هجوم الرجل في المنتصف

في مجال التشفير وأمن الكمبيوتر، يُعتبر هجوم الرجل في الوسط (MITM) أو الهجوم على المسار نوعًا من الهجمات الإلكترونية حيث يتدخل المهاجم في نقل الرسائل بين طرفين يظنان أنهما يتواصلان بشكل مباشر. في هذا الهجوم، يقوم المهاجم بوضع نفسه بين الطرفين، مما يتيح له إمكانية تعديل أو مراقبة الرسائل المتبادلة بينهما.^[1]

أحد الأمثلة على هجوم MITM هو التنصت النشط، في هذا النوع من الهجمات، يقوم المهاجم بإجراء اتصالات مستقلة مع كل من الضحايا وينقل الرسائل بينهم، مما يجعلهم يعتقدون أنهم يتواصلون بشكل مباشر عبر قناة خاصة. ولكن في الواقع، يسيطر المهاجم بالكامل على المحادثة. ليتمكن المهاجم من تنفيذ هذا الهجوم بنجاح، يجب عليه أن يكون قادرًا على اعتراض كافة الرسائل المتبادلة بين الضحيتين وحقن رسائل جديدة حسب الحاجة. وهذا الأسلوب يكون واضحًا ومباشرًا في العديد من الحالات؛ على سبيل المثال، يمكن للمهاجم الموجود ضمن نطاق نقطة وصول Wi-Fi التي تستضيف شبكة بدون تشفير أن يتسلل كرجل في المنتصف. ^[2] ^[3] ^[4]

بما أن هدف هجوم MITM هو التحايل على المصادقة المتبادلة، فإن نجاح هذا الهجوم يتوقف على قدرة المهاجم على انتحال هوية كل طرف متصل بشكل مقنع يكفي لإقناع الأطراف الأخرى. لمعالجة هذه الثغرة، تتضمن معظم بروتوكولات التشفير وسائل مصادقة لنقاط النهاية، وذلك لمنع هجمات MITM بشكل خاص. على سبيل المثال،، يمكن لـ TLS مصادقة طرف واحد أو كلا الطرفين باستخدام هيئة شهادة موثوقة بشكل متبادل. ^[5] ^[6]

مثال

افترض أن أليس ترغب في التواصل مع بوب، بينما ترغب مالوري في اعتراض المحادثة للتنصت عليها (لكسر السرية) ولإرسال رسائل كاذبة إلى بوب متنكرة في هيئة أليس (لكسر عدم الإنكار). لتنفيذ هذا الهجوم، ستتبع مالوري الخطوات التالية:

ترسل أليس رسالة إلى بوب، والتي يتم اعتراضها بواسطة مالوري:
أليس "مرحبًا بوب، أنا أليس. أعطني مفتاحك." → مالوري بوب
تنقل مالوري هذه الرسالة إلى بوب؛ لكن بوب لا يستطيع أن يخبر أنها ليست من أليس حقًا:
أليس مالوري "مرحبًا بوب، أنا أليس. أعطني مفتاحك." → بوب
يرد بوب بمفتاح التشفير الخاص به:
أليس مالوري ← [مفتاح بوب] بوب
تقوم مالوري باستبدال مفتاح بوب بمفتاحها الخاص، وتنقل هذا إلى أليس، مدّعيةً أنه مفتاح بوب:
أليس ← [مفتاح مالوري] مالوري بوب
تقوم أليس بتشفير الرسالة بما تعتقد أنه مفتاح بوب، معتقدة أن بوب فقط يستطيع قراءتها:
أليس "قابليني في محطة الحافلات!" [مشفرة بمفتاح مالوري] → مالوري بوب
ومع ذلك، نظرًا لأنه تم تشفيره بالفعل باستخدام مفتاح مالوري، يمكن لمالوري فك تشفيره، وقراءته، وتعديله (إذا رغب في ذلك)، وإعادة تشفيره باستخدام مفتاح بوب، وإرساله إلى بوب:
أليس مالوري "قابلني في الحديقة!" [مشفرة بمفتاح بوب] → بوب
يعتقد بوب أن هذه الرسالة هي اتصال آمن من أليس.

