لا يدرك العديد من المستخدمين أنه من خلال ملء معلومات تسجيل الدخول وكلمة المرور عند التسجيل أو التفويض على مورد إنترنت مغلق والضغط على ENTER، يمكن اعتراض هذه البيانات بسهولة. في كثير من الأحيان يتم نقلها عبر الشبكة بشكل غير آمن. لذلك، إذا كان الموقع الذي تحاول تسجيل الدخول إليه يستخدم بروتوكول HTTP، فمن السهل جدًا التقاط حركة المرور هذه وتحليلها باستخدام Wireshark، ثم استخدام عوامل التصفية والبرامج الخاصة للعثور على كلمة المرور وفك تشفيرها.
أفضل مكان لاعتراض كلمات المرور هو قلب الشبكة، حيث تنتقل حركة مرور جميع المستخدمين إلى الموارد المغلقة (على سبيل المثال، البريد) أو أمام جهاز التوجيه للوصول إلى الإنترنت، عند التسجيل على موارد خارجية. قمنا بإعداد مرآة ونحن على استعداد للشعور وكأننا متسللين.
الخطوة 1. قم بتثبيت Wireshark وتشغيله لالتقاط حركة المرور
في بعض الأحيان، للقيام بذلك، يكفي تحديد الواجهة التي نخطط من خلالها لالتقاط حركة المرور والنقر فوق الزر "ابدأ". في حالتنا، نحن نلتقط عبر شبكة لاسلكية.
بدأ التقاط حركة المرور.
الخطوة 2. تصفية حركة مرور POST الملتقطة
نفتح المتصفح ونحاول تسجيل الدخول إلى بعض الموارد باستخدام اسم المستخدم وكلمة المرور. بمجرد اكتمال عملية التفويض وفتح الموقع، نتوقف عن التقاط حركة المرور في Wireshark. بعد ذلك، افتح محلل البروتوكول وشاهد عددًا كبيرًا من الحزم. هذا هو المكان الذي يستسلم فيه معظم محترفي تكنولوجيا المعلومات لأنهم لا يعرفون ما يجب عليهم فعله بعد ذلك. لكننا نعرف ونهتم بحزم محددة تحتوي على بيانات POST التي يتم إنشاؤها على أجهزتنا المحلية عند ملء نموذج على الشاشة وإرسالها إلى السيرفر المتحكمعند النقر على زر "تسجيل الدخول" أو "التفويض" في المتصفح.
ندخل مرشحًا خاصًا في النافذة لعرض الحزم الملتقطة: http.طلب.الطريقة == "بريد"
ونحن نرى، بدلاً من آلاف الحزم، حزمة واحدة فقط تحتوي على البيانات التي نبحث عنها.
الخطوة 3. ابحث عن معلومات تسجيل الدخول وكلمة المرور الخاصة بالمستخدم
انقر بسرعة بزر الماوس الأيمن وحدد العنصر من القائمة اتبع بخار TCP
بعد ذلك، سيظهر النص في نافذة جديدة يستعيد محتويات الصفحة بالرمز. لنبحث عن حقلي "كلمة المرور" و"المستخدم" اللذين يتوافقان مع كلمة المرور واسم المستخدم. في بعض الحالات، سيكون كلا الحقلين قابلين للقراءة بسهولة ولن يتم تشفيرهما حتى، ولكن إذا كنا نحاول التقاط حركة المرور عند الوصول إلى موارد معروفة جدًا مثل Mail.ru وFacebook وVKontakte وما إلى ذلك، فسيتم تشفير كلمة المرور:
تم العثور على HTTP/1.1 302
الخادم: أباتشي/2.2.15 (CentOS)
مدعوم من X: PHP/5.3.3
P3P: CP = "NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
تعيين ملف تعريف الارتباط: كلمة المرور = ; تنتهي الصلاحية=الخميس، 07 نوفمبر 2024 الساعة 23:52:21 بتوقيت جرينتش؛ المسار=/
الموقع: loggedin.php
طول المحتوى: 0
الاتصال: قريب
نوع المحتوى: نص/أتش تي أم أل؛ مجموعة الأحرف=UTF-8
وهكذا، في حالتنا:
اسم المستخدم: NetworkGuru
كلمة المرور:
الخطوة 4. تحديد نوع التشفير لفك تشفير كلمة المرور
