وهجوم انتحال الشخصية (Identity attack) هو أحد أنواع الهجوم التي بدأت في الظهور مؤخراً, ففي هذا الهجوم يقوم المهاجم بانتحال هوية المستخدم بتزييف بطاقة تعريفه, والتظاهر على انه شخص أو مستخدم ما .
وينقسم هجوم انتحال الشخصية إلى ثلاثة أقسام. أولها , الهجوم على برتوكول التوثيق باعتراض البيانات (MAN IN THE MIDDLE - MITM) , وهو هجوم يستهدف عمل بروتوكول التصديق حيث يقوم المهاجم بوضع نفسه بين اثنين من الأجهزة, المتقدم بطلب التوثيق والطرف المسئول عن التحقق من الهوية, وبالتالي يكون قادراً على القراءة و اعتراض وتعديل البيانات أو الرسائل المنقولة بينهما.
أما النوع الثاني فهو هجوم إعادة الإرسال (Replay attack) , وهو يشبه هجوم (MITM) إلى حدٍ ما , فهو يقوم بالتقاط المعلومات ومن ثم إرسالها مرة أخرى في وقت لاحق بدون التعديل عليها.
و أخيراً , هجوم السطو على TCP/IP أو ما يسمى بـ (TCP/IP Hijacking) , و يتم ذلك عن طريق التحايل (Spoofing) وهو مصطلح يطلق على عملية انتحال شخصية للدخول إلي النظام, ويكون ذلك بالتعديل في مسارات المصدر Source Routing , من خلال التعديل في عنوان بروتوكول الانترنتIP address) ) و إعطائها شكلا تبدو وكأنها قادمة من كمبيوتر معين بينما هي في حقيقة الأمر ليست قادمة منه وعلى ذلك فإن النظام إذا وثق بهوية عنوان IPفيكون بذلك قد تم التحايل عليه و خدعه.
إن استخدام وسائل الحماية والأمان قبل التعرض لأحد أنواع الهجوم يعتبر من أفضل سُبل الوقاية,فعلى المستخدم الحرص على ذلك, حتى لا يعرض نفسه أو شبكته للخطر.
كلمات مفتاحية:
هجوم, انتحال شخصية, هجوم إعادة الإرسال, هجوم السطو, هجوم برتوكول التوثيق باعتراض البيانات, MITM.
مقدمة:
لم تزل و مازالت أجهزة الكمبيوتر والشبكات مستمرة في التطور ،و كذلك أيضا المهاجمين(attackers) لهذه الأجهزة والشبكات فقد قاموا بتطوير طرق هجومهم و استخدام أساليب جديدة ومعقدة للوصول إلى أهدافهم الخبيثة.
في هذا المقال سوف أتطرق إلى الحديث عن أنواع هجوم انتحال الشخصية (Identity attack), وكيفية الحماية من هذه الهجمات.
في هجوم انتحال الشخصية يقوم المهاجم (Attacker) بالتظاهر على انه شخص أو مستخدم ما , و انتحال هويته بتـزيـيـف بطاقة تعريفه. وينقسم هجوم انتحال الشخصية إلى ثلاثة أقسام, وهي الهجوم على برتوكول التوثيق باعتراض البيانات (MAN IN THE MIDDLE - MITM) , و هجوم إعادة الإرسال (Replay attack) , و أخيراً هجوم السطو على TCP/IP أو ما يسمى بـ (TCP/IP Hijacking) . و سوف أتحدث عن كل نوع بالتفصيـل.
أولا: الهجوم على برتوكول التوثيق باعتراض البيانات ( MITM(MAN IN THE MIDDLE:
يعرف أيضاً بـ هجمات " رجل في المنتصف ", وهو هجوم يستهدف عمل بروتوكول التصديق حيث يقوم المهاجم بوضع نفسه بين اثنين من الأجهزة , المتقدم بطلب التوثيق والطرف المسئول عن التحقق من الهوية وبالتالي يكون قادراً على القراءة و اعتراض وتعديل البيانات أو الرسائل المنقولة بينهما.
