آموزش CEH (هکر کلاه سفید): حمله مرد میانی چگونه پیاده‌سازی می‌شود؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

حمله مرد میانی MITM  سرنام (Man-in-the-middle attack) شیوه‌ای از شنود فعال است که حمله‌کننده، ارتباط مستقلی با قربانی برقرار می‌کند و به رصد اطلاعات مبادله شده توسط قربانی می‌پردازد. این شنود به گونه‌ای انجام می‌شود که هکر می‌تواند یک ارتباط مستقیم و خصوصی با قربانی برقرار کند، در حالی که قربانی تصور می‌کند با مخاطب اصلی در حال گفت‌وگو است. در بردار فوق حمله‌کننده باید توانایی شنود همه پیام‌های فرستاده شده بین دو قربانی و گذاشتن پیغام تازه را داشته باشد که در بسیاری از شرایط درست کار کنند.

شناسایی حمله مرد میانی کار بسیار دشواری است، زیرا روی سامانه‌ قربانیان تاثیری نمی‌گذارد. در بردار حمله فوق هکر سعی می‌کند به کنترل تجهیزات ارتباطی بین دو سیستم بپردازد. به‌طور مثال، یک روتر مخرب که خدمات وای‌فای رایگان در یک مکان عمومی ارائه می‌کند قادر است یک حمله مرد میانی را پیاده‌سازی کند. به استثنای پروتکل Interlock، تمامی سامانه‌های رمزنگاری که ضد حمله مرد میانی ایمن هستند نیاز به تبادل یا انتقال اطلاعات اضافی روی کانال‌های امن دارند. اغلب این کانال‌ها از روش‌های تبادل کلید با ملزومات امنیتی مختلف استفاده می‌کنند.

هکری که قصد پیاده‌سازی یک چنین حمله‌ای را داشتهب اشد تنها در صورتی می‌تواند موفق شود که ایستگاه‌های پایانی و ارتباطات میان آن‌ها را به شکل معتبر جعل هویت کند. حمله مرد میانی عمدتا به دلیل نبود مکانیزم احراز هویت دو جانبه‌ با موفقیت همراه است. بیشتر پروتکل‌های رمزنگاری، شامل برخی از اشکال احراز هویت نقاط انتهایی با هدف پیشگیری از بروز حملات مرد میانی هستند. به‌طور مثال، امنیت لایه انتقال (SSL) می‌تواند یک یا هر دو طرف را با استفاده از مجوز گواهی مورد اعتماد دو طرفه، احراز هویت کند. اجازه دهید برای روشن‌تر شدن این مبحث به سراغ مثال معروف باب و آلیس برویم. فرض کنید آلیس می‌خواهد با باب ارتباط برقرار کند، در شرایطی که مالروی قصد دارد این مکالمه را شنود کرده و پیام‌های اشتباهی را برای باب ارسال کند. در این حالت مالروی فردی است که میان باب و آلیس قرار دارد. در ابتدا آلیس کلید (رمزنگاری) عمومی خود را از باب درخواست می‌کند. اگر باب کلید عمومی خود را به آلیس بدهد و مالروی توانایی شنود کلید را داشته باشد یک حمله مرد میانی آغاز می‌شود. در این حالت مالروی یک پیام جعلی را که مدعی ارسال از طرف باب است برای آلیس ارسال می‌کند، اما به جای آن، کلید عمومی خودش را جایگزین آن می‌کند. آلیس با این ذهنیت که کلید عمومی باب را در اختیار دارد پیام خود را با کلید مالروی رمزنگاری می‌کند و پیام رمزنگاری شده را به باب می‌فرستد. مالروی دومرتبه جلوی پیام را می‌گیرد و آن‌را با استفاده از کلید خصوصی خود رمزگشایی می‌کند و احتمالاً اگر بخواهد، آن را تغییر داده و دوباره با استفاده از کلید عمومی باب رمزنگاری کرده و به باب می‌فرستد. هنگامی که باب پیام رمزنگاری شده تازه را دریافت می‌کند گمان می‌کند که پیام از طرف آلیس ارسال شده است. به بیان دیگر، پیام ارسال آلیس برای باب توسط مالروی شنود می‌شود.