على سبيل المثال، انتقل إلى موقع الويب http://www.onlinehashcrack.com/hash-identification.php#res وأدخل كلمة المرور الخاصة بنا في نافذة التعريف. لقد حصلت على قائمة ببروتوكولات التشفير حسب الأولوية:
الخطوة 5. فك تشفير كلمة مرور المستخدم
في هذه المرحلة يمكننا استخدام الأداة المساعدة hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
في الإخراج تلقينا كلمة مرور تم فك تشفيرها: simplepassword
وبالتالي، بمساعدة Wireshark، لا يمكننا حل المشكلات في تشغيل التطبيقات والخدمات فحسب، بل يمكننا أيضًا تجربة أنفسنا كمتسللين، واعتراض كلمات المرور التي يدخلها المستخدمون في نماذج الويب. يمكنك أيضًا معرفة كلمات المرور الخاصة بـ صناديق البريديستخدم المستخدمون مرشحات بسيطة لعرض:
- يبدو بروتوكول POP وعامل التصفية كما يلي: pop.request.command == "USER" || pop.request.command == "PASS"
- بروتوكول IMAPوسيكون الفلتر: يحتوي طلب imap.request على "تسجيل الدخول"
- البروتوكول هو SMTP وسوف تحتاج إلى إدخال عامل التصفية التالي: smtp.req.command == "AUTH"
وأدوات مساعدة أكثر خطورة لفك تشفير بروتوكول التشفير.
الخطوة 6: ماذا لو كانت حركة المرور مشفرة وتستخدم HTTPS؟
هناك عدة خيارات للإجابة على هذا السؤال.
الخيار 1. الاتصال عند انقطاع الاتصال بين المستخدم والخادم والتقاط حركة المرور في لحظة إنشاء الاتصال (SSL Handshake). عند إنشاء اتصال، يمكن اعتراض مفتاح الجلسة.
الخيار 2: يمكنك فك تشفير حركة مرور HTTPS باستخدام ملف سجل مفتاح الجلسة المسجل بواسطة Firefox أو Chrome. للقيام بذلك، يجب تكوين المتصفح لكتابة مفاتيح التشفير هذه في ملف سجل (مثال يعتمد على Firefox) ويجب أن تتلقى ملف السجل هذا. في الأساس، تحتاج إلى سرقة ملف مفتاح الجلسة من قرص صلبمستخدم آخر (وهو أمر غير قانوني). حسنًا، قم بالتقاط حركة المرور واستخدم المفتاح الناتج لفك تشفيرها.
إيضاح.نحن نتحدث عن متصفح الويب الخاص بالشخص الذي يحاول سرقة كلمة المرور الخاصة به. إذا كنا نقصد فك تشفير حركة مرور HTTPS الخاصة بنا ونرغب في التدرب عليها، فستنجح هذه الإستراتيجية. إذا كنت تحاول فك تشفير حركة مرور HTTPS لمستخدمين آخرين دون الوصول إلى أجهزة الكمبيوتر الخاصة بهم، فلن ينجح هذا - وهذا يعني التشفير والخصوصية في نفس الوقت.
بعد استلام المفاتيح حسب الخيار 1 أو 2، عليك تسجيلها في WireShark:
- انتقل إلى القائمة تحرير - التفضيلات - البروتوكولات - SSL.
- قم بتعيين العلامة "إعادة تجميع سجلات SSL التي تمتد إلى قطاعات TCP متعددة".
- "قائمة مفاتيح RSA" وانقر فوق "تحرير".
- أدخل البيانات في جميع الحقول واكتب المسار في الملف بالمفتاح
يعد Wireshark محللًا قويًا للشبكة يمكن استخدامه لتحليل حركة المرور المارة واجهة الشبكةحاسوبك. قد تحتاج إليه لاكتشاف مشكلات الشبكة وحلها، أو تصحيح أخطاء تطبيقات الويب، أو برامج الشبكة، أو المواقع. يتيح لك Wireshark عرض محتويات الحزمة بشكل كامل على جميع المستويات، حتى تتمكن من فهم كيفية عمل الشبكة بشكل أفضل عند المستوى المنخفض.
