هجوم رجل في الوسط (MITM)

ما هو هجوم MITM

هجوم رجل في الوسط (MITM) هو مصطلح عام عندما يضع الجاني نفسه في محادثة بين مستخدم وتطبيق - إما للتنصت أو لانتحال شخصية أحد الطرفين ، مما يجعل الأمر يبدو كما لو كان تبادلًا طبيعيًا للمعلومات قيد التنفيذ.

الهدف من الهجوم هو سرقة المعلومات الشخصية ، مثل بيانات اعتماد تسجيل الدخول وتفاصيل الحساب وأرقام بطاقات الائتمان. عادةً ما تكون الأهداف هي مستخدمي التطبيقات المالية وشركات SaaS ومواقع التجارة الإلكترونية ومواقع الويب الأخرى التي يلزم تسجيل الدخول إليها.

يمكن استخدام المعلومات التي تم الحصول عليها أثناء الهجوم لعدة أغراض ، بما في ذلك سرقة الهوية أو تحويل الأموال غير المعتمدة أو تغيير كلمة المرور بشكل غير قانوني.

بالإضافة إلى ذلك ، يمكن استخدامه للحصول على موطئ قدم داخل محيط آمن أثناء مرحلة التسلل لهجوم التهديد المستمر المتقدم (APT).

بشكل عام ، فإن هجوم MITM يعادل قيام ساعي البريد بفتح كشف حسابك المصرفي ، وتدوين تفاصيل حسابك ، ثم إعادة ختم الظرف وتسليمه إلى باب منزلك.

تقدم هجوم MITM

يتكون تنفيذ MITM الناجح من مرحلتين متميزتين: الاعتراض وفك التشفير.
اعتراض

تعترض الخطوة الأولى حركة مرور المستخدم عبر شبكة المهاجم قبل أن تصل إلى وجهتها المقصودة.

الطريقة الأكثر شيوعًا (والأبسط) للقيام بذلك هي الهجوم السلبي الذي يجعل المهاجم من خلاله نقاط اتصال WiFi مجانية وخبيثة متاحة للجمهور. عادةً ما يتم تسميتهم بطريقة تتوافق مع موقعهم ، فهي ليست محمية بكلمة مرور. بمجرد اتصال الضحية بمثل هذه النقطة الساخنة ، يكتسب المهاجم رؤية كاملة لأي تبادل بيانات عبر الإنترنت.

قد يقوم المهاجمون الذين يرغبون في اتباع نهج أكثر نشاطًا للاعتراض بإحدى الهجمات التالية:

     يتضمن انتحال IP مهاجمًا يتنكر في هيئة تطبيق عن طريق تغيير رؤوس الحزمة في عنوان IP. نتيجة لذلك ، يتم إرسال المستخدمين الذين يحاولون الوصول إلى عنوان URL متصل بالتطبيق إلى موقع الويب الخاص بالمهاجم.
     انتحال ARP هو عملية ربط عنوان MAC الخاص بالمهاجم بعنوان IP لمستخدم شرعي على شبكة محلية باستخدام رسائل ARP وهمية. نتيجة لذلك ، يتم إرسال البيانات التي يرسلها المستخدم إلى عنوان IP الخاص بالمضيف إلى المهاجم بدلاً من ذلك.
     انتحال نظام أسماء النطاقات ، المعروف أيضًا باسم إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات ، يتضمن التسلل إلى خادم نظام أسماء النطاقات وتغيير سجل عنوان موقع الويب. نتيجة لذلك ، يتم إرسال المستخدمين الذين يحاولون الوصول إلى الموقع بواسطة سجل نظام أسماء النطاقات المعدل إلى موقع المهاجم.

فك التشفير

بعد الاعتراض ، يجب فك تشفير حركة مرور SSL ثنائية الاتجاه دون تنبيه المستخدم أو التطبيق. يوجد عدد من الطرق لتحقيق ذلك:

