الأسئلة الشائعة الفنية. شروط الرجل في الهجوم

بيت / أجهزة التوجيه

هجوم الرجل في الوسط (هجوم MitM) هو مصطلح في التشفير يشير إلى الحالة التي يكون فيها المهاجم قادرًا على قراءة وتعديل الرسائل المتبادلة بين المراسلين، ولا يستطيع أي من هؤلاء تخمين هويته في القناة .

طريقة لاختراق قناة اتصال، حيث يقوم المهاجم، بعد الاتصال بقناة بين الأطراف المقابلة، بالتدخل بشكل نشط في بروتوكول الإرسال، أو حذف المعلومات أو تشويهها أو فرض معلومات كاذبة.

مبدأ الهجوم:

لنفترض أن الكائن "A" يخطط لإرسال بعض المعلومات إلى الكائن "B". يمتلك الكائن "C" معرفة ببنية وخصائص طريقة نقل البيانات المستخدمة، بالإضافة إلى حقيقة النقل المخطط للمعلومات الفعلية التي يخطط "C" لاعتراضها.

للقيام بالهجوم، يبدو أن "C" يعترض على "A" باعتباره "B" ويعترض على "B" باعتباره "A". الكائن "أ"، الذي يعتقد خطأً أنه يرسل معلومات إلى "ب"، يرسلها إلى الكائن "ج".

الكائن "C"، بعد تلقي المعلومات وتنفيذ بعض الإجراءات معها (على سبيل المثال، نسخها أو تعديلها لأغراضها الخاصة)، يرسل البيانات إلى المستلم نفسه - "B"؛ الكائن "B"، بدوره، يعتقد أنه تم استلام المعلومات مباشرة من "A".

مثال على هجوم MitM:

لنفترض أن أليس تواجه مشاكل مالية، وتقرر، باستخدام برنامج مراسلة فورية، أن تطلب من جون مبلغًا من المال عن طريق إرسال الرسالة:
أليس: جون، مرحبا!
أليس: من فضلك أرسل لي مفتاح التشفير، لدي طلب صغير!
جون: مرحبًا! انتظر ثانية!

ولكن، في هذا الوقت، لاحظ السيد X، أثناء تحليل حركة المرور باستخدام جهاز الشم، هذه الرسالة، وأثارت عبارة "مفتاح التشفير" الفضول. ولهذا قرر اعتراض الرسائل التالية واستبدالها بالبيانات التي يحتاجها، وعندما وصلته الرسالة التالية:
جون: هذا هو مفتاحي: 1111_D

قام بتغيير مفتاح جون إلى مفتاحه، وأرسل رسالة إلى أليس:
جون: هذا هو مفتاحي: 6666_M

أليس، غير مدركة وتعتقد أنه مفتاح جون، باستخدام المفتاح الخاص 6666_م، يرسل رسائل مشفرة إلى جون:
أليس: جون، لدي مشاكل وأحتاج إلى المال بشكل عاجل، يرجى تحويل 300 دولار إلى حسابي: Z12345. شكرًا لك. ملاحظة: مفتاحي: 2222_A

بعد استلام الرسالة، يقوم السيد X بفك تشفيرها باستخدام مفتاحه، ويقرأها، وبفرح، يغير رقم حساب أليس ومفتاح التشفير إلى رقمه الخاص، ويقوم بتشفير الرسالة بالمفتاح 1111_دويرسل إلى جون رسالة:
أليس: جون، لدي مشاكل وأحتاج إلى المال بشكل عاجل، يرجى تحويل 300 دولار إلى حسابي: Z67890. شكرًا لك. ملاحظة: مفتاحي: 6666_A

بعد تلقي الرسالة، يقوم جون بفك تشفيرها باستخدام المفتاح 1111_د، وبدون تردد، سيتم تحويل الأموال إلى الحساب Z67890...

وهكذا، حصل السيد X، باستخدام هجوم الرجل في الوسط، على 300 دولار، ولكن سيتعين على أليس الآن أن توضح أنها لم تتلق المال... وجون؟ يجب على جون أن يثبت لأليس أنه أرسلهم...

تطبيق:

ويستخدم هذا النوع من الهجوم في بعض منتجات البرمجياتللاستماع إلى الشبكة، على سبيل المثال:
NetStumbler- برنامج يمكنك من خلاله جمع الكثير من البيانات المفيدة عنه شبكة لاسلكيةوحل بعض المشاكل المرتبطة بتشغيله. يتيح لك NetStumbler تحديد نطاق شبكتك ويساعدك على توجيه الهوائي بدقة للاتصالات بعيدة المدى. لكل نقطة وصول يتم العثور عليها، يمكنك معرفة عنوان MAC ونسبة الإشارة إلى الضوضاء واسم الخدمة ودرجة أمانها. إذا لم تكن حركة المرور مشفرة، فستكون قدرة البرنامج على اكتشاف الاتصالات غير المصرح بها مفيدة.

com.dsniff- هي مجموعة من البرامج الخاصة بتدقيق الشبكات واختبار الاختراق، حيث توفر مراقبة سلبية للشبكة للبحث عن البيانات ذات الأهمية (كلمات المرور والعناوين) بريد إلكترونيوالملفات وما إلى ذلك)، واعتراض حركة مرور الشبكة التي لا يمكن الوصول إليها عادة للتحليل (على سبيل المثال، في شبكة مبدلة)، بالإضافة إلى القدرة على تنظيم هجمات MITM لاعتراض جلسات SSH وHTTPS من خلال استغلال عيوب PKI.

