حمله مرد میانی
حمله مرد میانی (Man-in-the-Middle) یکی از انواع حملات سرقت برخط است که در آن رایانه مهاجـم، میان رایانه مشتری و سایت اصلی و مورد نظر مشتری قرار میگیرد. این وضعیت به هکـر کمک میکند که جریان ارتباط و اطلاعـات بین سیستمهای مورد نظر را به طور کامل مشاهده و بررسی نماید. در حالت معمول، کاربر برای برقراری ارتباط باید به یک سرویس دهنده متصل شود.
بنابراین رفتاری که حمله کننده در پیش میگیرد این است که کاربر را به جای سرور اصلی مورد نظرش به یک سرور پراکسی که خود تعیین و یا تهیه کرده است، هدایت کند. به این ترتیب سرور پروکسی که دارای سخت افزار و نرم افزار حقیقی است، بین مشتری و سرور اصلی واقع میشود و قادر به مشاهده جریان ارتباط بین این دو میگردد. این نوع حمله هر دو گونه ارتباطات مرسوم HTTP و HTTPS را دربرمیگیرد.
سازوکارهای زیر جهت اتصال رایانه مشتری به سرور پراکسی مهاجـم به کار میرود:
- در بسیاری موارد، سرورهای اصلی دارای پراکسیهای شفافی (Transparent Proxy) هستند که از دید کاربر قابل مشاهده نیستند و به فرایند دسترسی سریع به اطلاعـات کمک میکنند. مهاجـم از این گزینه استفاده نموده و اقدام به راه اندازی چنین سرویس دهندهای مینماید. بدین ترتیب تمام ترافیک HTTP و HTTPS را مجبور به عبور از مسیر خود نموده و میتواند به تمام دادههای عبوری دسترسی پیدا کند.
- مهاجـم با آلودهسازی حافظه پنهان DNS و قرار دادن آدرس IP جعلی برای نام دامنههای اصلی و کلیدی، میتواند ترافیک عادی مسیردهی شده را به مسیرهای دیگری توزیع و هدایت کند.
- دستکاری تنظیمات بخش پراکسی در مرورگـر ها نیز میتواند توسط هکـر مورد سوءاستفاده قرار گیرد. بدین صورت که گزینههای پراکسی در آن را بنا به نظر و هدف مهاجـم بازنویسی گردند.
- امروزه بستههای جدید و همه کاره سرقتبرخط به شیوه مرد میانی که در شبکههای زیرزمینی مجازی به فروش میرسند، انجام عمل کلاهبرداری برای سـارقان را آسانتر نموده و سبب اجرای حملات پیچیدهتری گردیدهاند. از این رو وجود این بستههای دردسرساز میتواند کاربران بداندیش را نیز به صف مهاجـمان سرقت اطلاعـات و هکـرهای ورزیده اضافه نماید.
حمله URL مبهـم
URL یک رشته کاراکتر بخصوص است که به عنوان نشانی عمومی تمامی صفحات و منابـع بر روی وب جهـانی در نظر گرفته شده است. در حمله URL مبهم (URL Obfuscation Attack)، مهاجـم با ارسـال یک پیام کاربر را مجبور و یا متقاعد به پیروی از یک URL میکند. در نتیجه کاربر به سمت سرور مورد نظر مهاجـم هدایت میشود.
این حمله به روشهای مختلفی انجام میشود که برخی از آنها در ادامه آمده است:
- انجام تغییرات نامحسوس در URL مجـاز، به نحوی که مشاهده آن از نگـاه کاربر مخفی مانده و یا به سختی قابل تشخیص باشد. بنابراین کاربر متوجه تغییر در آن نشده و ناخواسته به سایت مورد نظر مهاجـم هدایت میگردد.
- ایجاد و ارائه یک URL قابل قبول و مناسب به کاربران از سوی هکـر، به عنوان صفحه دریافت ورود اطلاعـات که پیچیدگیهای احراز اصـالتِ موجود در صفحه ورود سایت اصلی را دور زده و کاربران را به یک URL شبیه سایت اصلی هدایت میکند.
- افزایش پیچیـدگی آدرسها با توجه به طول آنها موجب گردیده است تا برخی سازمانها و شرکتها در نقش یک عنصر سوم، خدمات رایگان کوتاه نمودن آدرسهای اینترنتی را جهت سادهسـازی آنها انجام دهند. مهاجـمان با استفاده از روشهای مهندسی اجتمـاعی و شکستن عمدی URLهای طولانی و نادرست، میتوانند این امکان را در جهت مبهمسـازی URL صحیح و در نتیجه حمله URL مبهم به کار ببرند. دو نمونه از سایتهـای کوتاه کننده URLها http://smallurl.com و http://tinyurl.com میباشد.
