کمیته رکن چهارم – «حمله مرد میانی – Man-in-the-Middle Attack» (یا به اختصار MITM) نوع رایجی از حملات در حوزه امنیت سایبری است که به مهاجمین اجازه میدهد قادر به استراق سمع ارتباطات میان دو هدف باشند. این حمله در جایی میان دو هاست ارتباطی انجام میشود و هکر قادر به «شنیدن» مکالمات اهدافی خواهد بود که در حالت عادی نباید بتواند آنها را بشنود. نام «مرد میانی» نیز بر همین اساس انتخاب شده است.
یک مثال ساده میزنیم: آلیس و باب در حال گفتگو هستند. ایو میخواهد به این مکالمه به شکل پنهان گوش دهد و در عین حال مخفی باقی بماند. ایو میتواند به آلیس بگوید که او باب است و بعد به باب بگوید که آلیس است. به این ترتیب، آلیس فکر میکند که دارد با باب صحبت میکند ولی در واقع بخشهایی از مکالمات خود را برای ایو فاش میکند. حالا ایو میتواند اطلاعات مورد نیاز را جمعآوری کرده، پاسخها را دستکاری کند و پیام را به باب انتقال دهد (که او نیز تصور میکند در حال صحبت با آلیس است). در نتیجه، ایو به شکلی مخفیانه مکالمات این دو را به سرقت برده است.
انواع حمله مرد میانی
نقاط دسترسی سرکش (Rogue Access Point)
دیوایسهای مجهز به کارتهای وایرلس معمولا سعی میکنند به صورت خودکار به اکسس پوینتی که قدرتمندترین سیگنال را مخابره میکند متصل شوند. مهاجمین میتوانند اکسس پوینت وایرلس خودشان را راه انداخته و دیوایسها را فریب دهند تا به دامنه بپیوندند. به این ترتیب، تمام ترافیک شبکه قربانی توسط مهاجم دستکاری میشود. این موضوع از آن جهت خطرناک است که هکر حتی نیازی به یک شبکه قابل اعتماد برای انجام کار خود ندارد و فقط کافیست که در مجاورت فیزیکی باشد.
جعل آرپ (ARP Spoofing)
آرپ مخفف Address Resolution Protocol است. از این پروتکل برای تطبیق دادن آیپی آدرس با مک آدرس فیزیکی در شبکه محلی استفاده میشود. وقتی یک هاست نیازمند مکالمه با هاستی که یک آیپی آدرس مشخص دارد باشد، از کش آرپ برای تطبیق دادن آدرس آیپی و آدرس مک استفاده میکند. اگر آدرس ناشناخته باشد، یک درخواست شکل میگیرد که خواستار مک آدرس دیوایسهایی که آیپی آدرس دارند میشود.
مهاجمی که بخواهد خودش را یک هاست جای بزند، میتواند با مک آدرس خودش به درخواستها پاسخ بدهد. با استفاده از چند پکت که به صورت دقیق جایگذاری شدهاند، مهاجم میتواند ترافیک خصوصی میان دو هاست را اسنیف (استراق سمع) کند. و از این ترافیک، اطلاعات ارزشمندی به دست خواهد آمد، مانند تبادلات توکنهای نشست که دسترسی کامل به اکانتهای اپلیکیشن را به مهاجم میدهند.
جعل mDNS
Multicast DNS شباهت زیادی به DNS دارد، اما روی شبکههای محلی (لن) که از آرپ استفاده میکنند به اجرا در میآید. همین باعث میشود هدفی معرکه برای حملات جعل باشد. سیستم Name Resolution محلی قرار است تنظیمات دیوایسهای شبکه را شدیدا آسان کند. کاربران لازم نیست دقیقا از آدرسهای سیستم خود برای برقراری ارتباط با خبر باشند و سیستم خودش تمام کار را انجام میدهد.
دستگاههایی نظیر تلویزیونها، پرینترها و سیستمهای سرگرمیمحور از این پروتکل استفاده میکنند چون معمولا به شبکههای قابل اعتماد متصل میشوند. وقتی یک اپلیکیشن لازم است آدرس یک دستگاه خاص را بداند، مانند یک تلویزیون، مهاجم میتواند با اطلاعات دروغین، به آن درخواست پاسخ دهد و آدرسی که خودش روی آن کنترل دارد را وارد کند. از آنجایی که دیوایسها یک کش محلی از آدرسها را نگهداری میکنند، دستگاه قربانی حالا دیوایس مهاجم را به عنوان سیستمی قابل اعتماد میشناسد.
جعل DNS
به صورت مشابه با کاری که آرپ با آیپی آدرسها و مک آدرسها روی لن میکند، DNS نامهای دامنه را با آیپی آدرسها تطبیق میدهد. هنگام پیادهسازی یک حمله جعل DNS، مهاجم تلاش میکند تا کش DNS آلوده را به میزبان بشناساند تا با استفاده از نام دامنه، به یک هاست دیگر دسترسی بیابد. به این ترتیب، قربانی اطلاعاتی حساس را برای هاستی بدخواهانه ارسال میکند اما تصور بر اینست که اطلاعات دارد به دست منبعی قابل اعتماد میرسد. هکری که آیپی آدرس را با موفقیت جعل کرده باشد، با تطبیق دادن یک سرور DNS با آدرس خود، به آسانی قادر به جعل DNS خواهد بود.
