آشنایی با انواع مختلف حملات سایبری به شبکههای سازمانی
درباره مباحث و مطالبی همچون سه اصل محرمانگی، یکپارچگی و دسترسیپذیری مقالههای متعددی وجود دارد که ممکن است مطالعه کرده باشید یا در فضای مجازی دیده باشید. در این مقاله قصد داریم شما را با انواع مختلفی از حملات سایبری که شبکههای یک سازمان یا حتی یک شبکه خانگی را تهدید میکنند، آشنا کنیم.
در دنیای فناوری اطلاعات یک حمله باهدف نابودی، افشا، تغییر، غیرفعالکردن، سرقت یا دسترسی غیرمجاز به منابع یا داراییهای یک سامانه کامپیوتری یا شبکه انجام میشود. حمله یک تهدید بالقوه بوده که توسط یک شخص یا سازمان باهدف گذر از مکانیزمهای امنیتی انجام میشود. نیروی ضربت مهندسی اینترنت موسوم به IETF حمله را اینگونه توصیف کرده است: «حمله به مکانیزمهای امنیتی یک سیستم یا شبکه، یک تهدید هوشمندانه و خرابکاری محرز است که هدفش درهم شکستن سامانههای دفاعی و نقض خطمشیهای امنیتی و حاکمیتی یک سازمان است. هرگونه فعالیت مخربی که باهدف جمعآوری، اختلال، منع، تخریب یا نابودکردن منابع و سامانههای اطلاعاتی یا خود اطلاعات انجام شود، یک عمل خرابکارانه است که پیگرد قانونی دارد.»
طبقهبندی حملات سایبری
در حالت کلی، حملات پیرامون یک شبکه کامپیوتری یا یک سیستم مستقل به شش گروه ایجاد وقفه (Interruption)، استراق سمع (Eavesdropping/Interception)، تغییر (Modification)، ایجاد اطلاعات (Fabrication)، حملات فعال (Active) و غیرفعال (Passive) تقسیم میشوند.
1. Interruption؛ وقفه
این حملات سایبری باهدف از دسترس خارجکردن، غیرقابلاستفاده کردن یا نابودکردن داراییهای یک شبکه پیادهسازی میشود. این حمله یکی از مرسومترین و قدیمیترین بردارهای حمله است. نابودی یک قطعه سختافزاری همچون هارددیسک، قطعکردن یک خط ارتباطی یا غیرفعالکردن سیستم مدیریت فایل مثالهایی از یک حمله وقفه هستند. حمله منع سرویس توزیع شده از شناختهشدهترین بردارهای حمله متعلق به این گروه است.
2Interceptionیا Eavesdropping؛ استراق سمع
این حملات سایبری به معنای آن است که یک فرد غیرمجاز موفق شده است به داراییهای یک سازمان که محرمانه هستند، دسترسی پیدا کند. استراق سمع، ثبت و ضبط غیرمجاز دادهها یا کپیکردن غیرمجاز فایلها یا برنامهها، مثالهایی از حمله استراق سمع هستند. حمله مرد میانی، از جمله حملاتی است که در این گروه قرار میگیرد.
3. Modification؛ تغییر
در این مکانیزم حمله، یک شخص غیرمجاز ضمن آنکه به داراییهای یک سازمان دسترسی پیدا کند، این توانایی را مییابد تا اطلاعات را تغییر دهد. این حمله اصل یکپارچگی اطلاعات را نشانه میرود. در چنین حالتی مقادیر درون فایلها و اسناد، اطلاعات درون یک برنامه یا زیرساخت مطابق با اهداف هکر تغییر پیدا کرده و در نتیجه پیامها و دادههایی که درون شبکه انتقال پیدا میکنند، ماهیتی متفاوت از اطلاعاتی دارند که مبدأ اقدام به ارسال آنها کرده است. حمله مسموم سازی سامانه نام دامنه در این گروه قرار میگیرد.
