تشير تسمية “الرجل في المنتصف” (Man In The Middle واختصارها MITM)، إلى عملية يقوم بها المهاجم لاعتراض محادثة جارية بين طرفين ما. تظهر هذه المحادثة وكأنها تجري بين الطرفين مباشرةً، ولكن في الحقيقة يتم التحكّم بها من قبل الشخص المهاجم، حيث يمكن له عرض وإضافة وإزالة وتعديل واستبدال الرسائل التي يتم تبادلها في هذه المحادثة.

1

لماذا يعتبر هجوم “الرجل في المنتصف” خطراً؟ وماذا يمكن للمهاجم أن يفعله في حال إتمام الهجوم بنجاح؟

1- سرقة ملفات الـ “كوكيز”

باختصار، يحتوي ملف الـ “كوكيز” على بيانات المستخدم حين يسجل دخوله إلى حساب على الإنترنت، لإبقاء الجلسة الحالية مفتوحة عندما يتنقّل بين صفحات الموقع.

تشفّر هذه البيانات بمفتاح يتم توليده عشوائياً ويخزّن في قاعدة بيانات الموقع. وعند تطابق المفتاح الموجود في قاعدة البيانات والمفتاح الموجود في ملف الـ “كوكيز”، يتم التعرف على المستخدم.

في الصورة التالية تلاحظون ملف “كوكيز” يحمل الاسم “datr”. هذا الملف خاص بموقع “فيس بوك”، ويُستخدم لإبقاء الجلسة الأساسية مفتوحة عند التنقل بين أكثر من صفحة على الموقع.

2

توجد مشكلة تتعلق بملفات الـ “كوكيز”، وهي أن العديد من المواقع تستخدم برتوكول SSL للتشفير على صفحة تسجيل الدخول فقط، فيما بقيّة صفحات الموقع تستخدم بروتوكول HTTP. نتيجة ذلك، سيكون ملف الـ “كوكيز” غير مشفر، وبالتالي سيستطيع المهاجم عند حصوله على هذا الملف ونسخه إلى جهازه، الدخول إلى حسابكم دون الحاجة إلى إدخال أية بيانات.

كان موقع “فيس بوك” يستخدم هذه الآلية حتى العام 2012، ولكن بعدها تم تعميم بروتوكول SSL على جميع صفحاته، وبالتالي تشفير ملف الـ “كوكيز”.

2- هجوم (SSL-Strip)

يسود اعتقاد بأن اللجوء إلى بروتوكول SSL وحده في المواقع التي تدعمه كفيل بتأمين الحماية، ولكن وجود هجوم “الرجل في المنتصف” أثبت عكس ذلك، حيث يمكن للمهاجم أن يتحكم بالطلبات التي ترسلونها عبر بروتوكول SSL وتحويلها إلى طلبات HTTP، مما يجعل كافة كلمات السر والبيانات التي ترسلونها مكشوفة له.

لذا من الضروري عندما تقومون بتصفح مواقع تدعم بروتوكول SSL، أن تبقوا أعينكم على شريط العنوان في المتصفح والتأكد من أن HTTPS موجودة دوماً.

3

3- اختراق نظام أسماء النطاقات (DNS)

يعمل نظام أسماء النطاقات على النحو التالي:

عندما تكتبون اسم موقع (على سبيل المثال: google.com) في المتصفح، يتواصل حاسوبكم مع مخدّم يسمى “مخدّم نظام أسماء النطاقات” (DNS) لسؤاله عن عنوان الموقع الذي طلبتموه. ولأن  حاسوبكم لا يعرف ماذا تعني عبارة “google.com” أو أين يجد الموقع، تأتي مهمّة مخدّم نظام أسماء النطاقات في ربط عنوان الموقع المطلوب مع رقم الـ IP الخاص به.

يوجد العديد من مخدّمات الـ DNS في العالم، ولعلّ أشهرها هو المخدّم الخاص بـ”غوغل” ذو عنوان الـ IP: 8.8.8.8

DNS

إحدى هجمات “الرجل في المنتصف” تتم عبر تظاهر المهاجم بأنه مخدّم الـ DNS، ثم يقوم بربط عناوين المواقع بعناوين IP مزوّرة.

