هجمات SSL الشائعة

السلام عليكم ورحمة الله وبركاته 

SSL هو المعيار في الأمان عبر الإنترنت حيث يتم استخدامه لتشفير البيانات المرسلة عبر الإنترنت بين العميل (جهاز الكمبيوتر الخاص بك) وخادم (كمبيوتر موقع الويب) ويعمل على المنع تلقائيًا للعديد من أنواع الهجمات فإذا اعترض أحد المتطفلين بيانات مشفرة فلن يتمكن المتسلل من قراءتها أو استخدامها بدون مفتاح فك التشفير الخاص ويجعل بروتوكول SSL العديد من مواقع الويب أكثر أمانًا وغالبًا ما يحمي البيانات من السرقة أو التعديل أو الانتحال ولكن لا يمكن لأي موقع أن يكون آمنًا تمامًا على الإطلاق ولكن أي موقع ويب يخزن معلومات شخصية أو بيانات حساسة أخرى يجب أن يحتوي على طبقة المقابس الآمنة (SSL) لإضافة مستوى أعلى من الأمان إلى الموقع حيث أصبحت الاعتداءات على الثقة من خلال حركة المرور المشفرة SSL / TLS شائعة الآن وتتزايد في التكرار والتطور وتضمن الطبيعة منخفضة المخاطر والمكافآت لثغرة SSL / TLS استمرار هذه الاتجاهات مما يعرض المؤسسات لخطر الاختراق وعمليات التدقيق الفاشلة وتعطل النظام غير المخطط له، توضح الأمثلة التالية عددًا قليلاً من الأساليب الأكثر شيوعًا واقتراحات حول كيفية منعها.

-البرامج الضارة المستمرة المتقدمة: 

 على نحو متزايد يتم تصميم البرامج الضارة خصيصًا لسرقة مفاتيح وشهادات SSL / TLS لاستخدامها في الاحتيال في الاتصالات واستخراج البيانات وللحماية من البرامج الضارة المستمرة المتقدمة تحتاج المؤسسات إلى تحديد جميع الأنظمة التي تستخدم SSL / TLS ، وتثبيت مفاتيح وشهادات جديدة على الخوادم وإلغاء الشهادات الضعيفة والتحقق من تثبيت وتشغيل مفاتيح وشهادات جديدة.

-ما هي هجمات SSL Stripping؟

يتم تأمين الإنترنت بواسطة بروتوكول HTTPS ولكن في هجوم تجريد SSL يمكن لمجرمي الإنترنت إزالة طبقة الحماية هذه وترك المستخدمين مكشوفين ويستفيد [تجريد طبقة المقابس الآمنة] من الطريقة التي يأتي بها معظم المستخدمين إلى مواقع ويب SSL حيث يتصل غالبية الزائرين بصفحة موقع ويب تعيد التوجيه من خلال إعادة توجيه 302  أو يصلون إلى صفحة SSL عبر رابط من موقع غير تابع لـ SSL.

-هجمات رجل في الوسط (MITM): 

تكتسب هجمات MITM الناجحة ثقة الأطراف المتصلين من خلال انتحال شخصية موقع ويب موثوق به والتنصت على المحادثات الآمنة وذلك يسهل الوصول إلى مفاتيح وشهادات SSL / TLS  وغالبًا ما يتم استغلال نقاط الوصول اللاسلكية غير الآمنة أو المحمية بشكل خفيف للدخول وهناك عدة طرق يمكن للممثل السيئ أن يكسر الثقة التي ينشئها SSL / TLS ويشن هجوم MITM فعلى سبيل المثال يمكن سرقة مفتاح خادم موقع ويب وذلك يسمح للمهاجم بالظهور كخادم وفي بعض الحالات يتم اختراق سلطة إصدار الشهادات (CA) وسرقة مفتاح الجذر بحيث يمكن للمجرمين إنشاء شهاداتهم الخاصة الموقعة بواسطة مفتاح الجذر المسروق ويمكن أن تنتج MITM أيضًا عن فشل العميل في التحقق من صحة الشهادة مقابل المراجع المصدقة الموثوق بها أو عند اختراق العميل وإدخال مرجع مصدق مزيف في المرجع الجذر الموثوق به للعميل،  في العديد من هجمات MITM تنفذ البرامج الضارة هذا الإجراء لإعادة توجيه المستخدمين إلى مواقع الويب المصرفية المزيفة حيث يمكن بسهولة سرقة المعلومات الحساسة ولإصلاح هذه الثغرات تحتاج المؤسسات إلى تحديد وإبطال جميع الشهادات المستخدمة على الخوادم المتأثرة وإنشاء مفاتيح جديدة للشهادات والتحقق من استخدام الشهادات والمفاتيح الجديدة ويمنع SSL بشكل عام هجمات (MITM).