4. Fabrication؛ ایجاد اطلاعات
یک فرد غیرمجاز، پس از دسترسی به داراییهای یک سازمان به دنبال ویرایش یا حذف آنها نیست. بلکه سعی میکند اطلاعاتی را ایجاد کرده یا اطلاعاتی را درون رکوردهای اطلاعاتی اضافه کند. این حمله اصل اعتبارسنجی اطلاعات را هدف قرار میدهد. ارسال پیامهای جعلی در یک شبکه یا اضافهکردن رکوردهای اطلاعاتی به یک فایل از جمله نمونههای این بردار حمله هستند. حملهای که چند سال پیش با عنوان اخبار جعلی در فیسبوک شهرت پیدا کرد، نمونه دیگری از حملاتی است که درون این گروه قرار میگیرد.
5. Active؛ حملات فعال
حملات سایبری که باهدف آسیب رساندن به شبکه یا ایجاد اختلال در عملکرد سامانهها یا انتقال دادهها انجام میشود. در این مدل از حملات هکر تنها به دنبال استراق سمع نیست، بلکه هدفش نابودی یا از دسترس خارجکردن یک سرویس است. حملات فعال بهراحتی قابلتشخیص هستند، زیرا صدمهها و خسارتهای زیادی را متوجه یک سازمان میکنند. از شناختهشدهترین حملات فعال میتوان به حملات منع سرویس انکار شده/ محرومسازی از سرویس (DoS/DDoS)، سرریز بافر (Stackoverflow)، حملات SYN و جعل پروتکل اینترنت (IP) و… اشاره کرد.
6. Passive؛ حملات منفعل
حملات سایبری غیرفعال در نقطه مقابل حملات فعال قرار دارد. بهعبارتدیگر، در این مدل مهاجم به طور مستقیم شبکه قربانی را مورد حمله قرار نمیدهد. در عوض، مهاجم به طور غیرمستقیم به شبکه نفوذ میکند تا اطلاعاتی را جمعآوری کرده یا صبر میکند تا اتفاقی رخ دهد. برخی از حملات منفعل باهدف شنود مکالمات شخصی یا جاسوسی از افراد انجام میشوند. حملاتی که یک شبکه یا یک سامانه مستقل را نشانه میروند، همگی در شش گروه بالا طبقهبندی میشوند. پس از آشنایی دستهبندی کلی حملات، در ادامه به طور اجمالی به حملات مختلف نگاهی خواهیم داشت.
جعل ایمیل (e-mail spoofing) یکی از رایجترین تکنیکهایی است که ارسالکنندگان هرزنامهها از آن استفاده میکنند. در این حمله فرستنده فیلد FROM ایمیل را بهگونهای تغییر میدهد که به نظر میرسد پیام از طرف یک منبع یا دامنه قابلاطمینان ارسالشده است
حمله محرومسازی از سرویس
حملات سایبری محرومسازی از سرویس DOS (سرنام Denial of Service) باعث ایجاد اختلال در استفاده از یک سرویس یا مدیریت ارتباطات میشود. این حمله ممکن است یک سازمان خاص را نشانه برود و مانع از آن شود تا پیامهای سازمان به مقاصد خاص ارسال شود یا ممکن است باهدف از دسترس خارجکردن کامل یک شبکه یا غیرفعالکردن شبکه، بارگذاری بیش از اندازه پیامها درون یک شبکه یا کاهش عملکرد یک شبکه انجام شود. حمله محرومسازی از سرویس اصل دسترسپذیری را هدف قرار میدهد.
حملات SYN
حملات سایبری SYN گونهای از حمله منع سرویس توزیع شده است که از یک ضعف اساسی در پروتکل TCP/IP استفاده میکند. یک نشست عادی در پروتکل TCP سرنام Transmission Control Protocol شامل دو میزبان ارتباطی است که بستهها و فیلدهای SYN/acknowledgement موسوم به ACK را مبادله میکنند. در شرایط عادی میزبان اول یک بسته SYN را ارسال کرده و میزبان دوم با یک بسته SYN/ACK پاسخ میزبان را داده و صبر میکند تا پاسخ ACK از میزبان اول را دریافت کند. در یک حمله SYN یا حمله سیلآسای SYN مهاجم بهسادگی فقط یک بسته SYN را ارسال میکند و بدون آنکه صبر کند تا قربانی پاسخی ارسال کند، نشست را ترک میکند. حمله زمانی رخ میدهد که مهاجم هزارانهزار بسته SYN را برای قربانی یا قربانیان ارسال میکند و آنها را مجبور میکند منتظر پاسخهایی بمانند که هیچگاه ارسال نخواهد شد. درحالیکه میزبان منتظر پاسخهای متعددی است در عمل قادر نیست به درخواستهای معتبر پاسخ داده و آنها را قبول کند، بنابراین از دسترس خارج میشود. برخی از دیوارهای آتش میتوانند از طریق بازنشانی اتصالات در حال انتظار پس از گذشت مدتزمانی از شبکهها در برابر حملات SYN محافظت کنند.
