مثل الرجل في الوسط. الأسئلة الشائعة الفنية. لماذا تعتمد على خوارزميات التشفير الكلاسيكية؟

هجوم الرجل في الوسط هو اسم عام لمختلف التقنيات التي تهدف إلى الوصول إلى حركة المرور كوسيط. ونظرًا للتنوع الكبير في هذه التقنيات، فمن الصعب تنفيذ أداة واحدة للكشف عن هذه الهجمات والتي من شأنها أن تعمل في جميع المواقف المحتملة. على سبيل المثال، في هجوم رجل في الوسط على شبكة محلية، عادةً ما يتم استخدام انتحال ARP (التسميم). وتقوم العديد من أدوات الكشف عن الهجمات الوسيطة بمراقبة التغييرات في أزواج عناوين Ethernet/أو الإبلاغ عن نشاط ARP مشبوه من خلال المراقبة السلبية لطلبات/استجابات ARP. ولكن إذا تم استخدام هذا الهجوم على خادم وكيل تم تكوينه بشكل ضار، أو VPN، أو خيارات أخرى لا تستخدم تسميم ARP، فإن هذه الأدوات تكون عاجزة.

الغرض من هذا القسم هو مراجعة بعض التقنيات للكشف عن هجمات الرجل في الوسط، بالإضافة إلى بعض الأدوات المصممة لتحديد ما إذا كنت مستهدفًا بهجوم MitM. نظرًا لتنوع المنهجيات وسيناريوهات التنفيذ، لا يمكن ضمان الكشف بنسبة 100%.

1. الكشف عن تعديل حركة المرور

كما ذكرنا سابقًا، لا تستخدم هجمات الوسيط دائمًا انتحال ARP. لذلك، في حين أن اكتشاف النشاط في طبقة ARP هو طريقة الكشف الأكثر شيوعًا، فإن الطريقة الأكثر عمومية هي اكتشاف تعديل حركة المرور. يمكن لبرنامج mitmcanary مساعدتنا في هذا.

مبدأ تشغيل البرنامج هو أنه يقدم طلبات "التحكم" ويحفظ الردود الواردة. وبعد ذلك، يكرر نفس الطلبات على فترات زمنية معينة ويقارن الردود التي يتلقاها. البرنامج ذكي للغاية، ولتجنب النتائج الإيجابية الكاذبة، فهو يحدد العناصر الديناميكية في الاستجابات ويعالجها بشكل صحيح. بمجرد اكتشاف البرنامج لآثار نشاط أدوات هجمات MitM، يقوم بالإبلاغ عن ذلك.

أمثلة على كيفية "وراثة" بعض الأدوات:

يقوم MITMf، بشكل افتراضي، بتغيير كافة عناوين URL الخاصة بـ HTTPS في كود HTML إلى HTTP. تم اكتشافه من خلال مقارنة محتوى HTTP.
Zarp + MITMProxy، يحتوي MITMProxy على وظيفة تسمح لك بمسح ضغط HTTP، ويستخدم هذا لشفافية حركة المرور المرسلة، ويتم اكتشاف هذا المزيج من خلال اختفاء الضغط الموجود مسبقًا
المستجيب، الذي تم تحديده من خلال التغييرات المفاجئة في تحويل استجابات mDNS: استجابة غير متوقعة؛ الجواب داخلي، أما الخارجي فهو متوقع؛ الاستجابة مختلفة عن IP المتوقع

MITMCanary مقابل MITMf:

MITCanary مقابل المستجيب:

MITMCanary مقابل Zarp + MITMProxy:

Sudo pip install Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid urlopen تحليل طلب simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

كما ذكرنا سابقًا، يحتاج mitmcanary إلى بدء العمل مع استعلامات التحكم. للقيام بذلك، انتقل إلى الدليل

خدمة الأقراص المضغوطة/

وقم بتشغيل الملف setup_test_persistence.py:

Python2 setup_test_persistence.py

سيستغرق هذا بعض الوقت - انتظر حتى ينتهي. يجب ألا تكون هناك رسائل خطأ (إذا كان الأمر كذلك، فأنت تفتقد بعض التبعيات).

سيكون الإخراج شيء من هذا القبيل:

Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py تم اكتشاف إصدار تكوين أقدم (0 بدلاً من 14) جارٍ ترقية التكوين. تم إطلاق سجل التطهير. جارٍ التحليل... انتهت عملية التطهير! سجل تسجيل الدخول /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (افتراضي، 1 سبتمبر 2016، الساعة 20:27:38)

بعد الانتهاء من هذه العملية، قم بالتنفيذ في نفس الدليل (سيبدأ هذا عملية في الخلفية):

Python2 main.py

بعد ذلك، افتح نافذة طرفية جديدة وانتقل إلى الدليل النهائي باستخدام mitmcanary. الدليل الخاص بي هو bin/mitmcanary/، لذلك قمت بالدخول

قرص مضغوط بن/mitmcanary/

وافعل هناك:

Python2 main.py

تعرض النافذة الأولى شيئًا مثل:

Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py سجل تسجيل الدخول /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (افتراضي، 1 سبتمبر 2016، 20:27:38) باستخدام للاستماع إلى مقبس Tuio على 127.0.0.1:3000 النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية

أولئك. يقوم البرنامج بإجراء طلبات التحكم مرة واحدة في الدقيقة ويبحث عن علامات هجوم رجل في الوسط.

تحتوي النافذة الثانية أيضًا على مخرجات + تفتح نافذة داكنة، ويطلق مؤلفو البرنامج على هذه النافذة اسم "الواجهة الرسومية":

يمكنك الانتظار لبعض الوقت وتصفح الإنترنت للتأكد من أن البرنامج لا يصدر أي تحذيرات كاذبة.

دعونا نجرب البرنامج الكلاسيكي Ettercap.

أقوم بشن هجوم MitM منتظم باستخدام خداع ARP. mitmcanary لا يستجيب للحفر نفسه. تقوم أداة mitmcanary بإنشاء حركة المرور بنفسها، أي لا يلزم اتخاذ أي إجراء من قبل المستخدم. وبعد مرور بعض الوقت، يظهر تحذير واحد، وهو ما لم يتم تأكيده أثناء عمليات الفحص اللاحقة. ولكن يظهر تحذير مماثل بعد بضع دقائق. بدون مزيد من التحليل، أجد صعوبة في تحديد ما إذا كان هذا مثالًا على نتيجة إيجابية كاذبة - فهو يشبهه كثيرًا. من الممكن أن يكون سبب هذا التحذير هو فشل الاتصال بسبب الحاجة إلى مرور حركة المرور عبر مسارات إضافية، أو بسبب خصوصيات اتصال الإنترنت الرديء الجودة.