اختراق مخدّم اسم النطاق

اختراق مخدّم اسم النطاق

على سبيل المثال، في حال طلبتم الموقع: Facebook.com، بإمكان المهاجم تحويلكم إلى موقع مليء بالملفات الخبيثة. يمكنه أيضاً تحويلكم إلى صفحة مزورة شبيهة تماماً بموقع “فيس بوك” ولكن تحت سيطرته، لسرقة بيانات دخولكم إلى حسابكم على “فيس بوك”، وهذه العملية الأخيرة تسمّى بالتصيّد (Phishing).

6

4- الحقن الخبيث للرمز البرمجي (Code Injection)

بإمكان منفّذ هجوم “الرجل في المنتصف” تغيير المحتوى الذي تفتحونه عبر الانترنت، عبر إضافة رمز برمجي خبيث إلى لعبة أو برنامج تقومون بتحميله، أو حتى صفحة تزورونها، وهذا يضعنا أمام احتمالات عديدة يستطيع المهاجم القيام بها، ولعلّ أهمها هو اختراق جهازكم والسيطرة التامة عليه، أو سرقة حساباتكم.

لم يتم اختراق الموقع كاملا بل تم التعديل على جزء من المحتوى الظاهر للمستخدم الذي تعرض لهجوم الرجل في المنتصف.

يظنّ العديد أن تعرّضهم لهجمات كهذه أمر غير وارد، أو أنهم في مكان لا يوجد فيه أشخاص خبراء بما فيه الكفاية لتنفيذ هجمات من هذا النوع. ولكن في الحقيقة، معظم الهجمات المماثلة التي سُجِّلت تم تنفيذها عبر أشخاص لديهم معرفة بسيطة بالحاسوب والشبكات واستخدام الإنترنت، حيث تطلّب منهم الأمر تحميل وتنصيب بضعة برامج تقوم بالمهمة تلقائياً دون أي تدخّل من المهاجم.

كيف يتم تنفيذ هجوم “الرجل في المنتصف”؟

تعدّ طريقة “تسميم بروتوكول حجز العناوين” (ARP Poisoning) إحدى أشهر الطرق في تنفيذ هجوم “الرجل في المنتصف” في الشبكات.

ولكن قبل الشروع في شرح هذه الطريقة، ما هو “بروتوكول حجز العناوين” (ARP

 

مهمّة هذا البروتوكول هي ترجمة عنوان الـ IP إلى عنوان MAC لتمكين الأجهزة من التواصل فيما بينها على شبكة محلية صغيرة.

في المثال التالي شرح مبسّط لكيفية عمل هذا البروتوكول.

لدينا على شبكة:

الجهاز (أ) يحمل عنوان الـ IP: 192.168.1.2

والجهاز (ب) يحمل العنوان: 192.168.1.3

الجهاز (أ) يريد إرسال رسالة إلى (ب)، ولإتمام العملية يحتاج (أ) إلى معرفة عنوان الـ MACالخاص بـ (ب).

ولكون (أ) لا يعرف سوى رقم الـ IP الخاص بـ (ب)، يقوم بإرسال طلب إلى كافة الأجهزة الموجودة على الشبكة يسأل فيه عن رقم الـ MAC المرتبط برقم الـ IP المطلوب. هذه العملية تدعى “Broadcast”.

بشكل اعتيادي، يقوم (ب) بالرد على كافة الأجهزة ليخبرها أن عنوان الـ IP الخاص به مرتبط بعنوان الـ MAC، وبالتالي يستطيع أي جهاز التواصل معه.

