‫ حملات Man-in-the-Middle Attack (ارتباط ربايي SSL) – قسمت چهارم

IRCAR201205141
تاريخ: 31/2/91
 
در اين مقاله قصد داريم به بررسي جعل SSL بپردازيم. اين حمله ذاتا يكي از قويترين حملات MITM است زيرا سرويس­هايي را مورد سوء استفاده قرار مي­دهد كه مردم آن­ها را ايمن فرض مي­كنند.  
SSL و HTTPS
لايه سوكت امن (SSL) يا لايه امنيت انتقال (TLS) پروتكل­هايي هستند كه با استفاده از رمزگذاري ارتباطات شبكه، امنيت را تامين مي­كنند. اين پروتكل معمولا براي پياده­سازي امنيت سرويس­هايي كه پروتكل­ها ارائه مي­دهند، به پروتكل هاي ديگر وابسته است. نمونه­هايي از ابين قبيل پروتكل­ها عبارتند از SMTPS، IMAPS، و اغلب HTTPS. هدف نهايي اين پروتكل ايجاد يك كانال امن بر روي شبكه­هاي ناامن است.
در اين‌جا بر روي حملات SSL بر روي HTTP كه به عنوان HTTPS شناخته مي­شوند تمركز مي­كنيم زيرا يكي از رايج‌ترين كاربردهاي SSL است. احتمالا شما هر روز از HTTPS استفاده مي­كنيد. بيشتر سرويس­هاي پست الكترونيكي محبوب و برنامه­هاي بانكداري آنلاين بر HTTPS تكيه مي­كنند تا اطمينان حاصل نمايند ارتباط بين مرورگر وب شما و سرويس­هاي آن­ها رمزگذاري مي­شود. اگر سرويس­هاي مذكور از اين تكنولوژي استفاده نكنند، هر كسي مي تواند با استفاده از يك شنودكننده بسته بر روي شبكه شما نام كاربري، رمز عبور و ساير مواردي كه به طور معمول بايد مخفيانه باشند را به سرقت ببرد.
فرآيندهايي كه از پروتكل HTTPS استفاده مي­كنند براي اطمينان از امنيت داده­ها، گواهينامه­هايي معتبر را بين سرور و كلاينت ارسال مي­كنند. به عنوان مثال فرض كنيد كاربري سعي دارد به يك حساب پست الكترونيكي Gmail متصل شود. اين اقدام شامل چند مرحله مجزا مي­شود كه در شكل 1 نشان داده شده است.
شكل (1): فرآيند ارتباط HTTPS
براي اين ارتباط مراحل زير صورت مي­گيرد:
1. مرورگر كلاينت با استفاده از HTTP روي پورت 80 به سايت http://mail.google.com متصل مي­شود.
2. سرور، كلاينت را با استفاده از كد پاسخ HTTP 302 به نسخه HTTPS سايت هدايت مي­كند.
3. كلاينت روي پورت 443 به سايت http://mail.google.com  متصل مي­شود.
4. سرور يك گواهينامه حاوي امضاي ديجيتالي را براي كلاينت ارسال مي­كند. اين گواهينامه به منظور بررسي هويت سايت استفاده مي­شود.
5. كلاينت گواهينامه را دريافت مي­كند و با توجه به ليست مراجع گواهينامه معتبر خود، گواهينامه مزبور را بررسي مي­كند.
6. ارتباطات رمزگذاري مي­شود.
اگر فرآيند اعتبارسنجي گواهينامه با شكست مواجه شود به اين معني است كه وب سايت به منظور بررسي هويت آن با شكست مواجه شده است. در اين مرحله به طور معمول يك خطاي ارائه گواهينامه نمايش داده مي­شود و كاربر مي تواند انتخاب كند كه با پذيرفتن خطر به آن وب سايت متصل شود زيرا واقعا مشخص نيست كه وب سايتي كه به آن متصل مي­شود همان وب سايت اصلي است.
حمله عليه  HTTPS
چندين سال پيش، زماني‌كه حمله اي منتشر شد كه مي توانست فرآيند ارتباط را با موفقيت ارتباط ربايي نمايد، پروتكل بسيار امن HTTPS  مطرح شد.   
ماكسي مارلين اسپايك، يك محقق امنيتي معروف فرضيه اي ارائه داد كه در اكثر موارد SSL به طور مستقيم به كار برده نشود. در اين حالت در اكثر موارد ارتباط SSL از طريق HTTPS آغاز مي­شود و كاربران از طريق يك كد پاسخ HTTP 302 يا با كليك كردن بر روي لينكي كه آن‌ها را به HTTPS هدايت مي­كند به يك HTTPS هدايت مي­شوند.