يتم التقاط جميع الحزم في الوقت الفعلي وتقديمها بتنسيق سهل القراءة. البرنامج يدعم جدا نظام قويالتصفية وتمييز الألوان والميزات الأخرى التي ستساعدك في العثور على الحزم التي تحتاجها. في هذا البرنامج التعليمي، سنلقي نظرة على كيفية استخدام Wireshark لتحليل حركة المرور. بدأ المطورون مؤخرًا العمل على الفرع الثاني من برنامج Wireshark 2.0، وتم إجراء العديد من التغييرات والتحسينات عليه، خاصة بالنسبة للواجهة. وهذا ما سنستخدمه في هذا المقال.
قبل الانتقال إلى النظر في طرق تحليل حركة المرور، تحتاج إلى التفكير في الميزات التي يدعمها البرنامج بمزيد من التفصيل، والبروتوكولات التي يمكنه العمل بها وما يمكنه فعله. فيما يلي الميزات الرئيسية للبرنامج:
- التقاط الحزم في الوقت الفعلي من واجهات الشبكة السلكية أو أي نوع آخر من واجهات الشبكة، بالإضافة إلى قراءتها من ملف؛
- يتم دعم واجهات الالتقاط التالية: Ethernet وIEEE 802.11 وPPP والواجهات الافتراضية المحلية؛
- يمكن تصفية الحزم بناءً على العديد من المعلمات باستخدام المرشحات؛
- يتم تمييز جميع البروتوكولات المعروفة في القائمة بألوان مختلفة، على سبيل المثال TCP وHTTP وFTP وDNS وICMP وما إلى ذلك؛
- دعم التقاط حركة مكالمات VoIP؛
- يتم دعم فك تشفير حركة مرور HTTPS في حالة توفر شهادة؛
- فك تشفير حركة مرور WEP وWPA الشبكات اللاسلكيةبالمفتاح والمصافحة؛
- عرض إحصائيات تحميل الشبكة.
- عرض محتويات الحزمة لجميع طبقات الشبكة؛
- يعرض وقت إرسال واستلام الطرود.
البرنامج به العديد من المميزات الأخرى، لكن هذه أهمها التي قد تهمك.
كيفية استخدام وايرشارك
أفترض أن البرنامج مثبت لديك بالفعل، ولكن إذا لم يكن الأمر كذلك، فيمكنك تثبيته من المستودعات الرسمية. للقيام بذلك، اكتب الأمر في أوبونتو:
سودو ملائمة تثبيت wireshark
بعد التثبيت، يمكنك العثور على البرنامج في القائمة الرئيسية للتوزيع. تحتاج إلى تشغيل Wireshark بحقوق المستخدم المتميز، وإلا فلن يتمكن من تحليل حزم الشبكة. يمكن القيام بذلك من القائمة الرئيسية أو عبر الوحدة الطرفية باستخدام أمر KDE:
وبالنسبة للجنوم/الوحدة:
تنقسم النافذة الرئيسية للبرنامج إلى ثلاثة أجزاء: يحتوي العمود الأول على قائمة بواجهات الشبكة المتاحة للتحليل، والثاني - خيارات فتح الملفات، والثالث - المساعدة.
تحليل حركة مرور الشبكة
لبدء التحليل، حدد واجهة الشبكة، على سبيل المثال eth0، وانقر فوق الزر يبدأ.
بعد ذلك، سيتم فتح النافذة التالية، والتي تحتوي بالفعل على دفق من الحزم التي تمر عبر الواجهة. وتنقسم هذه النافذة أيضًا إلى عدة أجزاء:
- الجزء العلوي- هذه هي القوائم واللوحات ذات الأزرار المختلفة؛
- قائمة الحزم- ثم يتم عرض تدفق حزم الشبكة التي ستقوم بتحليلها؛
- محتويات الحزمة- يوجد أدناه محتويات الحزمة المحددة، وهي مقسمة إلى فئات حسب مستوى النقل؛
- أداء حقيقي- في الجزء السفلي يتم عرض محتويات الحزمة بشكل حقيقي، وكذلك في شكل HEX.
