برخی از مخربترین حملات سایبری به بروتفورس(brute force) وابسته نیستند، بلکه از طریق مخفیکاری موفق میشوند. این نفوذهای خاموش اغلب تا مدتها پس از ناپدید شدن مهاجم کشف نمیشوند. یکی از خطرناکترین این حملات، نفوذ در میانه ارتباط (man-in-the-middle یا MitM) است که در آن مجرمان از نقاط ضعف پروتکلهای ارتباطی سوءاستفاده میکنند تا بهصورت مخفیانه بین دو طرف ناآگاه قرار گیرند.
خوشبختانه، محافظت از ارتباطات در برابر حملات نفوذ در میانه ارتباط نیازی به اقدامات پیچیده ندارد. با انجام چند اقدام ساده، تیم امنیتی شما میتواند دادههای کاربران را ایمن کرده و مهاجمان مخفی را دور نگه دارد.
شناخت دشمن در حملات Man-in-the-Middle (MiTM)
در حمله نفوذ در میانه ارتباط، یک عامل مخرب ارتباطات بین دو طرف (مثل کاربر و یک برنامه وب) را رهگیری میکند تا اطلاعات حساس مانند شمارههای کارت اعتباری، اطلاعات ورود به حساب و جزئیات حساب را سرقت کند. این اطلاعات دزدیدهشده اغلب برای جرایم بعدی مثل خریدهای غیرمجاز، تصاحب حسابهای مالی و سرقت هویت استفاده میشود.
گسترش استفاده از حملات نفوذ در میانه ارتباط نشاندهنده اثربخشی آنهاست. نمونههای برجسته شامل نقض داده Equifax، رسوایی Lenovo Superfish و به خطر افتادن DigiNotar هستند که نشان میدهند این حملات در صورت شکست کنترلهای امنیتی چقدر میتوانند ویرانگر باشند.
روشهای رایج حملات نفوذ در میانه ارتباط
حملات نفوذ در میانه ارتباط در محیطهایی با وایفای ناامن و تعداد زیادی قربانی بالقوه (مثل کافیشاپها، هتلها یا فرودگاهها) رایج هستند. مجرمان سایبری از شبکههای ناامن یا پیکربندی نادرست سوءاستفاده میکنند یا سختافزار جعلی شبیه نقاط دسترسی(access points) قانونی راهاندازی میکنند. پس از فعال شدن نقطه دسترسی جعلی، مهاجم نام وایفای (SSID) را شبیهسازی میکند تا به شبکهای قابلاعتماد شبیه باشد. کاربران ناآگاه، که دستگاههایشان بهطور خودکار به شبکههای آشنا یا قوی متصل میشود، اغلب بدون اطلاع به شبکه مخرب متصل میشوند.
نقش جعل هویت در حملات نفوذ در میانه ارتباط
جعل هویت (spoofing) به مهاجمان امکان میدهد خود را بهعنوان یک موجودیت قابلاعتماد در محیط جا بزنند. این فریب به آنها اجازه میدهد دادههای در حال تبادل را بدون ایجاد شک، رهگیری، نظارت یا دستکاری کنند.
جعل mDNS و DNS
جعل mDNS و DNS تاکتیکهای رایجی هستند که دستگاهها را فریب میدهند تا به منابع مخرب اعتماد کنند. مهاجمان در شبکههای محلی با پاسخ به درخواستهای نام(name requests) با آدرسهای جعلی از mDNS سوءاستفاده میکنند، در حالی که جعل DNS دادههای نادرست را تزریق میکند تا کاربران را به وبسایتهای مخرب هدایت کند و اطلاعات حساس را سرقت کند.
جعل ARP
هکرها ممکن است با سوءاستفاده از پروتکل تفکیک آدرس (ARP) ترافیک شبکه محلی را رهگیری کنند. با پاسخ به درخواست دستگاه برای آدرس MAC با آدرس خودشان، مهاجمان دادههای предназнач شده برای دستگاه دیگر را به سمت خودشان هدایت میکنند. این کار امکان ضبط و تحلیل ارتباطات خصوصی، سرقت اطلاعات حساس مثل توکنهای نشست و دسترسی غیرمجاز به حسابها را فراهم میکند.
با وجود پیچیده به نظر آمدن، حملات نفوذ در میانه ارتباط با رعایت بهترین روشهای شناخته شده قابل پیشگیری هستند.
