الهجمات الخداعية spoofing (الأخيرة)، كيف يبدأ الهجوم وخطوات الدفاع الثلاث ؟

التاريخ: 20 مايو 2003

ت + ت - الحجم الطبيعي

الثلاثاء 19 ربيع الاول 1424 هـ الموافق 20 مايو 2003 نكمل اليوم طريقنا مع شرح الخطر الجديد الذي سيواجه حواسبنا بكثافة في المستقبل الا وهو الهجمات الخداعية spoofing والتي وصلنا معها الى تلك التي يتم بها تزييف الشبكة ككل. كيف يبدأ الهجوم؟ لكي يبدأ المهاجم هجومه لابد ان يغري الضحية بالدخول الى شبكته الوهمية وهناك طرق عديدة للقيام بذلك فيمكنه وضع وصلة الى شبكته داخل صفحة شبكية شهيرة ومعروفة واذا كان الضحية يستخدم البريد الالكتروني الذي يعتمد على استخدم الشبكة العالمية. web enabled e-mail فيمكن للمهاجم ان يرسل للضحية بريدا الكترونيا يحمل وصلة الى شبكة مزيفة وهمية او وصلة الى صفحة موجودة في شبكة وهمية واخيرا يمكن للمهاجم ان يخدع احد محركات البحث حتى يقوم بادراج جزء من شبكته المزيفة على قواعد بياناته. استكمال الهجوم الهجوم بوصفه الذي قدمناه حتى الآن يعد خطيرا للغاية ولكن تأثيره ليس مكتملا فلا تزال هناك بعض الدلالات السياقية التي قد ترشد الضحية الى وقوع الهجوم مما يمكنه من الافلات منه، غير انه يمكن للمهاجم ان يمحو فعليا كل هذه الدلالات، فهذه الدلائل ليست صعبة الاخفاء لان برامج التصفح يمكن التأثير عليها لدرجة كبيرة.. حيث يمكن للصفحات الشبكية التحكم في بعض خصائصها.. واليك بعض هذه الدلالات التي قد يكتشف بها الضحية الهجوم. شريط الحالة status Bar هذا السطر هو سطر نصي يوجد في اسفل نافذة المتصفح ويعرض رسائل عديدة عن حالة الصفحات اثناء نقلها وفتحها وغير ذلك والهجوم بصفته هذه يترك نوعين من الدلائل على هذا السطر اولها عندما تقف بمؤشر الفأرة فوق وصلة شبكية، فعندها يعرض هذا السطر عنوان url الخاص بهذه الوصلة وهكذا يمكن للضحية ملاحظة ان الوصلة قد تمت اعادة كتابة عنوانها. ثانيا عندما يتم احضار صفحة يعرض هذا السطر بصورة موجزة اسم الخادم الذي يتم الاتصال به وبهذا قد يلاحظ الضحية انه يتم عرض العنوان www.attacker.arg بالرغم من انه يتوقع ظهور اسم آخره. ويمكن للمهاجم اخفاء الدليلين ببساطة باضافة برنامج معين بلغة جافا سكريبت الى كل صفحة تمت اعادة كتابتها وحيث ان برامج جافا سكريبت يمكنها ان تكتب رسائل على سطر الحالة وحيث انه يمكن ربط بعض اوامر هذه اللغة بأحداث معينة، فان المهاجم يستطيع ان يرتب كل شيء بحيث يشارك سطر الحالة في اللعبة التي يلعبها ويعرض للضحية ما يتوقع عرضه كما لو كان في شبكة حقيقية وهكذا يصبح السياق اكثر امتاعا وخداعا. سطر عنوان الموقع يعرض سطر عنوان الموقع الموجود في اعلى نافذة المتصفح عنوان url الخاص بالصفحة المعروضة حاليا والهجوم بوصفه المذكور يؤدي الى ظهور عنوان url الذي تمت اعادة كتابته في هذا السطر مما يعرض الضحية دليلا على انه يتعرض لهجوم. غير انه يمكن اخفاء هذا الدليل باستخدام جافا سكريبت كذلك فيمكن لبرنامج بسيط بهذه اللغة انه يخفي سطر العنوان الحقيقي ويحل محله عنوانا مزيفا يبدو صحيحا بنفس الشكل الذي يتوقعه الضحية، كما يمكن لسطر العنوان المزيف ان يقبل المدخلات التي يكتبها المستخدم بلوحة مفاتيحه، مما يسمح للضحية بأن يكتب هذه العناوين بشكل طبيعي وعندها يستطيع البرنامج اعادة كتابة عناوين url التي كتبها المستخدم قبل الاتصال بها. الاطلاع على شفرة المصدر source هناك دليل آخر على حدوث الهجوم لا يمكن للمهاجم ازالته ولكن احتمال ملاحظته بعيد نسبيا فباستخدام خاصية viewsource الموجودة في المتصفح، يمكن للضحية ان يطالع شفرة html التي كتبت لها الصفحة المعروضة حاليا ومن خلال مطالعة عناوين url التي اعيدت كتابتها والموجودة في هذه الشفرة يمكن للضحية التعرف على الهجوم وللاسف فإن قراءة هذه الشفرة تصعب على المبتدئين، كما ان القليل ممن يتصفحون الشبكة هم من يهتمون بالاطلاع عليها