يرسل HTTPS spoofing شهادة زائفة إلى متصفح الضحية بمجرد إجراء طلب الاتصال الأولي بموقع آمن. يحتوي على بصمة إبهام رقمية مرتبطة بالتطبيق المخترق ، والتي يتحقق المتصفح منها وفقًا لقائمة حالية من المواقع الموثوقة. عندئذٍ يكون المهاجم قادرًا على الوصول إلى أي بيانات تدخلها الضحية قبل أن يتم تمريرها إلى التطبيق.
يستهدف SSL BEAST (استغلال المتصفح ضد SSL / TLS) ثغرة TLS الإصدار 1.0 في SSL. هنا ، يُصاب كمبيوتر الضحية بجافا سكريبت ضار يعترض ملفات تعريف الارتباط المشفرة التي يرسلها تطبيق ويب. ثم يتم اختراق تسلسل كتلة التشفير (CBC) الخاص بالتطبيق لفك تشفير ملفات تعريف الارتباط ورموز المصادقة.
يحدث اختطاف SSL عندما يقوم المهاجم بتمرير مفاتيح مصادقة مزورة لكل من المستخدم والتطبيق أثناء اتصال TCP. يُنشئ هذا ما يبدو أنه اتصال آمن عندما يتحكم الرجل في الوسط في الجلسة بأكملها.
يقلل تجريد SSL من اتصال HTTPS بـ HTTP من خلال اعتراض مصادقة TLS المرسلة من التطبيق إلى المستخدم. يرسل المهاجم نسخة غير مشفرة من موقع التطبيق إلى المستخدم مع الحفاظ على الجلسة الآمنة مع التطبيق. وفي الوقت نفسه ، تكون جلسة المستخدم بأكملها مرئية للمهاجم.

رجل في منتصف منع الهجوم

يتطلب حظر هجمات MITM عدة خطوات عملية من جانب المستخدمين ، بالإضافة إلى مجموعة من طرق التشفير والتحقق للتطبيقات.

بالنسبة للمستخدمين ، هذا يعني:

تجنب اتصالات WiFi غير المحمية بكلمة مرور.
الانتباه إلى إشعارات المتصفح التي تبلغ عن أن موقع الويب غير آمن.
تسجيل الخروج فورًا من تطبيق آمن عندما لا يكون قيد الاستخدام.
عدم استخدام الشبكات العامة (مثل المقاهي والفنادق) عند إجراء معاملات حساسة.

بالنسبة لمشغلي مواقع الويب ، تساعد بروتوكولات الاتصال الآمن ، بما في ذلك TLS و HTTPS ، في التخفيف من هجمات الانتحال عن طريق التشفير القوي والمصادقة على البيانات المرسلة. القيام بذلك يمنع اعتراض حركة مرور الموقع ويمنع فك تشفير البيانات الحساسة ، مثل رموز المصادقة.

يعتبر من أفضل الممارسات للتطبيقات استخدام SSL / TLS لتأمين كل صفحة من مواقعها وليس فقط الصفحات التي تتطلب من المستخدمين تسجيل الدخول. يساعد القيام بذلك على تقليل فرصة قيام المهاجم بسرقة ملفات تعريف الارتباط للجلسة من مستخدم يتصفح على موقع غير آمن قسم من موقع ويب أثناء تسجيل الدخول.

استخدام Imperva للحماية من MITM

تحدث هجمات MITM غالبًا بسبب تطبيقات SSL / TLS دون المستوى الأمثل ، مثل تلك التي تمكّن استغلال SSL BEAST أو تدعم استخدام الأصفار القديمة وغير المؤمنة.

لمواجهة ذلك ، تزود Imperva عملائها بتشفير SSL / TLS محسن من طرف إلى طرف ، كجزء من مجموعة خدمات الأمان الخاصة بها.

يتم استضافتها على شبكة تسليم المحتوى Imperva (CDN) ، ويتم تنفيذ الشهادات على النحو الأمثل لمنع هجمات اختراق SSL / TLS ، مثل هجمات الرجوع إلى إصدار أقدم (مثل تجريد SSL) ، ولضمان التوافق مع أحدث متطلبات PCI DSS.

يتم تقديم تكوين SSL / TLS كخدمة مُدارة ، ويتم الحفاظ عليه محدثًا بواسطة أمان احترافي ، وذلك لمواكبة متطلبات التوافق ومواجهة التهديدات الناشئة (مثل Heartbleed).

أخيرًا ، باستخدام لوحة المعلومات السحابية Imperva ، يمكن للعميل أيضًا تكوين سياسات HTTP Strict Transport Security (HSTS) لفرض استخدام أمان SSL / TLS عبر نطاقات فرعية متعددة. يساعد ذلك في زيادة أمان موقع الويب وتطبيق الويب من هجمات الرجوع إلى إصدار أقدم من البروتوكول ومحاولات اختطاف ملفات تعريف الارتباط.