تکنیکهای حملات مرد میانی
اسنیفینگ
مهاجمین میتوانند با استفاده از ابزارهای ضبط پکت برای بازرسی پکتها در سطوح پایین استفاده کنند. با استفاده از دیوایسهای وایرلس خاصی که وارد حالت پایش میشوند، مهاجم قادر به مشاهده پکتهایی خواهد بود که نباید توسط هیچکس دیده شوند. مانند پکتهایی که باید به دست هاستهای دیگر برسند.
تزریق پکت
یک هکر ضمنا میتواند از حالت پایش دستگاه خود برای تزریق پکتهای بدخواهانه درون جریان ارتباطات داده استفاده کند. این پکتها در میان جریان واقعی داده پنهان میشوند اما در ذات ماهیتی بدخواهانه دارند. تزریق پکت معمولا نخست شامل اسنیفینگ میشود تا چگونگی ساخت و ارسال پکتها مشخص گردد.
سرقت نشست
اکثر وب اپلیکیشنها از یک مکانیزم لاگین برای ایجاد یک کلید نشست (Session) موقتی استفاده میکنند تا نیازی نباشد که کاربر هنگام باز کردن هر صفحه، مجددا پسوورد خود را وارد کند. یک مهاجم میتواند ترافیک را پایش کرده و کلید نشست کاربر را به دست آورد تا به این ترتیب، به جای او برای شبکه درخواست بفرستد. به محض دست یافتن به کلید نشست، مهاجم دیگر نیازی به جعل داده نخواهد داشت.
حملات مرد میانی چطور تشخیص داده میشوند؟
بدون برداشتن گامهای صحیح، تشخیص حملات مرد میانی میتواند کاری دشوار باشد. اگر به صورت فعالانه به دنبال تداخل در ارتباطات شبکه نگردید، حمله مرد میانی آنقدر پنهان باقی میماند تا دیگر دیر شده باشد. استفاده از سیستمهای احراز هویت مناسب و تعبیه یکجور سیستم تشخیص دستکاری، معمولا بهترین متدها برای شناسایی حملات بالقوه به حساب میآید.
مهمترین مسئله اینست که تدابیری اندیشیده شود که از حملات مرد میانی، پیش از وقوع جلوگیری کنند و نیازی به تلاش برای شناسایی آنها در زمانی که دارند انجام میشوند وجود نداشته باشد. در ادامه به برخی از رویکردهایی پرداختهایم که به خوبی از شما و مکالماتتان در برابر حملات مرد میانی محافظت میکنند
رمزنگاری قدرتمند WEP/WAP روی اکسس پوینتها
دسترسی به یک مکانیزم رمزنگاری قدرتمند روی اکسس پونتهای وایرلس منجر به این میشود که هیچ کاربری به صرف مجاورت فیزیکی، قادر به پیوستن به شبکه شما نباشد. یک مکانیزم رمزنگاری ضعیف باعث میشود مهاجم از روش «بروت فورس» راهش را به شبکه باز و حمله مرد میانی را آغاز کند. هرچه مکانیزم رمزنگاری قدرتمندتر باشد، بیشتر در امان خواهید بود.
اطلاعات لاگین بهتر در روتر
بسیا مهم است که اطلاعات لاگین پیشفرض روتر را تغییر داده باشید. فقط درباره پسوورد وایفای صحبت نمیکنیم و اطلاعات لاگین روتر هم مهم است. اگر یک مهاجم به اطلاعات لاگین روتر شما دست پیدا کند، میتواند سرورهای DNS را به سرورهای بدخواهانه خودش تغییر دهد. یا بدتر از این، روترتان به نرمافزارهای دلخواه او آلوده خواهد شد.
شبکه خصوصی مجازی
شبکه خصوصی مجازی (یا ویپیان) محیطی امن برای اطلاعات حساس شما درون شبکه محلی میسازد. این شبکهها یک سیستم رمزنگاری مبتنی بر کلید ایجاد میکنند تا ارتباطات به شکلی امنتر انجام شوند. به این ترتیب، اگر مهاجم راهش را به شبکهای باز کند که اشتراکی است، نمیتواند به ترافیک ویپیان دسترسی پیدا کند.
HTTPS اجباری
از HTTPS میتوان برای ارتباط امن از طریق HTTP و با بهرهگیری از تبادلات عمومی-خصوصی کلید استفاده کرد. این باعث میشود هکر نتواند از دیتاهای اسنیف شده استفاده کند. وبسایتها باید فقط از HTTPS استفاده کنند و به سراغ جایگزینهای HTTP نروند. کاربران هم میتوانند پلاگینهایی را روی مرورگر خود نصب کنند که استفاده از HTTPS را روی درخواستها اجباری میکنند.
منبع : دیجیاتو