آشنایی با انواع مختلف حملات سایبری به شبکههای سازمانی
در دنیای فناوریاطلاعات یک حمله با هدف نابودی، افشا، تغییر، غیرفعال کردن، سرقت یا دسترسی غیرمجاز به منابع یا داراییهای یک سامانه کامپیوتری یا شبکه انجام میشود. حمله یک تهدید بالقوه بوده که توسط یک شخص یا سازمان با هدف گذر از مکانیزمهای امنیتی انجام میشود. نیروی ضربت مهندسی اینترنت موسوم به IETF حمله را اینگونه توصیف کرده است: «حمله به مکانیزمهای امنیتی یک سیستم یا شبکه، یک تهدید هوشمندانه و خرابکاری محرز است که هدفش درهم شکستن سامانههای دفاعی و نقض خطمشیهای امنیتی و حاکمیتی یک سازمان است. هرگونه فعالیت مخربی که با هدف جمعآوری، اختلال، منع، تخریب یا نابود کردن منابع و سامانههای اطلاعاتی یا خود اطلاعات انجام شود، یک عمل خرابکارانه است که پیگرد قانونی دارد.»
طبقهبندی حملات
در حالت کلی، حملات پیرامون یک شبکه کامپیوتری یا یک سیستم مستقل به شش گروه ایجاد وقفه (Interruption)، استراق سمع (Eavesdropping/Interception)، تغییر (Modification)، ایجاد اطلاعات (Fabrication)، حملات فعال (Active) و غیرفعال (Passive) تقسیم میشوند.
۱. Interruption؛ وقفه
این حمله با هدف از دسترس خارج کردن، غیرقابل استفاده کردن یا نابود کردن داراییهای یک شبکه پیادهسازی میشود. این حمله یکی از مرسومترین و قدیمیترین بردارهای حمله است. نابودی یک قطعه سختافزاری همچون هارددیسک، قطع کردن یک خط ارتباطی یا غیرفعال کردن سیستم مدیریت فایل مثالهایی از یک حمله وقفه هستند. حمله منع سرویس توزیع شده از شناختهشدهترین بردارهای حمله متعلق به این گروه است.
۲. Interceptionیا Eavesdropping؛ استراق سمع
این حمله به معنای آن است که یک فرد غیرمجاز موفق شده است به داراییهای یک سازمان که محرمانه هستند، دسترسی پیدا کند. استراق سمع، ثبت و ضبط غیرمجاز دادهها یا کپیکردن غیرمجاز فایلها یا برنامهها، مثالهایی از حمله استراق سمع هستند. حمله مرد میانی، از جمله حملاتی است که در این گروه قرار میگیرد.
۳. Modification؛ تغییر
در این مکانیزم حمله، یک شخص غیرمجاز ضمن آنکه به داراییهای یک سازمان دسترسی پیدا کند، این توانایی را مییابد تا اطلاعات را تغییر دهد. این حمله اصل یکپارچگی اطلاعات را نشانه میرود. در چنین حالتی مقادیر درون فایلها و اسناد، اطلاعات درون یک برنامه یا زیرساخت مطابق با اهداف هکر تغییر پیدا کرده و در نتیجه پیامها و دادههایی که درون شبکه انتقال پیدا میکنند، ماهیتی متفاوت از اطلاعاتی دارند که مبدأ اقدام به ارسال آنها کرده است. حمله مسمومسازی سامانه نام دامنه در این گروه قرار میگیرد.
۴. Fabrication؛ ایجاد اطلاعات
یک فرد غیرمجاز، پس از دسترسی به داراییهای یک سازمان به دنبال ویرایش یا حذف آنها نیست. بلکه سعی میکند اطلاعاتی را ایجاد کرده یا اطلاعاتی را درون رکوردهای اطلاعاتی اضافه کند. این حمله اصل اعتبارسنجی اطلاعات را هدف قرار میدهد. ارسال پیامهای جعلی در یک شبکه یا اضافه کردن رکوردهای اطلاعاتی به یک فایل از جمله نمونههای این بردار حمله هستند. حملهای که چند سال پیش با عنوان اخبار جعلی در فیسبوک شهرت پیدا کرد، نمونه دیگری از حملاتی است که درون این گروه قرار میگیرد.
