Pooye Content MITM 14011241 00 01

Man in the Middle (MITM) و نحوه دفاع در برابر این حمله

به طور کلی، حمله MITM معادل این است که یک پستچی صورت حساب بانکی شما را باز می کند، جزئیات حساب شما را می نویسد و سپس پاکت را دوباره مهر می کند و آن را به درب منزل شما تحویل می دهد.

Pooye Content MITM 14011241 00 01 min

  • حمله MITM چیست؟

Man in the Middle (MITM) یک اصطلاح کلی برای زمانی است که خود را در یک مکالمه بین یک کاربر و یک برنامه قرار می دهد، چه برای استراق سمع یا برای جعل هویت یکی از طرفین، که به نظر می رسد یک تبادل عادی اطلاعات در جریان است.

هدف از حمله، سرقت اطلاعات شخصی مانند اجازه ورود به سیستم، جزئیات حساب، شماره کارت اعتباری و …. است. هدف ها معمولاً کاربران برنامه های مالی، مشاغل SaaS، سایت های تجارت الکترونیک و سایر وب سایت هایی هستند که ورود به سیستم در آنها ضروری است.

اطلاعات به دست آمده در طول حمله می تواند برای اهداف بسیاری، از جمله سرقت هویت، انتقال وجه تایید نشده یا تغییر غیرقانونی رمز عبور استفاده شود.

علاوه بر این، می توان از آن برای به دست آوردن جای پایی در داخل یک محیط امن در طول مرحله نفوذ یک حمله تهدید مداوم پیشرفته (APT) استفاده کرد.

به طور کلی، حمله MITM معادل این است که یک پستچی صورت حساب بانکی شما را باز می کند، جزئیات حساب شما را می نویسد و سپس پاکت را دوباره مهر می کند و آن را به درب منزل شما تحویل می دهد.

 

 

  • پیشرفت حمله MITM

اجرای موفق MITM دارای دو مرحله مجزا است: رهگیری و رمزگشایی.

رهگیری

در مرحله اول ترافیک کاربر از طریق شبکه مهاجم قبل از رسیدن به مقصد مورد نظر خود رهگیری می شود.

رایج ترین (و ساده ترین) راه انجام این کار، حمله غیرفعال است که در آن مهاجم، هات اسپات های WiFi رایگان و مخرب را در دسترس عموم قرار می دهد. معمولاً به گونه ای نامگذاری می شوند که با مکان آنها مطابقت دارد، آنها با رمز عبور محافظت نمی شوند. هنگامی که قربانی به چنین نقطه ای متصل می شود، مهاجم در هر تبادل اطلاعات آنلاین، دید کاملی پیدا می کند.

مهاجمانی که مایل به اتخاذ رویکرد فعال تری برای رهگیری هستند ممکن است یکی از حملات زیر را انجام دهند:

  • جعل IP شامل یک مهاجم است که با تغییر هدر بسته ها در یک آدرس IP، خود را به عنوان یک برنامه پنهان می کند. در نتیجه، کاربرانی که تلاش می کنند به یک URL متصل به برنامه دسترسی پیدا کنند، به وب سایت مهاجم فرستاده می شوند.
  • جعل ARP فرآیند پیوند دادن آدرس MAC مهاجم با آدرس IP یک کاربر قانونی در یک شبکه محلی با استفاده از پیام های جعلی ARP است. در نتیجه، داده های ارسال شده توسط کاربر به آدرس IP میزبان، برای مهاجم ارسال می شود.
  • جعل DNS شامل نفوذ به سرور DNS و تغییر رکورد آدرس وب سایت است. در نتیجه، کاربرانی که تلاش می کنند به سایت دسترسی پیدا کنند، توسط رکورد DNS تغییر یافته به سایت مهاجم فرستاده می شوند.

Pooye Content MITM 14011241 00 02 min

  • رمزگشایی

پس از رهگیری، هرگاه ترافیک SSL دو طرفه، بدون هشدار به کاربر یا برنامه، رمزگشایی شود؛ این حمله صورت پذیرفته است. تعدادی روش برای دستیابی به این امر وجود دارد:

  • جعل HTTPS پس از انجام درخواست اتصال اولیه به یک سایت امن، یک گواهی ساختگی به مرورگر قربانی ارسال می کند. این یک اثر انگشت دیجیتال مرتبط با برنامه در معرض خطر را در خود دارد که مرورگر آن را مطابق با لیست موجود از سایت های مورد اعتماد تأیید می کند. سپس مهاجم می تواند به هر داده ای که قربانی وارد کرده است، قبل از اینکه به برنامه منتقل شود، دسترسی پیدا کند.
  • SSL BEAST (سوء استفاده مرورگر در برابر SSL/TLS) آسیب پذیری TLS نسخه 1.0 در SSL را هدف قرار می دهد. در اینجا، رایانه قربانی به جاوا اسکریپت مخرب آلوده می شود که کوکی های رمزگذاری شده ارسال شده توسط یک برنامه وب را رهگیری می کند. سپس زنجیره بلوک رمز برنامه (CBC) به خطر می افتد تا کوکی ها و نشانه های احراز هویت آن رمزگشایی شود.
  • ربودن SSL زمانی اتفاق می افتد که یک مهاجم کلیدهای احراز هویت جعلی را هم به کاربر و هم به برنامه در طول یک اتصال TCP ارسال می کند. به نظر می رسد این یک اتصال امن است، در حالی که در واقع، MITM کل جلسه را کنترل می کند.
  • حذف SSL یک اتصال HTTPS را به HTTP، با رهگیری تأیید اعتبار TLS ارسال شده از برنامه به کاربر، کاهش می دهد. مهاجم یک نسخه رمزگذاری نشده از سایت برنامه را برای کاربر ارسال می کند در حالی که ارتباط ظاهرا امن با برنامه را حفظ می کند. در همین حال، کل ارتباط کاربر برای مهاجم قابل مشاهده است.

 

 

  • پیشگیری از Man in the Middle

مسدود کردن حملات MITM به چندین مرحله عملی از جانب کاربران و همچنین ترکیبی از روش های رمزگذاری و تأیید برای برنامه ها نیاز دارد.

برای کاربران، این به این معنی است:

  • اجتناب از اتصالات WiFi که دارای رمز عبور نیستند.
  • توجه به اعلان های مرورگر که یک وب سایت را ناامن گزارش می کنند.
  • خروج فوراً از یک برنامه امن زمانی که از آن استفاده نمی شود.
  • عدم استفاده از شبکه های عمومی (به عنوان مثال، کافی شاپ ها، هتل ها) هنگام انجام تراکنش های حساس.

برای اپراتورهای وب سایت، پروتکل های ارتباطی امن، از جمله TLS و HTTPS، با رمزگذاری قوی و احراز هویت داده های ارسالی، به کاهش حملات جعل کمک می کنند. انجام این کار از رهگیری ترافیک سایت جلوگیری می کند و رمزگشایی داده های حساس مانند توکن های احراز هویت را مسدود می کند.

بهترین روش برای برنامه ها استفاده از SSL/TLS برای امن کردن هر صفحه از سایت خود و نه فقط صفحاتی که کاربران را ملزم به ورود به سیستم می کند، در نظر گرفته می شود. انجام این کار به کاهش احتمال سرقت کوکی های ارتباط توسط مهاجم از کاربر در حال مرور یک صفحه ناامن کمک می کند.

  • برای مطالعه مقاله “فضای مجازی و تهدیدات امنیتی آن” بر روی اینجا کلیک کنید.