-الشهادات الموقعة ذاتيًا وحرف البدل: 

يقوم مسؤولو الخادم في كثير من الأحيان بإنشاء شهادات "wildcard" موقعة ذاتيًا عند الطلب باستخدام OpenSSL المجاني في حين أن هذه الممارسة سريعة وسهلة ولكنها تقوض الثقة بشكل كبير لأنه لا يوجد مرجع مصدق تابع لجهة خارجية يتحقق من هذه الشهادات على الإطلاق حيث يؤدي استخدام شهادة أحرف البدل على خادم ويب مواجه للعامة إلى زيادة مخاطر استخدام مجرمي الإنترنت للخادم لاستضافة مواقع ويب ضارة في حملات التصيد الاحتيالي وللقضاء على هذه المشكلة يجب على المؤسسات تجنب استخدام شهادات أحرف البدل في أنظمة الإنتاج وخاصة تلك التي تواجه الجمهور وبدلاً من ذلك يُفضل استخدم الشهادات الخاصة بالنطاق الفرعي التي يتم تدويرها كثيرًا.

-مراجع مصدقة غير معروفة وغير موثوق بها ومزورة: 

يتطلب الحفاظ على الثقة المطلوبة للأعمال التجارية العالمية اليوم وجود مرجع مصدق معروف وحسن السمعة يمكن للطرفين الاعتماد عليه لمصادقة المحادثة فبمرور الوقت قد تكتشف المؤسسة أنها كانت تستخدم شهادات من عشرات المراجع المصدقة غير المعروفة وغير الموثوق بها ولإصلاح المشكلة يجب على المؤسسات تحديد وإزالة جميع الشهادات المرتبطة بمراجع مصدقة غير معروفة وغير موثوق بها واستبدالها بشهادات جديدة من مصادر موثوقة. 

-الاتصالات المشفرة للمهاجم: 

يستخدم مجرمو الإنترنت التشفير لمهاجمة المنظمات بمعدل متزايد باستمرار ويتم تحويل SSL / TLS ضد المؤسسات لتقديم برامج ضارة لم يتم اكتشافها والاستماع إلى المحادثات الخاصة وتعطيل المعاملات الآمنة والتسلل للبيانات عبر قنوات الاتصال المشفرة وبالنسبة للمؤسسات التي تفتقر إلى القدرة على فك تشفير وفحص الاتصالات المشفرة لتقييم هذه التهديدات فإن هذه النقطة العمياء تقوض دفاعات الطبقات التقليدية وتزيد من مخاطر خرق المعلومات وفقدان البيانات وللتخفيف من تأثير الاتصالات المشفرة للمهاجم يجب على المؤسسات أولاً تقييم مخاطر الأمان من حركة مرور الشبكة المشفرة غير المكتشفة وتحديث مؤشرات المخاطر ذات الصلة ويجب أيضًا الاستفادة من حلول أمان الشبكة الحالية لفرض سياسة الويب الصادرة على حركة مرور SSL ومع وجود السياسات المعمول بها يجب على الشركات إنشاء قائمة ذات أولوية لملفات تعريف حركة المرور التي تحتاج إلى فك تشفيرها ويجب أيضًا أن يشرعوا في خطة متعددة السنوات لتحسين تغطية حركة المرور المشفرة بدءًا من فك تشفير حركة مرور الويب الواردة والصادرة وقياس مزيج حركة المرور المشفرة الحالي مع توقع نموه بنسبة 10٪ إلى 20٪ سنويًا. 

-شهادات SSL / TLS منتهية الصلاحية: 

تتسبب الشهادات منتهية الصلاحية إما في حدوث انقطاع غير مخطط له في النظام أو تفتح بابًا يمكن للقراصنة من خلاله الدخول إلى شبكتك أو كليهما حيث لا ينبغي الوثوق بجلسة SSL / TLS تستخدم شهادة منتهية الصلاحية حيث يؤدي قبول شهادة منتهية الصلاحية إلى جعل المستخدمين عرضة لهجمات man-in-the-middle (MITM) ولإصلاح هذه المشكلة يجب تحديد جميع الشهادات منتهية الصلاحية وإزالتها من الخوادم. 