قابيل وهابيل - برنامج مجاني، والذي يسمح لك باستعادة كلمات المرور المفقودة لـ أنظمة التشغيل عائلة ويندوز. يتم دعم العديد من أوضاع الاسترداد: اختراق القوة الغاشمة، واختيار القاموس، وعرض كلمات المرور المخفية بالعلامات النجمية، وما إلى ذلك. هناك أيضًا خيارات لتحديد كلمة المرور من خلال اعتراض حزم المعلومات وتحليلها لاحقًا وتسجيل محادثات الشبكة وتحليل ذاكرة التخزين المؤقت وغيرها.

إتيركاب- عبارة عن أداة شم واعتراض حزم ومسجل لشبكات Ethernet المحلية، والتي تدعم التحليل النشط والسلبي لبروتوكولات متعددة، ومن الممكن أيضًا "رمي" بياناتك الخاصة في اتصال موجود وتصفية "أسرع" دون تعطيل الاتصال المزامنة. يتيح لك البرنامج اعتراض SSH1 وHTTPS والبروتوكولات الآمنة الأخرى ويوفر إمكانية فك تشفير كلمات المرور للبروتوكولات التالية: TELNET، ftp، POP، RLOGIN، SSH1، icq، SMB، Mysql، HTTP، NNTP، X11، NAPSTER، IRC ، RIP، BGP، SOCKS 5، IMAP 4، VNC، LDAP، NFS، SNMP، HALF LIFE، QUAKE 3، MSN، YMSG.

كارما- مجموعة من الأدوات المساعدة لتقييم أمان العملاء اللاسلكيين، عبارة عن أداة تشمّل لاسلكية تسمح لك، من خلال الاستماع السلبي إلى إطارات طلب التحقيق 802.11، باكتشاف العملاء وشبكاتهم المفضلة/الموثوقة. يمكن بعد ذلك إنشاء نقطة وصول وهمية لإحدى الشبكات المطلوبة، والتي يمكن توصيلها بها تلقائيًا. يمكن استخدام الخدمات المزيفة عالية المستوى لسرقة البيانات الشخصية أو استغلال نقاط ضعف العميل على المضيف.

ايرجاك- مجموعة من البرامج التي يقول الخبراء في مجال اختراق شبكات الواي فاي إنها أفضل أداةلإنشاء إطارات 802.11 مختلفة. يتضمن AirJack عددًا من الأدوات المساعدة المصممة لاكتشاف معرفات ESSIDs المخفية، وإرسال إطارات إنهاء الجلسة باستخدام جهاز MAC مزيف، وتنفيذ هجمات MitM وتعديله.

رد الفعل:

ولتجنب هذا النوع من الهجمات، يحتاج المشتركان "أ" و"ب" فقط إلى نقل التوقيعات الرقمية لمفاتيح التشفير العامة لبعضهما البعض باستخدام قناة موثوقة. وبعد ذلك، عند مقارنة التوقيعات الرئيسية في جلسات التشفير، سيكون من الممكن تحديد المفتاح الذي تم استخدامه لتشفير البيانات، وما إذا كان قد تم استبدال المفاتيح.

حيث يقوم المهاجم، بعد الاتصال بقناة بين الأطراف المقابلة، بالتدخل في بروتوكول الإرسال، أو حذف المعلومات أو تشويهها.

يوتيوب الموسوعي

    1 / 3

    ✪ رقم 4 كيف تصبح هاكرًا؟ "هجوم الوسيط"! |هاكينغ من الألف إلى الياء|

    ✪ هجوم MiTM على نظام iOS. التقنية والعواقب

    ✪ بيتكوين الجدول الزمني هجمات القراصنةواختراقات البورصة في سوق العملات المشفرة (2012 - 2018)

    ترجمات

مبدأ الهجوم

يبدأ الهجوم عادةً بالتنصت على قناة الاتصال وينتهي بمحاولة محلل التشفير استبدال الرسالة المعترضة واستخراجها معلومات مفيدة، أعد توجيهه إلى بعض الموارد الخارجية.

لنفترض أن الكائن "أ" يخطط لنقل بعض المعلومات إلى الكائن "ب". يمتلك الكائن C معرفة ببنية وخصائص طريقة نقل البيانات المستخدمة، بالإضافة إلى حقيقة النقل المخطط للمعلومات الفعلية التي يخطط C لاعتراضها. لتنفيذ هجوم، "يظهر" C للكائن A كـ B، وللكائن B كـ A. الكائن A، الذي يعتقد خطأً أنه يرسل معلومات إلى B، يرسلها إلى الكائن C. الكائن C، بعد أن تلقى المعلومات، ويقوم ببعض الإجراءات معه (على سبيل المثال، النسخ أو التعديل لأغراض خاصة به) ويعيد توجيه البيانات إلى المستلم نفسه - ب؛ الكائن B، بدوره، يعتقد أن المعلومات قد تم تلقيها مباشرة من A.