حملات سرریز بافر
باگهای سرریز بافر یکی از شایعترین مشکلات برنامههای کاربردی هستند. مشکلی که علت بروز آن برنامهنویسان و افرادی است که وظیفه بازرسی کدها را عهدهدار هستند (در موارد خیلی محدودی مشکلات سیستمی باعث بروز مشکل میشوند). حمله سرریز بافر، یکی از رایجترین راههای دسترسی مهاجمان به یک سامانه است. همانگونه که از نامش پیدا است، در این حمله اطلاعات زیادی درون بافر نوشته میشود. بافر یک حافظه موقت است که توسط یک برنامه برای ذخیرهسازی دادهها یا دستورالعملها استفاده میشود. برای پیادهسازی یک حمله سرریز بافر، مهاجم بهسادگی اطلاعات زیادی را درون این بخش از حافظه نوشته و در عمل به رونویسی اطلاعاتی میپردازد که درون این بخش از حافظه قرار دارد. این دادههای اضافی میتواند کاراکترهای بلااستفادهای باشد که باعث خرابی یک برنامه میشود. این دادهها مجموعه دستورالعملهای جدیدی هستند که کامپیوتر قربانی آنها را اجرا خواهد کرد. در حالت کلی یک مهاجم میتواند با یک حمله سرریز بافر به یک سیستم دسترسی پیدا کرده و بهراحتی به یک شبکه نفوذ کند. نوع دیگری از حملات مرتبط به این حمله زمانی است که برنامه کاربردی در انتظار دریافت یک ورودی مشخص است، اما کاربر ورودی که برنامه انتظار آن را ندارد، در اختیارش قرار میدهد. بیشتر برنامهها برای چنین حالتی تدابیر خاص در نظر گرفتهاند، باوجود این، رخنه فوق ممکن است در برخی از برنامهها مستتر باشد.
حمله مرد میانی
پروتکل TCP/IP به لحاظ مباحث امنیتی کاستیهایی دارد و رخنههای اساسی مهمی درون آن قرار دارد که به دلیل ماهیت این پروتکل برطرفکردن برخی از رخنهها بهسادگی امکانپذیر نیست. رخنههای امنیتی در این پروتکل از یکسو و فقدان یک الگوی امنیتی کاملاً دقیق و کارآمد در IPv4 از سویی دیگر باعث بهوجودآمدن حمله دیگری موسوم به حمله مرد میانی MITM (سرنام Man – In – The – Middle) میشود. برای درک درست اینکه چگونه یک حمله MITM رخ میدهد، ابتدا باید نحوه عملکرد TCP/IP را بررسی کنیم.
TCP/IP باهدف ارائه یک مکانیزم دقیق امنیتی طراحی نشد، بلکه هدف این بود که پروتکلی طراحی شود که لینکهای درون یک شبکه بتوانند با سرعت بالایی با یکدیگر در ارتباط باشند. یک اتصال TCP/IP بر مبنای رویکرد دست دهی سهمرحلهای کار میکند. بهعنوانمثال، میزبان A میخواهد دادهها را به میزبان دیگری (Host B) ارسال کند. برای این منظور یک بسته SYN ابتدایی را که شامل اطلاعات لازم برای شروع ارتباطات است، ارسال میکند. میزبان B با SYN/ACK پاسخ میدهد. SYN ارسالی از سوی میزبان B به میزبان A باعث میشود تا میزبان A یک بسته دیگر ACK را ارسال کند تا ارتباط آغاز شود. حال اگر یک هکر بتواند خود را میان میزبان A و میزبان B قرار دهد، بستههایی که میان دو گروه مبادله میشود، توسط هکر شنود میشود. در ادامه هکر میتواند اطلاعات را تحلیل کرده و در ادامه تغییری در بستههای ارسالی برای دو طرف اعمال کند.