در مثال فوق مشاهده می‌کنید که آلیس و باب نیازمند مکانیزم‌ی هستند که مطمئن شوند کلیدهای عمومی به شکل مطمئنی به دست آن‌ها می‌رسد و کلید عمومی مهاجم را دریافت نمی‌کنند. اگر یک مکانیسم کارآمد وجود نداشته باشد هر پیام مبادله شده در شبکه‌های عمومی یا خصوصی به راحتی توسط هکرها ضبط شده و هکرها کلید عمومی خود را برای مخاطبان یک ارتباط ارسال می‌کنند. روش‌های گوناگونی برای دفاع در برابر حمله مرد میانی وجود دارند.

دفاع در برابر حمله

روش‌های دفاع در برابر حمله مرد میانی از مکانیزم احراز هویت به شرح زیر استفاده می‌کنند:

احراز هویت متقابل زیرساخت کلید عمومی. دفاع عمده، با انجام احراز هویت دوطرفه‌ انجام می‌شود. در این مورد، علاوه نرم‌افزار و کاربر تجهیزات مورد استفاده کاربران نیز اعتبارسنجی می‌‌شوند. از این رو برنامه‌های فریب‌دهنده را به راحتی می‌توان از برنامه‌های اصلی تشخیص داد.

احراز هویت دو طرفه قوی‌تر

در روش فوق از مکانیزم‌های قدرتمندی شبیه به موارد زیر استفاده می‌شود:

کلیدهای محرمانه معمولاً با رمزی حاوی بی‌نظمی (هش زیاد) و امنیت بالا ارسال می‌شوند.

گذرواژه‌ها نیز به شکل که خواندن آن‌ ها بسیار مشکل است ارسال می‌شوند.

آزمون تأخیر زمانی، از جمله محاسبات طولانی رمزنگاری تابع  Hash است که ممکن است چندین ثانیه طول بکشد. اگر ارتباط هر دو طرف به‌طور معمول ۲۰ ثانیه طول بکشد و محاسبات برای رسیدن پیام به هر یک از طرفین ۶۰ ثانیه طول بکشد این می‌تواند نشان دهنده وجود شخص ثالث باشد.

تصدیق هویت  Carry-forward

آزمون بررسی گواهی‌ها با هدف شناسایی گواهی‌نامه‌هایی که ممکن است در سمت صادرکننده مرجع گواهینامه در معرض تهدید قرار گرفته باشند.

به‌طور کلی، درستی کلیدهای عمومی را باید از طریق روشی مطمئن شد، اما احتیاج به محرمانه بودن کلید ندارند. گذرواژه‌ها و کلیدهای رمز به‌اشتراک گذاشته شده، نیازهای محرمانگی بیش‌تری را طلب می‌کنند. کلیدهای عمومی به وسیله یک مرکز تأیید گواهی که کلید عمومی آن از طریق یک کانال امن (برای نمونه، توسط یک مرورگر وب یا یک برنامه نصب شده سامانه‌ای) توزیع شده‌ بررسی می‌شوند. کلیدهای عمومی نیز می‌توانند از طریق یک وبگاه مورد اعتماد که کلید عمومی آن از طریق یک کانال امن (برای نمونه با جلسات چهره به چهره) توزیع شده، تأیید بشوند. برای طبقه‌بندی پروتکل‌هایی که با استفاده از شکل‌های گوناگون کلید و گذرواژه از حملات مرد میانی جلوگیری می‌کنند باید به پروتکل تبادل کلید نگاه کرد.

تجزیه و تحلیل قانونی حمله مرد میانی

برای آگاه شدن از این موضوع که واقعاً حمله مرد میانی رخ داده‌ یا خیر، می‌توان ترافیک شبکه مصرف شده را تجزیه و تحلیل کرد. شواهد مهم برای تجزیه و تحلیل شبکه توسط افراد مظنون به حمله مرد میانی در امنیت لایه انتقال (SSL) به شرح زیر هستند:

•             آدرس IP سرور (رایانه)

•             نام سامانه نام دامنه سرور

•             استاندارد اکس۵۰۹ سرور

o             آیا گواهی امضاء شده‌است؟

o             آیا گواهی توسط یک CA مورد اعتماد امضاء شده‌است؟

o             آیا گواهی باطل شده‌است؟

o             آیا گواهی به تازگی تغییر کرده‌است؟

o             آیا کاربران دیگر، در جای دیگر محیط اینترنت، گواهی مشابهی را اخذ کرده‌اند؟

رمزنگاری کوانتومی

پروتکل‌های رمزنگاری کوانتومی به‌طور معمول همه یا بخشی از ارتباطات کلاسیک خود را با یک رویه احراز هویت ایمن و بی‌قید و شرط، احراز هویت می‌کنند که نمونه آن احراز هویت Wegman-Carter است.