هجوم مثال

حقن التعليمات البرمجية الضارة

يسمح هجوم الرجل في الوسط لمحلل التشفير بإدخال تعليمات برمجية في رسائل البريد الإلكتروني وبيانات SQL وصفحات الويب (على سبيل المثال، السماح بإدخال SQL أو حقن HTML/script أو هجمات XSS)، وحتى تعديل الثنائيات التي تم تحميلها بواسطة المستخدم إلى وصول حسابالمستخدم أو تغيير سلوك البرنامج الذي قام المستخدم بتنزيله من الإنترنت.

هجوم خفض المستوى

يشير مصطلح "هجوم الرجوع إلى إصدار أقدم" إلى هجوم يقوم فيه محلل التشفير بإجبار المستخدم على استخدام وظائف أقل أمانًا، وهي البروتوكولات التي لا تزال مدعومة لأسباب التوافق. يمكن تنفيذ هذا النوع من الهجمات على بروتوكولات SSH وIPsec وPPTP.

للحماية من هجوم الرجوع إلى إصدار سابق، يجب تعطيل البروتوكولات غير الآمنة على جانب واحد على الأقل؛ إن مجرد دعم البروتوكولات الآمنة واستخدامها بشكل افتراضي لا يكفي!

SSH V1 بدلاً من SSH V2

قد يحاول أحد المهاجمين تغيير معلمات الاتصال بين الخادم والعميل عند إنشاء اتصال بينهما. وفقًا لمحاضرة ألقيت في مؤتمر Blackhat Europe 2003، يمكن لمحلل الشفرات "إجبار" العميل على بدء جلسة SSH1 عن طريق تغيير رقم الإصدار "1.99" لجلسة SSH إلى "1.51" بدلاً من SSH2، مما يعني استخدام SSH V1 . يحتوي بروتوكول SSH-1 على نقاط ضعف يمكن استغلالها بواسطة محلل التشفير.

IPsec

في سيناريو الهجوم هذا، يقوم محلل التشفير بتضليل ضحيته للاعتقاد بأن جلسة IPsec لا يمكن أن تبدأ من الطرف الآخر (الخادم). وينتج عن هذا إعادة توجيه الرسائل بشكل صريح إذا كان الجهاز المضيف يعمل في وضع التراجع.

PPTP

في مرحلة التفاوض على معلمات جلسة PPTP، يمكن للمهاجم إجبار الضحية على استخدام مصادقة PAP الأقل أمانًا، MSCHAP V1 (أي "التراجع" من MSCHAP V2 إلى الإصدار 1)، أو عدم استخدام التشفير على الإطلاق.

يمكن للمهاجم إجبار ضحيته على تكرار مرحلة التفاوض على معلمات جلسة PPTP (إرسال حزمة Terminate-Ack)، وسرقة كلمة المرور من النفق الموجود وتكرار الهجوم.

الاتصالات العامة دون حماية دقة المعلومات وسريتها وتوافرها وسلامتها

وسائل الاتصال الأكثر شيوعًا لهذه المجموعة هي الشبكة الاجتماعية، خدمة بريد إلكتروني عامة ونظام مراسلة فورية. يتمتع مالك المورد الذي يوفر خدمة الاتصالات بالسيطرة الكاملة على المعلومات المتبادلة بين المراسلين، ويمكنه، وفقًا لتقديره الخاص، تنفيذ هجوم بحرية في أي وقت.

على عكس السيناريوهات السابقة القائمة على الجوانب التقنية والتكنولوجية للاتصالات، في هذه الحالةيعتمد الهجوم على جوانب عقلية، ألا وهي ترسيخ في أذهان المستخدمين مفهوم تجاهل متطلبات أمن المعلومات.

هل سيساعد التشفير؟

دعونا نفكر في حالة معاملة HTTP القياسية. في هذه الحالة، يمكن للمهاجم بسهولة تقسيم اتصال TCP الأصلي إلى اتصالين جديدين: أحدهما بينه وبين العميل والآخر بينه وبين الخادم. من السهل جدًا القيام بذلك، نظرًا لأنه نادرًا ما يكون الاتصال بين العميل والخادم مباشرًا، وفي معظم الحالات يكونان متصلين من خلال عدد من الخوادم الوسيطة. يمكن تنفيذ هجوم MITM على أي من هذه الخوادم.