ربایش TCP/IP
ربایش TCP/IP یا ربایش نشست، مشکلی است که بیشتر برنامههای مبتنی بر TCP/IP با آن روبهرو هستند. بهمنظور ربایش یک ارتباط TCP/IP، یک هکر ابتدا باید ارتباط کاربر را قطع کرده و خود را وارد یک نشست TCP/IP کند. این حمله تا حد بسیار زیادی شبیه حمله مرد میانی است. در این مدل حملات از ابزاری موسوم به Hunt برای نظارت و ربایش نشستها استفاده میشود. این حمله بهویژه روی پروتکلهای FTP و Telnet بهخوبی پیادهسازی میشود.
این مدل حملات بیشتر برنامههای مبتنی بر وب و بهویژه برنامههای مرتبط با تجارت الکترونیکی و سایر برنامههای کاربردی را که از کوکیها به شکل گسترده استفاده میکنند، شامل میشوند.
حملات بازپخشی
در یک حمله بازپخشی (Replay Attacks)، یک هکر بخشی از ترافیک حساس شبکه را ضبط کرده و آن را به شکل بازپخشی برای میزبان ارسال کرده و سعی میکند این کار را تکرار کند. بهعنوانمثال، یک فرایند انتقال پول الکترونیکی را در نظر بگیرید. کاربر A مبلغی را به بانک B انتقال میدهد. کاربر C که یک هکر است، ترافیک شبکه کاربر A را ضبط کرده و تراکنش را به شکل بازپخشی ارسال کرده و این فرایند را برای چندمرتبه تکرار میکند. بدیهی است در این حمله به کاربر C منفعتی نمیرسد، اما باعث میشود کاربر A پول قابلتوجهی از دست بدهد. پیادهسازی این حملات کار دشواری است، زیرا به عوامل متعددی نظیر پیشبینی توالی اعداد در پروتکل TCP بستگی دارد.
حمله جعل آدرس آیپی
نمونه کلاسیک حمله جعل، جعل آیپی است. پروتکل TCP / IP نیاز دارد که هر میزبان آدرس اصلی خود را درون بستهها قرار دهد، اما تقریباً هیچگونه راهکاری برای اطمینان از این موضوع در اختیار ندارد. در نتیجه این امکان وجود دارد که یک آدرس نادرست و جعلی بهجای یک آدرس واقعی استفاده شود. پیادهسازی یک حمله جعلی کار واقعاً سادهای است که باعث بهوجودآمدن رخنههایی در پروتکل TCP/IP میشود.
TCP/IP فرض میکند که همه کامپیوترها در زمان ارسال اطلاعات هویت واقعی خود را بیان میکنند. در چنین شرایطی پروتکل فوق با یک بررسی کاملاً مختصر فرض میکند یک بسته از همان آدرسی ارسال شده که مشخصاتش درون سرآیند آیپی درج شده است.
در اواخر دهه 60 میلادی که مهندسان در حال طراحی پروتکلها بودند، تصور نمیکردند که هیچ شخصی در جهان بتواند از پروتکلها سوءاستفاده کند و از سوی دیگر بر این باور بودند، کامپیوترها دروغ نمیگویند. این دیدگاه باعث شد تا امروزه انواع مختلفی از حملات جعل آیپی گریبانگیر زیرساختهای ارتباطی شود.
البته راهکارهایی برای مقابله با حمله جعل وجود دارد. دیوارهای آتش فارغ از حالت (Stateful) به مکانیزمهای محافظت در برابر جعل تجهیز شدهاند که قادر هستند چنین حملاتی را شناسایی کرده و متوجه شوند آیا بستهای که ادعا میکنند متعلق به یک شبکه است، بهراستی به چنین شبکهای تعلق دارد یا از شبکه دیگری وارد شده است؟
جعل ایمیل
هرزنامهها یکی از مشکلات بزرگ اینترنت هستند. جعل ایمیل (e-mail spoofing) یکی از رایجترین تکنیکهایی است که ارسالکنندگان هرزنامهها از آن استفاده میکنند. در این حمله فرستنده فیلد FROM ایمیل را بهگونهای تغییر میدهد که به نظر میرسد پیام از طرف یک منبع یا دامنه قابلاطمینان ارسالشده است.
