید می‌کند. سپس مهاجم می‌تواند به هر داده‌ای که قربانی وارد کرده است، قبل از اینکه به برنامه منتقل شود، دسترسی پیدا کند.

SSL BEAST (سوءاستفاده مرورگر از SSL/TLS) یک آسیب پذیری TLS نسخه 1.0 در SSL را هدف قرار می‌دهد. در اینجا، رایانه قربانی به جاوا اسکریپت مخربی که به کوکی‌های رمزگذاری‌شده ارسالی توسط یک اپلیکیشن نفوذ می‌کند، آلوده‌می‌شود. سپس بلاک‌های رمزنگاری‌شده زنجیره‌ای (Cipher Block Chaining) به خطر می‌افتد و کوکی‌ها و توکن‌های احراز هویت آن رمزگشایی و هک شود.

SSL hijacking: زمانی اتفاق می‌افتد که مهاجم کلیدهای احراز هویت جعلی را هم به کاربر و هم به برنامه در طی فرایند شروع ارتباط بین این دو (TCP handshake) ارسال می‌کند. این اتصال ایمن به نظر می‌رسد در حالی که در واقع، مرد میانی کل این اتصال را کنترل می‌کند.

SSL stripping: با رهگیری احرازهویت TLS ارسال‌شده از برنامه به کاربر، اتصال HTTPS را به HTTP تنزل می‌دهد. مهاجم یک نسخه رمزگذاری نشده از سایت برنامه را برای کاربر ارسال می‌کند در حالی که ارتباط ایمن با برنامه را حفظ می‌کند. در همین حال، کل فعالیت کاربر برای مهاجم قابل مشاهده است.

پیشگیری از حمله مرد میانی

مسدودکردن حملات مرد میانی به چندین مرحله عملی از جانب کاربران و همچنین ترکیبی از روش‌های رمزگذاری و شناسایی برای برنامه‌ها نیاز دارد.

اقداماتی که کاربران باید انجام دهند:

اجتناب از اتصال به وای فای‌هایی که دارای رمز عبور نیستند.

توجه به اعلان های مرورگر زمانی که یک وب سایت را ناامن گزارش می‌کنند.

خروج فوری از یک برنامه ایمن زمانی که از آن استفاده نمی‌شود.

عدم استفاده از شبکه‌های عمومی (به عنوان مثال، کافی شاپ‌ها، هتل‌ها) هنگام انجام تراکنش‌های مالی.

برای اپراتورهای وب‌سایت، استفاده از پروتکل‌های ارتباطی امن، از جمله TLS و HTTPSبا رمزگذاری قوی و اعتبار سنجی تمامی داده‌های ارسالی، به کاهش حملات کمک می‌کنند. انجام این کار از نفوذ به ترافیک سایت جلوگیری می‌کند و مانع رمزگشایی داده‌های حساس و مهم مانند توکن‌های اعتبار سنجی می‌شود.

بهترین روش امنیتی برای برنامه‌ها, استفاده از SSL/TLS برای ایمن کردن هر صفحه از سایت و تمام صفحاتی که کاربران را ملزم به ورود به سیستم می‌کند, در نظر گرفته می‌شود. انجام اینکار به کاهش احتمال سرقت کوکی‌های فعال هنگامی که کاربر در حال ورود اطلاعات و جستجو در در سایت هستند کمک می‌کند.

استفاده از پلت‌فرم ایمپروا (Imperva) برای امنیت در برابر حمله مرد میانی

حملات مرد میانی اغلب به دلیل استفاده از SSL/TLS (پروتکل‌های که به کاربر در اعتبارسنجی و انتقال ایمن داده‌ها در اینترنت کمک می‌کنند) نامناسب رخ می‌دهد. مانند مواردی که کلاه‌برداری SSL BEAST را فعال می‌کند یا استفاده از رمزهای منسوخ و غیر ایمن را مجاز می‌کند.

برای مقابله با این موارد، پلتفرم ایمپروا (Imperva) به عنوان بخشی از مجموعه خدمات امنیتی خود، رمزگذاری SSL/TLS  سراسر بهینه‌شده را به مشتریان خود ارائه می‌دهد.

این خدمات که در شبکه ارسال محتوا (content delivery network) ایمپروا قرار دارند به‌طور بهینه برای جلوگیری از حملات مخرب  SSL/TLS، مانند حذف SSL، و برای اطمینان از انطباق با آخرین الزامات PCI DSS، ارائه می‌شوند.

در این پلتفرم،SSL/TLS  که به عنوان یک سرویس مدیریتی ارائه و توسط یک سرویس امنیت حرفه‌ای به‌روز می‌‍‌شود، برای همگامی با الزامات انطباق و برای مقابله با تهدیدهای نوظهور مانند Heartbleed استفاده می‌شوند.

در پایان، با داشبورد ابری ایمپروا، کاربر همچنین می‌تواند خط‌ ‌‌‌مشی‌های HTTP Strict Transport Security  (HSTS) را برای اعمال امنیت SSL/TLS در چندین زیردامنه استفاده کند. این کار به امنیت بیشتر وب سایت و اپلیکیشن‌ها در برابر حملات به پروتکل و تلاش برای ربودن کوکی کمک می‌کند.

منبع imperva.com