ومع ذلك، إذا تواصل العميل والخادم باستخدام HTTPS، وهو بروتوكول يدعم التشفير، فيمكن أيضًا تنفيذ هجوم الوسيط. يستخدم هذا النوع من الاتصال TLS أو SSL لتشفير الطلبات، الأمر الذي يبدو أنه يجعل القناة محمية من التجسس وهجمات MITM. يمكن للمهاجم إنشاء جلستي SSL مستقلتين لكل اتصال TCP. يقوم العميل بإنشاء اتصال SSL مع المهاجم، الذي يقوم بدوره بإنشاء اتصال مع الخادم. في مثل هذه الحالات، يحذر المتصفح عادةً من أن الشهادة غير موقعة من قبل مرجع مصدق موثوق به، ولكن يمكن للمستخدمين العاديين للمتصفحات القديمة تجاوز هذا التحذير بسهولة. بالإضافة إلى ذلك، قد يكون لدى المهاجم شهادة موقعة من المرجع المصدق الجذر (على سبيل المثال، يتم استخدام هذه الشهادات أحيانًا لـ DLP) ولا يقوم بإنشاء تحذيرات. بالإضافة إلى ذلك، هناك عدد من الهجمات ضد HTTPS. وبالتالي، لا يمكن اعتبار بروتوكول HTTPS محميًا من هجمات MITM للمستخدمين العاديين. [ ] هناك عدد من التدابير لمنع البعض هجمات MITMعلى مواقع https، على وجه الخصوص، HSTS، الذي يحظر استخدام اتصال http من المواقع، وCertificate pinning وHTTP Public Key Pinning، الذي يحظر استبدال الشهادة.

كشف هجوم MITM

للكشف عن هجوم رجل في الوسط، تحتاج إلى التحليل حركة مرور الشبكة. على سبيل المثال، لاكتشاف هجوم SSL، يجب عليك الانتباه إلى المعلمات التالية:

  • عنوان IP للخادم
  • خادم DNS
  • X.509 - شهادة الخادم
    • هل الشهادة موقعة ذاتيا؟
    • هل الشهادة موقعة من جهة التصديق؟
    • هل تم الغاء الشهادة؟
    • هل تغيرت الشهادة مؤخرا؟
    • هل حصل عملاء آخرون على الإنترنت على نفس الشهادة؟

تطبيقات هجوم MITM

يمكن استخدام البرامج المدرجة لتنفيذ هجمات الرجل في الوسط، وكذلك لاكتشافها واختبار النظام بحثًا عن نقاط الضعف.

انظر أيضا

  • أسبيدسترا (إنجليزي) - جهاز إرسال إذاعي بريطاني تم استخدامه أثناء "غزو" الحرب العالمية الثانية، وهو نوع مختلف من هجوم MITM.
  • مؤامرة بابينغتون (الإنجليزية) - مؤامرة ضد إليزابيث الأولى، اعترض خلالها والسينغهام المراسلات.

هجمات أخرى

  • "Man-in-the-Browser" هو نوع من الهجوم يستطيع فيه المهاجم تغيير معلمات المعاملة على الفور وتغيير الصفحات الشفافة تمامًا للضحية.
  • هجوم Meet-in-the-middle هو هجوم تشفيري، مثل هجوم عيد الميلاد، يستغل المفاضلة بين الوقت والذاكرة.
  • "الهجوم المفقود في الوسط" هو وسيلة فعالة لما يسمى بتحليل الشفرات التفاضلي المستحيل.
  • هجوم الترحيل هو أحد أشكال هجوم MITM الذي يعتمد على إعادة توجيه الرسالة التي تم اعتراضها إلى مستلم صالح، ولكن ليس إلى الشخص الذي كانت الرسالة موجهة إليه.

عملية من ثلاث خطوات لبدء جلسة TCP. يرسل العميل حزمة بعلامة SYN إلى الخادم. بعد تلقي حزمة مع علامة SYN من العميل، يستجيب الخادم بحزمة مع علامات SYN + ACK ويدخل في الحالة المؤسسة. بعد تلقي الاستجابة الصحيحة من الخادم، يرسل العميل حزمة مع علامة ACK ويدخل في الحالة التي تم تأسيسها

قائمة الحظر

قائمة العملاء الذين ليس لديهم حقوق في بعض الإجراءات. باستخدام قائمة الحظر، عادةً ما تحد من قدرات الروبوتات عند اكتشاف هجوم DDoS. أيضا في الواقع خوادم اللعبة V هذه القائمةيتم تضمين اللاعبين ذوي السمعة السيئة الذين يستخدمون رموز الغش أو يرتكبون أفعالًا غير قانونية.

بوت

الكمبيوتر المستخدم لإجراء هجوم DDoSحركة المرور "الحقيقية". في معظم الحالات، يكون جهاز الكمبيوتر الخاص بالمستخدم العادي مصابًا بفيروس. في كثير من الأحيان، لا يستطيع المستخدم ملاحظة أن جهاز الكمبيوتر الخاص به مصاب وأنه يستخدم لأغراض غير قانونية

خادم الويب

جهاز كمبيوتر على شبكة يقبل طلبات HTTP من العملاء، عادةً متصفحات الويب، ويزودهم باستجابات HTTP. عادةً، إلى جانب استجابة HTTP، يستجيب خادم الويب بصفحة HTML أو صورة أو دفق وسائط أو بيانات أخرى

خدمة الويب

خدمات الويب هي الخدمات المقدمة على شبكة الإنترنت. عند استخدام هذا المصطلح، يمكننا التحدث عن البحث وبريد الويب وتخزين المستندات والملفات والإشارات المرجعية وما إلى ذلك. عادةً، يمكن استخدام خدمات الويب بغض النظر عن جهاز الكمبيوتر أو المتصفح أو الموقع الذي تصل فيه إلى الإنترنت.