8

كيف يجري تنفيذ هجوم “ARP Poisoning”؟ سنفترض أنه يوجد جهاز ثالث على الشبكة:

الجهاز (ج) يحمل العنوان: 192.168.1.4

يتظاهر (ج) بأنه يحمل عنوان الـ IP الخاص بـ (ب) ويرسل بشكل متكرر طلبات لجميع الأجهزة أقوى من الطلبات التي يرسلها (ب) نفسه، وبالتالي سيقوم (أ) بالتواصل مع (ج) وإرسال الرسائل له، ويقوم (ج) بتلقي كافة الرسائل ومن ثم إعادة توجيهها إلى أهدافها الحقيقية، وبالتالي يملك السيطرة على كل الطلبات التي تمر عبر هذه الشبكة؛ هذه باختصار آلية عمل “تسميم بروتوكول حجز العناوين”.

صورة تظهر هجوم ARP Poisoning.

هل حدث معكم يوماً مشكلة وهي ظهور رسالة تفيد بتعارض في رقم الـ IP؟ هذه الرسالة، في بعض الأحيان، دليل على وجود هذا الهجوم.

كيف نحمي أجهزتنا من هذه الهجمات؟

هنا بعض المصادر التي سبق أن نشرناها في “سايبر أرابز” لحمايتكم من هجمات كهذه، حيث غطّينا معظم المواضيع المتعلقة بها:

الشبكة الافتراضية الخاصة VPN

حماية الخصوصية باستخدام برنامج تور

إضافة المتصفح HTTPS Everywhere

استعمال («راوتر») وشبكة الاتصال اللاسلكي («واي فاي») بأمان

على الرغم من أن معظم هذه الأدوات تساعدكم في الحماية، إلا أنها لا تتيح لكم معرفة إن كنتم تتعرضون لهجوم “الرجل في المنتصف” عبر “تسميم بروتوكول حجز العناوين”. لمعرفة ذلك بإمكانكم الاعتماد على الأدوات التالية، تبعاً لنظام التشغيل الذي تستخدمونه:

ويندوز:

برنامج  “XARP”صغير وسهل الاستخدام بإمكانكم تحميله من هنا، وتوجد منه نسختين، مجانية ومدفوعة، وتؤمن لكم النسخة المجانية ما تحتاجون إليه بالضبط، وهو إعلامكم في حال تعرضكم لهجمة كهذه.

صورة للبرنامج

تلاحظون في الصورة أن العنوان 192.168.2.8 هو الشخص المنفذ للهجوم.

بعد تنصيب البرنامج، ما عليكم سوى فتحه وسيعمل تلقائياً. وننصحكم بتعديل إعدادات الأمان ووضعها على “بسيط” (Basic)، لأنه إذا قمتم برفع درجة الأمان سيعتبر البرنامج في بعض الحالات حزم  “ARP”عادية على أنها حزم خطرة.

يكفي تشغيل البرنامج مرة واحدة ليستمر بالعمل. عند إعادة تشغيل الحاسوب، ستتم إعادة إقلاع البرنامج تلقائياً. ستظهر لكم نافذة منبثقة في حال الكشف عن أي هجوم وتحذيركم.

أندرويد:

تطبيق “Wi-Fi Protector” بإمكانكم تحميله من هنا؛ برنامج سهل الاستخدام ومجاني وجاهز للاستعمال الفوري.

بإمكانكم إخفاء الأيقونة أعلاه عبر الذهاب إلى: إعدادات < إعدادات الإشعارات < واختيار “إخفاء أيقونة الإشعارات”.

أو Settings > Notification settings > Check “Hide notification icon.

كما يمكنكم ضبط التطبيق للعمل تلقائياً عند الإقلاع عبر الذهاب إلى: إعدادات < تحديد “العمل تلقائياً”> “الإجبار على العمل عند الإقلاع”.

أو Settings > Check “Auto start” > “Force start at boot.

11

تحذير: لا يعمل التطبيق طالما لا تستخدمون جهازكم، أي عندما تكون الشاشة مطفأة (أو ما يعرف بوضع الاستعداد).

ماكنتوش

تندر التطبيقات المجانية التي تعمل على نظام التشغيل “ماكنتوش”، وحتى اللحظة لم نجد أي تطبيق يكافح هذه الهجمات يتطابق مع هذا النظام غير برنامج مدفوع اسمه “ARP Guard”.