يوضح هذا المثال ضرورة أن يكون لدى أليس وبوب آلية موثوقة للتحقق من أن المفاتيح العامة التي يستخدمونها للتشفير فعلاً تخص بعضهم البعض، وليست مفاتيح المهاجم. في حال لم تكن هناك طريقة للتحقق من صحة هذه المفاتيح، فقد يتعرضون لهجوم الرجل في المنتصف، حيث يمكن للمهاجم مثل مالوري أن يتنصت على المحادثة ويقوم بتعديل الرسائل أو إرسال رسائل كاذبة متنكراً في هيئة أحد الأطراف. لذا، من الضروري استخدام آليات مثل التحقق المتبادل للمفاتيح العامة، التوقيعات الرقمية، أو الشهادات الرقمية لضمان أن الاتصالات تتم بشكل آمن وصحيح بين الأطراف المتصلة.^[7] وفي غير ذلك، فإن مثل هذه الهجمات ممكنة عموماً، من حيث المبدأ، ضد أي رسالة يتم إرسالها باستخدام تقنية المفتاح العام.

الدفاع والكشف

يمكن منع هجمات MITM أو اكتشافها بطريقتين: المصادقة واكتشاف التلاعب. يوفر المصادقة درجة معينة من اليقين بأن رسالة معينة جاءت من مصدر شرعي. إن اكتشاف العبث هو مجرد دليل على أن الرسالة ربما تم تغييرها.

المصادقة

توفر جميع أنظمة التشفير الآمنة ضد هجمات MITM بعض طرق المصادقة للرسائل. تتطلب معظمها تبادل المعلومات (مثل المفاتيح العامة) بالإضافة إلى الرسالة عبر قناة آمنة . تم تطوير مثل هذه البروتوكولات، والتي غالبًا ما تستخدم بروتوكولات اتفاقية المفتاح ، بمتطلبات أمان مختلفة للقناة الآمنة، على الرغم من أن البعض حاول إزالة متطلبات أي قناة آمنة على الإطلاق. ^[8]

قد تعمل البنية الأساسية للمفتاح العام ، مثل أمان طبقة النقل ، على تعزيز بروتوكول التحكم في الإرسال ضد هجمات MITM. في مثل هذه الهياكل، يتبادل العملاء والخوادم الشهادات التي يتم إصدارها والتحقق منها بواسطة جهة خارجية موثوقة تسمى هيئة الشهادات (CA). إذا لم يكن المفتاح الأصلي لمصادقة هذه الشهادة هو نفسه موضوع هجوم MITM، فمن الممكن استخدام الشهادات الصادرة عن سلطة المصادقة هذه لمصادقة الرسائل التي يرسلها مالك هذه الشهادة. إن استخدام المصادقة المتبادلة ، حيث يقوم كل من الخادم والعميل بالتحقق من صحة اتصالات الطرف الآخر، يغطي كلا طرفي هجوم MITM. إذا لم يتم التحقق من هوية الخادم أو العميل أو اعتبارها غير صالحة، فستنتهي الجلسة. ^[9] ومع ذلك، فإن السلوك الافتراضي لمعظم الاتصالات هو مصادقة الخادم فقط، مما يعني أن المصادقة المتبادلة لا يتم استخدامها دائمًا ولا يزال من الممكن أن تحدث هجمات MITM.

تُستخدم الشهادات، مثل الاتصالات الشفهية لقيمة مشتركة (كما في ZRTP )، أو الشهادات المسجلة مثل التسجيلات الصوتية/البصرية لتجزئة المفتاح العام ^[10] لدرء هجمات MITM، حيث أن تقليد الوسائط المرئية أصعب بكثير ويستغرق وقتًا أطول من تقليد اتصالات حزم البيانات البسيطة. ومع ذلك، تتطلب هذه الأساليب وجود إنسان في الحلقة من أجل بدء المعاملة بنجاح.