اِختِصاص

يمكن استخدام مفهوم "المجال" في سياقات مختلفة عند الحديث عنه تقنيات الشبكة. في أغلب الأحيان حسب المجال الذي يقصدونه اسم المجالموقع. يتم تقسيم النطاقات إلى مستويات مختلفة، على سبيل المثال، في النطاق example.com، com هو نطاق المستوى الأول وexample هو نطاق المستوى الثاني. لتسهيل التواصل، يستخدم الأشخاص أيضًا مصطلح "النطاق الفرعي" والذي يعني نطاقًا يزيد عمقه عن مستويين. على سبيل المثال، في المجال mail.example.com، يعد البريد نطاقًا فرعيًا.

روبوت البحث

خدمة محرك بحثلاكتشاف صفحات جديدة على الإنترنت وتغيير الصفحات الموجودة. مبدأ التشغيل مشابه للمتصفح. فهو يحلل محتوى الصفحة، ويخزنها في شكل خاص على خادم محرك البحث الذي تنتمي إليه، ويرسل روابط إلى الصفحات اللاحقة.

عرض النطاق الترددي

أقصى قدر ممكن من البيانات المنقولة لكل وحدة زمنية. في كثير من الأحيان، لا يفي مقدمو خدمات الإنترنت، الذين يعدون بسرعات أعلى للوصول إلى الإنترنت، بوعودهم. في معظم الحالات، يرجع ذلك إلى أن النطاق الترددي مشغول بالكامل.

يستخدم MTProto طريقة أصلية لتحقيق الموثوقية في البرامج الضعيفة حاليًا الاتصالات المتنقلةوالسرعة في تسليم الملفات الكبيرة (مثل الصور ومقاطع الفيديو والمستندات التي يصل حجمها إلى 1 جيجابايت). تهدف هذه الوثيقة إلى توضيح تفاصيل نظامنا ومعالجة العناصر التي قد يصعب فهمها للوهلة الأولى.

وثائق البروتوكول التفصيلية متاحة على هذه الصفحة. إذا كان لديك أي أسئلة، الكتابة إلى تغريد.

ملحوظة:تحتوي كل رسالة مشفرة من خلال MTProto دائمًا على البيانات التالية، والتي سيتم فحصها أثناء فك التشفير لجعل النظام آمنًا ضد المشكلات المعروفة:

  • معرف الجلسة - معرف الجلسة؛
  • طول الرسالة - طول الرسالة؛

ملاحظة 2:انظر التعليقات الإضافية بخصوص الاستخدام، و معدلالمخططات

لماذا لا تستخدم X [خيارك]

وفي حين توجد بلا شك طرق أخرى لتحقيق نفس أهداف التشفير، فإننا نعتقد أن الحل الحالي موثوق به وينجح في تحقيق هدفنا الثانوي المتمثل في التفوق على برامج المراسلة غير الآمنة من حيث سرعة التسليم والاستقرار.

لماذا تعتمد على خوارزميات التشفير الكلاسيكية؟

نحن نفضل استخدام الخوارزميات المعروفة التي تم إنشاؤها في الأيام التي كان فيها عرض النطاق الترددي وقوة المعالجة زوجًا نادرًا. هذه الخوارزميات لها تأثير كبير على تطوير التطبيقات اليوم الأجهزة المحمولةمما أجبر مؤلفيهم على التخلص من أوجه القصور المعروفة. كما أن نقاط الضعف في مثل هذه الخوارزميات معروفة جيدًا وقد استغلها المهاجمون لعقود من الزمن. نحن نستخدم هذه الخوارزميات في هذا التنفيذ لأنها، في رأينا، تؤدي إلى فشل أي هجوم معروف. ومع ذلك، سنكون سعداء لرؤية أي دليل على عكس ذلك (لم تحدث مثل هذه الحالات حتى الآن) من أجل تحسين نظامنا.

أنا خبير أمني وأعتقد أن البروتوكول الخاص بك غير آمن.

يمكنك المشاركة في مسابقتنا: يقدم Pavel Durov مبلغ 200000 دولار أمريكي من البيتكوين لأول شخص يقوم باختراق MTProto. يمكنك قراءة الإعلان والأسئلة الشائعة حول المسابقة. إذا كان لديك أي تعليقات أخرى، سنكون سعداء لسماعها على [البريد الإلكتروني محمي].

الحماية ضد الهجمات المعروفة

هجمات النص العادي المعروفة

بحكم التعريف، هجوم النص العادي هو نوع من هجوم تحليل التشفير حيث يكون لدى المهاجم نسخ مشفرة ونص عادي من النص. إن AES IGE المستخدم في MTProto مقاوم لمثل هذه الهجمات. بالإضافة إلى ذلك، يحتوي النص العادي في MTProto دائمًا على رقم الخادم ومعرف الجلسة.