۵. Active؛ حملات فعال
حملاتی که با هدف آسیب رساندن به شبکه یا ایجاد اختلال در عملکرد سامانهها یا انتقال دادهها انجام میشود. در این مدل از حملات هکر تنها به دنبال استراق سمع نیست، بلکه هدفش نابودی یا از دسترس خارج کردن یک سرویس است. حملات فعال بهراحتی قابلتشخیص هستند، زیرا صدمهها و خسارتهای زیادی را متوجه یک سازمان میکنند. از شناختهشدهترین حملات فعال میتوان به حملات منع سرویس انکار شده/ محرومسازی از سرویس (DoS/DDoS)، سرریز بافر (Stackoverflow)، حملات SYN و جعل پروتکل اینترنت (IP) و… اشاره کرد.
۶. Passive؛ حملات منفعل
یک حمله غیرفعال در نقطه مقابل حملات فعال قرار دارد. بهعبارتدیگر، در این مدل مهاجم بهطور مستقیم شبکه قربانی را مورد حمله قرار نمیدهد. در عوض، مهاجم بهطور غیرمستقیم به شبکه نفوذ میکند تا اطلاعاتی را جمعآوری کرده یا صبر میکند تا اتفاقی رخ دهد. برخی از حملات منفعل با هدف شنود مکالمات شخصی یا جاسوسی از افراد انجام میشوند. حملاتی که یک شبکه یا یک سامانه مستقل را نشانه میروند، همگی در شش گروه بالا طبقهبندی میشوند. پس از آشنایی دستهبندی کلی حملات، در ادامه بهطور اجمالی به حملات مختلف نگاهی خواهیم داشت.
جعل ایمیل (e-mail spoofing) یکی از رایجترین تکنیکهایی است که ارسالکنندگان هرزنامهها از آن استفاده میکنند. در این حمله فرستنده فیلد FROM ایمیل را بهگونهای تغییر میدهد که به نظر میرسد پیام از طرف یک منبع یا دامنه قابل اطمینان ارسالشده است
حمله محرومسازی از سرویس
حمله محرومسازی از سرویس DOS (سرنام Denial of Service) باعث ایجاد اختلال در استفاده از یک سرویس یا مدیریت ارتباطات میشود. این حمله ممکن است یک سازمان خاص را نشانه برود و مانع از آن شود تا پیامهای سازمان به مقاصد خاص ارسال شود یا ممکن است با هدف از دسترس خارج کردن کامل یک شبکه یا غیرفعالکردن شبکه، بارگذاری بیش از اندازه پیامها درون یک شبکه یا کاهش عملکرد یک شبکه انجام شود. حمله محرومسازی از سرویس اصل دسترسپذیری را هدف قرار میدهد.
حملات SYN
یک حمله SYN گونهای از حمله منع سرویس توزیع شده است که از یک ضعف اساسی در پروتکل TCP/IP استفاده میکند. یک نشست عادی در پروتکل TCP (سرنام Transmission Control Protocol) شامل دو میزبان ارتباطی است که بستهها و فیلدهای SYN/acknowledgement موسوم به ACK را مبادله میکنند. در شرایط عادی میزبان اول یک بسته SYN را ارسال کرده و میزبان دوم با یک بسته SYN/ACK پاسخ میزبان را داده و صبر میکند تا پاسخ ACK از میزبان اول را دریافت کند. در یک حمله SYN یا حمله سیلآسای SYN مهاجم بهسادگی فقط یک بسته SYN را ارسال میکند و بدون آنکه صبر کند تا قربانی پاسخی ارسال کند، نشست را ترک میکند. حمله زمانی رخ میدهد که مهاجم هزاران هزار بسته SYN را برای قربانی یا قربانیان ارسال میکند و آنها را مجبور میکند منتظر پاسخهایی بمانند که هیچگاه ارسال نخواهد شد. در حالیکه میزبان منتظر پاسخهای متعددی است در عمل قادر نیست به درخواستهای معتبر پاسخ داده و آنها را قبول کند، بنابراین از دسترس خارج میشود. برخی از دیوارهای آتش میتوانند از طریق بازنشانی اتصالات در حال انتظار پس از گذشت مدتزمانی از شبکهها در برابر حملات SYN محافظت کنند.