نظرًا لأن النتيجة ليست واضحة (على الأرجح "لا" بدلاً من "نعم")، فلنجرب برنامج Bettercap، الذي يحتوي على مجموعة متنوعة من الوحدات. ليس لدي أدنى شك في أننا إذا استخدمنا العديد من مكونات Ettercap الإضافية و/أو البرامج الإضافية لتوسيع الوظائف، فسنقوم أيضًا "بإضاءة" mitmcanary.

من أجل نقاء التجربة، أقوم بإعادة تشغيل الجهاز، وتشغيل mitmcanary على الجهاز المهاجم وBettercap على الجهاز المهاجم. وفي الوقت نفسه، ليس من الضروري تقديم طلبات التحكم مرة أخرى على الجهاز الذي تمت مهاجمته - حيث يتم حفظها في ملف داخل الدليل مع البرنامج. أولئك. يكفي بدء الخدمة والواجهة الرسومية.

وفي آلة الهجوم، سنطلق Bettercap مع تمكين المحللين:

سودو بيتركاب -X

تظهر تحذيرات فردية، والتي تبدو أيضًا وكأنها نتائج إيجابية كاذبة.

لكن تشغيل هذا الأمر:

Sudo Bettercap -X --proxy

على الجهاز الذي تمت مهاجمته، يتم إنشاء عدد كبير من التحذيرات حول هجوم محتمل من رجل في الوسط:

لذلك، كلما كانت أداة هجوم الرجل في الوسط أقوى، كلما زادت الآثار التي تتركها في حركة المرور. للاستخدام العملي لـ mitmcanary، يجب استيفاء الشروط التالية:

تقديم طلبات أولية على شبكة موثوقة عندما تكون متأكدًا من عدم وجود وسيط في نقل حركة المرور؛
قم بتحرير الموارد التي يتم تقديم طلبات التحقق إليها، حيث يمكن للمهاجم المحترف إضافة الموارد الافتراضية إلى الاستثناءات، مما يجعله غير مرئي لهذه الأداة.

2. الكشف عن انتحال ARP (تسمم ذاكرة التخزين المؤقت لـ ARP)

في كثير من الأحيان، يبدأ هجوم رجل في الوسط على شبكة محلية بتسمم ARP. ولهذا السبب تعتمد العديد من الأدوات المصممة لاكتشاف هجمات MitM على آلية مراقبة التغييرات في ذاكرة التخزين المؤقت لـ ARP، والتي تقوم بتعيين المراسلات بين Ethernet (عناوين MAC) وعناوين IP.

كمثال على هذه البرامج، يمكننا أن نتذكر arpwatch و arpalert وعدد كبير من البرامج الجديدة. لا يقوم برنامج ArpON بمراقبة التغييرات في ذاكرة التخزين المؤقت لـ ARP فحسب، بل يحميها أيضًا منها.

على سبيل المثال، لنقم بتشغيل arpwatch في وضع التصحيح، دون إنشاء تفرعات في الخلفية وإرسال الرسائل عبر البريد. بدلاً من ذلك، يتم إرسال الرسائل إلى stderr (إخراج الخطأ القياسي).

سودو /usr/sbin/arpwatch -d

لنبدأ بتشغيل Ettercap على الجهاز المهاجم ونبدأ في انتحال ARP. على الجهاز المهاجم نلاحظ:

سيساعدك برنامج arpwatch على التعرف سريعًا على الأجهزة الجديدة المتصلة بشبكتك المحلية، بالإضافة إلى التغييرات في ذاكرة التخزين المؤقت لـ ARP.

هناك أداة أخرى للكشف عن انتحال ARP في الوقت الفعلي وهي البرنامج المساعد Ettercap المسمى arp_cop. على الجهاز الذي تمت مهاجمته، قم بتشغيل Ettercap كما يلي:

سودو ettercap -TQP arp_cop ///

وعلى المهاجم سنبدأ بتسمم ARP. تبدأ التحذيرات فورًا في الظهور على الجهاز الذي تمت مهاجمته:

3. الكشف عن انتحال DNS

يشير انتحال DNS إلى وجود وسيط بينك وبين وجهتك يمكنه تعديل حركة المرور الخاصة بك. كيف يمكنك اكتشاف أن سجلات DNS قد تم انتحالها؟ أسهل طريقة للقيام بذلك هي المقارنة مع الإجابات الواردة من خادم الأسماء الذي تثق به. ولكن يمكن أيضًا استبدال الإدخالات الموجودة في الرد المرسل لطلبك...

أولئك. تحتاج إلى التحقق إما من خلال قناة مشفرة (على سبيل المثال، من خلال Tor)، أو استخدام إعدادات غير قياسية (منفذ آخر، TCP بدلا من UDP). هذا هو تقريبًا ما تم تصميم برنامج sans من XiaoxiaoPu من أجله (على الأقل كما أفهمه). باستخدام هذا البرنامج، تمكنت من إعادة توجيه طلبات DNS عبر Tor ومن خلال الإعدادات غير القياسية إلى خادم DNS الخاص بي. لكنني لم أتمكن من جعلها تعرض لي رسائل حول انتحال استجابة DNS. وبدون هذا يضيع معنى البرنامج.

لم أتمكن من العثور على أي بدائل أكثر قيمة.

من حيث المبدأ، نظرًا لأن منتحلي DNS يراقبون عادةً المنفذ 53 فقط، وبروتوكول UDP فقط، حتى يدويًا، يكفي التحقق ببساطة من حقيقة انتحال DNS، على الرغم من أن هذا يتطلب خادم DNS الخاص بك بتكوين غير قياسي. على سبيل المثال، قمت بإنشاء ملف على الجهاز المهاجم dns.confبالمحتوى التالي:

المحلية mi-al.ru

أولئك. عند طلب سجل DNS لموقع mi-al.ru، سيتم إرسال عنوان IP الخاص بجهاز المهاجم بدلاً من عنوان IP الحقيقي.

أركض على آلة الهجوم:

سودو Bettercap --dns dns.conf

وعلى الشخص المهاجم أقوم بإجراء فحصين:

حفر mi-al.ru # وحفر mi-al.ru -p 4560 @185.117.153.79

نتائج:

Mial@HackWare:~$ dig mi-al.ru ;<<>> ديج 9.10.3-P4-ديبيان<<>> mi-al.ru ;; الخيارات العامة: +cmd ;; حصلت على الجواب: ;; - >>الرأس<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> ديج 9.10.3-P4-ديبيان<<>> mi-al.ru -p 4560 @185.117.153.79 ;; الخيارات العامة: +cmd ;; حصلت على الجواب: ;; - >>الرأس<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

يمكن ملاحظة أنه بالنسبة لطلب DNS "العادي"، تم إرسال IP المحلي 192.168.1.48، وعند طلب DNS على منفذ غير نمطي، تم إرسال عنوان IP الصحيح للخادم.

