حمله مرد میانی چیست
حمله مردی میانی یا Man in the middle، یک اصطلاح کلی برای زمانی است که تبادل اطلاعات بین یک شخص و یک برنامه در جریان است و فردی، خود را در مکالمه بین این دو قرار میدهد؛ چه برای استراق سمع و چه برای جعل هویت یکی از طرفین.
هدف از این حمله، سرقت اطلاعات شخصی مانند اطلاعات ورود به سیستم، جزئیات حساب و شماره کارت اعتباری است. سوژهها معمولاً کاربران برنامههای مالی، مشاغل اسایایاس (SaaS)، سایتهای تجارت الکترونیک و سایر وب سایتهایی هستند که ورود به سیستم در آنها لازم است.
اطلاعات بهدستآمده در طول حمله میتواند برای اهداف بسیاری، از جمله سرقت هویت، انتقال وجه یا تغییر رمزعبور غیرقانونی استفاده شود.
علاوه بر این، میتوان از آن به عنوان پایگاه در یک محیط امن برای نفوذ و حملهای تحت عنوان “تهدید مداوم پیشرفته (APT)” استفاده کرد.
به طور کلی، حمله مرد میانی معادل این است که یک پستچی صورت حساب بانکی شما را باز میکند، جزئیات حساب شما را مینویسد و سپس پاکت را دوباره مهروموم میکند و آن را به درب منزل شما تحویل میدهد.
نمونه ای از حمله مرد میانی
فرایند حمله مرد میانی
اجرای موفق این حمله دارای دو مرحله مجزا است: رهگیری و رمزگشایی.
نفوذ یا مداخله
در اولین مرحله، فرد مهاجم، ترافیک کاربر را قبل از رسیدنبه مقصد مورد نظر خود توسط شبکه دریافت میکند. رایجترین و سادهترین راه انجام این کار، حمله غیرفعال است که در آن مهاجم، هاتاسپاتهای وای فای رایگان و مخرب را در دسترس عموم قرار میدهد. معمولاً این هاتاسپاتهای وای فای رایگان به گونهای نامگذاری میشوند که با موقعیت مکانی آنها مطابقت دارد. آنها پسورد یا رمز عبور ندارند. هنگامی که قربانی به این وای فای متصل میشود، مهاجم به هر تبادل اطلاعات آنلاین، دسترسی کاملی پیدا میکند.
مهاجمانی که روشهای حرفهایتری برای رهگیری ترافیک قربانیها دارند ممکن است یکی از حملات زیر را انجام دهند:
جعلIP : مهاجم با جایگزین کردن محتویات یک بسته اطلاعاتی در شبکه مبتنی بر IP، خود را به عنوان یک برنامه یا اپلیکیشن جا میزند .در نتیجه، کاربرانی که تلاش میکنند به یک URL متصل به برنامه دسترسی پیدا کنند، به وب سایت مهاجم فرستادهمیشوند.
جعل ARP: این روش به معنای اتصال مک آدرس (MAC address) مهاجم با IP کاربر در یک شبکه محلی با استفاده از پیامهای پروتکل ARP جعلی است. در نتیجه دادههای ارسالشده توسط کاربر به جای انتقال به آدرس IP شبکه میزبان، به فرد مهاجم منتقل میشود.
جعل DNS: همچنین به عنوان مسمومکردن کَش دیاناس (DNS cache) شناخته میشود و شامل نفوذ به سرور DNS و تغییر سابقه آدرس وب سایت میشود. در نتیجه، کاربرانی که تلاش میکنند به سایت دسترسی پیدا کنند، توسط سابقه DNS تغییریافته به سایت مهاجم فرستاده میشوند.
رمزگشایی
بعد از نفوذ، هر ترافیک SSL دو طرفه باید بدون هشدار به کاربر یا برنامه رمزگشایی شود. تعدادی روش برای دستیابی به همچین چیزی وجود دارد:
جعل HTTPS: پس از انجام درخواست اتصال اولیه به یک سایت امن، یک گواهی ساختگی به مرورگر قربانی ارسال میشود. این گواهی ساختگی دارای یک اثر انگشت دیجیتال مرتبط با برنامه است که مرورگر آن را مطابق با لیست موجود از سایتهای مورد اعتماد تأیید میکند. سپس مهاجم میتواند به هر دادهای که قربانی وارد کرده است، قبل از اینکه به برنامه منتقل شود، دسترسی پیدا کند.