يساعد تثبيت المفتاح العام HTTP (HPKP)، والذي يُطلق عليه أحيانًا "تثبيت الشهادة"، على منع هجوم MITM الذي يتم فيه اختراق هيئة الشهادة نفسها، من خلال جعل الخادم يوفر قائمة من تجزئات المفتاح العام "المثبتة" أثناء المعاملة الأولى. تتطلب المعاملات اللاحقة بعد ذلك استخدام مفتاح واحد أو أكثر من المفاتيح الموجودة في القائمة بواسطة الخادم حتى يتمكن من مصادقة هذه المعاملة.

يقوم DNSSEC بتوسيع بروتوكول DNS لاستخدام التوقيعات للمصادقة على سجلات DNS، مما يمنع هجمات MITM البسيطة من توجيه العميل إلى عنوان IP ضار.

كشف العبث

من المحتمل أن يتمكن فحص زمن الانتقال من اكتشاف الهجوم في مواقف معينة، ^[11] مثل العمليات الحسابية الطويلة التي تستغرق عشرات الثواني مثل وظائف التجزئة . ولكشف الهجمات المحتملة، تتحقق الأطراف من وجود تناقضات في أوقات الاستجابة. على سبيل المثال: لنفترض أن طرفين يستغرقان عادةً قدرًا معينًا من الوقت لإجراء معاملة معينة. ومع ذلك، إذا استغرقت معاملة ما مدة زمنية غير طبيعية للوصول إلى الطرف الآخر، فقد يكون هذا مؤشراً على تدخل طرف ثالث مما أدى إلى إدخال وقت انتظار إضافي في المعاملة.

من الناحية النظرية، يوفر التشفير الكمي دليلاً على التلاعب بالمعاملات من خلال نظرية عدم الاستنساخ . تقوم البروتوكولات التي تعتمد على التشفير الكمومي عادةً بمصادقة جزء أو كل اتصالاتها الكلاسيكية باستخدام مخطط مصادقة آمن غير مشروط. كمثال على ذلك مصادقة ويجمان-كارتر . ^[12]

التحليل الجنائي

يمكن تحليل حركة مرور الشبكة الملتقطة مما يشتبه في أنه هجوم لتحديد ما إذا كان هناك هجوم، وإذا كان الأمر كذلك، تحديد مصدر الهجوم. تتضمن الأدلة المهمة التي يجب تحليلها عند إجراء التحقيقات الجنائية للشبكة على هجوم مشتبه به ما يلي: ^[13]

عنوان IP للخادم
اسم DNS للخادم
شهادة X.509 للخادم
- ما إذا كانت الشهادة موقعة ذاتيا
- ما إذا كانت الشهادة قد تم توقيعها من قبل هيئة إصدار شهادات موثوقة
- هل تم إلغاء الشهادة
- هل تم تغيير الشهادة مؤخرًا
- ما إذا كان العملاء الآخرون، في مكان آخر على الإنترنت، قد حصلوا على نفس الشهادة

أمثلة بارزة

جهاز تعقب الهاتف Stingray هو جهاز مراقبة للهاتف الخلوي يحاكي برج الخلية الناقل اللاسلكي من أجل إجبار جميع الهواتف المحمولة القريبة وأجهزة البيانات الخلوية الأخرى على الاتصال به. يقوم جهاز التتبع بنقل جميع الاتصالات ذهابًا وإيابًا بين الهواتف الخلوية وأبراج الهواتف الخلوية. ^[14]

في عام 2011، أدى خرق أمني لهيئة الشهادات الهولندية DigiNotar إلى إصدار شهادات احتيالية. وبعد ذلك، تم استخدام الشهادات الاحتيالية لتنفيذ هجمات MITM. ^[15]

في عام 2013، تم الكشف عن أن متصفح Xpress من نوكيا يقوم بفك تشفير حركة مرور HTTPS على خوادم بروكسي نوكيا، مما يتيح للشركة الوصول إلى نص واضح لحركة مرور متصفح عملائها المشفرة. وردت شركة نوكيا قائلة إن المحتوى لم يتم تخزينه بشكل دائم، وأن الشركة لديها تدابير تنظيمية وفنية لمنع الوصول إلى المعلومات الخاصة. ^[16]

