در دو مقاله نخست از سری مقالات حملات Man-in-the-Middle، آلودگی حافظه نهان ARP و جعل DNS را مورد بررسی قرار دادیم. همانطور كه در آن مقالات نشان دادیم، حملات MITM فوق العاده فعال هستند و تشخیص آنها بسیار سخت صورت میگیرد. در قسمت سوم این مقاله به بررسی ارتباط ربایی نشست میپردازیم. همانند دو مقاله گذشته، ابتدا به توضیح تئوری این حمله میپردازیم و تكنیك آن را نشان میدهیم، سپس راههای تشخیص و پیشگیری از این حمله را بررسی میكنیم.
ارتباط ربایی نشست
اصطلاح ارتباط ربایی نشست شامل انواع گوناگونی از حملات مختلف میشود. به طور كلی، هر حمله ای كه از نشست بین دستگاهها سوء استفاده نماید، ارتباط ربایی نشست نامیده میشود. هنگامیكه به یك نشست اشاره میكنیم، درباره یك ارتباط بین دستگاهها كه در یك حالت قرار دارند صحبت میكنیم. اگر از لحاظ نظری در مورد نشستها صحبت كنیم كمی گیج كننده میشود، بنابراین برای درك بهتر نشست، آن را به صورت عملی توضیح میدهیم.
در این مقاله ارتباط ربایی نشست از طریق سرقت كوكیها را در نشستهای HTTP بررسی میكنیم. مهمترین نمونه از اتصالات مبتنی بر نشست، برخی از وب سایتهایی هستند كه ورود به آنها، مستلزم ارائه اعتبارنامه است. شما باید توسط وب سایت با وارد كردن نام كاربری و رمز عبور احراز هویت شوید تا به طور رسمی یك نشست را تشكیل دهید، این وب سایت برخی از قالبهای ردگیری نشست را نگه میدارد تا اطمینان حاصل كند كه هنوز متصل هستید و اجازه دسترسی به منابع را دارید ( اغلب، این كار توسط كوكیها انجام میگیرد)، و هنگامیكه نشست در حال پایان یافتن است، اعتبارنامه ها حذف میشود و نشست خاتمه مییابد. این یك نمونه بسیار خاص از یك نشست است و حتی اگر ما همیشه آن را درك نكنیم، نشستها همیشه در حال رخ دادن هستند و بیشتر ارتباطات نیز به عملیات مبتنی بر حالت تكیه میكنند.
شكل(1): یك نشست عادی
همانطور كه در حملات قبلی مشاهده كردید، تمام مواردی كه در سراسر شبكه توزیع میشوند، امن نیستند و نشست دادهها هم از این قاعده مستثنی نیست. اصولی كه در پشت بسیاری از انواع ارتباط ربایی های نشست وجود دارد آن است كه اگر بتوان بخش خاصی از استقرار نشست را در محدود نمود، می توان از دادههای آن بخش برای جعل هویت یكی از طرفهای درگیر در ارتباط استفاده كرد به طوری كه میتوان به اطلاعات نشست دسترسی یافت. در مورد مثال قبلی این بدان معنی است كه اگر كوكیهایی كه مسئول نگهداری قالبهای ردگیری بین مرورگر شما و وب سایتی كه به آن وارد شده اید هستند را بتوان جمع آوری كرد، میتوان آن كوكیها را در یك وب سرور نمایش داد و ارتباط شما را جعل هویت كرد.
شكل(2): ارتباط ربایی نشست
دفاع در برابر ارتباط ربایی نشست
روشهای مختلفی برای اجرای ارتباط ربایی نشست وجود دارد در نتیجه راههای دفاع در برابر آنها هم بسیار متفاوت است. مانند حملات دیگر MITM، شناسایی حملات ارتباط ربایی نشست و دفاع در برابر آنها بسیار دشوار است زیرا این حمله اساسا حمله انفعالی است. در ارتباط ربایی نشست، به جز در مواردی كه كاربر خرابكار برخی فعالیتهای آشكار را انجام میدهد، هرگز از وجود این نوع حمله مطلع نمی شوید. در این جا چند راهكار را برای دفاع در برابر این نوع حملات پیشنهاد میكنیم:
· انجام كارهای بانكداری آنلاین در منزل: شانس افراد خرابكار برای دسترسی به اطلاعات ترافیك شما بر روی شبكه خانگی به مراتب كمتر از دسترسی به اطلاعات ترافیك شما بر روی شبكه كاری است. البته به آن دلیل نیست كه شبكه خانگی شما امن تر است، بلكه واقعیت آن است كه اگر شما تنها یك یا دو كامپیوتر در خانه دارید، بیشترین نگرانی شما در مورد شرائط ارتباط ربایی نشست می تواند افرادی باشند كه مشغول مشاهده یك فیلم ویدئویی هك شده بر روی یوتیوب هستند. اما در شبكه كاری نمی دانید در اتاقها و یا شعبههای دیگر شركت چه می گذرد در نتیجه منابع حمله احتمالی زیاد است. توجه داشته باشید كه یكی از بزرگترین هدفها در ارتباط ربایی نشست، بانكداری آنلاین است.
· آگاه باشید: مهاجمان خبره هر گونه مدركی كه در یكی از حسابهای كاربری شما وجود دارد را از دست نخواهند داد اما حتی بهترین هكرها هم دچار اشتباه میشوند. نسبت به موارد مشكوكی كه مشاهده میكنید، آگاهانه عمل نمایید و به فیلد “Last Logon Time” توجه داشته باشید تا مطمئن شوید همه چیز درست است.
· امنسازی ماشینهای شبكه داخلی: معمولا اینگونه حملات از دورن شبكه اجرا میشوند. اگر دستگاههای شبكه امن باشند در نتیجه شانس كمتری وجود دارد تا میزبانهایی كه برای راه اندازی حمله ارتباط ربایی نشست از آنها سوء استفاده میشوند، به خطر بیفتند.
خلاصه
در حال حاضر سه نوع از حملات MITM را توضیح دادیم. این نوع حملات بسیار كشنده هستند و اگر با موفقیت علیه قربانی اجرا شوند، پیامدهای بسیار سنگینی را به بار میآورند. با استفاده از ارتباط ربایی نشست میتوان به بانكداری آنلاین كاربر، پست الكترونیكی و حتی برنامههای حساس شبكه داخلی دسترسی پیدا كرد.