برای مثال، ایمیلی با عنوان «Vacation Plates.xls» از دامنه mailto: hr@yourcompany.com برای چند کارمند یک سازمان ارسال میشود که محتوای درون آن شامل کدهای مخرب است. پیادهسازی حمله جعل ایمیل ساده بوده و بهسختی میتوان آن را متوقف کرد.
جعل وبسایت
جعل وبسایت زمانی رخ میدهد که یک مهاجم وبسایتی طراحی میکند که شباهت بسیار زیادی به نمونه واقعی آن دارد. این حمله عمدتاً در ارتباط با سایتهای فعال در زمینه تجارت الکترونیک، سایتهای متعلق به بانکها و صرافیها استفاده میشود.
هدف اصلی از طراحی یک وبسایت جعلی این است که بازدیدکنندگان فریبخورده و تصور کنند در حال بازدید از سایت اصلی هستند و در ادامه اطلاعات حساب کاربری خود را درون سایت جعلی وارد کنند. اغلب این حمله در تعامل با حمله مسموم سازی سامانه نام دامنه انجام میشود.
در اواخر دهه 60 میلادی که مهندسان در حال طراحی پروتکلها بودند، تصور نمیکردند که هیچ شخصی در جهان بتواند از پروتکلها سوءاستفاده کند و از سوی دیگر بر این باور بودند، کامپیوترها دروغ نمیگویند. این دیدگاه باعث شد تا امروزه انواع مختلفی از حملات جعل آیپی گریبانگیر زیرساختهای ارتباطی شود
فیشینگ
فیشینگ ترکیبی از حملات جعل ایمیل و وبسایت بوده و یکی از خطرناکترین حملاتی است که تقریباً هر سازمانی را ممکن است قربانی خود کند. یک حمله فیشینگ با ارسال حجم بالایی از ایمیلهای جعلی برای کارمندان یک سازمان کار خود را آغاز میکند. هکرها در ادامه ادعا میکنند کارمندان بخش منابع انسانی هستند و شکایاتی از طرف مشتریان سازمان مبنی بر تخلف کارمندان دریافت کردهاند و یک اخطار رسمی برای کارمندان ارسال میکنند که باید برای پاسخگویی به این شکایات به آدرسی که در ایمیل ضمیمه شده است، مراجعه کرده، اطلاعات حساب کاربری خود را درون آن وارد کرده و به شکایات پاسخ دهند. هنگامیکه یک کارمند اطلاعات خود را درون سایت جعلی وارد میکند، هکرها مجوز لازم را برای ورود به شبکه سازمان به دست میآورند؛ این در حالی است که کارمند هیچگاه متوجه نخواهد شد در چه دامی گرفتار شده است. بهترین روش برای محافظت در برابر فیشینگ این است که پیش از کلیک روی لینکهایی که درون یک ایمیل قرار دارند، ابتدا از اصالت و درستی آنها مطمئن شوید.
حمله شیرجه در زبالهها
شیرجهزدن در زبالهها (Dumpster Diving) فرایندی است که یک هکر سعی میکند درون زبالههای یک سازمان کنکاشی انجام دهد تا اطلاعات ارزشمندی را به دست آورد. این حمله مجازی نیست و به طور مستقیم با سطل زباله واقعی سازمانها در ارتباط است. این کار بهمنظور پیداکردن اطلاعات مشتریان، محصولات، یادداشتهای داخلی و حتی اطلاعات مربوط به گذرواژههایی که بدون امحای کامل درون سطلهای زباله ریخته شدهاند، انجام میشود. در یک نمونه معروف و واقعی، یک شرکت طراحی لباس فراموش کرد اطلاعات مربوط به طراحی لباسهای آینده خود را بهدرستی امحا کند. مدتزمان زیادی طول نکشید که اطلاعات فوق به دست شرکت رقیب رسید و همان طراحیها از سوی شرکت رقیب به نمونه واقعی تبدیل شدند. به همین دلیل مهم است که سازمانها از یک روش مطمئن برای حذف کامل کپیها و اطلاعات محرمانه استفاده کنند. وجود یک دستگاه امحاکننده ارزانقیمت کاغذها ممکن است جلوی یک ضرر و زیان هنگفت را بگیرد. حمله شیرجه در زبالهها با حمله بعدی مهندسی اجتماعی کاملاً مرتبط و در واقع مکمل آن است.