SSL BEAST (سوءاستفاده مرورگر از SSL/TLS) یک آسیب پذیری TLS نسخه 1.0 در SSL را هدف قرار میدهد. در اینجا، رایانه قربانی به جاوا اسکریپت مخربی که به کوکیهای رمزگذاریشده ارسالی توسط یک اپلیکیشن نفوذ میکند، آلودهمیشود. سپس بلاکهای رمزنگاریشده زنجیرهای (Cipher Block Chaining) به خطر میافتد و کوکیها و توکنهای احراز هویت آن رمزگشایی و هک شود.
SSL hijacking: زمانی اتفاق میافتد که مهاجم کلیدهای احراز هویت جعلی را هم به کاربر و هم به برنامه در طی فرایند شروع ارتباط بین این دو (TCP handshake) ارسال میکند. این اتصال ایمن به نظر میرسد در حالی که در واقع، مرد میانی کل این اتصال را کنترل میکند.
SSL stripping: با رهگیری احرازهویت TLS ارسالشده از برنامه به کاربر، اتصال HTTPS را به HTTP تنزل میدهد. مهاجم یک نسخه رمزگذاری نشده از سایت برنامه را برای کاربر ارسال میکند در حالی که ارتباط ایمن با برنامه را حفظ میکند. در همین حال، کل فعالیت کاربر برای مهاجم قابل مشاهده است.
پیشگیری از حمله مرد میانی
مسدودکردن حملات مرد میانی به چندین مرحله عملی از جانب کاربران و همچنین ترکیبی از روشهای رمزگذاری و شناسایی برای برنامهها نیاز دارد.
اقداماتی که کاربران باید انجام دهند:
اجتناب از اتصال به وای فایهایی که دارای رمز عبور نیستند.
توجه به اعلان های مرورگر زمانی که یک وب سایت را ناامن گزارش میکنند.
خروج فوری از یک برنامه ایمن زمانی که از آن استفاده نمیشود.
عدم استفاده از شبکههای عمومی (به عنوان مثال، کافی شاپها، هتلها) هنگام انجام تراکنشهای مالی.
برای اپراتورهای وبسایت، استفاده از پروتکلهای ارتباطی امن، از جمله TLS و HTTPSبا رمزگذاری قوی و اعتبار سنجی تمامی دادههای ارسالی، به کاهش حملات کمک میکنند. انجام این کار از نفوذ به ترافیک سایت جلوگیری میکند و مانع رمزگشایی دادههای حساس و مهم مانند توکنهای اعتبار سنجی میشود.
بهترین روش امنیتی برای برنامهها, استفاده از SSL/TLS برای ایمن کردن هر صفحه از سایت و تمام صفحاتی که کاربران را ملزم به ورود به سیستم میکند, در نظر گرفته میشود. انجام اینکار به کاهش احتمال سرقت کوکیهای فعال هنگامی که کاربر در حال ورود اطلاعات و جستجو در در سایت هستند کمک میکند.
استفاده از پلتفرم ایمپروا (Imperva) برای امنیت در برابر حمله مرد میانی
حملات مرد میانی اغلب به دلیل استفاده از SSL/TLS (پروتکلهای که به کاربر در اعتبارسنجی و انتقال ایمن دادهها در اینترنت کمک میکنند) نامناسب رخ میدهد. مانند مواردی که کلاهبرداری SSL BEAST را فعال میکند یا استفاده از رمزهای منسوخ و غیر ایمن را مجاز میکند.
برای مقابله با این موارد، پلتفرم ایمپروا (Imperva) به عنوان بخشی از مجموعه خدمات امنیتی خود، رمزگذاری SSL/TLS سراسر بهینهشده را به مشتریان خود ارائه میدهد.
این خدمات که در شبکه ارسال محتوا (content delivery network) ایمپروا قرار دارند بهطور بهینه برای جلوگیری از حملات مخرب SSL/TLS، مانند حذف SSL، و برای اطمینان از انطباق با آخرین الزامات PCI DSS، ارائه میشوند.
در این پلتفرم،SSL/TLS که به عنوان یک سرویس مدیریتی ارائه و توسط یک سرویس امنیت حرفهای بهروز میشود، برای همگامی با الزامات انطباق و برای مقابله با تهدیدهای نوظهور مانند Heartbleed استفاده میشوند.
در پایان، با داشبورد ابری ایمپروا، کاربر همچنین میتواند خط مشیهای HTTP Strict Transport Security (HSTS) را برای اعمال امنیت SSL/TLS در چندین زیردامنه استفاده کند. این کار به امنیت بیشتر وب سایت و اپلیکیشنها در برابر حملات به پروتکل و تلاش برای ربودن کوکی کمک میکند.
منبع imperva.com