-التصيد الاحتيالي: 

تخدع الجهات الخبيثة الأشخاص للدخول إلى موقع ويب وإدخال معلومات خاصة في نموذج حيث قد ينتحلون شخصية شركة كبرى مثل بنك أو PayPal وأثناء عملية الاحتيال حينما يتم إرسال المستهلكين إلى موقع ويب غير مؤمن بواسطة SSL ي ملاحظةأن شريط عنوان موقع الويب لا يحتوي على رمز القفل أو "https" فعندما يتم تأمين موقع بواسطة SSL يمكن للزوار النقر فوق رمز القفل لرؤية شهادة أمان الشركة والتأكد من صحتها، كما تحذر بعض تطبيقات مستعرضات الويب المستهلكين إذا كانوا يغادرون مواقع آمنة ولا يمكن لـ SSL منع التصيد الاحتيالي تمامًا ولكنه يجعل المتصفحات والمستهلكين أكثر حذراً لاستخدام المواقع المصادق عليها فقط. 

-ما هو Strict SSL؟

يضيف Strict SSL مستوى أعلى من الأمان إلى أي موقع ويب عن طريق التحقق من صحة الخادم الأصلي فهو يقلل من احتمالية استغلال SSL من خلال التأكد من أن الاتصال آمن بين كل من الزائر والمجال والخادم وشبكتك فأبسط طبقة لحماية SSL تقوم ببساطة بتشفير البيانات حيث يتم تمريرها بين متصفح الويب وخادم موقع الويب ومع ذلك تحاول هجمات man-in-the-middle خداع متصفح الويب الخاص بك من خلال تقديم نسخة مكررة من موقع ويب والتسبب في تفاعلك عن غير قصد مع موقع الويب الخاص به بدلاً من الموقع الحقيقي السبب في ذلك هو أن طبقة المقابس الآمنة الصارمة أو الكاملة تجعل متصفح الويب الخاص بك يتحقق من شهادة المصادقة لأي موقع ويب للتأكد من أنه يحتوي على شهادة SSL صالحة وحديثة وفي كثير من الأحيان لا يمكن لهجوم man-in-the-middle تكرار هذه الشهادة  ويعرض متصفح الويب تحذيرًا مما يمنع أي شخص من استخدام هذا الموقع بشكل أكبر.

- هل يمكن اعتراض بروتوكول SSL؟ 

هناك بعض ثغرات SSL يجب أن تكون على دراية بها فعلى سبيل المثال يمكن اعتراض بروتوكول SSL إما لأسباب مشروعة أو غير مشروعة ويتم الاعتراض من خلال استخدام "الصناديق الوسطى" والتي تكون بين الموقع الإلكتروني وجهاز العميل وتحتوي هذه الصناديق الوسطى على برنامج وكيل يمكنه حذف اتصال SSL وإعادة تشغيله مما يسمح للوسيط بالوصول إلى المعلومات الخاصة ويمكن تجنب هذه الثغرة الأمنية لشهادة SSL باستخدام SSL صارم. 

-هل تمنع طبقة المقابس الآمنة (SSL) اختطاف الجلسة؟

 نعم يمكن لـ SSL منع اختطاف الجلسة والذي يُعرف أيضًا باسم اختطاف ملفات تعريف الارتباط حيث يقوم بروتوكول SSL بتشفير البيانات الموجودة على صفحة تسجيل الدخول إلى موقع الويب مما يمنع المتسللين من معرفة كلمة المرور وهذه الطريقة فعالة بشكل خاص للبنوك ومواقع التجارة الإلكترونية. 

-يمكنك حماية نفسك من خلال:    

• تحقق دائمًا من أن متصفح الويب لديك يعرض "HTTPS" في شريط العناوين.    
• مراعاة أي تحذيرات في الشهادة تراها.    
• الاستفادة من أحدث تطبيق لمكافحة الفيروسات.    
• احرص على بياناتك عندما تكون على شبكة Wi-Fi عامة.     
• احذر أيضًا من تنزيل البرامج المجانية التي قد تحتوي على برامج إعلانية حيث يمكن أن تخطف هذه البيانات بياناتك وتجعل جهاز الكمبيوتر الخاص بك عرضة لهجمات man-in-the-middle.
  

المصدر هنا.