الهجمات الخداعية web spoofing «2»، إنشاء شبكات وهمية وتزييف الشبكة ككل

التاريخ: 19 مايو 2003

ت + ت - الحجم الطبيعي

الاثنبن 18 ربيع الاول 1424 هـ الموافق 19 مايو 2003 بدأنا البارحة سلسلة الهجمات التي ينتظر ان تتزايد ويزداد خطرها معها على أجهزة الحاسب وقد تحدثنا عن الهجمات الخداعية بشكل عام معرفين اياها والآن نبدأ بالهجمات الخداعية التي تعتمد على تزييف بروتوكولي Tcp وDns وهي تتعلق بخداع البرنامج الذي يستخدمها مستخدم الكمبيوتر حتى يقوم باجراء خاطيء عن طريق تقديم معلومات مضللة لهذا البرنامج. ومن امثلة هذه الهجمات تزييف الـ Tcp والذي يتم فيه ارسال حزم المعلومات pockets بعناوين عودة مزيفة Return address وكذلك تزييف Dns الذي يقوم فيه المهاجم بتزييف المعلومات الخاصة بترجمة اسماء الأجهزة إلى عناوين شبكية IP والعكس، فهذه الهجمات معروفة جيداً. الهجمات الخداعية التي تعتمد على انشاء شبكة وهمية webspoofing كما ذكرنا سابقاً فالمهاجم ينشيء نسخة مقنعة ولكنها مزيفة من الشبكة العالمية تبدو كالحقيقية تماماً بنفس صفحاتها ووصلاتها.. غير ان المهاجم يتحكم في هذه الشبكة الوهمية. ولذا فإن كل الحركة التي تتم بين متصفح الصحيفة والشبكة تتم عبره. آثار الهجوم حيث ان المهاجم يستطيع مراقبة البيانات التي تنتقل من الضحية إلى الخادمات الشبكية webservcrs والعكس وتعديلها فستتاح له فرصتان هما المراقبة والتلاعب. مراقبة البيانات يمكن للمهاجم مراقبة الحركة وتسجيل الصفحات التي يزورها الضحية ومحتوياتها. فعندما يملأ الضحية استمارة ما form فإن البيانات التي ادخلها تنقل إلى خادم شبكي ولذا يستطيع المهاجم تسجيلها اضافة إلى تسجيل الرد الذي تم ارساله من الخادم إلى الضحية. وحيث ان معظم التبادلات التجارية التي تتم عن طريق الشبكة online تتم من خلال الاستمارات فهذا يعني ان المهاجم يمكنه ملاحظة اية أرقام حسابات أو كلمات سر يدخلها الضحية. وكما سنرى لاحقاً يمكن للمهاجم مراقبة ما يريده حتى لو كان لدى الضحية وصلة آمنة بالخادم تتمثل عادة في استخدام طبقة المقاييس الآمنة ssl. بمعنى انه حتى لو كان متصفح الصفحة يظهر ايقونة الوصلة الآمنة التي تظهر بشكل قفل أو مفتاح عادة اسفل نافذة المتصفح. التلاعب بالبيانات يمكن للمهاجم أيضاً تعديل أي من المعلومات المارة في أي اتجاه بين الضحية والشبكة. فيمكنه تعديل بيانات الاستمارات التي يقدمها الضحية واذا كان الضحية يطلب مثلاً منتجاً معيناً، يمكن للمهاجم تغيير رقم المنتج وكيفية أو عنوان الشحن. كذلك يمكنه تعديل البيانات التي يرد بها الخادم عن طريق ادخال مواد مضللة أو مسيئة حتى يخدع الضحية أو يتسبب في ايقاع العداوة بين الطرفين. تزييف الشبكة ككل ليس من الصعب على المهاجم ان يزيف الشبكة العالمية www كلها، فلن يحتاج المهاجم إلى تخزين محتويات الشبكة كلها لديه. كما يفعل في التزييف الشبكي الذي شرحناه سالفاً فالشبكة الحقيقية تظل متاحة بطريقة مباشرة اثناء الاتصال on line ويمكن للخادم الذي يستخدمه المهاجم ان يحصل في أي وقت على أي صفحة يريدها الضحية من الشبكة الحقيقية ليقدم اليه نسخة منها عبر شبكته المزيفة. كيفية عمل الهجمات مفتاح هذا الهجوم هو تمكن الخادم الشبكي الخاص بالمهاجم من الكمون في موقع وسط بين الضحية وبقية الشبكة. وهذا الوضع يسمى هجوم الدخيل man in the middle. إعادة كتابة عناوين url أول خطوة يقوم بها المهاجم هي إعادة كتابة جميع عناوين url الموجودة على صفحة شبكية معينة حتى تشير إلى خادمه الخاص بدلاً من الاشارة إلى الخادم الحقيقي وعلى فرض تواجد خادم المهاجم على العنوان: www.attacker.arg فإنه يقوم بإعادة كتابة العناوين