في عام 2017، سحبت شركة Equifax تطبيقات الهاتف المحمول الخاصة بها بعد المخاوف بشأن ثغرات MITM. ^[17]

يُعد البلوتوث ، وهو بروتوكول اتصال لاسلكي، أيضًا عرضة لهجمات الوسيط بسبب قدرته على نقل البيانات لاسلكيًا. ^[18]

وتشمل التطبيقات الواقعية الأخرى الجديرة بالملاحظة ما يلي:

دي إس نيف – أول تنفيذ عام لهجمات MITM ضد SSL وSSHv1
أداة تشخيص HTTP(S) Fiddler2
انتحال وكالة الأمن القومي لشخصية جوجل ^[19]
البرامج الخبيثة Superfish
بوابة محتوى Forcepoint – يستخدم لإجراء فحص لحركة مرور SSL على الوكيل
تستخدم Comcast هجمات MITM لحقن كود JavaScript في صفحات الويب التابعة لجهات خارجية، مما يؤدي إلى عرض إعلاناتها ورسائلها الخاصة أعلى الصفحات ^[20] ^[21] ^[22]
هجوم الرجل الوسيط في كازاخستان 2015

انظر أيضا

خداع بروتوكول تحليل العنوان – a technique by which an attacker sends Address Resolution Protocol messages onto a local area network
Aspidistra transmitter – a British radio transmitter used for World War II "intrusion" operations, an early MITM attack.
مؤامرة بابينغتون – the plot against Elizabeth I of England, where Francis Walsingham intercepted the correspondence.
أمن الحاسوب – the design of secure computer systems.
هجوم كوكي مونستر – a man-in-the-middle exploit.
استخراج المعمى – the art of deciphering encrypted messages with incomplete knowledge of how they were encrypted.
توقيع رقمي – a cryptographic guarantee of the authenticity of a text, usually the result of a calculation only the author is expected to be able to perform.
Evil maid attack – attack used against full disk encryption systems
Interlock protocol – a specific protocol to circumvent a MITM attack when the keys may have been compromised.
Key management – how to manage cryptographic keys, including generation, exchange and storage.
بروتوكول الاتفاق على مفتاح – a cryptographic protocol for establishing a key in which both parties can have confidence.
Man-in-the-browser – a type of web browser MITM
Man-on-the-side attack – a similar attack, giving only regular access to a communication channel.
Mutual authentication – how communicating parties establish confidence in one another's identities.
Password-authenticated key agreement – a protocol for establishing a key using a password.
تعمية كمومية – the use of quantum mechanics to provide security in cryptography.
قناة آمنة – a way of communicating resistant to interception and tampering.
قالب:Anl
Terrapin attack – a downgrade attack on the ssh protocol that requires an adversary with a man-in-the-middle position.