حملات سرریز بافر
باگهای سرریز بافر یکی از شایعترین مشکلات برنامههای کاربردی هستند. مشکلی که علت بروز آن برنامهنویسان و افرادی است که وظیفه بازرسی کدها را عهدهدار هستند (در موارد خیلی محدودی مشکلات سیستمی باعث بروز مشکل میشوند). حمله سرریز بافر، یکی از رایجترین راههای دسترسی مهاجمان به یک سامانه است. همانگونه که از نامش پیدا است، در این حمله اطلاعات زیادی درون بافر نوشته میشود. بافر یک حافظه موقت است که توسط یک برنامه برای ذخیرهسازی دادهها یا دستورالعملها استفاده میشود. برای پیادهسازی یک حمله سرریز بافر، مهاجم بهسادگی اطلاعات زیادی را درون این بخش از حافظه نوشته و در عمل به رونویسی اطلاعاتی میپردازد که درون این بخش از حافظه قرار دارد. این دادههای اضافی میتواند کاراکترهای بلااستفادهای باشد که باعث خرابی یک برنامه میشود. این دادهها مجموعه دستورالعملهای جدیدی هستند که کامپیوتر قربانی آنها را اجرا خواهد کرد. در حالت کلی یک مهاجم میتواند با یک حمله سرریز بافر به یک سیستم دسترسی پیدا کرده و بهراحتی به یک شبکه نفوذ کند. نوع دیگری از حملات مرتبط به این حمله زمانی است که برنامه کاربردی در انتظار دریافت یک ورودی مشخص است، اما کاربر ورودی که برنامه انتظار آن را ندارد، در اختیارش قرار میدهد. بیشتر برنامهها برای چنین حالتی تدابیر خاص در نظر گرفتهاند، باوجوداین، رخنه فوق ممکن است در برخی از برنامهها مستتر باشد.
حمله مرد میانی
پروتکل TCP/IP به لحاظ مباحث امنیتی کاستیهایی دارد و رخنههای اساسی مهمی درون آن قرار دارد که به دلیل ماهیت این پروتکل برطرف کردن برخی از رخنهها بهسادگی امکانپذیر نیست. رخنههای امنیتی در این پروتکل از یکسو و فقدان یک الگوی امنیتی کاملا دقیق و کارآمد در IPv4 از سویی دیگر باعث به وجود آمدن حمله دیگری موسوم به حمله مرد میانی MITM (سرنام Man – In – The – Middle) میشود. برای درک درست اینکه چگونه یک حمله MITM رخ میدهد، ابتدا باید نحوه عملکرد TCP/IP را بررسی کنیم.
TCP/IP با هدف ارائه یک مکانیزم دقیق امنیتی طراحی نشد، بلکه هدف این بود که پروتکلی طراحی شود که لینکهای درون یک شبکه بتوانند با سرعت بالایی با یکدیگر در ارتباط باشند. یک اتصال TCP/IP بر مبنای رویکرد دستدهی سه مرحلهای کار میکند. به عنوان مثال، میزبان A میخواهد دادهها را به میزبان دیگری (Host B) ارسال کند. برای این منظور یک بسته SYN ابتدایی را که شامل اطلاعات لازم برای شروع ارتباطات است، ارسال میکند. میزبان B با SYN/ACK پاسخ میدهد. SYN ارسالی از سوی میزبان B به میزبان A باعث میشود تا میزبان A یک بسته دیگر ACK را ارسال کند تا ارتباط آغاز شود. حال اگر یک هکر بتواند خود را میان میزبان A و میزبان B قرار دهد، بستههایی که میان دو گروه مبادله میشود، توسط هکر شنود میشود. در ادامه هکر میتواند اطلاعات را تحلیل کرده و در ادامه تغییری در بستههای ارسالی برای دو طرف اعمال کند.