هجوم النص العادي التكيفي

بحكم التعريف، هجوم النص العادي التكيفي هو نوع من الهجوم في تحليل الشفرات حيث يمكن لمحلل الشفرات تحديد نص عادي والحصول على نص مشفر مطابق. يستخدم MTProto AES في وضع IGE، وهو آمن ضد مثل هذه الهجمات. من المعروف أن IGE عرضة للهجمات التكيفية، لكن MTProto يعمل على إصلاح ذلك بالطريقة الموضحة أدناه. تحتوي كل رسالة نصية عادية سيتم تشفيرها على البيانات التالية، والتي يتم التحقق منها أثناء فك التشفير:

  • ملح الخادم (64 بت)؛
  • رقم تسلسل الرسالة؛
  • الوقت الذي تم فيه إرسال الرسالة - الوقت.

بالإضافة إلى ذلك، لاستبدال النص العادي، يجب عليك أيضًا استخدام مفتاح AES الصحيح ومتجه التهيئة، اللذين يعتمدان على auth_key . وهذا يجعل MTProto مقاومًا لهجمات النص العادي التكيفية.

هجمات النص المشفر المتطابقة

وفقًا للتعريف، فإن هجوم النص المشفر المختار هو هجوم تشفير يقوم فيه محلل التشفير بجمع معلومات حول التشفير عن طريق تحديد النص المشفر والحصول على فك تشفيره باستخدام مفتاح غير معروف. في مثل هذا الهجوم، يمكن للمهاجم إدخال واحد أو أكثر من النصوص المشفرة المعروفة في النظام والحصول على النصوص العادية. وباستخدام هذه البيانات، يمكن للمهاجم محاولة استعادة المفتاح المستخدم لفك التشفير. في MTProto، في كل مرة يتم فيها فك تشفير رسالة، يتم إجراء فحص للتأكد من أن msg_key يطابق SHA-1 للبيانات التي تم فك تشفيرها. يحتوي النص العادي (البيانات التي تم فك تشفيرها) دائمًا على معلومات حول طول الرسالة ورقمها التسلسلي وملح الخادم. وهذا ينفي الهجمات المستندة إلى النص المشفر المحدد.

إعادة الهجمات

هجمات إعادة التشغيل غير ممكنة لأن كل رسالة نصية عادية تحتوي على ملح الخادم ومعرف الرسالة الفريد ورقم التسلسل.

هجوم رجل في الوسط (MitM).

يحتوي Telegram على وضعين للاتصال: المحادثات العادية، والتي تستخدم تشفير خادم العميل، والمحادثات السرية، والتي تستخدم التشفير الشامل ومحمية من هجمات الوسيط. تتم حماية نقل البيانات بين العميل والخادم من مثل هذه الهجمات أثناء إنشاء المفاتيح باستخدام بروتوكول Diffie-Hellman بفضل خوارزمية ذات المفتاح العام RSA، المضمن في عملاء Telegram. بعد ذلك، إذا كان عملاء المحاورين يثقون في برنامج الخادم، فإن المحادثات السرية بينهم تكون محمية بواسطة الخادم من هجمات الوسيط. وخاصة بالنسبة لأولئك الذين لايثق بالخادم، تتوفر مقارنة الرموز السرية في التطبيق. يتم تصور المفاتيح كصور. ومن خلال مقارنة المفاتيح المرئية، يمكن للمستخدمين التحقق من عدم حدوث هجوم رجل في الوسط.

التشفير

هل تستخدم IGE؟ لقد تم اختراقها!

نعم، نحن نستخدم IGE، ولكن في تنفيذنا كل شيء على ما يرام معه. حقيقة أننا لا نستخدم IGE مع عناصر أخرى في نظامنا بنفس الطريقة التي تستخدم بها شركة MAC تجعل محاولات اختراق IGE عديمة الجدوى. IGE، تمامًا مثل وضع تسلسل كتلة النص المشفر الشائع (CBC)، عرضة لهجمات التكيف مع اتجاه الكتلة. لكن الهجمات التكيفية لا تمثل سوى تهديد عند استخدام نفس المفتاح في رسائل متعددة (وهذا ليس هو الحال).

الهجمات التكيفية ليست ممكنة حتى من الناحية النظرية في MTProto، لأنه لفك تشفير الرسائل، يجب أولاً كتابة الأخيرة بالكامل، نظرًا لأن مفتاح الرسالة يعتمد على محتواها. أما بالنسبة لهجمات CPA غير التكيفية، فإن IGE محمي منها، تمامًا مثل CBC.

18/10/2016 | فلاديمير خازوف

إن خطط FSB ووزارة الاتصالات والإعلام ووزارة الصناعة والتجارة لتنفيذ أحكام قانون ياروفايا فيما يتعلق باعتراض وفك تشفير مراسلات الروس لم تعد مجرد خطط، بل بدأ بالفعل وضعها إلى العمل بأمر لإعداد رأي خبير حول إمكانية الاعتراض رسائل واتس ابفايبر فيسبوك ماسنجرو Telegram و Skype باستخدام هجمات MITM وعرض نموذج أولي لهذه الأداة.

لقد كتبنا عن مخطط تنظيم هجوم MITM "المشروع" في مقال سابق. اليوم سوف نتناول بمزيد من التفصيل مبدأ هذا الهجوم وطرق تنفيذه.