- بخشی از آدرس اینترنتی که دامنه نام شامل آن است را میتوان با آدرس IP معادل آن تعویض نمود تا نام میزبان را مبهم نشان داد. همینطور میتوان از این روش برای عبور از سیستم فیلترسازی محتوا نیز استفاده کرد.
حمله اسکریپتهای جانبی سایت
در حمله از نوع اسکریپت جانبی سایت (Cross-Site Scripting Attack) که به آن CSS یا XSS نیز میگویند، از یک کد اسکریپت با یک URL خاص و یا تزریق کد در داخل URL یک نرم افزار مبتنی بر وب واقعی یا جاسازی در فیلد دادههای ورودی نظیر جعبههای متنی استفاده میشود. فرآیند توسعه ضعیف یک نرم افزار وب، منجر به وقوع این حملات میشود. همینطور لازم به ذکر است که بسیاری از حملات اسکریپت جانبی سایت، به کمک قالب بندی URL انجام میشود. هنگامی که کاربر از یک نرم افزار کاربردی وب که دچار ساختار نا امن و سیستم کدگذاری ضعیف است، استفاده نموده و به یک URL دسترسی پیدا میکند، ممکن است هر URL دلخواهی را برای قرارگیری در رشته URL تایید نماید. به این ترتیب، مشتری ندانسته تمام اطلاعـات احراز اصالت خود را به آن سایت جعلی که به اشتباه تایید کرده است، ارائه میدهد.
حملات پنهـان
در حملات نوع پنهان (Hidden Attack) مهاجـمان از HTML و DHTML و یا سایر زبانهای اسکریپت نویسی جهت تعامل با مرورگـر کاربر و تغییر شیوه نمایش اطلاعـات استفاده میکنند، تا به اهداف زیر دست یابند:
- نمایش اطلاعـات ارائه شده توسط مرورگـر کاربر را تغییر دهند.
- وانمود کنند که محتوای موجود از سایت واقعی آمده است، اما این کار را با محتوایی جعلی انجام دهند.
برخی روشهای موجود برای پیادهسازی حمله پنهان جهت سرقتبرخط عبارتند از:
فریـم پنهـان
استفاده از فریمهای پنهان به این دلیل است که بسیاری از مرورگـر ها فارغ از محتوای درون آنها، رفتار یکسانی نسبت به آنها دارند. بنابراین امکان مناسبی برای پنهان کردن اسکریپتهای مهاجـم فراهم میآورند و در نتیجه یک روش نسبتا آسان تلقی میگردد. فریمهای مخفی در پنجرههای مرورگـر به منظور انجام موارد زیر ایجاد میشوند:
- مخفی کردن آدرس منبع در سرور محتوای مهاجـم
- ارائه یک پوشش جعلی امن HTTPS
- انجام فعالیتهای مخرب از طریق پر نمودن تصاویر و محتوای HTML در پس زمینه
- مخفی کردن کدهـا از کاربر
- اجرای کد و پنهان نمودن آن در پس زمینه که میتوان از آن برای ثبت رفتار برخط کاربر استفاده نمود.
- نوشتن و نمایش دادن محتوای مورد نظر مهاجـم به جای محتوای واقعی دریافت شده از سایت اصلی، یکی از راههای حملات پنهان مهاجـم است. به گونهای که این بازنویسی محتوا قابل تشخیص نباشد. این بازنویسی ممکن است از راههای گوناگونی صورت بگیرد.
- جایگزین کردن تمام یا بخشی از محتوای صفحـات با تصاویری که مهاجـم فراهم میکند، روشی برای پنهان کردن منبع یک حمله است. این عملیات با استفاده از زبانهای اسکریپت نویسی سمت مشتری، جهت پوشش نشانههایی انجام میگیرد که ممکن است به کاربر برای این حمله هشدار دهند.
- به عنوان مثال مهاجـم از یک تصویر به جای پیوندی که در آدرس نوشته شده است، استفاده نموده تا کاربر را به سمت سایت جعلی هدایت کند.
قابلیتهای آسیبپذیری سمت کاربر
پایهریزی حملات مبتنی بر آسیبپذیری سمت کاربر (Client-Side Vulnerabilities) بر این اساس صورت میگیرد که بیشتر کاربران هنگامی که در وب به جستجوی هرگونه نرمافزاری میگردند، در برابر حملات سرقتبرخط آسیبپذیرند. این آسیبپذیریهای سمت کاربر میتواند از طریق راههای مشابهای مانند کرمها و ویروسها نیز مورد استفاده قرار گیرند. اما در عین حال نرمافزارهای ضد ویروس برای کشف و مقابله با این نوع آسیبپذیریها مفید نیستند. چرا که شناسایی آنها بسیار مشکلتر از تهدیداتی همچون ویروسها بوده و در واقع کاربران دچار یک امنیت کاذب هستند.