ملحوظات

مراجع

^ Elakrat, Mohamed Abdallah; Jung, Jae Cheon (1 Jun 2018). "Development of field programmable gate array–based encryption module to mitigate man-in-the-middle attack for nuclear power plant data communication network". Nuclear Engineering and Technology (بالإنجليزية). 50 (5): 780–787. DOI:10.1016/j.net.2018.01.018.
^ "Comcast continues to inject its own code into websites you visit". 11 ديسمبر 2017.
^ Callegati، Franco؛ Cerroni، Walter؛ Ramilli، Marco (2009). "Man-in-the-Middle Attack to the HTTPS Protocol". IEEE Security & Privacy Magazine. ج. 7: 78–81. DOI:10.1109/MSP.2009.12. S2CID:32996015.
^ Tanmay Patange (10 نوفمبر 2013). "How to defend yourself against MITM or Man-in-the-middle attack". مؤرشف من الأصل في 2013-11-24. اطلع عليه بتاريخ 2014-11-25.
^ "Comcast still uses MITM javascript injection to serve unwanted ads and messages". 28 ديسمبر 2016.
^ Callegati، Franco؛ Cerroni، Walter؛ Ramilli، Marco (2009). "Man-in-the-Middle Attack to the HTTPS Protocol". IEEE Security & Privacy Magazine. ج. 7: 78–81. DOI:10.1109/MSP.2009.12. S2CID:32996015.Callegati, Franco; Cerroni, Walter; Ramilli, Marco (2009).
^ "diffie hellman - MiTM on RSA public key encryption". Cryptography Stack Exchange.
^ Merkle، Ralph C (أبريل 1978). "Secure Communications Over Insecure Channels". Communications of the ACM. ج. 21 ع. 4: 294–299. CiteSeerX:10.1.1.364.5157. DOI:10.1145/359460.359473. S2CID:6967714. Received August, 1975; revised September 1977
^ Sasikaladevi, N. and D. Malathi.
^ A bot will complete this citation soon. Click here to jump the queue أرخايف:[1].
^ Aziz، Benjamin؛ Hamilton، Geoff (2009). "Detecting Man-in-the-Middle Attacks by Precise Timing" (PDF). 2009 Third International Conference on Emerging Security Information, Systems and Technologies. ص. 81–86. DOI:10.1109/SECURWARE.2009.20. ISBN:978-0-7695-3668-2. S2CID:18489395.
^ Cederlöf، Jörgen. "5. Unconditionally secure authentication". liu.se.
^ "Network Forensic Analysis of SSL MITM Attacks". NETRESEC Network Security Blog. 27 مارس 2011. اطلع عليه بتاريخ 2011-03-27.
^ Zetter، Kim (3 مارس 2014). "Florida Cops' Secret Weapon: Warrantless Cellphone Tracking". Wired.com. اطلع عليه بتاريخ 2014-06-23.
^ Zetter، Kim (20 سبتمبر 2011). "DigiNotar Files for Bankruptcy in Wake of Devastating Hack". Wired. ISSN:1059-1028. اطلع عليه بتاريخ 2019-03-22.
^ Meyer، David (10 يناير 2013). "Nokia: Yes, we decrypt your HTTPS data, but don't worry about it". Gigaom, Inc. مؤرشف من الأصل في 2019-04-08. اطلع عليه بتاريخ 2014-06-13.
^ Weissman، Cale Guthrie (15 سبتمبر 2017). "Here's Why Equifax Yanked Its Apps From Apple And Google Last Week". Fast Company.
^ Sandhya، S؛ Devi، K A Sumithra (فبراير 2012). "Analysis of Bluetooth threats and v4.0 security features". 2012 International Conference on Computing, Communication and Applications. IEEE. ص. 1–4. DOI:10.1109/iccca.2012.6179149. ISBN:978-1-4673-0273-9.
^ Moyer، Edward (12 سبتمبر 2013). "NSA disguised itself as Google to spy, say reports". سي نت. مؤرشف من الأصل في 2013-09-15. اطلع عليه بتاريخ 2024-05-08.
^ "Comcast using man-in-the-middle attack to warn subscribers of potential copyright infringement". TechSpot. 23 نوفمبر 2015.
^ "Comcast still uses MITM javascript injection to serve unwanted ads and messages". 28 ديسمبر 2016."Comcast still uses MITM javascript injection to serve unwanted ads and messages".
^ "Comcast continues to inject its own code into websites you visit". 11 ديسمبر 2017."Comcast continues to inject its own code into websites you visit".

روابط خارجية

اكتشاف التهديدات المخفية عن طريق فك تشفير SSL نسخة محفوظة October 18, 2017, على موقع واي باك مشين. </link> (PDF). معهد سانس.

[1] Elakrat, Mohamed Abdallah; Jung, Jae Cheon (1 Jun 2018). "Development of field programmable gate array–based encryption module to mitigate man-in-the-middle attack for nuclear power plant data communication network". Nuclear Engineering and Technology (بالإنجليزية). 50 (5): 780–787. DOI:10.1016/j.net.2018.01.018.

[:0-2] "Comcast continues to inject its own code into websites you visit". 11 ديسمبر 2017.

[:1-3] Callegati، Franco؛ Cerroni، Walter؛ Ramilli، Marco (2009). "Man-in-the-Middle Attack to the HTTPS Protocol". IEEE Security & Privacy Magazine. ج. 7: 78–81. DOI:10.1109/MSP.2009.12. S2CID:32996015.