ما هو هجوم MITM

رجل في الأوسط(MITM) يُترجم إلى "رجل في المنتصف". يشير هذا المصطلح إلى هجوم الشبكة حيث يكون المهاجم بين مستخدم الإنترنت والتطبيق الذي يصل إليه. ليس جسديًا بالطبع، ولكن بمساعدة برامج خاصة. يقدم نفسه للمستخدم على أنه التطبيق المطلوب (يمكن أن يكون موقعًا إلكترونيًا أو خدمة إنترنت)، ويحاكي العمل معه، ويقوم بذلك بطريقة تعطي الانطباع التشغيل العاديوتبادل المعلومات.

الهدف من الهجوم هو البيانات الشخصية للمستخدم، مثل بيانات اعتماد تسجيل الدخول أنظمة مختلفةوالتفاصيل المصرفية وأرقام البطاقات والمراسلات الشخصية وغيرها معلومات سرية. في معظم الحالات، تتعرض التطبيقات المالية (عملاء البنوك والبنوك عبر الإنترنت وخدمات الدفع وتحويل الأموال) وخدمات SaaS الخاصة بالشركة ومواقع التجارة الإلكترونية (المتاجر عبر الإنترنت) والمواقع الأخرى التي تتطلب تصريحًا لتسجيل الدخول إلى النظام للهجوم.

يمكن استخدام المعلومات التي يحصل عليها المهاجم لمجموعة متنوعة من الأغراض، بما في ذلك التحويلات المالية غير القانونية، وتغيير الحسابات، واعتراض المراسلات الشخصية، وإجراء عمليات شراء على حساب شخص آخر، والتسوية والابتزاز.

بالإضافة إلى ذلك، بعد سرقة بيانات الاعتماد واختراق النظام، يمكن للمجرمين تثبيته شبكة الشركاتالبرمجيات الخبيثة لتنظيم سرقة الملكية الفكرية (براءات الاختراع والمشاريع وقواعد البيانات) والتسبب في أضرار اقتصادية عن طريق حذف البيانات الهامة.

يمكن تشبيه هجوم MITM بساعي البريد الذي يقوم، أثناء تسليم مراسلتك، بفتح رسالة، أو إعادة كتابة محتوياتها للاستخدام الشخصي، أو حتى تزييف خط اليد، وإضافة شيء خاص به، ثم يختم المظروف ويسلمه إلى المرسل إليه وكأن شيئا لم يحدث. علاوة على ذلك، إذا قمت بتشفير نص الرسالة، وترغب في توصيل رمز فك التشفير شخصيًا إلى المرسل إليه، فسيقوم ساعي البريد بتقديم نفسه على أنه المرسل إليه بطريقة لن تلاحظ حتى الاستبدال.

كيف يتم تنفيذ هجوم MITM

يتكون تنفيذ هجوم MITM من مرحلتين: الاعتراض وفك التشفير.

  • اعتراض

تتمثل المرحلة الأولى من الهجوم في اعتراض حركة المرور من المستخدم إلى الهدف المقصود وتوجيهها إلى شبكة المهاجم.

الطريقة الأكثر شيوعًا والأسهل للاعتراض هي الهجوم السلبي، عندما يقوم المهاجم بإنشاء نقاط Wi-Fi مع وصول مجاني (بدون كلمة مرور أو ترخيص). في اللحظة التي يتصل فيها المستخدم بمثل هذه النقطة، يتمكن المهاجم من الوصول إلى كل حركة المرور التي تمر عبرها ويمكنه استخراج أي بيانات منها لاعتراضها.

الطريقة الثانية هي الاعتراض النشط، والذي يمكن إجراؤه بإحدى الطرق التالية:

انتحال IP– استبدال عنوان IP الخاص بالهدف في رأس الحزمة بعنوان المهاجم. ونتيجة لذلك، ينتهي الأمر بالمستخدمين إلى موقع الويب الخاص بالمهاجم بدلاً من زيارة عنوان URL المطلوب.

انتحال ARP- استبدال عنوان MAC الحقيقي للمضيف بعنوان المهاجم في جدول ARP الخاص بالضحية. ونتيجة لذلك، تنتهي البيانات التي يرسلها المستخدم إلى عنوان IP الخاص بالعقدة المطلوبة في عنوان المهاجم.

انتحال DNSعدوى ذاكرة التخزين المؤقت لنظام أسماء النطاقات، الاختراق على خادم DNSواستبدال سجل مطابقة عنوان موقع الويب. ونتيجة لذلك، يحاول المستخدم الوصول إلى الموقع المطلوب، لكنه يتلقى عنوان موقع المهاجم من خادم DNS.

  • فك التشفير

بمجرد اعتراضها، يجب فك تشفير حركة مرور SSL ثنائية الاتجاه بحيث لا يلاحظ المستخدم والمورد الذي يطلبه التداخل.

هناك عدة طرق لهذا:

انتحال HTTPS– يتم إرسال شهادة مزيفة إلى متصفح الضحية عند إنشاء اتصال بالموقع عبر بروتوكول HTTPS. تحتوي هذه الشهادة التوقيع الرقميتطبيق مخترق، مما يجعل المتصفح يقبل الاتصال بالمهاجم باعتباره موثوقًا. وبمجرد إنشاء هذا الاتصال، يتمكن المهاجم من الوصول إلى أي بيانات يدخلها الضحية قبل إرسالها إلى التطبيق.