إذا تم تكوين الخادم لاستخدام TCP (بدلاً من UDP)، فسيبدو الأمر كما يلي:

حفر mi-al.ru -p 4560 +tcp @185.117.153.79

من الواضح أن هناك نقصًا في الأداة التي يمكنها بنفسها مراقبة استجابات نظام أسماء النطاقات (DNS) في حركة المرور، والتحقق منها مرة أخرى مقابل مصدر بديل، وإطلاق إنذار في حالة الانتحال.

لتجنب إعداد DNS البعيد الخاص بك، يمكنك إجراء استعلامات خادم الأسماء عبر Tor. وبما أن كل حركة مرور Tor مشفرة، فإن استجابات DNS التي يتم الحصول عليها بهذه الطريقة تتجاوز قدرات الوسيط. إذا لم يكن Tor مثبتًا بالفعل، فقم بتثبيته.

Sudo apt-get install tor

سودو بكمن -S تور

ابدأ الخدمة:

سودو systemctl بدء تور

إذا كنت في حاجة إليها، أضف هذه الخدمة لبدء التشغيل:

سودو systemctl تمكين تور

افتح الملف /etc/tor/torrcوأضف الأسطر التالية هناك:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit,.onion

انتبه إلى الرقم 530. هذا هو رقم المنفذ، بدلاً من 530، يمكنك تحديد أي منفذ آخر (غير مستخدم). الشيء الرئيسي هو أن نتذكره.

نتحقق مرة أخرى:

احفر mi-al.ru # واحفر mi-al.ru -p 530 @localhost

الآن نحدد كخادم مضيف محلي، واكتب رقم المنفذ الذي حددته في إعدادات /etc/tor/torrc.

كما ترون من لقطة الشاشة التالية، يتم تنفيذ هجوم انتحال DNS على الجهاز الذي تم إجراء الفحص عليه:

4. ابحث عن واجهات الشبكة في الوضع المختلط

إذا كانت هناك (وخاصة إذا ظهرت فجأة) معدات في وضع غير شرعي على شبكتك المحلية، فهذا أمر مريب للغاية، على الرغم من أنه لا يشير بوضوح إلى وجود هجوم رجل في الوسط.

في هذا الوضع، تسمح لك بطاقة الشبكة باستقبال كافة الحزم بغض النظر عن الجهة التي يتم توجيهها إليها.

في الحالة العادية، تستخدم واجهة Ethernet تصفية حزم طبقة الارتباط وإذا كان عنوان MAC الموجود في رأس الوجهة للحزمة المستلمة لا يتطابق مع عنوان MAC الخاص بواجهة الشبكة الحالية ولا يتم بثه، فسيتم تجاهل الحزمة. في الوضع "المختلط"، يتم تعطيل التصفية على واجهة الشبكة ويتم السماح بدخول جميع الحزم، بما في ذلك تلك غير الموجهة إلى العقدة الحالية، إلى النظام.

تتطلب معظم أنظمة التشغيل حقوق المسؤول لتمكين الوضع المختلط. أولئك. يعد ضبط بطاقة الشبكة على الوضع غير المختلط إجراءً متعمدًا قد يخدم أغراض الاستنشاق.

للبحث عن واجهات الشبكة في الوضع المختلط، يوجد مكون إضافي يسمى Ettercap search_promisc.

مثال لتشغيل البرنامج المساعد:

سودو ettercap -TQP search_promisc ///

لا يمكن الاعتماد على تشغيل البرنامج الإضافي بشكل كامل؛ فقد تحدث أخطاء في تحديد وضع واجهة الشبكة.

خاتمة

تترك بعض أساليب الهجوم الوسيط الكثير من الآثار، وبعضها (مثل البحث السلبي عن بيانات اعتماد الوكيل) يكون من المستحيل أو يكاد يكون من المستحيل اكتشافه.

يستخدم MTProto طريقة أصلية لتحقيق الموثوقية في اتصالات الهاتف المحمول الضعيفة حاليًا والسرعة في تسليم الملفات الكبيرة (على سبيل المثال، الصور ومقاطع الفيديو والمستندات التي يصل حجمها إلى 1 جيجابايت). تهدف هذه الوثيقة إلى توضيح تفاصيل نظامنا ومعالجة العناصر التي قد يصعب فهمها للوهلة الأولى.

وثائق البروتوكول التفصيلية متاحة على هذه الصفحة. إذا كان لديك أي أسئلة، الكتابة إلى تويتر.

ملحوظة:تحتوي كل رسالة مشفرة من خلال MTProto دائمًا على البيانات التالية، والتي سيتم فحصها أثناء فك التشفير لجعل النظام آمنًا ضد المشكلات المعروفة:

معرف الجلسة - معرف الجلسة؛
طول الرسالة - طول الرسالة؛

ملاحظة 2:انظر التعليقات الإضافية بخصوص الاستخدام، و معدلمخطط .

لماذا لا تستخدم X [خيارك]

وفي حين توجد بلا شك طرق أخرى لتحقيق نفس أهداف التشفير، فإننا نعتقد أن الحل الحالي موثوق به وينجح في تحقيق هدفنا الثانوي المتمثل في التفوق على برامج المراسلة غير الآمنة من حيث سرعة التسليم والاستقرار.

لماذا تعتمد على خوارزميات التشفير الكلاسيكية؟

نحن نفضل استخدام الخوارزميات المعروفة التي تم إنشاؤها في الأيام التي كان فيها عرض النطاق الترددي وقوة المعالجة زوجًا نادرًا. هذه الخوارزميات لها تأثير كبير على تطوير تطبيقات الأجهزة المحمولة اليوم، مما أجبر مؤلفيها على التخلص من أوجه القصور المعروفة. كما أن نقاط الضعف في مثل هذه الخوارزميات معروفة جيدًا وقد استغلها المهاجمون لعقود من الزمن. نحن نستخدم هذه الخوارزميات في هذا التنفيذ لأنها، في رأينا، تؤدي إلى فشل أي هجوم معروف. ومع ذلك، سنكون سعداء لرؤية أي دليل على عكس ذلك (لم تحدث مثل هذه الحالات حتى الآن) من أجل تحسين نظامنا.

أنا خبير أمني وأعتقد أن البروتوكول الخاص بك غير آمن.

يمكنك المشاركة في مسابقتنا: يقدم Pavel Durov مبلغ 200000 دولار أمريكي من البيتكوين لأول شخص يقوم باختراق MTProto. يمكنك قراءة الإعلان والأسئلة الشائعة حول المسابقة. إذا كان لديك أي تعليقات أخرى، سنكون سعداء لسماعها على [البريد الإلكتروني محمي].

الحماية ضد الهجمات المعروفة

هجمات النص العادي المعروفة

بحكم التعريف، هجوم النص العادي هو نوع من هجوم تحليل التشفير حيث يكون لدى المهاجم نسخ مشفرة ونص عادي من النص. إن AES IGE المستخدم في MTProto مقاوم لمثل هذه الهجمات. بالإضافة إلى ذلك، يحتوي النص العادي في MTProto دائمًا على رقم الخادم ومعرف الجلسة.

هجوم النص العادي التكيفي

بحكم التعريف، هجوم النص العادي التكيفي هو نوع من الهجوم في تحليل التشفير الذي يتضمن قدرة محلل التشفير على تحديد نص عادي والحصول على نص مشفر مطابق. يستخدم MTProto AES في وضع IGE، وهو آمن ضد مثل هذه الهجمات. من المعروف أن IGE عرضة للهجمات التكيفية، لكن MTProto يعمل على إصلاح ذلك بالطريقة الموضحة أدناه. تحتوي كل رسالة نصية عادية سيتم تشفيرها على البيانات التالية، والتي يتم التحقق منها أثناء فك التشفير:

ملح الخادم (64 بت)؛
رقم تسلسل الرسالة؛
الوقت الذي تم فيه إرسال الرسالة - الوقت.

بالإضافة إلى ذلك، لاستبدال النص العادي، يجب عليك أيضًا استخدام مفتاح AES الصحيح ومتجه التهيئة، اللذين يعتمدان على auth_key . وهذا يجعل MTProto مقاومًا لهجمات النص العادي التكيفية.

هجمات النص المشفر المتطابقة

وفقًا للتعريف، فإن هجوم النص المشفر المختار هو هجوم تشفير يقوم فيه محلل التشفير بجمع معلومات حول التشفير عن طريق تحديد النص المشفر والحصول على فك تشفيره باستخدام مفتاح غير معروف. في مثل هذا الهجوم، يمكن للمهاجم إدخال واحد أو أكثر من النصوص المشفرة المعروفة في النظام والحصول على النصوص العادية. وباستخدام هذه البيانات، يمكن للمهاجم محاولة استعادة المفتاح المستخدم لفك التشفير. في MTProto، في كل مرة يتم فيها فك تشفير رسالة، يتم إجراء فحص للتأكد من أن msg_key يطابق SHA-1 للبيانات التي تم فك تشفيرها. يحتوي النص العادي (البيانات التي تم فك تشفيرها) دائمًا على معلومات حول طول الرسالة ورقمها التسلسلي وملح الخادم. وهذا ينفي الهجمات المستندة إلى النص المشفر المحدد.

إعادة الهجمات

هجمات إعادة التشغيل غير ممكنة لأن كل رسالة نصية عادية تحتوي على ملح الخادم ومعرف الرسالة الفريد ورقم التسلسل.

هجوم رجل في الوسط (MitM).

يحتوي Telegram على وضعين للاتصال: المحادثات العادية، والتي تستخدم تشفير خادم العميل، والمحادثات السرية، والتي تستخدم التشفير الشامل ومحمية من هجمات الوسيط. تتم حماية نقل البيانات بين العميل والخادم من مثل هذه الهجمات أثناء إنشاء مفتاح Diffie-Hellman بفضل خوارزمية المفتاح العام RSA المضمنة في عملاء Telegram. بعد ذلك، إذا كان عملاء المحاورين يثقون في برنامج الخادم، فإن المحادثات السرية بينهم تكون محمية بواسطة الخادم من هجمات الوسيط. وخاصة بالنسبة لأولئك الذين لايثق بالخادم، تتوفر مقارنة الرموز السرية في التطبيق. يتم تصور المفاتيح كصور. ومن خلال مقارنة المفاتيح المرئية، يمكن للمستخدمين التحقق من عدم حدوث هجوم رجل في الوسط.

التشفير

هل تستخدم IGE؟ لقد تم اختراقها!

نعم، نحن نستخدم IGE، ولكن في تنفيذنا كل شيء على ما يرام معه. حقيقة أننا لا نستخدم IGE مع عناصر أخرى في نظامنا بنفس الطريقة التي تستخدم بها MAC، تجعل محاولات اختراق IGE عديمة الجدوى. IGE، تمامًا مثل وضع تسلسل كتلة النص المشفر الشائع (CBC)، عرضة لهجمات التكيف مع اتجاه الكتلة. لكن الهجمات التكيفية لا تشكل سوى تهديدًا عند استخدام نفس المفتاح في رسائل متعددة (وهذا ليس هو الحال).

تعتبر الهجمات التكيفية مستحيلة من الناحية النظرية في MTProto، لأنه لفك تشفير الرسائل، يجب أولاً كتابة الأخيرة بالكامل، نظرًا لأن مفتاح الرسالة يعتمد على محتواها. أما بالنسبة لهجمات CPA غير التكيفية، فإن IGE محمي منها، تمامًا مثل CBC.

هناك دائمًا عدة طرق تقريبًا لتحقيق النتيجة المرجوة. وهذا ينطبق أيضًا على مجال أمن المعلومات. في بعض الأحيان، لتحقيق هدف ما، يمكنك استخدام القوة الغاشمة، أو البحث عن الثغرات وتطوير مآثر بنفسك، أو الاستماع إلى ما يتم نقله عبر الشبكة. علاوة على ذلك، فإن الخيار الأخير غالبا ما يكون الأمثل. ولهذا السبب سنتحدث اليوم عن الأدوات التي ستساعدنا في التقاط المعلومات ذات القيمة بالنسبة لنا من حركة مرور الشبكة، وذلك باستخدام هجمات MITM لهذا الغرض.

MITMf

لنبدأ بأحد المرشحين الأكثر إثارة للاهتمام. هذا إطار كامل لتنفيذ هجمات رجل في الوسط، مبني على أساس وكيل سيرجيو. تم تضمينه مؤخرًا في Kali Linux. لتثبيته بنفسك، ما عليك سوى استنساخ المستودع وتشغيل بعض الأوامر:

# setup.sh # تثبيت النقطة -r متطلبات.txt

# تثبيت النقطة -r متطلبات.txt

لديها بنية قابلة للتوسعة من خلال المكونات الإضافية. من بين أهمها ما يلي:

محاكاة ساخرة - تسمح لك بإعادة توجيه حركة المرور باستخدام انتحال ARP/DHCP وعمليات إعادة توجيه ICMP وتعديل طلبات DNS؛
Sniffer - يتتبع هذا البرنامج الإضافي محاولات تسجيل الدخول لبروتوكولات مختلفة؛
BeEFAutorun - يسمح لك بتشغيل وحدات BeEF تلقائيًا بناءً على نوع نظام التشغيل ومتصفح العميل؛
AppCachePoison - ينفذ هجوم تسميم ذاكرة التخزين المؤقت؛
SessionHijacking - يخطف الجلسات ويخزن ملفات تعريف الارتباط الناتجة في ملف تعريف Firefly؛
BrowserProfiler - يحاول الحصول على قائمة بالمكونات الإضافية التي يستخدمها المتصفح؛
FilePwn - يسمح لك باستبدال الملفات المرسلة عبر HTTP باستخدام Backdoor Factory وBDFProxy؛
حقن - يحقن محتوى عشوائيًا في صفحة HTML؛
jskeylogger - يدمج برنامج JavaScript keylogger في صفحات العميل.

إذا بدت لك هذه الوظيفة غير كافية، فيمكنك دائمًا إضافة وظيفتك الخاصة عن طريق تنفيذ الامتداد المناسب.

بوتي رايدر

فائدة أخرى تستحق الاهتمام. صحيح، على عكس جميع الأدوات الأخرى التي يتم النظر فيها اليوم، فهي متخصصة بشكل ضيق للغاية. كما يقول مؤلف المشروع نفسه، فقد كان مصدر إلهامه لإنشاء مثل هذه الأداة هو حقيقة أنه أثناء اختبارات الاختراق، كانت البيانات الأكثر أهمية موجودة على خوادم Linux/UNIX، والتي يتصل بها المسؤولون عبر SSH/Telnet/rlogin. علاوة على ذلك، في معظم الحالات، كان الوصول إلى جهاز المسؤولين أسهل بكثير من الوصول إلى الخادم الهدف. بعد اختراق جهاز مسؤول النظام، كل ما تبقى هو التأكد من تشغيل PuTTY واستخدام هذه الأداة لبناء جسر خلفي للمهاجم.

تتيح لك الأداة المساعدة ليس فقط التقاط "الاتصال" بين المسؤول والخادم البعيد (بما في ذلك كلمات المرور)، ولكن أيضًا تنفيذ أوامر shell العشوائية خلال جلسة معينة. علاوة على ذلك، كل هذا سيحدث بشفافية مطلقة للمستخدم (المسؤول). إذا كنت مهتمًا بالتفاصيل الفنية، على سبيل المثال، كيفية تطبيق PuTTY في العملية، أوصي بقراءة العرض التقديمي للمؤلف.

أداة قديمة جدًا، ولدت منذ أكثر من ثماني سنوات. مخصص لجلسات الاستنساخ عن طريق سرقة ملفات تعريف الارتباط. لاختطاف الجلسات، لديه المهارات الأساسية في اكتشاف المضيفين (إذا كانوا متصلين بشبكة لاسلكية مفتوحة أو محور) وإجراء تسميم ARP. المشكلة الوحيدة هي أنه اليوم، على عكس ما كان عليه قبل ثماني سنوات، تستخدم جميع الشركات الكبرى تقريبًا مثل Yahoo أو Facebook تشفير SSL، مما يجعل هذه الأداة عديمة الفائدة تمامًا. على الرغم من ذلك، لا تزال هناك موارد كافية على الإنترنت لا تستخدم SSL، لذلك من السابق لأوانه شطب الأداة المساعدة. تشمل مزاياه حقيقة أنه يتكامل تلقائيًا مع Firefox ويقوم بإنشاء ملف تعريف منفصل لكل جلسة يتم اعتراضها. الكود المصدري متاح في المستودع، ويمكنك إنشائه بنفسك باستخدام تسلسل الأوامر التالي:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip لص الجلسة

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev

# g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp

# setcap cap_net_raw,cap_net_admin=eip sessionthief

com.ProxyFuzz

ليس لدى ProzyFuzz أي علاقة مباشرة بتنفيذ هجمات MITM. كما يمكنك تخمين الاسم، تم تصميم الأداة للتشويش. هذا عبارة عن ضبابية صغيرة غير حتمية للشبكة، يتم تنفيذها في بايثون، وتقوم بتغيير محتويات حزم حركة مرور الشبكة بشكل عشوائي. يدعم بروتوكولات TCP وUDP. يمكنك تكوينه لتشويش جانب واحد فقط. يكون ذلك مفيدًا عندما تحتاج إلى اختبار بعض تطبيقات الشبكة (أو البروتوكول) بسرعة وتطوير إثبات المفهوم (PoC). مثال الاستخدام:

بايثون proxyfuzz -l -ص -ص

بيثون proxyfuzz -l -ص -ص

تتضمن قائمة الخيارات ما يلي:

ث - يحدد عدد الطلبات المرسلة قبل بدء عملية التشويش؛
ج - زغب العميل فقط (وإلا كلا الجانبين)؛
s - زغب الخادم فقط (وإلا كلا الجانبين)؛
u - بروتوكول UDP (وإلا يتم استخدام TCP).

الوسيط

أداة مساعدة لتنفيذ هجمات MITM على البروتوكولات المختلفة المقدمة في مؤتمر DEF CON. يدعم إصدار ألفا بروتوكول HTTP ويحتوي على ثلاثة مكونات إضافية رائعة في ترسانته:

plugin-beef.py - يُدخل إطار عمل استغلال المتصفح (BeEF) في أي طلب HTTP يأتي من الشبكة المحلية؛
plugin-metasploit.py - يقوم بتضمين IFRAME في طلبات (HTTP) غير المشفرة، والتي تقوم بتحميل عمليات استغلال المتصفح من Metasploit؛
plugin-keylogger.py - يقوم بتضمين معالج حدث JavaScript onKeyPress لجميع الحقول النصية التي سيتم إرسالها عبر HTTPS، مما يجعل المتصفح يرسل كلمة المرور التي أدخلها المستخدم حرفًا بحرف إلى خادم المهاجم قبل إرسال النموذج بأكمله.

لا يقوم الوسيط بتحليل حركة مرور الشبكة تلقائيًا والعثور على ملفات تعريف الارتباط فيها فحسب، بل يطلبها أيضًا بشكل مستقل من العميل، أي أن العملية تتم تلقائيًا إلى الحد الأقصى. يضمن البرنامج جمع كافة الحسابات غير المحمية على شبكة الكمبيوتر (أو نقطة الاتصال العامة) التي يمكنه الوصول إلى حركة المرور الخاصة بها. لكي يعمل البرنامج بشكل صحيح، يجب تثبيت الحزم التالية على النظام: Scapy، libpcap، readline، libdnet، python-netfilter. لسوء الحظ، لم يتم تحديث المستودع لفترة طويلة، لذلك سيتعين عليك إضافة وظائف جديدة بنفسك.

أداة مساعدة لوحدة التحكم تسمح لك بفحص حركة مرور HTTP وتعديلها بشكل تفاعلي. بفضل هذه المهارات، لا يتم استخدام الأداة المساعدة من قبل المخترقين/المتسللين فحسب، بل أيضًا من قبل المطورين العاديين الذين يستخدمونها، على سبيل المثال، لتصحيح أخطاء تطبيقات الويب. بمساعدته، يمكنك الحصول على معلومات مفصلة حول الطلبات التي يقدمها التطبيق والاستجابات التي يتلقاها. أيضًا، يمكن أن يساعد mitmproxy في دراسة خصوصيات عمل بعض واجهات برمجة تطبيقات REST، خاصة تلك التي تم توثيقها بشكل سيئ.

التثبيت بسيط للغاية:

$ sudo aptitude تثبيت mitmproxy

تجدر الإشارة إلى أن mitmproxy يسمح لك أيضًا باعتراض حركة مرور HTTPS عن طريق إصدار شهادة موقعة ذاتيًا للعميل. يمكن العثور على مثال جيد لكيفية إعداد اعتراض حركة المرور وتعديلها هنا.

دسنيف

حسنًا، تعد هذه الأداة بشكل عام واحدة من أول الأشياء التي يجب أن تتبادر إلى ذهنك بمجرد سماعها
“هجوم MITM”. الأداة قديمة جدًا، ولكن يتم تحديثها بشكل نشط، وهذا خبر جيد. لا جدوى من الحديث بالتفصيل عن قدراتها، فعلى مدار أربعة عشر عامًا من وجودها تمت تغطيتها على الإنترنت أكثر من مرة. على سبيل المثال، في دليل مثل هذا:

أو تعليمات من موقعنا:

أخيرا..

كالعادة، لم ننظر إلى جميع المرافق، ولكن فقط الأكثر شعبية، وهناك أيضًا العديد من المشاريع غير المعروفة التي قد نتحدث عنها يومًا ما. كما ترون، لا يوجد نقص في الأدوات اللازمة لتنفيذ هجمات MITM، وهو ما لا يحدث كثيرًا، يتم تطبيق إحدى الأدوات الرائعة لنظام التشغيل Windows. لا يوجد ما يقال عن أنظمة لا شيء - مجموعة كاملة. لذلك أعتقد أنه يمكنك دائمًا العثور على الأداة المناسبة للسرقة
أوراق اعتماد الآخرين. عفوا، وهذا هو، للاختبار.

حيث يقوم المهاجم، بعد الاتصال بقناة بين الأطراف المقابلة، بالتدخل في بروتوكول الإرسال، أو حذف المعلومات أو تشويهها.

مبدأ الهجوم

يبدأ الهجوم عادةً بالتنصت على قناة الاتصال وينتهي بمحاولة محلل التشفير استبدال الرسالة التي تم اعتراضها واستخراج معلومات مفيدة منها وإعادة توجيهها إلى مصدر خارجي.

لنفترض أن الكائن "أ" يخطط لنقل بعض المعلومات إلى الكائن "ب". يمتلك الكائن C معرفة ببنية وخصائص طريقة نقل البيانات المستخدمة، بالإضافة إلى حقيقة النقل المخطط للمعلومات الفعلية التي يخطط C لاعتراضها. لتنفيذ هجوم، "يظهر" C للكائن A كـ B، وللكائن B كـ A. الكائن A، الذي يعتقد خطأً أنه يرسل معلومات إلى B، يرسلها إلى الكائن C. الكائن C، بعد أن تلقى المعلومات، ويقوم ببعض الإجراءات معه (على سبيل المثال، النسخ أو التعديل لأغراض خاصة به) ويعيد توجيه البيانات إلى المستلم نفسه - ب؛ الكائن B، بدوره، يعتقد أن المعلومات قد تم تلقيها مباشرة من A.

هجوم مثال

حقن التعليمات البرمجية الضارة

يسمح هجوم الرجل في الوسط لمحلل التشفير بإدخال تعليمات برمجية في رسائل البريد الإلكتروني وبيانات SQL وصفحات الويب (على سبيل المثال، السماح بإدخال SQL أو حقن HTML/script أو هجمات XSS)، وحتى تعديل الثنائيات التي تم تحميلها بواسطة المستخدم إلى الوصول إلى حساب المستخدم أو تغيير سلوك البرنامج الذي قام المستخدم بتنزيله من الإنترنت.

هجوم خفض المستوى

يشير مصطلح "هجوم الرجوع إلى إصدار أقدم" إلى هجوم يقوم فيه محلل التشفير بإجبار المستخدم على استخدام وظائف أقل أمانًا، وهي البروتوكولات التي لا تزال مدعومة لأسباب التوافق. يمكن تنفيذ هذا النوع من الهجمات على بروتوكولات SSH وIPsec وPPTP.

للحماية من هجوم الرجوع إلى إصدار سابق، يجب تعطيل البروتوكولات غير الآمنة على جانب واحد على الأقل؛ إن مجرد دعم البروتوكولات الآمنة واستخدامها بشكل افتراضي لا يكفي!

SSH V1 بدلاً من SSH V2

قد يحاول أحد المهاجمين تغيير معلمات الاتصال بين الخادم والعميل عند إنشاء اتصال بينهما. وفقًا لمحاضرة ألقيت في مؤتمر Blackhat Europe 2003، يمكن لمحلل التشفير "إجبار" العميل على بدء جلسة SSH1 بدلاً من SSH2 عن طريق تغيير رقم الإصدار "1.99" لجلسة SSH إلى "1.51"، مما يعني استخدام SSH V1. . يحتوي بروتوكول SSH-1 على نقاط ضعف يمكن استغلالها بواسطة محلل التشفير.

IPsec

في سيناريو الهجوم هذا، يقوم محلل الشفرات بتضليل ضحيته للاعتقاد بأن جلسة IPsec لا يمكن أن تبدأ من الطرف الآخر (الخادم). وينتج عن هذا إعادة توجيه الرسائل بشكل صريح إذا كان الجهاز المضيف يعمل في وضع التراجع.

PPTP

في مرحلة التفاوض على معلمات جلسة PPTP، يمكن للمهاجم إجبار الضحية على استخدام مصادقة PAP الأقل أمانًا، MSCHAP V1 (أي "التراجع" من MSCHAP V2 إلى الإصدار 1)، أو عدم استخدام التشفير على الإطلاق.

يمكن للمهاجم إجبار ضحيته على تكرار مرحلة التفاوض على معلمات جلسة PPTP (إرسال حزمة Terminate-Ack)، وسرقة كلمة المرور من النفق الموجود وتكرار الهجوم.

الاتصالات العامة دون حماية دقة المعلومات وسريتها وتوافرها وسلامتها

وسائل الاتصال الأكثر شيوعًا لهذه المجموعة هي شبكة التواصل الاجتماعي وخدمة البريد الإلكتروني العامة ونظام المراسلة الفورية. يتمتع مالك المورد الذي يوفر خدمة الاتصالات بالسيطرة الكاملة على المعلومات المتبادلة بين المراسلين، ويمكنه، وفقًا لتقديره الخاص، تنفيذ هجوم بحرية في أي وقت.

وخلافاً للسيناريوهات السابقة المرتكزة على الجوانب التقنية والتكنولوجية للاتصالات، فإن الهجوم في هذه الحالة يعتمد على جوانب عقلية، وهي ترسيخ في أذهان المستخدمين مفهوم تجاهل متطلبات أمن المعلومات.

هل سيساعد التشفير؟

دعونا نفكر في حالة معاملة HTTP القياسية. في هذه الحالة، يمكن للمهاجم بسهولة تقسيم اتصال TCP الأصلي إلى اتصالين جديدين: أحدهما بينه وبين العميل والآخر بينه وبين الخادم. من السهل جدًا القيام بذلك، نظرًا لأنه نادرًا ما يكون الاتصال بين العميل والخادم مباشرًا، وفي معظم الحالات يكونان متصلين من خلال عدد من الخوادم الوسيطة. يمكن تنفيذ هجوم MITM على أي من هذه الخوادم.

ومع ذلك، إذا تواصل العميل والخادم باستخدام HTTPS، وهو بروتوكول يدعم التشفير، فيمكن أيضًا تنفيذ هجوم الوسيط. يستخدم هذا النوع من الاتصال TLS أو SSL لتشفير الطلبات، الأمر الذي يبدو أنه يجعل القناة محمية من التجسس وهجمات MITM. يمكن للمهاجم إنشاء جلستي SSL مستقلتين لكل اتصال TCP. يقوم العميل بإنشاء اتصال SSL مع المهاجم، الذي يقوم بدوره بإنشاء اتصال مع الخادم. في مثل هذه الحالات، يحذر المتصفح عادةً من أن الشهادة غير موقعة من قبل مرجع مصدق موثوق به، ولكن يمكن للمستخدمين العاديين للمتصفحات القديمة تجاوز هذا التحذير بسهولة. بالإضافة إلى ذلك، قد يكون لدى المهاجم شهادة موقعة من المرجع المصدق الجذر (على سبيل المثال، يتم استخدام هذه الشهادات أحيانًا لـ DLP) ولا يقوم بإنشاء تحذيرات. بالإضافة إلى ذلك، هناك عدد من الهجمات ضد HTTPS. وبالتالي، لا يمكن اعتبار بروتوكول HTTPS محميًا من هجمات MITM للمستخدمين العاديين. [ ] هناك عدد من الإجراءات التي تمنع بعض هجمات MITM على مواقع https، على وجه الخصوص، HSTS، الذي يحظر استخدام اتصالات http من المواقع، وتثبيت الشهادة وتثبيت المفتاح العام HTTP، الذي يحظر استبدال الشهادة.

كشف هجوم MITM

للكشف عن هجوم رجل في الوسط، تحتاج إلى تحليل حركة مرور الشبكة. على سبيل المثال، لاكتشاف هجوم SSL، يجب عليك الانتباه إلى المعلمات التالية:

عنوان IP للخادم
خادم DNS
X.509 - شهادة الخادم
- هل الشهادة موقعة ذاتيا؟
- هل الشهادة موقعة من جهة التصديق؟
- هل تم الغاء الشهادة؟
- هل تغيرت الشهادة مؤخرا؟
- هل حصل عملاء آخرون على الإنترنت على نفس الشهادة؟

تطبيقات الهجوم MITM

يمكن استخدام البرامج المدرجة لتنفيذ هجمات الرجل في الوسط، وكذلك لاكتشافها واختبار النظام بحثًا عن نقاط الضعف.

أنظر أيضا

أسبيدسترا (إنجليزي) - جهاز إرسال إذاعي بريطاني تم استخدامه أثناء "غزو" الحرب العالمية الثانية، وهو نوع مختلف من هجوم MITM.
مؤامرة بابينغتون (الإنجليزية) - مؤامرة ضد إليزابيث الأولى، حيث اعترض والسينغهام المراسلات.

هجمات أخرى

"الرجل في المتصفح" هو نوع من الهجوم يستطيع فيه المهاجم تغيير معلمات المعاملة على الفور وتغيير الصفحات الشفافة تمامًا للضحية.
هجوم Meet-in-the-middle هو هجوم تشفيري، مثل هجوم عيد الميلاد، يستغل المقايضة بين الوقت والذاكرة.
يعد "هجوم Miss in the middle" وسيلة فعالة لما يسمى بتحليل الشفرات التفاضلي المستحيل.
هجوم الترحيل هو أحد أشكال هجوم MITM الذي يعتمد على إعادة توجيه الرسالة التي تم اعتراضها إلى مستلم صالح، ولكن ليس إلى الشخص الذي كانت الرسالة موجهة إليه.
برنامج rootkit هو برنامج مصمم لإخفاء آثار تواجد المهاجم.

اكتب مراجعة عن مقال "رجل في الهجوم الأوسط"

الأدب

روابط

www.all.net/CID/Attack/Attack74.html
www.nag.ru/2003/0405/0405.shtml
www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