روبایش TCP/IP
ربایش TCP/IP یا ربایش نشست، مشکلی است که بیشتر برنامههای مبتنی بر TCP/IP با آن روبهرو هستند. بهمنظور ربایش یک ارتباط TCP/IP، یک هکر ابتدا باید ارتباط کاربر را قطع کرده و خود را وارد یک نشست TCP/IP کند. این حمله تا حد بسیار زیادی شبیه حمله مرد میانی است. در این مدل حملات از ابزاری موسوم به Hunt برای نظارت و ربایش نشستها استفاده میشود. این حمله بهویژه روی پروتکلهای FTP و Telnet بهخوبی پیادهسازی میشود.
این مدل حملات بیشتر برنامههای مبتنی بر وب و بهویژه برنامههای مرتبط با تجارت الکترونیکی و سایر برنامههای کاربردی را که از کوکیها به شکل گسترده استفاده میکنند، شامل میشوند.
حملات بازپخشی
در یک حمله بازپخشی (Replay Attacks)، یک هکر بخشی از ترافیک حساس شبکه را ضبط کرده و آن را به شکل بازپخشی برای میزبان ارسال کرده و سعی میکند اینکار را تکرار کند. بهعنوان مثال، یک فرآیند انتقال پول الکترونیکی را در نظر بگیرید. کاربر A مبلغی را به بانک B انتقال میدهد. کاربر C که یک هکر است، ترافیک شبکه کاربر A را ضبط کرده و تراکنش را به شکل بازپخشی ارسال کرده و این فرآیند را برای چند مرتبه تکرار میکند. بدیهی است در این حمله به کاربر C منفعتی نمیرسد، اما باعث میشود کاربر A پول قابلتوجهی از دست بدهد. پیادهسازی این حملات کار دشواری است، زیرا به عوامل متعددی نظیر پیشبینی توالی اعداد در پروتکل TCP بستگی دارد.
حمله جعل آدرس آیپی
نمونه کلاسیک حمله جعل، جعل آیپی است. پروتکل TCP / IP نیاز دارد که هر میزبان آدرس اصلی خود را درون بستهها قرار دهد، اما تقریبا هیچگونه راهکاری برای اطمینان از این موضوع در اختیار ندارد. در نتیجه این امکان وجود دارد که یک آدرس نادرست و جعلی بهجای یک آدرس واقعی استفاده شود. پیادهسازی یک حمله جعلی کار واقعا سادهای است که باعث به وجود آمدن رخنههایی در پروتکل TCP/IP میشود.
TCP/IP فرض میکند که همه کامپیوترها در زمان ارسال اطلاعات هویت واقعی خود را بیان میکنند. در چنین شرایطی پروتکل فوق با یک بررسی کاملا مختصر فرض میکند یک بسته از همان آدرسی ارسال شده که مشخصاتش درون سرآیند آیپی درج شده است.
در اواخر دهه ۶۰ میلادی که مهندسان در حال طراحی پروتکلها بودند، تصور نمیکردند که هیچ شخصی در جهان بتواند از پروتکلها سوءاستفاده کند و از سوی دیگر بر این باور بودند، کامپیوترها دروغ نمیگویند. این دیدگاه باعث شد تا امروزه انواع مختلفی از حملات جعل آیپی گریبانگیر زیرساختهای ارتباطی شود.