مهندسی اجتماعی
حملات مهندسی اجتماعی در زمان تدوین برنامههای راهبردی امنیت نادیده گرفته میشوند، درحالیکه جزو خطرناکترین و آسانترین روشها برای نفوذ به یک شبکه هستند. مهندسی اجتماعی چیزی فراتر از یک دروغگویی خلاقانه نیست. در این حمله هکر ابتدا به سراغ سطلهای زباله یک سازمان میرود تا در ارتباط با اسناد مهم، شمارهتلفنها، فهرست اسامی کارکنان اجرایی و … اطلاعاتی به دست آورد. بهعنوانمثال، دانستن نام افراد مهمی که سمتی در یک سازمان دارند، مهاجم را فردی قابلاعتماد نشان داده و حتی اجازه میدهد او خود را بهجای فرد دیگری معرفی کرده و در ادامه از کارمندان درخواست کند، اطلاعات طبقهبندی شده یا اطلاعات هویتی را از طریق تلفن برای او بازگو کنند. حمله فوق غالباً همراه با حمله جعل هویت (Masquerade) است. متأسفانه شما نمیتوانید نقش یک دیواره آتش را برای کارکنان بازی کنید، اما میتوانید در مورد خطمشیهای امنیتی و افشای اطلاعات، بهویژه از طریق تلفن یا ایمیل، کارمندان را آگاه کنید. معمولاً ضعیفترین و آسیبپذیرترین عنصر یک شبکه عامل انسانی است.
حمله منع سرویس توزیعشده (DDoS)
حمله منع سرویس توزیعشده، حملهای در مقیاس بالا است که باهدف از دسترس خارجکردن یک سرویس روی بستر اینترنت به مرحله اجرا درمیآید. حملهای که سعی میکند اصل دسترسپذیری را نقض کند. یک حمله DDoS به طور غیرمستقیم حملات DoS را روی طیف گستردهای از سامانههای رایانهای اجرا میکند. سامانههایی که از آنها به نام قربانیان ثانویه یاد شده و سرویسها و منابع اینترنتی که تحتتأثیر مستقیم این حمله قرار دارند، قربانیان اصلی نامیده میشوند. یک حمله DDoS در دو مرحله اجرا میشود: اول، مهاجم شبکهای متشکل از هزاران رایانه بهدامافتاده را که زامبیها یا باتها نام دارند، ایجاد کرده؛ دوم یک حمله سیلآسا به میزبان هدف را ترتیب داده و حجم بسیار بالایی از درخواستها و ترافیک را به سمت قربانی هدایت میکند تا اینکه سرویسهای قربانی به طور کامل از دسترس خارج شوند. حملات DDoS اغلب ترکیبی از چهار حمله Trinoo، TFN، TFN2K و techeldraht هستند. برای اطلاعات بیشتر در خصوص این حمله به مقاله راهکارهایی برای شناسایی و دفع حمله منع سرویس توزیع شده (DDoS) در ماهنامه شبکه شماره 204 آمراجعه کنید.
کلام پایانی
در این مقاله سعی کردیم شما را با رایجترین نوع حملات فعال که به طور مستقیم شبکه یک سازمان را تهدید میکنند، آشنا کنیم. ما برای اجتناب از طولانیشدن بحث به سراغ حملات منفعل، حملات مبتنی بر کدهای مخرب (ویروسها، کرومها، اسبهای تروجان، روت کیتها، دربهای پشتی، بمبهای منطقی، جاسوس و بدافزارها)، حملات گذرواژهها و جستوجوی فراگیر، تحلیل ترافیک شبکه و حملات دیکشنری نرفتیم. برای اطلاعات بیشتر در خصوص سایر بردارهای حمله به بخش امنیت در سایت شبکه به نشانی www.shabakeh-mag.com/security مراجعه کنید.
منبع:shabkeh-mag