حمله سرقت دادهها
حمله سرقت دادهها (Data-Theft Attack) با هدف جاسوسی از شرکتها صورت میگیرد. رایانههای کاربری حاوی اطلاعـات سازمانی، میتواند جهت به دست آوردن دادههای بسیار محرمـانه، اسناد طراحی و یا مشتریان آن سازمان در خطر دسترسی غیر مجاز قرار گیرند. این موضوع ممکن است سبب آسیبهای اقتصادی و ضررهای هنگفت گردیده و یا سرافکندگی و بدنامی سازمان را به همراه داشته باشد. بنابراین سرقت دادهها علاوه بر ضررهای مالی به طور عمده موجب صدمه به شهرت یا حمله به چهره عمومی آن سازمان و یا سرقت اطلاعـات آن میگردد.
تزریق محتوا
در حمله سرقتبرخط از نوع تزریق محتوا (Content Injection) یک محتوای نامناسب در یک سایت قانونی جایگذاری و تزریق میشود. این محتوای نامناسب میتواند کاربر را به یک سایت دیگری هدایت کند یا بد افزارهایی را روی رایانه کاربر نصب نماید و یا آنکه میتواند یک فریم محتوا که برای هدایت دادهها به سرورهای مهاجـم در نظر گرفته شده است را به رایانه کاربر وارد کند. برخی از انواع سرقتبرخط از طریق تزریق محتوا در ادامه آورده شده است:
- مهاجـم با استفاده از نقایص امنیتی موجود در سرویسدهنده، محتوای قانونی را با محتوای نامناسب و مورد نظر خود عوض میکند.
- محتوای نامناسب میتواند توسط نقایص موجود در اسکریپتهای جانبی سایت، به سایت تزریق شود. این حملات از نقایص امنیتی و حفرههای برنامههایی استفاده میکند که محتوای آنها از یک منبع خارجی مانند یک وبـلاگ میآیند.
- انجام فعالیتهای غیرقانونی میتواند با استفاده از قابلیت آسیب پذیری SQL و تزریق به آن انجام شود. این مورد سبب میگردد که دستورات اجرایی پایگاه داده غیر مجاز تلقی شوند.
استفاده از موتورهای جستجو
مهاجـمان میتوانند برای محصولات تقلبی و یا ادعای فروش آنها سایتهایی را ایجاد نمایند و این صفحات را به موتورهای جستجو معرفی کنند. پس از این هکـر، کاربر را در ازای موضوعات کاربرپسند همچون محصولات ارزان و یا خدماتی مانند بانکـداری، وادار میکند به سایت او سر زده و اطلاعـات کلیدی و محرمـانه خود را در آن وارد نمایند. این موفقیت مدیـون بانکداری و کار و کسب برخط است که به سرعت در حال رشد و توسعه است.
دستکاری پیوند سایت
دستکاری پیونـد روشی است که در آن سـارق اطلاعـات لینک مورد نظر خود را به یک وب سایت ارسال میکند. هنگامی که کاربر بر روی پیوند فریبنده کلیک میکند، وب سایت سـارق به جای وب سایت اصلی ذکر شده در آن پیوند باز میشود. یکی از روشهای مقابله با سرقت برخط با استفاده از دستکاری در پیوند، حرکت دادن موس بر روی لینک برای مشاهده آدرس واقعی آن است.
رخنهگری نشست
دسترسی غیر مجاز به یک نشست از دیگر روشهای مهاجـمان جهت سرقتبرخط میباشد. مهاجـم در این روش از سازوکارهای کنترل نشست وب سوءاستفاده نموده و اقدام به سرقت اطلاعـات از کاربر میکند. یک شیوه ساده رخنهگری نشست به رهگیری نشست (session sniffing) موسوم است. مهاجـم میتواند از این ابزارها جهت رهگیری اطلاعـات استفاده نموده و بطور غیر قانونی به دادههای سرویسدهنده وب دسترسی پیدا نماید.
جمع بنـدی
در واقع هر اندازه که فناوری رشد نموده و تکامل مییابد، سازوکارهای مورد استفاده سـارقان نیز پیشرفتهتر میگردد. بنابراین کشف و شناسایی روشهای جدید سرقتبرخط که بعدها به وجود خواهند آمد، چندان عجیب نیست. از این رو کاربران و مدیران باید برای مقابله با این حمله و حملات مشابه، دانش خود را متناسب با پیشرفت فناوری افزایش داده و خود را آماده مقابله با آن نمایند.
در این مطلب سازوکارهای مختلفی را بررسی نمودیم. با این حال هدف از ارائه این نکات علاوه بر آشنایی با روشهای مقابله با سرقت هویتبرخط، آماده سازی ذهن خلاق شما برای پرهیز از قرار گیری در دام صیادان هویت و اطلاعـات با ارزش شما است. پیروزی در این رقابتِ میان خیر و شر، به کسب دانش مناسب و نیز خلاقیت شما در مواجه با خطرات موجود وابسته است. پس هوشیـار بمانید.
منبع: مجله دنياي كامپيوتر و ارتباطات