وحش SSL(استغلال المتصفح ضد SSL/TLS) - يستغل الهجوم ثغرة SSL في إصدارات TLS 1.0 و1.2. يصاب جهاز الكمبيوتر الخاص بالضحية ببرنامج JavaScript ضار، والذي يعترض ملفات تعريف الارتباط المشفرة المرسلة إلى تطبيق الويب. يؤدي هذا إلى اختراق وضع التشفير "تسلسل كتلة النص المشفر" بحيث يحصل المهاجم على ملفات تعريف الارتباط ومفاتيح المصادقة التي تم فك تشفيرها.

اختطاف طبقة المقابس الآمنة (SSL).- نقل مفاتيح المصادقة المزيفة إلى المستخدم والتطبيق في بداية جلسة TCP. وهذا يخلق مظهر اتصال آمن بينما في الواقع يتم التحكم في الجلسة بواسطة "رجل في المنتصف".

تجريد SSL- خفض مستوى الاتصال من HTTPS الآمن إلى HTTP العادي عن طريق اعتراض مصادقة TLS التي يرسلها التطبيق إلى المستخدم. يوفر المهاجم للمستخدم وصولاً غير مشفر إلى الموقع، بينما يحتفظ هو بجلسة آمنة مع التطبيق، ويكتسب القدرة على رؤية البيانات المرسلة للضحية.\

الحماية ضد هجمات MITM

تكون الحماية الموثوقة ضد هجمات MITM ممكنة إذا اتخذ المستخدم عدة إجراءات وقائية واستخدم مجموعة من أساليب التشفير والمصادقة من قبل مطوري تطبيقات الويب.

إجراءات المستخدم:

  • تجنب الاتصال بنقاط Wi-Fi التي لا تتمتع بحماية كلمة المرور. قم بتعطيل الميزة اتصال تلقائيإلى نقاط الوصول المعروفة - يمكن للمهاجم إخفاء شبكة Wi-Fi الخاصة به على أنها قانونية.
  • انتبه إلى إشعار المتصفح بشأن الانتقال إلى موقع غير آمن. قد تشير مثل هذه الرسالة إلى الانتقال إلى موقع ويب مزيف لمهاجم أو مشاكل في حماية موقع ويب شرعي.
  • قم بإنهاء الجلسة مع التطبيق (تسجيل الخروج) إذا لم يكن قيد الاستخدام.
  • لا تستخدم الشبكات العامة(مقهى، حديقة، فندق وغيرها) لإجراء المعاملات السرية ( المراسلات التجارية، المعاملات المالية، المشتريات في المتاجر عبر الإنترنت، وما إلى ذلك).
  • استخدم برنامج مكافحة فيروسات مزودًا بقواعد بيانات محدثة على جهاز الكمبيوتر أو الكمبيوتر المحمول لديك؛ حيث سيساعد ذلك في الحماية من الهجمات التي تستخدم البرامج الضارة.

يجب على مطوري تطبيقات الويب ومواقع الويب استخدام الأمان بروتوكولات TLSوHTTPS، مما يزيد من تعقيد هجمات الانتحال عن طريق تشفير البيانات المرسلة. كما يمنع استخدامها أيضًا اعتراض حركة المرور من أجل الحصول على معلمات الترخيص ومفاتيح الوصول.

تعتبر حماية TLS وHTTPS من الممارسات الجيدة ليس فقط لصفحات الترخيص، ولكن أيضًا لجميع الأقسام الأخرى بالموقع. وهذا يقلل من فرصة قيام أحد المهاجمين بسرقة ملفات تعريف الارتباط الخاصة بالمستخدم في الوقت الذي يتنقل فيه عبر الصفحات غير المحمية بعد الحصول على إذن.

تقع مسؤولية الحماية ضد هجمات MITM على عاتق المستخدم ومشغل الاتصالات. الشيء الأكثر أهمية بالنسبة للمستخدم هو عدم فقدان اليقظة، واستخدام الطرق المثبتة فقط للوصول إلى الإنترنت، واختيار المواقع ذات تشفير HTTPS عند نقل البيانات الشخصية. يمكن أن يُنصح مشغلو الاتصالات باستخدام أنظمة Deep Packet Inspection (DPI) لاكتشاف الحالات الشاذة في شبكات البيانات ومنع هجمات الانتحال.

وتخطط الوكالات الحكومية لاستخدام هجوم MITM لحماية المواطنين، وليس للتسبب في أضرار، على عكس المهاجمين. يتم اعتراض الرسائل الشخصية وحركة مرور المستخدمين الأخرى في إطار التشريعات الحالية، ويتم ذلك بقرار من السلطات القضائية لمكافحة الإرهاب وتهريب المخدرات وغيرها من الأنشطة المحظورة. المستخدمين العاديينهجمات MITM "المشروعة" ليست خطيرة.

اختيار المحرر

© 2024 ermake.ru - حول إصلاح أجهزة الكمبيوتر - بوابة المعلومات