لنأخذ هذا المثال لتتضح الفكرة أكثر , عند مكالمة صديق على الهاتف ، لإنشاء الاتصال بينكما عليك بطلب رقم هاتف صديـقك أولا ، ثم الانتظار حتى يجيب ,عندما يرفع صديقك الهاتف ، يكون الاتصال بينكما قد بدأ . في حالة هجوم MITM ، يكون أحد المتطفلين أو المهاجمين قد اعترض الاتصال بينك وبين صديقك. فـبدلاً من الحديث لصديقك مباشرة ، يكون الحديث والاتصال بينكما عن طريق طرف ثالث وهو المهاجم. فكلٌ منك ومن صديقك ستبدأن التواصل فيما بينكما بدون معرفة أن هناك شخص غير مصرّح يكون هو نقطة الاتصال بينكما و يقوم بالاستماع إلى كل كلمة من هذه المحادثة. فهي أقرب ما تكون كمكالمة ثلاثية ، ولكن اثنين من ثلاثة متصلين لا يعرفون أن هناك شخص ثالث يقوم بالاستماع والتصنت[2][1]. الشكل التالي يمثل هجومMITM
ويعتبر هجوم MITM من الهجمات الشائعة وعلى درجه متطورة جداً.
هجمات MITM قد تكون هجمات غير نشطه (passive attack) أي يقوم المهاجم بالتقاط البيانات التي يتم إرسالها ومن ثم إرسالها إلى المتلقي الأصلي من دون أن يتم الكشف عن وجوده (بمعنى أنه يتَنَصت). أو قد تكون نشطه (active) حيث يتم اعتراض وتعديل محتوى الرسالة قبل أن يتم إرسالها إلى المتلقي الأصلي. [4]
آلية عمله:
يستعمل المهاجم قطعه من برنامج يضعه في وسط الطريق بين مرسل المعلومات ومستقبلها بدون علمهم. إذ يظهر المهاجم بالنسبة للمرسل كمستقبل, وبالنسبة للمستخدم كملقم. ففي هذه الحالة, يستطيع المهاجم اعتراض سبيل البيانات السليمة واستبدالها بأخرى معدلّه أو سرقة هذه البيانات بدون أن ينبه المستخدم أو الملقم إلى هذا الأمر.
هجمات MITMوالشبكات:
أصعب جزء من هجوم MITM في الشبكات السلكية هو القيام بالهجمات دون أن يتم اكتشافها. عادة ما يتطلب هذا الوصول الفعلي إلى الشبكة و بالتالي زيادة فرص اكتشاف الهجوم وافتضاح أمر المهاجم.
أما بالنسبة للشبكات اللاسلكية ففي السنوات الأخيرة زادت هجمات MITM عليها, حيث أنه لم يعد من الضروري الاتصال من خلال الأسلاك , فيمكن للمهاجم إضافة جهازه في مسار الاتصال عن بعد كأن يكون خارج البناية مثلاً , فيعترض حزم البيانات, يعدلها و من ثم يرسلها, وهذه تعتبر من أخطر أنواع الهجمات اللاسلكية. ممكن أن تستخدم هذه الهجمات لقطع اتصال شبكات مثل SSLو SSH و [5]VPN .
كيفية الحماية من هجمات MITM :
الحل الشائع لهجمات MITM على الشبكة اللاسلكية هو فرض (WEP) Wired Equivalent Privacy وهو بروتكول تشفير لحماية شبكة .WIFI
ثانياً: هجوم الرد أو إعادة الإرسال ( Replay Attack):
هذا الهجوم أصبح شائعاً جداً , وهو مماثل للهجوم النشط في MITM , ولكن الفرق أن هجوم MITM النشط يقوم بتعديل البيانات قبل أن يرسلها للمستقبل الأصلي ولكن هنا في هجوم الرد يقوم المهاجم فقط بالتقاط (capture) المعلومات ومن ثم إرسالها مرة أخرى في وقت لاحق (إعادة إرسالها من جديد).