فراتر از رمزنگاری

حمله مرد میانی باید به عنوان مشکلی کلی که ناشی از حضور عناصر واسطه به عنوان نماینده کاربران هر دو طرف است، دیده شود. اگر آن‌ها دارای صلاحیت و قابل اعتماد باشند همه چیز ممکن است خوب باشد. اما اگر آن‌ها دارای این ویژگی‌ها نباشند هیچ چیز خوب نخواهد بود. حمله مرد میانی را می‌توان با عملکردی در نقش یک پراکسی سرور و معرفی خود به عنوان کاربر مورد اطمینان به هر دو طرف تشخیص داد. یک حمله مرد میانی رمزنگاری نشده قابل تامل، توسط یکی از نسخه‌های رهیاب شبکه بی‌سیم Belkin در سال ۲۰۰۳ (میلادی) انجام شد. به گونه‌ای که به صورت تناوبی، روی یک اتصال پروتکل انتقال ابرمتن (HTTP) که برای مسیریابی استفاده می‌شد انجام شد. این حمله ترافیک را به سمت مقصد، هدایت نمی‌کرد. در عوض، خودش به عنوان سرور منتخب پاسخ می‌داد.

برایان وارنر کارشناس امنیتی می‌گوید حمله مرد میانی پیشرفته این پتانسیل را دارد تا بر تکنیک کپچاها غلبه کند.

پیاده‌سازی‌ها

ابزارهای مختلفی برای پیاده‌سازی این مدل حملات در اختیار هکرها قرار دارد که از آن جمله به موارد زیر می‌توان اشاره کرد:

dsniff-  ابزاری برای پیاده‌سازی حملات مرد میانی روی پروتکل‌های SSH و SSL

Cain and Abel-  یک ابزار دارای رابط گرافیکی مخصوص سیستم‌عامل ویندوز است که توانایی انجام حمله مرد میانی را از طریق شنود ترافیک شبکه و جعل پروتکل تفکیک آدرس  ARP دارد.

Ettercap-  ابزاری برای پیاده‌سازی حمله مرد میانی است که عمدتا روی شبکه‌‌های محلی انجام می‌شود.

Karma-  ابزاری که از حملات دوقلوهای شیطانی (802.11 Evil Twin) برای ساخت یک شبکه بی‌سیم جعلی و پیاده‌سازی یک حمله مرد میانی استفاده می‌شود.

Sourceforge-  ابزاری برای پیاده‌سازی حمله مرد میانی مبتنی بر استاندارد 802.11 است.

SSLStrip ابزار دیگری برای پیاده‌سازی حمله مرد میانی بر مبنای پروتکل SSL است.

Thoughtcrime یگی دیگر از ابزارهای پر کاربرد برای پیاده‌سازی حمله مرد میانی مبتنی بر SSL است.

 Intercepter-NG-  ابزاری است که برای مسموم‌سازی پروتکل ARP استفاده می‌ود.

wsniff-  ابزاری برای پیاده‌سازی حمله مرد میانی است که بر مبنای پروتکل HTTP کار می‌کند. 

حمله شخص کناری (Man-on-the-side attack)

حمله شخص کناری گونه‌ای حمله سایبری فعالانه، شبیه به حمله مرد میانی است. در حمله مرد میانی، گره (شبکه) به‌طور کامل کنترل می‌شود، اما در حمله شخص کناری، حمله‌کننده، تنها به‌طور منظم به کانال مخابراتی، دسترسی دارد که به او اجازه می‌دهد ترافیک شبکه را بخواند و پیام‌های تازه‌ای وارد شبکه کند، اما نمی‌تواند پیام‌های دیگران را تغییر دهد یا پاک کند. در روش فوق هکر به برتری زمانی تکیه دارد تا مطمئن شود پاسخ‌هایی را که به درخواست قربانی می‌فرستد پیش از رسیدن پاسخ‌های درست، به او می‌رسند. در حمله‌های واقعی، حمله‌گر می‌تواند از بسته پاسخ فرستاده شده برای قرار دادن بدافزار، روی دستگاه قربانی استفاده کند. نیاز به برتری زمانی، انجام حمله را سخت می‌کند، زیرا نیاز به داشتن موقعیت برتر در شبکه دارد که نمونه آن، دسترسی به ستون فقرات اینترنت است. گزارش‌های امنیتی منتشر شده در سال 2013 نشان داد که برخی سازمان‌های بزرگ به‌طور گسترده‌ای از حمله شخص کناری برای آلوده کردن سامانه‌های هدف با بدافزارهای برنامه QUANTUM استفاده کرده‌اند.

