ما هو تجريد SSL وكيفية تجنبه؟

نشرت: 2021-10-07

تجريد SSL ، المعروف أيضًا باسم هجمات الرجوع إلى إصدار أقدم من SSL ، هو بعبارات بسيطة ، تنصت عالي التقنية ، غير مكتشف.

الهدف من هجوم SSL Stripping هو دائمًا قتل الاتصالات الآمنة دون أن تدرك الضحية. الأمر كله يتعلق بجمع البيانات ومعالجتها.

يسمح SSL Stripping للمهاجمين بتقليل اتصالك من HTTPS آمن إلى HTTP غير آمن. وهذا بدوره يجعلك عرضة للتجسس والتلاعب بالبيانات.

إنه مشابه إلى حد ما للتنصت على المكالمات الهاتفية ، ولكنه أكثر تقنية قليلاً.

ومع ذلك ، فإن كل من التنصت على المكالمات الهاتفية و SSL Stripping لهما "رجل في الوسط" - الشخص الذي يقوم بالتنصت. في هذه الحالة ، يكون المخترق هو الذي ينشئ خادمًا وكيلاً يعترض حركة المرور ويعيد توجيهها من كمبيوتر الضحية إلى جهازهم. يمكنهم بعد ذلك استخدام المعلومات التي تم اعتراضها للقيام بأي شيء يريدونه.

لن يدرك المستخدمون في كثير من الأحيان أن معلوماتهم قد تم اختراقها أو تم اختراقها ، لأنهم سينتهي بهم الأمر في صفحة تبدو عمليا مماثلة لتلك التي كانوا يبحثون عنها.

هذه هي الطريقة التي يخدع بها SSL Stripping المستخدمين للاعتقاد بأن اتصالهم آمن وأن بياناتهم مشفرة ، لكن الاتصال غير آمن في الواقع ويتم إرسال البيانات بنص عادي ، لأنه كان من الممكن تجريد التشفير منه. لهذا السبب يطلق عليه "شريط" SSL.

كيف يعمل تجريد SSL؟

تزدهر تقنية SSL Stripping في ثلاثيات. لا يمكن أن يحدث هجوم بدون وجود ثلاث كيانات مطلوبة.

يجب أن يكون:

  • نظام الضحية
  • خادم ويب آمن
  • نظام المهاجمين

مع وجود هذه القطع الثلاث في مكانها ، تبدأ عجلة الخداع بالدوران.

هنا مثال.

 تحاول Jane شراء زوج من الأحذية من خلال موقع ويب آمن يدعم HTTPS.
يدرك جون - المتسلل - ذلك ويريد التقاط الاتصال والاطلاع على معلومات جين السرية. فكر في رقم بطاقة الائتمان وكلمات المرور وما إلى ذلك.
للقيام بذلك ، يضع جون نفسه في منتصف الصفقة ، من خلال إقامة اتصال مع الضحية. يؤدي هذا بعد ذلك إلى قطع اتصال Jane بالخادم الآمن.
جين ، غير مدركة لما يحدث ، تواصل تسوقها ؛ تجد الأحذية التي تحبها وتشرع في الدفع عن طريق طلب موقع مصرفي على متصفحها.
ومع ذلك ، يذهب الطلب إلى جون ، الذي يحيله إلى خادم الموقع المصرفي الفعلي.
يرسل خادم الويب الاستجابة إلى John ، معتقدًا أنها Jane- في شكل عنوان URL لـ HTTPS.
ثم يواصل جون استخدام مهاراته في الترميز لتقليل عنوان HTTPS URL الآمن إلى عنوان HTTP غير آمن ويمرر ذلك إلى جين ، التي لا تعرف ما حدث في الخلفية.
نظرًا لأن هجوم John كان ناجحًا ، فإن أي معلومات ترسلها Jane لم تعد مشفرة. يتيح ذلك لجون الوصول الكامل إلى كلمات المرور وتفاصيل بطاقة الائتمان وعنوان المنزل وما إلى ذلك.

لاحظ بعناية ، أن معلومات جون لا يتم اختراقها أبدًا أثناء الهجوم ، لأن اتصاله بالموقع محمي بواسطة بروتوكول SSL.

قد تبدو العملية طويلة وتستغرق وقتًا طويلاً ، ولكنها لا تستغرق سوى بضع دقائق لإطلاق هجوم SSL Stripping ناجح.

كيفية منع موقع الويب الخاص بك من SSL Stripping

من الصعب الكشف عن الصفحات المخترقة. هذا أحد الأسباب التي تجعل SSL Stripping أمرًا خطيرًا للغاية. ولكن هناك عدد من الخطوات التي يمكن اتخاذها لحماية موقع الويب الخاص بك من الهجمات.

فيما يلي ثلاث طرق للحماية من هجمات SSL Stripping.

  • شهادات SSL
  • HSTS
  • قائمة التحميل المسبق لـ HSTS

شهادات SSL

سيوفر فهم شهادات SSL صورة أوضح عن كيفية مساعدتها في الحماية من الهجمات.

شهادات SSL هي ملفات بيانات صغيرة تتحقق من هوية موقع ويب وتقوم بتشفير المعلومات المرسلة إلى الخادم. عندما تقوم بتثبيت شهادة SSL على خادم ويب ، فإنها تقوم بتنشيط رمز القفل الآمن وبروتوكول https الذي يسمح بالاتصالات الآمنة من خادم الويب إلى المستعرض.

HSTS

يوفر HTTP Strict Transport Security أو HSTS مستوى أعلى من الأمان من خلال توجيه متصفح الكمبيوتر الخاص بك إلى الاتصال فقط من خلال HTTPS. يتطلب أيضًا ألا يتصل جهاز الكمبيوتر الخاص بك مطلقًا ، أثناء عدم تشفيره ، باستخدام HTTP.

من خلال القيام بهذين الأمرين ، يضمن HTTS عدم نجاح هجمات SSL Stripping التي تم إطلاقها على متصفحك.

ومع ذلك ، فإن HTTS ليس طريقة مقاومة للرصاص ضد هجمات SSL Stripping. إذا تعرضت بالفعل للهجوم عند زيارتك للموقع لأول مرة ، فقد لا يكون استخدام HTTS بأثر رجعي مفيدًا.

لهذا السبب ، يُنصح برفع الأمور قليلاً ، وهو ما يقودنا إلى المركز الثالث

الطريقة - استخدام قائمة التحميل المسبق HSTS.

قائمة التحميل المسبق لـ HSTS

قائمة التحميل المسبق لـ HSTS عبارة عن مخزون عالمي من مواقع الويب التي تستخدم اتصالات HTTPS فقط.

يوفر مستوى آخر من الأمان لموقعك ونحث مالكي مواقع الويب على تثقيف أنفسهم في القائمة وكيفية القيام بذلك لحماية مواقعهم الإلكترونية من هجمات SSL Stripping.

يجب إعداد قائمة HSTS Preload لتقديم رأس HSTS على النطاق الأساسي لجميع طلبات HTTPS.

سيشير بعد ذلك إلى جميع المتصفحات أنه يجب تحميل الموقع فقط بموجب بروتوكول HTTPS. يتم رفض كافة الأشكال الأخرى.

بمعنى آخر ، تعمل قائمة HSTS Preload List من خلال رفض الاتصال بموقع ويب إذا اكتشف المستعرض بروتوكول HTTP.

قد لا يتمكن المستخدم العادي من معرفة ما إذا كان موقع الويب يستخدم HSTS أو قائمة HSTS Preload أو به نقاط ضعف أخرى.

لهذه الأسباب ، يُنصح بمزيد من التفكير في خيارات حماية الخصوصية الأكثر أمانًا مثل:

  • شهادة SSL Wildcard
  • VPN
  • تعليم

شهادة SSL Wildcard

هناك أنواع مختلفة من شهادات SSL. Wildcard SSL هو نوع واحد. إنهم قادرون على تأمين مجالات فرعية غير محدودة على شهادة واحدة. يوفر طبقة إضافية من الأمان ويمكن إضافته إلى تكلفة شهادة SSL ، من خلال شراء كليهما في نفس الوقت. إنه حل رائع لأي شخص يستضيف أو يدير عدة مواقع أو صفحات موجودة في نفس المجال.

VPN

يمكن لشبكة افتراضية خاصة أو VPN أن تمنع بسهولة هجوم SSL Stripping ، عن طريق الاستغناء عن الرجل في المنتصف.

يكون الهجوم ممكنًا في الغالب عندما يشارك المستخدم شبكة مشتركة مع المهاجم. ولكن نظرًا لأن VPN تقوم بتشفير وحماية جميع حركات المرور على الإنترنت داخل نفق VPN آمن ، فلن يعرف المتسلل أنك على نفس الشبكة ، وبالتالي يمنع أي هجوم.

يقلل أمان VPN أو يلغي تمامًا الحاجة إلى التحقق باستمرار من HTTP أو HTTPS أو رموز القفل أو أي شيء آخر. أسماء المستخدمين وكلمات المرور والمعلومات السرية الأخرى محمية من المستخدمين الآخرين.

تعليم

التعليم أمر بالغ الأهمية لفهم وتجنب تعرية SSL.

فيما يلي بعض الاحتياطات الأساسية التي يمكن للمستخدمين اتخاذها لتجنب الوقوع ضحية لتعرية طبقة المقابس الآمنة.

  • شبكة WiFi : هناك في بعض الأحيان رغبة ملحة في استخدام شبكة Wi-Fi العامة لتوفير البيانات أو لأسباب أخرى تبدو وجيهة. ومع ذلك ، يجب تجنب شبكات Wi-Fi العامة ، لا سيما عند إرسال معلومات حساسة.
  • HTTPS Everywhere: هذا امتداد متصفح يجبر المتصفحات على إرسال المعلومات عبر مواقع HTTPS فقط. يجب تشجيع المستخدمين على تنزيله.
  • HTTPS : قد تبدو الكتابة في https كجزء من عنوان URL مضيعة للوقت ، ولكنها مشكلة كبيرة جدًا. حتى إذا لم تكتبه ، فتأكد من وجود هذه الأحرف الخمسة قبل النقر عليها.
  • الروابط : الحديث عن عدم النقر. إذا كان هناك رابط أو بريد إلكتروني يبدو مريبًا ، فمن المحتمل أن يكون كذلك ، لذا قاوم الرغبة في النقر عليه.
  • أدوات مراقبة مواقع الويب: من أفضل الطرق للتعرف على النشاط الضار استخدام برنامج مراقبة موقع ويب متميز. يمكن أن يساعد ذلك في توفير تنبيهات في الوقت الفعلي بشأن النشاط غير المعتاد على موقع الويب الخاص بك.

ملخص

يحدث SSL Stripping في الخلفية ولا يدرك معظم المستخدمين عمومًا ، لكنهم مسلحين بمعلومات SSL الأساسية المجانية يمكن للمستخدمين ومالكي مواقع الويب حماية أنفسهم من الهجمات.