[4] Tanmay Patange (10 نوفمبر 2013). "How to defend yourself against MITM or Man-in-the-middle attack". مؤرشف من الأصل في 2013-11-24. اطلع عليه بتاريخ 2014-11-25.

[:2-5] "Comcast still uses MITM javascript injection to serve unwanted ads and messages". 28 ديسمبر 2016.

[مولد_تلقائيا1-6] Callegati، Franco؛ Cerroni، Walter؛ Ramilli، Marco (2009). "Man-in-the-Middle Attack to the HTTPS Protocol". IEEE Security & Privacy Magazine. ج. 7: 78–81. DOI:10.1109/MSP.2009.12. S2CID:32996015.Callegati, Franco; Cerroni, Walter; Ramilli, Marco (2009).

[7] "diffie hellman - MiTM on RSA public key encryption". Cryptography Stack Exchange.

[Merkle_1978-8] Merkle، Ralph C (أبريل 1978). "Secure Communications Over Insecure Channels". Communications of the ACM. ج. 21 ع. 4: 294–299. CiteSeerX:10.1.1.364.5157. DOI:10.1145/359460.359473. S2CID:6967714. Received August, 1975; revised September 1977

[9] Sasikaladevi, N. and D. Malathi.

[10] A bot will complete this citation soon. Click here to jump the queue أرخايف:[1].

[11] Aziz، Benjamin؛ Hamilton، Geoff (2009). "Detecting Man-in-the-Middle Attacks by Precise Timing" (PDF). 2009 Third International Conference on Emerging Security Information, Systems and Technologies. ص. 81–86. DOI:10.1109/SECURWARE.2009.20. ISBN:978-0-7695-3668-2. S2CID:18489395.

[12] Cederlöf، Jörgen. "5. Unconditionally secure authentication". liu.se.

[13] "Network Forensic Analysis of SSL MITM Attacks". NETRESEC Network Security Blog. 27 مارس 2011. اطلع عليه بتاريخ 2011-03-27.

[wired-sting-14] Zetter، Kim (3 مارس 2014). "Florida Cops' Secret Weapon: Warrantless Cellphone Tracking". Wired.com. اطلع عليه بتاريخ 2014-06-23.

[15] Zetter، Kim (20 سبتمبر 2011). "DigiNotar Files for Bankruptcy in Wake of Devastating Hack". Wired. ISSN:1059-1028. اطلع عليه بتاريخ 2019-03-22.

[16] Meyer، David (10 يناير 2013). "Nokia: Yes, we decrypt your HTTPS data, but don't worry about it". Gigaom, Inc. مؤرشف من الأصل في 2019-04-08. اطلع عليه بتاريخ 2014-06-13.

[17] Weissman، Cale Guthrie (15 سبتمبر 2017). "Here's Why Equifax Yanked Its Apps From Apple And Google Last Week". Fast Company.

[18] Sandhya، S؛ Devi، K A Sumithra (فبراير 2012). "Analysis of Bluetooth threats and v4.0 security features". 2012 International Conference on Computing, Communication and Applications. IEEE. ص. 1–4. DOI:10.1109/iccca.2012.6179149. ISBN:978-1-4673-0273-9.

[19] Moyer، Edward (12 سبتمبر 2013). "NSA disguised itself as Google to spy, say reports". سي نت. مؤرشف من الأصل في 2013-09-15. اطلع عليه بتاريخ 2024-05-08.

[20] "Comcast using man-in-the-middle attack to warn subscribers of potential copyright infringement". TechSpot. 23 نوفمبر 2015.

[مولد_تلقائيا2-21] "Comcast still uses MITM javascript injection to serve unwanted ads and messages". 28 ديسمبر 2016."Comcast still uses MITM javascript injection to serve unwanted ads and messages".

[مولد_تلقائيا3-22] "Comcast continues to inject its own code into websites you visit". 11 ديسمبر 2017."Comcast continues to inject its own code into websites you visit".

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]