فهجوم الرد يتم فيه إعادة إرسال أو تأخير إرسال معلومات مفيدة بهدف الاحتيال, غالباً ما يكون إعادة الإرسال من جهة واحده وهي جهة العميل (client slide) . فمثلاً في البيئة الموزعة نجد أن معلومات تسجيل الدخول (username & password ) يتم إرسالها بين العميل (Client) و نظام التحقق (authentication system ) فيقوم المهاجم بأسر هذه المعلومات ويعيد استخدامها لاحقاً لأغراض معينه.
مثال على هجوم الرد :
الشكل التالي يعرض مثال لمهاجم قام بسرقة (capture ) شهادة من نظام يتيح استعمال شهادة Kerberos
في هذا المثال يحصل المهاجم على المعلومات الشرعية من العميل(client) , ويقوم بتـخـزينها عنده , حيث يستعملها لاحقاً و يتمكن من الدخول إلى النظام .
كيفية الحماية من هجمات إعادة الإرسال:
يمكن منع هذا الهجوم باستخدام رمز الجلسة (session token), حيث يتم إرسال رمز يحتوي على الوقت مع البيانات أو المعلومات المراد إرسالها,و بعد ذلك يقوم المستقبل أو العميل (client) باستخدام هذا الرمز لتحويل رقم السر و إرسال النتيجة مر أخرى إلى المرسل ولكن بحساب hash functions خـاص برمز الجلسة مُضاف لكلمة السر , و يقوم المرسل بنفس الحسابات و إذا حصل على نفس الـقيمة التي حصل عليها المستقبل فمعنى ذلك أن الاتصال أمناً و لا دلائل على وجود هجوم إعادة الإرسال[7].
فمثلا لو حصل المهاجم أو (إيف) على هذه القيمة و حاول أن يـستخدمها بجلسة أخرى، فإن المرسِل سوف يحصل على رمز جلسة جديد، فعـندما يـقوم المهاجم بإعادة الإرسال برمز الجلسة القديم سيكون مختلفاً عن قيمة المرسِل الجديدة فلا يتم الاتصال[7].
أيضاً من طرق منع هذا الهجوم هو ختم الوقت(Time stamping) , ويكون ذلك عندما يقوم المرسِل ببث الوقت حسب توقيته مع رمز تصديق الرسالة(MAC) في أوقات زمنية متكررة، عندما يريد المستقبل أن يبعث رسالة إلى المرسِل، يبعث له بأفضل تقدير للوقت حسب توقيته داخل رسالته التي تكون مُصَدقة. المرسِل يقبل فقط الرسائل التي يكون ختم الوقت فيها ضمن حدود المعقول حسب توقيته[7].
ثالثاً: هجوم السطو على TCP/IP (TCP/IP Hijacking Attack ) :
هجوم السطو على TCP/IP هو أسلوب ذكي يستخدم الحزم المنتحلة( spoofed packets) للاستيلاء على جلسة اتصال بين الضحية والجهاز المضيف(host machine).
فالهجوم هنا يعتمد بشكل أساسي على تقنية تسمى خداع بروتوكول الانترنت(spoofing)و هو التظاهر والإدعاء بأنك مالك شرعي وحقيقي مع أنك في الواقع لست كذلك ,فهو يقوم بإرسال حزمة بيانات عبر الشبكة بحيث تبدو أنها تأتى من مصدر غير مصدرها الفعلي ويتضمن ذلك القدرة على استقبال رسالة من خلال التنكر كما لو كان هو مقر الوصول الشرعي للتسليم أو التنكر كما لو كان الجهاز المرسل ثم يرسل رسالة إلى أحد جهة الاستلام.