رمزنگاری همهچیز
برای جلوگیری از رهگیری یا دستکاری دادهها، استفاده از HTTPS و TLS را برای تمام ترافیک وب اجباری کنید. از HSTS برای اطمینان از اتصال مرورگرها فقط از طریق کانالهای امن استفاده کنید و از پرچمهای کوکی امن برای محافظت از اطلاعات حساس در برابر اتصالهای رمزنگارینشده بهره ببرید. برای برنامههای موبایل و دسکتاپ، از پینینگ گواهی(certificate pinning) برای اتصال برنامهها به گواهیهای خاص سرور استفاده کنید تا تقلید خدمات قابلاعتماد و رهگیری ارتباطات برای مهاجمان دشوار شود.
ایمنسازی شبکه
تا حد امکان از وایفای عمومی اجتناب کنید یا از یک VPN قابلاعتماد برای رمزنگاری ترافیک و محافظت در برابر شنود استفاده کنید. در شبکه داخلی، تقسیمبندی سیستمها و جداسازی مناطق غیرقابلاعتماد به محدود کردن نفوذ و گسترش مهاجمان در شبکه کمک میکند. همچنین، استقرار DNSSEC پاسخهای DNS را بهصورت رمزنگاری تأیید میکند، در حالی که DNS over HTTPS (DoH) و DNS over TLS (DoT) با رمزنگاری پرسوجوهای DNS، دستکاری یا جعل آنها را دشوار میکنند.
احراز هویت و اعتبارسنجی
از TLS دوطرفه برای احراز هویت متقابل کلاینت و سرور استفاده کنید تا از تقلید و رهگیری جلوگیری شود. اعمال احراز هویت چندمرحلهای(MFA) قوی بر سرویسهای حیاتی لایه حفاظتی دیگری اضافه میکند و سوءاستفاده از اطلاعات ورود دزدیدهشده را دشوار میسازد. ممیزی منظم و تغییر گواهیهای TLS و کلیدهای رمزنگاری برای بستن شکافهای امنیتی ناشی از مواد رمزنگاری به خطر افتاده یا منسوخ حیاتی است.
نظارت بر اندپوینتها و ترافیک
برای کاهش موفقیت حملات نفوذ در میانه ارتباط، تیمهای امنیتی باید یک استراتژی دفاعی چندلایه پیادهسازی کنند. سیستمهای تشخیص و پیشگیری از نفوذ (IDS/IPS) میتوانند الگوهای غیرعادی دستدهی SSL/TLS را شناسایی کنند. ابزارهای مدیریت سطح حمله خارجی (EASM) برای کشف آسیبپذیریها و گواهیهای منقضی یا نادرست در داراییهای متصل به اینترنت ناشناخته یا مدیریتنشده حیاتی هستند. نظارت مداوم بر ناهمخوانی گواهیها یا مراجع گواهی غیرمنتظره میتواند سرویسهای جعلی و واسطههای کلاهبردار را افشا کند. همچنین، راهحلهای پیشرفته تشخیص و پاسخ اندپوینتها (EDR) میتوانند تاکتیکهای رایج نفوذ در میانه ارتباط مثل جعل ARP و استفاده از پراکسی جعلی را شناسایی کرده و بررسی و اصلاح سریعتر را ممکن سازند.
آموزش کاربران
آموزش کاربران برای توجه به هشدارهای گواهی نامعتبر به آنها کمک میکند از اتصال به سرورهای مخرب یا جعلی اجتناب کنند. در عین حال، توسعهدهندگان باید شیوههای کدنویسی امن بهصورت پیشفرض را رعایت کنند و هرگز اعتبارسنجی گواهی را غیرفعال نکنند؛ زیرا این کار آسیبپذیریهای حیاتی ایجاد میکند. گنجاندن تست امنیت برنامه استاتیک (SAST) و دینامیک (DAST) در چرخه توسعه، مسائلی مثل رمزنگاری ضعیف یا مدیریت نادرست گواهی را زود تشخیص داده و برطرف میکند.
تقویت امنیت Active Directory
با تمرکز بر رمزهای عبور قوی و منحصربهفرد، اسکن فعال Active Directory برای شناسایی اطلاعات ورود نقضشده و اعمال MFA در همهجا، سادهترین راه برای سوءاستفاده مهاجمان از دادههای رهگیریشده حذف میشود.