يمكنك النقر على أي حزمة لتحليل محتوياتها:
نرى هنا حزمة طلب DNS للحصول على عنوان IP الخاص بالموقع، وفي الطلب نفسه يتم إرسال المجال، وفي حزمة الاستجابة نتلقى سؤالنا بالإضافة إلى الإجابة.
لعرض أكثر ملاءمة، يمكنك فتح الحزمة في نافذة جديدة عن طريق النقر المزدوج على الإدخال:
مرشحات ويرشارك
يعد تصفح الحزم يدويًا للعثور على ما تحتاجه أمرًا غير مريح للغاية، خاصة مع وجود مؤشر ترابط نشط. لذلك، لهذه المهمة فمن الأفضل استخدام المرشحات. يوجد سطر خاص أسفل القائمة لإدخال المرشحات. يمكنك النقر تعبيرلفتح مصمم المرشحات، ولكن هناك الكثير منها، لذلك سنلقي نظرة على أبسطها:
- ip.dst- عنوان IP المستهدف؛
- ip.src- عنوان IP الخاص بالمرسل؛
- عنوان IP.addr- IP للمرسل أو المستلم؛
- ip.proto- بروتوكول؛
- tcp.dstport- ميناء المقصد؛
- tcp.srcport- منفذ المرسل؛
- ip.ttl- مرشح TTL، يحدد مسافة الشبكة؛
- http.request_uri- عنوان الموقع المطلوب.
لتحديد العلاقة بين حقل وقيمة في عامل التصفية، يمكنك استخدام عوامل التشغيل التالية:
- == - يساوي؛
- != - غير متساوي؛
- < - أقل؛
- > - أكثر؛
- <= - أقل أو متساوية؛
- >= - أكثر أو يساوي؛
- اعواد الكبريت- تعبير عادي؛
- يتضمن- يتضمن.
لدمج تعبيرات متعددة يمكنك استخدام:
- && - يجب أن يكون كلا التعبيرين صحيحين بالنسبة للحزمة؛
- || - قد يكون أحد العبارات صحيحا .
الآن دعونا نلقي نظرة فاحصة على العديد من المرشحات باستخدام الأمثلة ونحاول فهم جميع علامات العلاقات.
أولاً، لنقم بتصفية جميع الحزم المرسلة إلى 194.67.215.. أدخل سلسلة في حقل التصفية وانقر فوق يتقدم. للراحة، يمكن حفظ مرشحات Wireshark باستخدام الزر يحفظ:
ip.dst == 194.67.215.125
ومن أجل تلقي ليس فقط الحزم المرسلة، ولكن أيضًا تلك المستلمة استجابةً من هذه العقدة، يمكنك الجمع بين شرطين:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
يمكننا أيضًا تحديد الملفات الكبيرة المنقولة:
http.content_length > 5000
من خلال تصفية نوع المحتوى، يمكننا تحديد جميع الصور التي تم تحميلها؛ دعونا نحلل حركة مرور Wireshark، والحزم التي تحتوي على كلمة صورة:
http.content_type يحتوي على صورة
لمسح عامل التصفية، يمكنك الضغط على الزر واضح. يحدث أنك لا تعرف دائمًا جميع المعلومات اللازمة للتصفية، ولكنك ترغب فقط في استكشاف الشبكة. يمكنك إضافة أي حقل من حقول الحزمة كعمود وعرض محتوياته في النافذة العامة لكل حزمة.