لنا فان هذه تعد وسيلة حماية متواضعة للغاية. كما ان دليلا آخر ذا صلة يمكن استغلاله اذا اختار الضحية خيار view document infarmatian الذي يتيحه المتصفح فهذا يؤدي الى عرض معلومات تشمل عنوان url الحقيق الخاص بالوثيقة بما قد يسمح للضحية بملاحظة وقوع الهجوم وكما هو الحال مع الدليل السابق فان هذا الدليل نادرا ما يلاحظ ولا يوفر كثيرا من الحماية. الاشارات المرجعية هناك طرق عديدة قد يتمكن الضحية من خلالها من الخروج من شبكة المهاجم الوهمية اثناء تعرضه للجوم فالدخول الى احد المواقع المفضلة التي تم وضع اشارة مرجعية book mark لها او القفز الى عنوان url باستخدام قائمة open loctian قد تعود الضحية الى الشبكة الحقيقية ـ الا انه قد يعود ثانية الى الشبكة الوهمية بالنقر على زر back ويمكننا ان نتصور احتمال قيام الضحية بالتجول داخل وخارج شبكة وهمية واحدة او اكثر عدة مرات اثناء تجوله على الشبكة العالمية وبالطبع فإن الاشارات المرجعية قد تعمل في غير صالح الضحية لانه قد يقوم بحفظ اشارة book mark لصفحة ما موجودة على شبكة وهمية واذا اختار الانتقال الى هذه الصفحة فانه يدخل الشبكة الوهمية ثانية. تتبع المهاجم اقترح البعض توفير ادوات لردع القائمين يمثل هذه الهجمات من خلال تتبعهم ومعاقبتهم فالحق ان خادم المهاجم لابد ان يكشف عن موقعه حتى يتم الهجوم كما ان هذا الدليل يظل قائما بعد اكتشاف الهجوم وللاسف فان هذا لا يفيد كثيرا من الناحية العملية لان المهاجمين قد يقومون باقتحام اجهزة اخرين ابرياء ويشنون هجماتهم من خلالها ويتم استخدام الاجهزة المسروقة في هذه الهجمات لنفس السبب الذي يقوم سارقو البنوك خلاله باستخدام سيارات مسروقة للهرب بها. الحلول الممكنة تعد الهجمات الخداعية خطيرة كما انه يصعب اكتشافها ولحسن الحظ فهناك بعض الاجراءات الوقائية التي يمكنك اتخاذها. على المدى القصير، تتمثل افضل وسيلة دفاع في الخطوات الثلاث التالية: 1ـ تعطيل خاصية جافا سكريبت javascript في متصفحك حتى يصبح المهاجم غير قادر على اخفاء دلائل قيامه بالهجوم. 2ـ التأكد من ان سطر العنوان في متصفحك ظاهر ومرئي امامك دائما. 3ـ الانتباه الى عناوين URL التي يتم عرضها على سطر العنوان والتأكد من انها تشير دوما الى الخادم الذي تعتقد انك متصل به. وهذا الاسلوب يقلل مخاطر التعرض لهذا الهجوم بالرغم من ان امكانية تعرضك له تظل قائمة ان لم تهتم بمطالعة ما هو مكتوب على سطر العنوان. وفي الوقت الحالي فان عناصر javascript و java activex كلها تساعد على اتمام مثل هذه الهجمات لذا فاننا ننصح بتعطيلها، والقيام بذلك قد يجعلك تفقد بعض الخصائص المفيدة التي تقوم بها المتصفحات ولكن يمكنك تعويض ذلك باختيار تشغيلها عندما تزور مواقع تثق فيها وتتطلب تشغيلها. اما على المدى البعيد فلا نعلم بوجود مقنع لهذه المشكلة. فتعديل المتصفحات بحيث تعرض دائما سطر العنوان قد يساعد بالرغم من ان المستخدمين سيضطرون الى الانتباه لكل ما يكتب على هذا السطر والتعرف على الطريقة التي تتم بها اعادة كتابة العناوين. وبالنسبة للصفحات التي لا يتم احضارها من خلال وصلة آمنة فهناك القليل مما يمكن عمله لحل المشكلة. اما بالنسبة للصفحات التي تستخدم الوصلات الآمنة فقد تساعد المؤشرات المطورة التي تدل على وجود الوصلات الآمنة في ادراك وقوع مثل هذه الهجمات فبدلا من الاكفتاء بالاشارة الى وجود وصلة آمنة، لابد ان تعرض المتصفحات بشكل واضح ماهية الطرف الآخر الذي تتصل به وهذه المعلومات لابد من عرضها بلغة واضحة وبأسلوب يسهل فهمه بالنسبة للمبتدئين فيفضل ان يعرض شيئا مثل Microsoft Inc بدلا من www.microsoft.com وعلى اي حال فاية محاولة لحل هذه المشكلة تعتمد على يقظة مستخدمي الشبكة ولذا وللاسف فإن لدينا مبررا قويا للتشكك في امكانية التخلص من مثل هذه الهجمات. امنية طلعت mneya@albayan.co.ae

تابعوا فكر وفن من البيان عبر غوغل نيوز