فرآيند ارتباط ربايي SSL نسبتا ساده است. در شكل 2 خلاصه اي از اين حمله را مشاهده مي­كنيد.
شكل (2): ارتباط ربايي HTTPS
مراحل اجراي فرآيند مشخص شده در شكل 2 به شرح زير است:
1. ترافيك­هاي بين سرور و كلاينت ابتدا توسط هكر دريافت شده و پس از اعمال تغييراتي براي طرف مقابل فرستاده مي­شود.
2. اگر هكر با يك آدرس HTTPS مواجه شود، با استفاده از sslstrip، آن آدرس را با يك لينك HTTP عوض مي­كند و تغييرات را نگه مي­دارد.
3. ماشين مهاجم يك گواهينامه از طرف سرور به كلاينت ارائه مي­دهد و سپس اطلاعات كلاينت را به سرقت مي­برد.  
4. ترافيك­ها توسط هكر از وب سايت امن دريافت مي­شوند و به كلاينت ارائه داده مي­شوند.
اين فرآيند به خوبي كار مي­كند و تا آن­جا كه به سرور مربوط مي­شود، ترافيك را به صورت SSL دريافت مي­كند و متوجه اين حمله نمي­شود. تنها تفاوت قابل مشاهده در سمت كلاينت است كه ترافيك را در مرورگر خود به صورت HTTPS دريافت نمي­كند. در اين حالت يك كاربر آگاه مي­تواند از وجود چنين حمله اي مطلع شود.
دفاع در برابر ارتباط ربايي SSL
همانطور كه قبلا اشاره شد، ارتباط ربايي SSL در اين روش تقريبا از سمت سرور غير قابل تشخيص است. در اين حالت سرور نمي­تواند تشخيص دهد كه ارتباط آن با كلاينت از طريق يك واسط است. خوشبختانه، مواردي وجود دارد كه مي تواند از طرف كاربر اعمال شود تا اين نوع حملات را تشخيص داده و در برابر آن از خود دفاع نمايد.
·         اطمينان حاصل نماييد كه ارتباطات امن از طريق HTTPS انجام مي­شود: در اين نوع حملات اگر شما هنگام ورود به بانكداري آنلاين خود متوجه شديد كه فقط يك ارتباط استاندارد HTTP است، مي­توانيد اطمينان حاصل نماييد كه گرفتار اين حمله شده ايد. براي پيشگيري از اين نوع حملات، هنگام مشاهده وب سايت­ها بايد قدرت تشخيص ارتباط امن از ارتباط ناامن را داشته باشيد.
·         انجام كارهاي بانكداري آنلاين در منزل: شانس افراد خرابكار براي دسترسي به اطلاعات ترافيك شما بر روي شبكه خانگي به مراتب كمتر از دسترسي به اطلاعات ترافيك شما بر روي شبكه كاري است. البته به آن دليل نيست كه شبكه خانگي شما امن تر است، بلكه واقعيت آن است كه اگر شما تنها يك يا دو كامپيوتر در خانه داريد، بيشترين نگراني شما در مورد شرائط ارتباط ربايي نشست مي تواند افرادي باشند كه مشغول مشاهده يك فيلم ويدئويي هك شده بر روي يوتيوب هستند. اما در شبكه كاري نمي دانيد در اتاق‌ها و يا شعبه­هاي ديگر شركت چه مي گذرد در نتيجه منابع حمله احتمالي زياد است. توجه داشته باشيد كه يكي از بزرگترين هدف‌ها در ارتباط ربايي نشست، بانكداري آنلاين است.
·         امن‌سازي ماشين‌هاي شبكه داخلي: معمولا اين‌گونه حملات از دورن شبكه اجرا مي‌شوند. اگر دستگاه‌هاي شبكه امن باشند در نتيجه شانس كمتري وجود دارد تا ميزبان‌هايي كه براي راه اندازي حمله ارتباط ربايي از آن‌ها سوء استفاده مي‌شوند، به خطر بيفتند.  
خلاصه
اين نوع از حمله MITM يكي از مرگبارترين حملات است زيرا زماني اتفاق مي افتد كه ما فكر مي­كنيم يك ارتباط امن با وب سايت مورد نظر داريم در صورتي­كه اين ارتباط كاملا ناامن است. اگر شما در نظر بگيريد كه هر روز چندين سايت امن را مشاهده مي­كنيد و سپس در نظر بگيريد كه با توجه به توان بالقوه اين حمله تمامي اين اتصالات ناامن باشند و اطلاعات به دست افراد خرابكار بيفتد، مي­توانيد درك كنيد كه شما و سازمان شما تا چه ميزان تحت تاثير اين حمله قرار مي‌گيرد.
مطالب مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0