البته راهکارهایی برای مقابله با حمله جعل وجود دارد. دیوارهای آتش فارغ از حالت (Stateful) به مکانیزمهای محافظت در برابر جعل تجهیز شدهاند که قادر هستند چنین حملاتی را شناسایی کرده و متوجه شوند آیا بستهای که ادعا میکنند متعلق به یک شبکه است، بهراستی به چنین شبکهای تعلق دارد یا از شبکه دیگری وارد شده است؟
جعل ایمیل
هرزنامهها یکی از مشکلات بزرگ اینترنت هستند. جعل ایمیل (e-mail spoofing) یکی از رایجترین تکنیکهایی است که ارسالکنندگان هرزنامهها از آن استفاده میکنند. در این حمله فرستنده فیلد FROM ایمیل را بهگونهای تغییر میدهد که به نظر میرسد پیام از طرف یک منبع یا دامنه قابل اطمینان ارسالشده است.
برای مثال، ایمیلی با عنوان «Vacation Plates.xls» از دامنه mailto: hr@yourcompany.com برای چند کارمند یک سازمان ارسال میشود که محتوای درون آن شامل کدهای مخرب است. پیادهسازی حمله جعل ایمیل ساده بوده و بهسختی میتوان آن را متوقف کرد.
جعل وبسایت
جعل وبسایت زمانی رخ میدهد که یک مهاجم وبسایتی طراحی میکند که شباهت بسیار زیادی به نمونه واقعی آن دارد. این حمله عمدتا در ارتباط با سایتهای فعال در زمینه تجارت الکترونیک، سایتهای متعلق به بانکها و صرافیها استفاده میشود.
هدف اصلی از طراحی یک وبسایت جعلی این است که بازدیدکنندگان فریبخورده و تصور کنند در حال بازدید از سایت اصلی هستند و در ادامه اطلاعات حساب کاربری خود را درون سایت جعلی وارد کنند. اغلب این حمله در تعامل با حمله مسمومسازی سامانه نام دامنه انجام میشود.
در اواخر دهه ۶۰ میلادی که مهندسان در حال طراحی پروتکلها بودند، تصور نمیکردند که هیچ شخصی در جهان بتواند از پروتکلها سوءاستفاده کند و از سوی دیگر بر این باور بودند، کامپیوترها دروغ نمیگویند. این دیدگاه باعث شد تا امروزه انواع مختلفی از حملات جعل آیپی گریبانگیر زیرساختهای ارتباطی شود
فیشینگ
فیشینگ ترکیبی از حملات جعل ایمیل و وبسایت بوده و یکی از خطرناکترین حملاتی است که تقریبا هر سازمانی را ممکن است قربانی خود کند. یک حمله فیشینگ با ارسال حجم بالایی از ایمیلهای جعلی برای کارمندان یک سازمان کار خود را آغاز میکند. هکرها در ادامه ادعا میکنند کارمندان بخش منابع انسانی هستند و شکایاتی از طرف مشتریان سازمان مبنی بر تخلف کارمندان دریافت کردهاند و یک اخطار رسمی برای کارمندان ارسال میکنند که باید برای پاسخگویی به این شکایات به آدرسی که در ایمیل ضمیمه شده است، مراجعه کرده، اطلاعات حساب کاربری خود را درون آن وارد کرده و به شکایات پاسخ دهند. هنگامیکه یک کارمند اطلاعات خود را درون سایت جعلی وارد میکند، هکرها مجوز لازم را برای ورود به شبکه سازمان به دست میآورند؛ این در حالی است که کارمند هیچگاه متوجه نخواهد شد در چه دامی گرفتار شده است. بهترین روش برای محافظت در برابر فیشینگ این است که پیش از کلیک روی لینکهایی که درون یک ایمیل قرار دارند، ابتدا از اصالت و درستی آنها مطمئن شوید.