على سبيل المثال، أريد عرض TTL (مدة البقاء) لحزمة ما كعمود. للقيام بذلك، افتح معلومات الحزمة، وابحث عن هذا الحقل في قسم IP. ثم اتصل قائمة السياقوحدد الخيار تطبيق كعمود:
وبنفس الطريقة، يمكنك إنشاء عامل تصفية بناءً على أي حقل مطلوب. حدده وأظهر قائمة السياق، ثم انقر فوق تطبيق كمرشحأو تحضير كمرشح، ثم حدد المحددلعرض القيم المحددة فقط، أو لم يتم اختيارهلإزالتها:
سيتم تطبيق الحقل المحدد وقيمته، أو في الحالة الثانية، سيتم إدراجه في حقل التصفية:
بهذه الطريقة، يمكنك إضافة حقل لأي حزمة أو عمود إلى عامل التصفية. يوجد أيضًا هذا الخيار في قائمة السياق. لتصفية البروتوكولات، يمكنك استخدام المزيد شروط بسيطة. على سبيل المثال، دعنا نحلل حركة مرور Wireshark لبروتوكولي HTTP وDNS:
ميزة أخرى مثيرة للاهتمام في البرنامج هي استخدام Wireshark لتتبع جلسة معينة بين كمبيوتر المستخدم والخادم. للقيام بذلك، افتح قائمة السياق الخاصة بالحزمة وحددها اتبع تيار TCP.
سيتم بعد ذلك فتح نافذة ستجد فيها جميع البيانات المنقولة بين الخادم والعميل:
تشخيص مشاكل Wireshark
ربما تتساءل عن كيفية استخدام Wireshark 2.0 لاكتشاف المشكلات الموجودة على شبكتك. للقيام بذلك، يوجد زر دائري في الركن الأيسر السفلي من النافذة، عند النقر عليه، تفتح نافذة أدوات الخبراء. في ذلك، يقوم Wireshark بجمع كافة رسائل الخطأ ومشكلات الشبكة:
تنقسم النافذة إلى علامات تبويب مثل الأخطاء والتحذيرات والإشعارات والدردشات. يستطيع البرنامج تصفية العديد من مشاكل الشبكة والعثور عليها، وهنا يمكنك رؤيتها بسرعة كبيرة. يتم دعم مرشحات Wireshark هنا أيضًا.
تحليل حركة المرور Wireshark
يمكنك بسهولة فهم ما قام المستخدمون بتنزيله والملفات التي شاهدوها إذا لم يكن الاتصال مشفرًا. يقوم البرنامج بعمل جيد جدًا في استخراج المحتوى.
للقيام بذلك، تحتاج أولاً إلى إيقاف التقاط حركة المرور باستخدام المربع الأحمر الموجود على اللوحة. ثم افتح القائمة ملف -> كائنات التصدير -> HTTP:
حول فك تشفير وتحليل البيانات المرسلة في شبكات مشغلي الاتصالات في الوقت الحقيقي. الأقسام تدرس حاليا ممكن الحلول التقنيةلتنفيذ هذا الاقتراح.
أحد خيارات فك التشفير التي تتم مناقشتها هو تثبيت المعدات على شبكات المشغلين القادرة على تنفيذ هجوم MITM (Man in the Middle). لتحليل حركة المرور غير المشفرة والتي تم فك تشفيرها بالفعل، يُقترح استخدام أنظمة DPI، والتي تستخدمها بالفعل شركات الاتصالات لتصفية المواقع المحظورة.
حرفيًا فور ظهور هذه المعلومات، تم انتقاد المبادرة من قبل مجتمع الإنترنت. على وجه الخصوص، "الملف الشخصي" لأمين المظالم في محادثة مع محطة إذاعية "موسكو تتحدث"دعا فك تشفير حركة مرور المستخدم غير مقبول.
مؤسس جمعية الدفاع عن الإنترنت في بلده حساب الفيسبوكتحليل بالتفصيل الأساليب التي اقترحتها السلطات.
"MITM هو نوع من هجمات القرصنة التي تتضمن قيام المهاجم P بإدخال نفسه في قناة مشفرة بين المشتركين A وB، وعندما يعتقد A وB أنهما يقومان بتشفير الرسائل لبعضهما البعض، فإنهما في الواقع يقومان بتشفيرها جميعًا إلى P. مما يفتح الرسائل وأوضح الخبير، أنه يقوم بإعادة تشفيرها وإرسالها.
مشكلة أداء هذه المهمة، كما يكتب فولكوف، هي حقيقة استخدام الإنترنت برمجةتبدو محاولة انتحال شهادة لإعادة تشفير المحتوى بمثابة عملية احتيال. متى نظام التشغيلأو اكتشف المتصفح تقديم شهادة مزيفة، فسيقوم بحظرها على الفور.