آلية عمله:
في الشبكات السلكية, يقوم هجوم السطو على TCP/IP باستخدام احد أنواع الـ (spoofing) وهو arp spoofing (Address Resolution Protocol) . لفهمarp spoofing بشكل واضح علينا أولاً أن نتذكر أن كل جهاز كمبيوتر يستخدم بروتكول TCP/IP يجب أن يكون لديه عنوان بروتوكول الانترنتIP address) ) وهو رقم فريد غير قابل للتكرار , هدفه تحديد المكان الذي توجه إليه الرسائل المنقولة عبر الانترنت, فالإضافة إلى ذلك في أنواع معينة من شبكات المناطق المحلية (LAN) مثل إيثرنت ،لابد من وجود عنوان آخر وهو MAC Address (Media Access Control) لنقل المعلومات في جميع أنحاء الشبكة. أجهزة الكمبيوتر الموجودة على الشبكة تحتفظ بجدول يربط IP address مع MAC Address الخاص به كما هو مبين في الشكل التالي[1][4].
شكل 3: مثال على جدول العناوين (Address table)
في هجوم الـ arp spoofing يقوم المهاجم بتغيير جدول العناوين , حيث يتم تحويل الحزم (packets) إلى جهازه, كما يظهر في شكل 4 [4]
شكل 4: يبين عملية الـ arp spoofing
المهاجم استخدم arp spoofing لإرسال المعلومات من جهاز كمبيوتر المرسل الأصلي إلى جهاز كمبيوتر المهاجم عوضاً عن المستقبل الشرعي والأساسي لهذه العملية.
أما في الشبكات اللاسلكيّة, فهجوم السطو على TCP/IP يكون بطريقة مختلفة . بما أن الأجهزة اللاسلكية تتواصل مع جهاز مركزي و كأنه محطة أو نقطة وصول أساسية, فالمهاجم بإمكانه أن ينشئ محطته المزيفة ومن ثم يقوم بخداع كافة الأجهزة اللاسلكية للاتصال مع نقطة الوصول المزيفة هذه بدلا من نقطة الوصول الأساسية الشرعية. شكل 5 يبين هذه الفكرة[4] .
شكل 5: يبين عملية هجوم السطو على TCP/IP في الشبكة اللاسلكيّ
كيفية الحماية من هجوم السطو على TCP/IP:
هناك بعض الاحتياطات التي يمكن اتخاذها للحد من مخاطر هجوم السطو على TCP/IP ، ومن ذلك استخدام التصفية في الموجه ((filtering router ,حيث يقوم بتنفيذ التصفية في الدخول والخروج على أجهزة التوجيه (routers) الخاصة بك.
حيث استخدام مثل هذه الموجهات يحد من الدخول للواجهة الخارجية الخاصّة بك, وهي تعرف باسم عامل تصفية الدخول (input filter), من خلال عدم السماح للحزم بالمرور إذا كان عنوان المصدر(source address) من الشبكة الداخلية. و بالإضافة إلى ذلك ، يجب تصفية الحزم الخارجة التي تحمل عنوان للمصدر مختلف عن عنوان الشبكة الداخلية , للحيلولة دون حدوث هجوم السطو على TCP/IP نابغ من موقعك أو شبكتك.
أيضاً يمكن الحماية من هذا الهجوم باستخدام التشفير والمصادقة, فتنفيذ ذلك سوف يقلل أيضا من هذه التهديدات, كل من هذه الميزات مضمنة في بروتوكول [8]IPv6 .
الخلاصة:
كما نعلم أن الهجوم على أجهزة الكمبيوتر والشبكات لا ينحصر في هذه الأنواع فقط , فهو يأخذ أشكالاً عدة وطرق مختلفة, ولكن على المستخدم أن يحرص على حماية نفسه وحماية جهازه وشبكته من عبث المتطفلين , واستخدام جميع الوسائل الممكنة لتوفير الحماية اللاّزمة , قبل أن يحدث أمرٌ أسوأ . فكما يقال الوقاية خير من العلاج.
ليست هناك تعليقات:
إرسال تعليق