حمله شیرجه در زبالهها
شیرجه زدن در زبالهها (Dumpster Diving) فرآیندی است که یک هکر سعی میکند درون زبالههای یک سازمان کنکاشی انجام دهد تا اطلاعات ارزشمندی را به دست آورد. این حمله مجازی نیست و بهطور مستقیم با سطل زباله واقعی سازمانها در ارتباط است. این کار بهمنظور پیدا کردن اطلاعات مشتریان، محصولات، یادداشتهای داخلی و حتی اطلاعات مربوط به گذرواژههایی که بدون امحاء کامل درون سطلهای زباله ریخته شدهاند، انجام میشود. در یک نمونه معروف و واقعی، یک شرکت طراحی لباس فراموش کرد اطلاعات مربوط به طراحی لباسهای آینده خود را بهدرستی امحاء کند. مدتزمان زیادی طول نکشید که اطلاعات فوق به دست شرکت رقیب رسید و همان طراحیها از سوی شرکت رقیب به نمونه واقعی تبدیل شدند. به همین دلیل مهم است که سازمانها از یک روش مطمئن برای حذف کامل کپیها و اطلاعات محرمانه استفاده کنند. وجود یک دستگاه امحاءکننده ارزانقیمت کاغذها ممکن است جلوی یک ضرر و زیان هنگفت را بگیرد. حمله شیرجه در زبالهها با حمله بعدی مهندسی اجتماعی کاملا مرتبط و در واقع مکمل آن است.
مهندسی اجتماعی
حملات مهندسی اجتماعی در زمان تدوین برنامههای راهبردی امنیت نادیده گرفته میشوند، درحالیکه جزو خطرناکترین و آسانترین روشها برای نفوذ به یک شبکه هستند. مهندسی اجتماعی چیزی فراتر از یک دروغگویی خلاقانه نیست. در این حمله هکر ابتدا به سراغ سطلهای زباله یک سازمان میرود تا در ارتباط با اسناد مهم، شماره تلفنها، فهرست اسامی کارکنان اجرایی و … اطلاعاتی به دست آورد. بهعنوان مثال، دانستن نام افراد مهمی که سمتی در یک سازمان دارند، مهاجم را فردی قابل اعتماد نشان داده و حتی اجازه میدهد او خود را به جای فرد دیگری معرفی کرده و در ادامه از کارمندان درخواست کند، اطلاعات طبقهبندی شده یا اطلاعات هویتی را از طریق تلفن برای او بازگو کنند. حمله فوق غالبا همراه با حمله جعل هویت (Masquerade) است. متاسفانه شما نمیتوانید نقش یک دیوارآتش را برای کارکنان بازی کنید، اما میتوانید در مورد خطمشیهای امنیتی و افشای اطلاعات، بهویژه از طریق تلفن یا ایمیل، کارمندان را آگاه کنید. معمولا ضعیفترین و آسیبپذیرترین عنصر یک شبکه عامل انسانی است.
حمله منع سرویس توزیعشده (DDoS)
حمله منع سرویس توزیعشده، حملهای در مقیاس بالا است که با هدف از دسترس خارج کردن یک سرویس روی بستر اینترنت به مرحله اجرا درمیآید. حملهای که سعی میکند اصل دسترسپذیری را نقض کند. یک حمله DDoS بهطور غیرمستقیم حملات DoS را روی طیف گستردهای از سامانههای رایانهای اجرا میکند. سامانههایی که از آنها به نام قربانیان ثانویه یاد شده و سرویسها و منابع اینترنتی که تحتتاثیر مستقیم این حمله قرار دارند، قربانیان اصلی نامیده میشوند. یک حمله DDoS در دو مرحله اجرا میشود: اول، مهاجم شبکهای متشکل از هزاران رایانه به دام افتاده را که زامبیها یا باتها نام دارند، ایجاد کرده؛ دوم یک حمله سیلآسا به میزبان هدف را ترتیب داده و حجم بسیار بالایی از درخواستها و ترافیک را به سمت قربانی هدایت میکند تا اینکه سرویسهای قربانی بهطور کامل از دسترس خارج شوند. حملات DDoS اغلب ترکیبی از چهار حمله Trinoo، TFN، TFN2K و techeldraht هستند.
منبع:شبکه-مگ