حمله‌های مرد میانی آنلاین

حمله‌های آنلاین مرد میانی به  این شکل انجام می‌شوند که هکرها در نزدیگی قربانی یا قربانیان یک روتر بی‌سیم را فعال می‌کنند تا سرویس وای‌فای رایگان در اختیار آن‌ها قرار دهند. در این حالت قربانی سعی می‌کند از طریق وای‌فای رایگان به وب‌سایت بانک خود متصل شود. در این حالت یک خطای گواهینامه امنیتی را مشاهه می‌کند که اعلام می‌کند وب‌سایت بانک گواهی رمزنگاری ندارد. این پیام نشان می‌دهد که یک حمله مرد میانی در جریان است، اما تنها تعداد کمی از کاربران به این پیام توجه می‌کنند و بدون اعتنا به محتوای پیام اطلاعات حساس کارت اعتباری را درون فیلدهای بانک وارد کرده و تراکنش‌های خود را انجام می‌دهند. در ظاهر همه چیز درست به نظر می‌رسد، اما در عمل مهاجم یک سرور جعلی که به نظر می‌رسد وب‌سایت بانکی است را پیاده‌سازی کرده است. زمانی که قربانی وب سایت بانک را باز می‌کند مشاهده می‌کند که همه چیز همانند نمونه اصلی است، اما در عمل اطلاعات برای سرور تحت کنترل هکرها ارسال شده است. سروری که نقش واسط را میان قربانی و بانک بازی کرده و اطلاعات مبادله شده میان دو طرف را شنود کرده است.

متاسفانه در ارتباط با حمله‌های مرد میانی هیچ هشداری برای کاربر ارسال نمی‌شود. به‌طور مثال، در حمله SSLStrip می‌توان رمزنگاری HTTPS را از یک سایت حذف کرد تا زمانی که قربانی از وب‌سایت بانکی خود بازدید می‌کند به نسخه HTTP رمزنگاری نشده سایت هدایت شود تا شنود اطلاعات به راحتی انجام شود. تنها نشانه تشخیص این مسئله این است که به جای HTTPS نام پروتکل HTTP در نوار آدرس مرورگر نشان داده می‌شود که شناسایی این حمله را امکان‌پذیر می‌کند.

دفاع در برابر حمله‌های مرد میانی

همان‌گونه که اشاره شد این حملات یک کانال ارتباطی که بیشتر یک روی وای‌فای است را نشانه می‌روند. با این‌حال اگر به نکات زیر دقت کنید قادر به تشخیص حملات مرد میانی خواهید بود:

پیام‌های امنیتی را نادیده نگیرید: یک پیام هشدار امنیتی نشان‌دهنده یک مشکل جدی است. زمانی که مشخصات گواهی‌نامه امنیتی با سرور هماهنگی ندارد، به این معنا است که در حال تبادل اطلاعات با یک سرور فیشینگ یا سرور قربانی هستند که حمله مرد میانی را اجرا می‌کند. البته این پیام ممکن است نشان دهد که سرور به شکل درستی پیکربندی نشده است.

وجود پروتکل HTTPS را بررسی کنید:  زمانی که قصد اتصال به سایت حساسی را دارید یا در نظر دارید اطلاعات مهمی همچون اطلاعات شخصی یا کارت‌های اعتباری را وارد کنید به وجود پروتکل HTTPS در نوار آدرس مرورگر دقت کنید. همچنین، افزونه HTTPS Everywhere نیز می‌تواند در این زمینه راهگشا باشد.

در زمان به‌کارگیری شبکه‌های وای‌فای عمومی آگاه باشید:  از شبکه‌های وای‌فای عمومی استفاده نکنید یا تنها برای انجام کارهای عادی همچون وب‌گردی از آن‌ها استفاده کنید. در نتیجه برای عملیات بانک‌داری آنلاین یا ارسال اطلاعات حساس از شبکه‌های ایمن و شبکه‌هایی که خود روی آن‌ها نظارت دارید (شبکه سلولی موبایل یا وای‌فای خانگی) استفاده کنید.

از نرم‌افزارهای ضدویروسی استفاده کنید: نرم‌افزارهای امنیتی و سایر مکانیزم‌های امنیتی با شناسایی موارد مشکوک به شما کمک می‌کنند تا هرگونه فعالیت مشکوک یا نصب بدافزار روی سامانه‌ها را تشخیص دهید.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH