پروتکلهای زمینهساز حملههای سایبری
پروتکلهای شبکه مجموعه قواعد و دستورالعملهایی هستند که تجهیزات شبکه با استفاده از آنها با یکدیگر ارتباط برقرار میکنند. پروتکلهای شبکه راهکاری ایمن، قابل اعتماد و آسان برای تبادل اطلاعات در اختیار ما قرار میدهند و اجازه میدهند بر عملکرد تجهیزات نظارت دقیقی داشته باشیم. امروزه، طیف گستردهای از پروتکلها در دنیای شبکه مورد استفاده قرار میگیرند که از مهمترین آنها باید به پروتکل اترنت در ارتباط با شبکههای محلی و مجموعه پروتکلهای شبکههای بیسیم اشاره کرد. علاوه بر این، پروتکل اینترنت که برای انتقال دادهها از طریق اینترنت استفاده میشود، پروتکل مهم دیگری است که خود شامل دهها پروتکل است.
14 مورد از پروتکلهای پرکاربرد دنیای شبکه بههمراه آسیبپذیریهای آنها
برخی از پروتکلهای شبکه بهطور طبیعی آسیبپذیر هستند، زیرا در محیطهای آزمایشگاهی توسعه پیدا کردند و توسعهدهندگان تصور نمیکردند این پروتکلها در آینده نقش تاثیرگذاری بر ارتباطات جهانی داشته باشند. TCP/IP یکی از این پروتکلها است که بر مبنای این فرضیه شکل گرفت که قرار نیست در مقیاس کلان و فرا قارهای مورد استفاده قرار گیرد. پروتکل مذکور با گذر زمان به تجهیزات و شبکههای مختلفی راه پیدا کرد و امروزه نقش مهمی در برقراری ارتباط شبکههای کامپیوتری دارد. پروتکلی که ضعفهایی در طراحی دارد که به هکرها اجازه میدهد حملههای DoS و DDoS را با موفقیت پیادهسازی کنند. آسیبپذیریهای زیادی در برخی از پروتکلهای شبکه وجود دارند که مجرمان سایبری میتوانند به بهرهبرداری از آنها پرداخته و امنیت شبکه را با چالشهای روبهرو کنند. در این مطلب 14 مورد از رایجترین پروتکلهای شبکه و آسیبپذیریهای مرتبط با آنها را بررسی میکنیم.
1. پروتکل تفکیک آدرس (ARP)
پروتکل تفکیک آدرس (ARP) سرنام Address Resolution Protocol یک پروتکل لایه ارتباطی است که فرایند نگاشت بین لایه پیوند داده و لایه شبکه را بر عهده دارد و برای شناسایی مک آدرس (MAC) از طریق آدرس آیپی استفاده میشود. نقطه ضعف پروتکل مذکور این است که هیچ راهی وجود ندارد که میزبانی متوجه شود یک بسته شبکه را از چه نقطهای در یک شبکه همتا به همتا دریافت کرده است. آسیبپذیری فوق به هکرها اجازه میدهد تا حمله مسمومسازی ARP را با موفقیت پیادهسازی کنند. هکری که در یک شبکه محلی قرار دارد یا یک ماشین تحت شبکه را آلوده کرده، قادر به سوءاستفاده از آسیبپذیری مذکور است. هکر سعی میکند مک آدرس خود را با آدرس آیپی روتر یا سوئیچ مرتبط کند تا هر ترافیکی را که برای شبکه هدف ارسال میشود شنود کند. فرآیند جعل با ارسال درخواست یا پاسخهای مختلف ARP به سوئیچ و تجهیزات شبکه با هدف هدایت ترافیک به سیستم شنودکننده انجام میشود. در این حالت بستههای Bogus ARP توسط سوئیچ و تجهیزات شبکه دریافت و ذخیره میشوند.
2. سامانه نام دامنه
ارتباطات در دنیای شبکه و اینترنت با آدرسهای آیپی صورت میگیرد. با این حال، بهخاطر سپردن تمامی آدرسهای آیپی برای انسانها ممکن نیست. سامانه نام دامنه (DNS) سرنام Domain Name System یک سیستم ساسلهمراتبی است که برای تبدیل نام دامنه به آدرس آیپی کاربرد دارد. بنابراین، برای دسترسی به یک وبسایت تنها کافی است نام دامنه، برای مثال google.com را وارد کنید. رایجترین آسیبپذیری در DNS مسمومیت کش (cache poisoning) است. در اینجا مهاجم آدرس آیپی معتبر را با نمونه آلوده جایگزین میکند تا مخاطب به وبسایتهای مخرب هدایت شود. دومین بردار حمله، DNS Amplification است که یک سرور DNS را هدف قرار میدهد و با هدف افزایش ترافیک DNS انجام میشود و علاوه بر این به هکرها امکان پیادهسازی جستوجوهای بازگشتی را میدهد.
3. پروتکل انتقال فایل/ایمن (FTP/S)
FTP یک پروتکل شبکه مبتنی بر معماری کلاینت و سرور است که برای انتقال فایلها میان کلاینت و سرور در یک شبکه کامپیوتری استفاده میشود. هکرها میتوانند از یک برنامه وب برای ارسال کدهای مخرب بهشکل یک اسکریپت سمت مرورگر (یا کوکیها) برای کاربر با استفاده از این پروتکل استفاده کنند. البته در بیشتر موارد از اسکریپتهای Cross-Site استفاده میشود. پروتکل انتقال فایل از راه دور (FTP) نهتنها اتصالات را کنترل نمیکند، بلکه دادهها را رمزگذاری نمیکند. در نتیجه نامهای کاربری و رمزهای عبور بهصورت متن واضح منتقل میشوند. هکرها میتوانند از ابزارهای شنودکننده یا بردار حمله مرد میانی (MITM) به شنود اطلاعات بپردازند.
4. پروتکل انتقال ابرمتن/ایمن (HTTP/S)
پروتکل انتقال ابرمتن ایمن (HTTPS) سرنام Hypertext Transfer Protocol Secure یک پروتکل ارتباطی برای ارسال امن اطلاعات در شبکههای کامپیوتری است که بهشکل گستردهای در اینترنت استفاده میشود. HTTPS شامل یک مکانیزم ارتباطی است که اطلاعات مبادلهشده میان کاربران و وبسایتها را رمزگذاری میکند. اصلیترین دلیل استفاده از HTTPS اصالتسنجی وبسایت، محافظت از حریم خصوصی و یکپارچگی دادههای انتقالی است. با اینحال، پروتکل HTTPS آلوده به آسیبپذیریای است که به هکرها امکان پیادهسازی حمله Drown را میدهد. بهطوری که هکرها میتوانند رمزگذاری را بشکنند و اطلاعات کارتهای اعتباری و رمزهای عبور را سرقت کنند. حمله DROWN از نوع مرد میانی است و در صورت پیادهسازی موفقیتآمیز به هکرهای مهاجم اجازه سرقت اطلاعات یک نشست TLS را میدهد. آسیبپذیری مهم دیگری که این پروتکل دارد، امکان پیادهسازی حمله Heartbleed را میدهد. در نتیجه هکرها میتوانند اطلاعاتی را که توسط پروتکلهای رمزگذاری TLS/SSL محافظت میشوند سرقت کنند. از آسیبپذیریهای دیگر این پروتکل باید به Factoring RSA Export keys و Compresing Ratio Info-leak Made Easy نیز اشاره کرد.
5. پروتکل دسترسی به پیام اینترنتی (IMAP)
پروتکل دسترسی به پیام اینترنتی (IMAP) سرنام Internet Message Access Protocol اجازه ذخیرهسازی ایمیلها در سرور ایمیل را میدهد. علاوه بر این، به کاربر نهایی اجازه میدهد پیامها را به همان ترتیبی که ذخیره شدهاند، بازیابی، مشاهده و ویرایش کند. یکی از آسیبپذیریهای بزرگ پروتکل IMAP مربوط به عدم پشتیبانی از یک مکانیزم احراز هویت قوی و بهویژه احراز هویت چندعاملی (MFA) در زمان استفاده از برنامههای کلاینت ابرمحور است. بهطوری که هنگام ارسال ایمیل از طریق پروتکل مذکور، ایمیل از طریق کانالهای ارتباطی محافظتنشده عبور میکند. در نتیجه امکان شنود نامهای کاربری، رمز عبور و پیامها وجود دارد. هکرها میتوانند حمله انکار سرویس (DoS) سرنام Denial of Service را روی سرور پست الکترونیکی پیادهسازی کنند تا مانع ارسال یا دریافت ایمیلها شوند. همچنین، سرور ایمیل را میتوان با بدافزارها آلوده کرد تا پیوستهای آلوده برای کاربران ارسال شود.
6. پروتکل اداره پست
پروتکل اداره پست (POP3) سرنام Post Office Protocol، یک پروتکل لایه کاربرد است که برای بازیابی ایمیلها از سرورها و ارسال آن برای نرمافزارهای کلاینت استفاده میشود. پروتکل فوق به کاربران اجازه میدهد هنگامی که آفلاین هستند، پیامها را مشاهده کنند. حملههایی که صندوق پستی کاربر را هدف قرار میدهند به هکرها اجازه میدهد دسترسی مستقیم به حافظه کش پیدا کنند یا حمله DMS را پیادهسازی کنند که دسترسی مستقیم به حافظه را میدهد. در این حالت، هکرها قادر به پیادهسازی حملههای فارغ از فایل (Fileless) هستند که بهطور کامل از حافظه اصلی سیستم استفاده میکنند.
7. پروتکل دسترسی از راه دور
پروتکل دسترسی از راه دور (RDP) سرنام Remote Desktop Protocol توسط مایکروسافت توسعه یافته و به کاربران اجازه میدهد از طریق یک رابط گرافیکی به کامپیوترهای تحت شبکه متصل شوند. در مکانیزم فوق یک کاربر نرمافزار کلاینت RDP را اجرا میکند و دیگری نرمافزار سرور RDP را اجرا میکند. آسیبپذیری پیرامون این پروتکل که BlueKeep نام دارد به هکرها امکان ارسال بدافزارها و باجافزارها برای سیستمهای آلوده به این آسیبپذیری را میدهد.
علاوه بر این، آسیبپذیری مذکور به مهاجمان اجازه میدهد به سرویسهای RDP متصل شوند و دستوراتی را برای سرقت یا ویرایش دادهها، نصب روتکیتها یا بدافزارها و غیره انجام دهند. هکرها برای بهرهبرداری از این آسیبپذیری نیازی ندارند به انتظار بنشینند تا کاربر عملیات احراز هویت را انجام دهد و حتا نیازی نیست تا کاربر روی لینک مخربی کلیک کند.
8. پروتکل شروع جلسه
پروتکل شروع جلسه (SIP) سرنام Session Initiation Protocol یک پروتکل سیگنالینگ است که برای شروع، حفظ، تغییر و خاتمه نشستهای بلادرنگ استفاده میشود. این نشستها میتوانند شامل صدا، ویدئو، پیامرسانی و دیگر خدمات کاربردی ارتباطی باشند که بین دو یا چند نقطه پایانی در شبکههای آیپی برقرار میشوند. آسیبپذیری مستتر در پروتکل مذکور به هکرها امکان پیادهسازی بردارهای حمله مختلفی مثل سرریز بافر، تزریق کد، سرقت نشستها و غیره را میدهد. این آسیبپذیریها با کمترین هزینه قابل بهرهبرداری هستند. هکرها میتوانند از آسیبپذیریهای پیرامون این پروتکل برای پیادهسازی حملههای سیلابی (Flooding) و ارسال حجم زیادی ترافیک برای سامانهها یا سرورهای هدف استفاده کنند تا منابع سیستمی بهسرعت مصرف شوند. در نتیجه سرور قادر به ارائه خدمات به کلاینتها نخواهد بود. هکرها میتوانند در صورتی که از مکانیزمهای امنیتی درست در زیرساختهای شبکه استفاده نشده باشد، حمله سیلابی در زیرساخت شبکه SIP را با موفقیت پیادهسازی کنند، زیرا کانالهای سیگنالدهی و انتقال داده از هم متمایز نیستند.
9. پروتکل بلوک پیام سرور
پروتکل بلوک پیام سرور (SMB) سرنام Server Message Block یک پروتکل ارتباطی است که برای دسترسی اشتراکی به فایلها، چاپگرها و پورتهای سریال بین گرههای شبکه استفاده میشود. علاوه بر این، یک مکانیسم ارتباط بین فرآیندی (Inter-Process) تاییدشده و معتبر را ارائه میدهد. آسیبپذیری موجود در SMB به هکرها اجازه میدهد حمله Relay و حمله مرد میانی را پیادهسازی کنند. حمله دیگر مرتبط با این پروتکل EternalBlue است. سرور SMBv1 در نسخههای مختلف وصلهنشده سیستمعامل ویندوز به هکرها اجازه میدهد از راه دور کدهای مخرب را روی سامانه قربانیان اجرا کنند.
10. پروتکل ساده انتقال نامه
پروتکل ساده انتقال نامه (SMTP) سرنام Simple Mail Transfer Protocol یک پروتکل لایه کاربردی است که برای ارسال ایمیل استفاده میشود. ارسالکنندگان هرزنامهها و هکرها میتوانند از این سرور پست الکترونیکی، برای ارسال هرزنامه یا بدافزار استفاده کنند. علاوه بر این، هکرها میتوانند حملهای با هدف جمعآوری آدرسهای معتبر ایمیل از یک سرور یا دامنه بر مبنای پروتکل فوق پیادهسازی کنند. از حملههای شایع پیرامون پروتکل فوق باید به حملههای سرریز بافر، اسبهای تروا (trojan horse)، حملههای شل اسکریپت (shell script) و غیره اشاره کرد.
11. پروتکل مدیریت شبکه ساده
پروتکل (SNMP) سرنام Simple Network Management Protocol یک پروتکل استاندارد برای جمعآوری اطلاعات از دستگاههای تحت شبکه است. بهطور معمول، سرپرستان شبکه از پروتکل فوق برای جمعآوری اطلاعات دقیق در ارتباط با تجهیزات شبکه، عملکرد آنها و ترافیک شبکه استفاده میکنند. این پروتکل به سرپرستان شبکه اجازه میدهد از راه دور به مدیریت تجهیزات پرداخته و تنظیمات آنها را پیکربندی کنند. یکی از بردارهای حمله شایع پیرامون پروتکل فوق، حمله بازتابی SNMP است که نوعی حمله انکار سرویس توزیعشده (DDoS) است. حملهای که میتواند ترافیکی معادل صدها گیگابیت در ثانیه ایجاد کند. در حمله فوق، مهاجم تعداد زیادی درخواست SNMP را با یک آدرس آیپی جعلی یا کامپیوترهایی که آلوده کرده برای سرور ارسال میکند تا سرور را مجبور به پاسخگویی به آدرسهای آیپی جعلی کند. هرچه تعداد دستگاههایی که اقدام به ارسال درخواست برای سرور میکنند بیشتر شود، به همان نسبت سرور با بار ترافیکی شدیدتری روبهرو میشود که در نهایت عملکرد آن مختل میشود.
12. پروتکل پوسته ایمن
پوسته ایمن (SSH) سرنام Secure Shell مکانیزمی برای برقراری ارتباط امن بین کاربر و سرور ارائه میکند. به بیان دقیقتر، پروتکل مذکور را باید نسخه تقویتشده پروتکل تلنت (Telnet) توصیف کرد. پروتکل مذکور سعی میکند با رمزگذاری اطلاعاتی که قرار است در یک شبکه غیرایمن ارسال شوند، مانع ارسال اطلاعات در قالب متن ساده شود. این پروتکل مکانیزمی در اختیار کاربران قرار میدهد تا بهشکل ایمن از محیط استفاده کنند و دستوراتی را برای ماشینهای راه دور ارسال کنند. با اینحال، هکرها میتوانند از حمله مرد میانی در ارتباط با پروتکل فوق استفاده کنند، بهطوری که مکانیزم رمزگذاری را بیاثر کنند و به محتویات بستههای رمزگذاریشده دسترسی پیدا کرده و رمزهای عبور و نامهای کاربری را سرقت کنند.
13. تلنت
تلنت (Telnet) پروتکلی است که در اینترنت یا شبکههای محلی استفاده میشود و به دو طرف کانال ارتباطی امکان برقراری یک ارتباط متنمحور را از طریق یک ترمینال مجازی میدهد. یکی از بزرگترین آسیبپذیریهای پیرامون پروتکل تلنت عدم رمزگذاری اطلاعات است. به بیان دقیقتر، هر ارتباطی که میان دو دستگاه راه دور برقرار میشود و هرگونه اطلاعاتی که مبادله میشود بهشکل یک متن آشکار ارسال میشود. بهطور مثال، اگر قصد پیکربندی یک روتر یا سوئیچ سیسکو را داشته باشید و از پروتکل فوق استفاده کنید، هکرها میتوانند اطلاعات احراز هویت و دستوراتی را که برای پیکربندی تجهیزات ارسال میکنید مشاهده کنند. متاسفانه هیچ مکانیزمی برای حل این مشکل وجود ندارد و در نتیجه در کاربردهای خاص و مهم نباید از پروتکل مذکور استفاده کنید. بردار حمله دیگری که پیرامون تلنت قرار دارد، حمله انکار سرویس است که امکان ارسال فریمهای دادهای غیرمفید و غیرمربوط زیاد را امکانپذیر میکند تا اتصال با یک دستگاه پرکاربرد شبکه مثل روتر یا سوئیچ قطع شود.
14. محاسبات شبکه مجازی
محاسبات شبکه مجازی (VNC) سرنام Virtual Network Computing پروتکل اشتراکگذاری دسکتاپ از راه دور است که از مولفههای مهم دنیای سرورهای مجازی و سرورهای ابری است. این پروتکل بهدلیل سهولت در استفاده و عدم پیچیدگی، مورد توجه کاربران و شرکتها قرار دارد. VNC با ارائه یک ابزار گرافیکی اشتراکی دسکتاپی مبتنی بر پروتکل Remote Frame Buffer برای کنترل از راه دور کامپیوترها استفاده میشود. بخش عمدهای از حملههای مرتبط با این پروتکل به واسطه پیکربندی اشتباه حافظه با موفقیت پیادهسازی میشوند. از بردارهای رایج حمله پیرامون این پروتکل باید به انکار وضعیت سرویس (Service State)، نقص عملکرد، دسترسی غیرمجاز به اطلاعات کاربران و اجرای کدهای مخرب روی دستگاههای هدف اشاره کرد.