وفي محادثة مع Gazeta.Ru، أشار فولكوف إلى أن المبادرة الجديدة للإدارات تبدو أكثر واقعية من تخزين البيانات بالكامل، لكنها "لا تزال بعيدة عن أن تكون قابلة للتنفيذ هنا والآن".
بدوره، يعتقد محلل الفيروسات الرائد في شركة ESET روسيا أنه من الناحية الفنية، فإن مقترحات FSB ووزارة الاتصالات والاتصالات الجماهيرية ووزارة الصناعة والتجارة حقيقية. "حتى الآن، تقتصر المبادرات على تحليل حركة المرور غير المشفرة وجمعها معلومات اساسيةعن المستخدمين. قد يتطلب الاقتراح الجديد من مقدمي الخدمة والمستخدمين تثبيت برنامج خاص شهادة رقميةلتحليل حركة المرور المشفرة، على سبيل المثال HTTPS،" قال لـ Gazeta.Ru.
الأجانب المشفرة
صرح مدير وكالة المعلومات والتحليلات TelecomDaily لـ Gazeta.Ru أن فك تشفير حركة المرور ليس عملية سهلة. وأضاف أن “الوزارات التي تتولى هذه المهمة لا تدرك تماماً أنها قد لا تكون قادرة على التعامل مع هذا الأمر”.
وأشار المحلل إلى أن مسألة أنشطة الشركات الأجنبية المسؤولة عن اتصالات المستخدمين لا تزال دون حل. بادئ ذي بدء، نحن نتحدث عن برامج المراسلة ذات التشفير الشامل.
"لا أرى أي تغييرات فيما يتعلق بالعمل مع المنظمات التي ليست في روسيا من الناحية القانونية. وأشار كوسكوف إلى أن الأمر أسهل مع شركاتنا، حيث يمكنك دائمًا الضغط عليهم.
بالإضافة إلى مشغلي الاتصالات، تتحدث حزمة تعديلات مكافحة الإرهاب عن ما يسمى بمنظمي نشر المعلومات. منذ عام 2014، وفرت لهم التشريعات الروسية سجلاً خاصًا بهم، والذي تحتفظ به .
وتضم القائمة حاليًا حوالي 70 عنصرًا. فيما بينها وسائل التواصل الاجتماعي"VKontakte"، و"Odnoklassniki"، و"My Circle"، و"Rambler"، ومرافق التخزين "Yandex.Disk"، و"[email protected]"، وبوابات "Khakhbrahabr". "Roem"، وموقع المواعدة "Mamba"، وخدمة الفيديو RuTube، ومنصة المدونات LiveInternet، ولوحة الصور "Dvach" وغيرها.
خلال كامل فترة عملها، لم يتم إدراج أي بوابة أو مراسلة أجنبية في السجل.
"إذا بدأ تنفيذ مثل هذه الخطط من قبل السلطات، فإن ظهور الرسل يحتوي على حماية إضافيةمن هجمات MITM. على سبيل المثال، خلط المفتاح السري في التشفير وتوزيعه بين المشتركين. "ببساطة، كلمة المرور التي يتفق عليها المشاركون في المراسلات"، قال مدير قسم الأمن في مجموعة شركات Softline لـ Gazeta.Ru.
كيفية كسر HTTPS
طريقة التشفير المعروفة ليست فقط من طرف إلى طرف، ولكن أيضًا HTTPS، وهو بروتوكول آمن تستخدمه مواقع الويب.
وفي الوقت نفسه، في وقت لاحق، والتحدث مع "احتشاد"، رئيس مؤسسة ديمقراطية المعلومات، التي تتعامل مع قضايا استقلال تكنولوجيا المعلومات في Runet داخل جمهورية إيران الإسلامية، وصف هذه الفكرة بأنها "هراء".
كما وصف كوسكوف، في محادثة مع Gazeta.Ru، الخطوة المحتملة نحو الاستبدال الكامل للواردات بأنها غير محتملة.
"الاتصالات الخلوية مستوردة حاليًا بنسبة 100%. هذه ليست مجرد محطات قاعدية، ولكنها مجمع أجهزة وبرمجيات. في الوقت الحالي، من المستحيل استبدال كل هذا.
وإلى أن تتخذ وزارة الاتصالات ووزارة الصناعة والتجارة خطوة جادة، فلا يتوقع أي خير في هذا الاتجاه. وخلص خبير الاتصالات إلى القول: "لا أرى إجراءات حقيقية تسمح لنا بالقول إن روسيا يمكنها التحول إلى المعدات المحلية في المستقبل القريب".
العاملين الاتصالات المتنقلةرفض التعليق. ولم تستجب وزارة الاتصالات والإعلام لطلب Gazeta.Ru.
يمكن أن يصبح ضغط HTTP، الذي تستخدمه معظم المواقع لتقليل حجم البيانات المنقولة، خطرًا أمنيًا خطيرًا إذا كان الموقع يستخدم HTTPS. صرح بذلك خبيرا الأمن ديميتريس كاراكوستاس وديونيسيس زيندروس. تمكن الباحثون من تحسين استغلال ثغرة معروفة منذ فترة طويلة تسمح بتسريع فك تشفير حركة مرور HTTPS، واستخدموا هجومًا ضد تشفير الكتل في اتصال SSL/TLS.
الهجوم، المسمى BREACH (استطلاع المتصفح والترشيح عبر الضغط التكيفي للنص التشعبي)، يستغل العيوب في خوارزمية الضغط gzip/DEFLATE. أصبح الهجوم معروفًا لأول مرة في عام 2013. في مؤتمر Black Hat USA، تحدث الباحثون Angelo Prado وNeal Harris وYoel Gluck عن الهجمات على شفرات تدفق SSL/TLS مثل RC4.
عرض نهج جديد للتشغيل يتم تنفيذه في إطار مفتوح المصدر مصدر الرمزتم تقديم فيلم Rupture في معرض Black Hat Asia الأسبوع الماضي.
وخلال التقرير، أظهر الخبراء هجومين ناجحين على دردشة Gmail وFacebook.
لتنفيذ هجوم BREACH، يجب أن يكون المهاجم قادرًا على اعتراض حركة مرور الشبكة الخاصة بالضحية. ويمكن القيام بذلك من خلال شبكات الواي فايأو من خلال الوصول إلى معدات مزود الإنترنت. سيحتاج المهاجم أيضًا إلى اكتشاف جزء ضعيف من التطبيق يقبل الإدخال عبر عناوين URL للمعلمات ويعيد تلك البيانات في استجابة مشفرة.
في حالة Gmail، تحول هذا التطبيق إلى البحث على الموقع أجهزة محمولة. لو استعلام بحثيتم تنفيذها نيابة عن مستخدم معتمد، ويتم أيضًا إرفاق رمز المصادقة المميز بالاستجابة. سيتم تشفير هذا الرمز المميز داخل الرد. ومع ذلك، في كل مرة تتطابق فيها سلسلة البحث مع جزء من الرمز المميز، سيكون حجم الاستجابة للعميل أصغر، حيث سيتم ضغط السلاسل المتطابقة في الاستجابة.
يمكن للمهاجم إجبار تطبيق العميل على إرسال عدد كبير من الطلبات وبالتالي تخمين كافة الأحرف الموجودة في رمز المصادقة.
يسمح لك إطار عمل Rupture بإدخال تعليمات برمجية خاصة في كل ملف غير مشفر طلب HTTP, تم فتحه بواسطة المتصفحالضحايا. يؤدي الكود الذي تم إدخاله إلى قيام متصفح العميل بإجراء اتصالات بتطبيق HTTPS الضعيف خلفية. وهذا مطلوب لتنفيذ هجوم ناجح على تشفير الكتل، مما يخلق الكثير من "الضجيج" عند تشفير البيانات. وللتخلص من القمامة، أرسل الباحثون نفس الطلبات عدة مرات متتالية وقاموا بتحليل الفرق في حجم الردود المتلقاة. تمكن الخبراء أيضًا من استخدام الموازاة على جانب المتصفح، مما أدى إلى تسريع الهجوم بشكل كبير ضد تشفير الكتل في اتصالات TLS.