باضافة اسم موقعه http://www.attacker.org إلى بداية العنوان الحقيقي. فمثلاً home.netscape.com يصبح www.attacker.org/httphome.netscope.com ويستخدم اسلوب إعادة كتابة عناوين url لاغراض أخرى على موقعين شبكيين معروفين هما zippy, anomgmijer. ملحوظة خدمة the anomymijer هي خدمة صممها جوستين بويان من جامعة كارينجي ميلون وهي خدمة تسمح للمستخدمين بالتجول عبر الشبكة بدون الكشف عن هويتهم للمواقع التي يزورونها. خدمة the zippyfilter هي خدمة صممها هنري مينكس وتقدم للمتصفحين نسخة مسلية من الشبكة التي تم خلالها وضع اقوال مأثورة لشخصية رنبي الفكاهية بشكل عشوائي. ماذا يحدث عندما يطلب الضحية صفحة من خلال أحد عناوين url التي تمت اعادة كتابتها؟ فمتصفح الضحية يطلب الصفحة من الموقع www.allacker.arg حيث ان عنوانها يبدأ بـ http://www.attacker.arg وباقي عنوان الصفحة يخبر خادم المهاجم بالمكان الذي يتوجه اليه على الشبكة الحقيقية للحصول على الوثيقة المطلوبة. فما يحدث خلال الهجوم الذي يعتمد على تزييف الشبكة العالمية كلها يتلخص في التالي: الضحية يطلب صفحة شبكية لتتواصل الخطوات التالية: 1 ـ متصفح الضحية يطلب الصفحة من خادم المهاجم 2 ـ خادم المهاجم يطلب الصفحة من الخادم الحقيقي 3 ـ الخادم الحقيقي يقدم الصفحة لخادم المهاجم 4 ـ خادم المهاجم يعيد كتابة الصفحة 5 ـ خادم المهاجم يقدم الصفحة بعد إعادة كتابتها إلى الضحية وبمجرد حصول خادم المهاجم على الصفحة الحقيقية التي يطلبها الضحية، يعيد كتابة كل عناوين url الموجودة بها بنفس الأسلوب عن طريق اضافة http:/www.attacker.org إلى بداية كل عنوان من عناوين url بها وبعد ذلك يقدم خادم المهاجم الصفحة الجديدة إلى متصفح الضحية. وحيث ان جميع عناوين url في الصفحة المرسلة أصبحت الآن تشير إلى http://www.attacker.org فإن الضحية اذا اتبع اية وصلة موجودة على الصفحة الجديدة فسيتم احضارها مرة أخرى عبر خادم المهاجم ويظل الضحية محاصراً داخل شبكة المهاجم الوهمية.. ويمكنه اتباع مثل هذه الوصلات إلى مالا نهاية بدون مغادرة هذه الشبكة. الاستثمارات farms اذا ملأ الضحية استمارة farm موجودة على صفحة في شبكة وهمية فسيبدو الأمر كما لو انه تم بطريقة طبيعية وذلك لأن الاستمارات مدمجة إلى حد كبير في بروتوكولات الشبكة العالمية الأساسية، فتقديم الاستمارات يتم باستخدام عناوين url، كما ان الردود عبارة عن صفحات html عادية. وحيث ان أي عنوان url يمكن تزييفه فالاستمارات أيضاً يمكن تزييفها وعندما يقدم الضحية استمارة ما فإن البيانات المسلمة تتوجه إلى خادم المهاجم وعندها يمكن لهذا الخادم مراقبة البيانات المسلمة وحتى تعديلها قبل تحريرها إلى الخادم الحقيقي كما ان الخادم المهاجم يمكنه تعديل البيانات التي يتم ارسالها في الرد الذي يرسله الخادم الشبكي إلى الضحية. الوصلات الآمنة لاتساعدك بشيء من بين الصفات المميزة لهذا الهجوم انه يعمل حتى عندما يطلب الضحية صفحة من خلال وصلة آمنة فإذا كان الضحية يقوم باتصال آمن بالشبكة من خلال استخدام طبقة ssl في شبكة وهمية، فسيبدو كل شيء طبيعياً أمامه فالصفحة ستقدم له بشكل طبيعي كما ان الأيقونة التي تشير إلى وجود وصلة آمنة ستظهر. فمتصفح الضحية سيؤكد ان الوصلة آمنة لأنها كذلك بالفعل وللأسف فالوصلة آمنة بداية من متصفح الضحية وحتى الموقع www.attacker.org وليس حتى الموقع الذي يظن الضحية انه دخل إليه. والمتصفح يعتقد ان كل شيء على ما يرام فقد أمر بالتوجه إلى العنوان www.attacker.org، لذا فقد قام بانشاء وصلة آمنة إلى هذا العنوان. أمنية طلعت omneya@albayan.co.ae

تابعوا فكر وفن من البيان عبر غوغل نيوز