مقتطف من وصف الرجل في الهجوم الأوسط

"ربع، ربع، لغم"، قال الضابط وهو ينظر إلى الرجل الصغير بابتسامة متعالية ولطيفة. – Les Francais sont de bons enfants. كيو ديابل! فويونز! Ne nous fachons pas, mon vieux, [شقق، شقق... الفرنسيون رجال طيبون. اللعنة، دعونا لا نتشاجر يا جدي.] - أضاف وهو يربت على كتف جيراسيم الخائف والصامت.
- أكا! Dites donc، on ne parle donc pas francais dans cette Boutique؟ [حسنًا، حقًا، لا أحد هنا يتحدث الفرنسية؟] أضاف وهو ينظر حوله ويلتقي بعيون بيير. ابتعد بيير عن الباب.
التفت الضابط إلى جيراسيم مرة أخرى. وطالب جيراسيم أن يريه غرف المنزل.
"لقد رحل السيد، لا تفهم... سيدتي هي لك..." قال جيراسيم، محاولًا جعل كلماته أكثر وضوحًا من خلال حقيقة أنه نطق بها من الداخل إلى الخارج.
نشر الضابط الفرنسي يديه مبتسمًا أمام أنف جيراسيم، مما جعله يشعر بأنه لم يفهمه، وسار وهو يعرج إلى الباب حيث كان بيير يقف. أراد بيير الابتعاد عنه للاختباء منه، ولكن في ذلك الوقت رأى مقار ألكسيس ينحني من باب المطبخ المفتوح ومسدس في يديه. بمكر رجل مجنون، نظر مكار أليكسيش إلى الفرنسي ورفع مسدسه وصوبه.
- على متن سفينة!!! - صاح السكير وهو يضغط على زناد المسدس. استدار الضابط الفرنسي عند الصراخ، وفي نفس اللحظة اندفع بيير نحو الرجل المخمور. بينما أمسك بيير بالمسدس ورفعه، ضرب مكار أليكسيش أخيرًا الزناد بإصبعه، وسُمع صوت طلقة تصم الآذان وغطت الجميع بدخان البارود. تحول الفرنسي إلى شاحب واندفع عائداً إلى الباب.
بعد أن نسي نيته عدم الكشف عن معرفته باللغة الفرنسية، اختطف بيير المسدس وألقاه، وركض إلى الضابط وتحدث معه بالفرنسية.
قال: "Vous n"etes pas Blesse؟ [هل أنت غير مصاب؟]".
أجاب الضابط وهو يشعر بنفسه: "Je crois que not، mais je l"ai manque belle cette fois ci"، مشيراً إلى الجص السائب في الجدار. "Quel est cet homme؟ [يبدو أنه لا. .. ولكن هذا لأنه كان قريبًا من هذا الرجل؟] - قال الضابط وهو ينظر بصرامة إلى بيير.
"آه، je suis vraiment au desespoir de ce qui vient d"arriver، [آه، أنا حقًا في حالة من اليأس مما حدث]،" قال بيير بسرعة، متناسيًا دوره تمامًا. ne savait pas ce qu"il faisait. [هذا رجل مجنون مؤسف لم يكن يعرف ما كان يفعله.]
اقترب الضابط من مكار أليكسيش وأمسك به من ياقته.
مكار أليكسيش، انفصلت شفتاه، كما لو كان نائما، تمايل، متكئا على الحائط.
"قاطع الطريق، tu me la payeras"، قال الفرنسي وهو يرفع يده.
– Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux trapres، [أيها السارق، ستدفع لي مقابل هذا. وأضاف بوقار كئيب على وجهه وبلفتة حيوية جميلة: "أخينا رحيم بعد النصر، لكننا لا نغفر للخونة".
واصل بيير بالفرنسية إقناع الضابط بعدم معاقبة هذا الرجل المخمور المجنون. استمع الفرنسي بصمت، دون تغيير مظهره الكئيب، والتفت فجأة إلى بيير بابتسامة. نظر إليه بصمت لعدة ثواني. اتخذ وجهه الوسيم تعبيرًا رقيقًا بشكل مأساوي، ومد يده.
قال: "Vous m"avez sauve la vie! Vous etes Francais، [لقد أنقذت حياتي. أنت فرنسي". بالنسبة للفرنسي، كان هذا الاستنتاج لا يمكن إنكاره. فقط الفرنسي يمكنه إنجاز عمل عظيم، وإنقاذ حياته". السيد رامبال "I capitaine du 13 me Leger [السيد رامبال، قائد الفوج الخفيف الثالث عشر] - كان بلا شك أعظم شيء.
لكن بغض النظر عن مدى عدم الشك في هذا الاستنتاج وإدانة الضابط بناءً عليه، اعتبر بيير أنه من الضروري أن يخيب أمله.
"Je suis Russe، [أنا روسي،"] قال بيير بسرعة.
قال الفرنسي وهو يلوح بإصبعه أمام أنفه ويبتسم: "Ti ti ti, a d'autres, [أخبر هذا للآخرين". وقال: "Tout a l"heure vous allez me conter tout ca". – سحر لقاء مواطن. ايه حسنًا! qu"allons nous faire de cet homme؟ [الآن ستخبرني بكل هذا. من الجميل جدًا أن تقابل مواطنًا. حسنًا! ماذا يجب أن نفعل مع هذا الرجل؟] - أضاف مخاطبًا بيير كما لو كان شقيقه " " حتى لو لم يكن بيير فرنسيا، بعد أن حصل على هذا اللقب الأعلى في العالم، لم يستطع التخلي عنه، قال التعبير على وجه ونبرة الضابط الفرنسي. بالنسبة للسؤال الأخير، أوضح بيير مرة أخرى من هو ماكار ألكسيس وأوضحوا أنه قبل وصولهم مباشرة، سرق رجل مجنون مخمور مسدسًا محشوًا، ولم يكن لديهم الوقت لأخذه منه، وطلب ترك فعلته دون عقاب.
أخرج الفرنسي صدره وقام بلفتة ملكية بيده.
- Vous m"avez sauve la vie. Vous etes Francais. Vous me requestez sa Grace؟ Je vous l"accorde. Qu"on emmene cet homme، [لقد أنقذت حياتي. أنت فرنسي. هل تريد مني أن أسامحه؟ أنا أسامحه. خذ هذا الرجل بعيدًا"، قال الضابط الفرنسي بسرعة وقوة وهو يمسك بيد الرجل. الذي كسبه لإنقاذ حياته إلى بيير الفرنسي، وذهب معه إلى المنزل.
وعندما سمع الجنود المتواجدون في الساحة إطلاق النار، دخلوا إلى الردهة وسألوا عما حدث وأبدوا استعدادهم لمعاقبة المسؤولين؛ لكن الضابط أوقفهم بشدة.
قال: "عند مطالبتك بالهالة التي تحتاجها". غادر الجنود. اقترب المنظم، الذي تمكن في هذه الأثناء من التواجد في المطبخ، من الضابط.
قال: "Capitaine، ils ont de la soupe et du gigot de mouton dans la Kitchen". - Faut il vous l "apporter؟ [كابتن، لديهم حساء ولحم ضأن مقلي في المطبخ. هل ترغب في إحضاره؟]
"Oui، et le vin، [نعم، والنبيذ،"] قال القبطان.

دخل الضابط الفرنسي وبيير المنزل. اعتبر بيير أنه من واجبه أن يؤكد مرة أخرى للقبطان أنه ليس فرنسيا ويريد المغادرة، لكن الضابط الفرنسي لا يريد أن يسمع عن ذلك. لقد كان مهذبًا ولطيفًا ولطيفًا وممتنًا حقًا لإنقاذ حياته لدرجة أن بيير لم يكن لديه الروح لرفضه وجلس معه في القاعة، في الغرفة الأولى التي دخلوا فيها. ردًا على تأكيد بيير بأنه ليس فرنسيًا، من الواضح أن القبطان، لم يفهم كيف يمكن للمرء أن يرفض مثل هذا اللقب الممتع، هز كتفيه وقال إنه إذا أراد بالتأكيد أن يمرر لروسي، فليكن كذلك، ولكن أنه، على الرغم من ذلك، لا يزال الجميع مرتبطين به إلى الأبد بشعور بالامتنان لإنقاذ حياته.
إذا كان هذا الرجل موهوبًا على الأقل ببعض القدرة على فهم مشاعر الآخرين وخمن مشاعر بيير، فمن المحتمل أن يتركه بيير؛ لكن عدم قابلية اختراق هذا الرجل لكل ما لم يكن هو نفسه هزم بيير.
"Francais ou Prince russe incognito، [الأمير الفرنسي أو الروسي المتخفي"، قال الفرنسي وهو ينظر إلى ملابس بيير الداخلية القذرة ولكن الرقيقة والخاتم الموجود في يده. – Je vous dois la vie je vous offre mon amiti. Un Francais n "oublie jamais ni uneإهانة ni unservice. Je vous offre mon amitie. Je ne vous dis que ca. [أنا مدين لك بحياتي، وأقدم لك الصداقة. الفرنسي لا ينسى أبدًا الإهانة أو الخدمة. أقدمه صداقتي لك، لا أقول أكثر من ذلك.]
كان هناك الكثير من الطبيعة الطيبة والنبل (بالمعنى الفرنسي) في أصوات الصوت، في تعابير الوجه، في إيماءات هذا الضابط لدرجة أن بيير، رد بابتسامة فاقد الوعي على ابتسامة الفرنسي، صافح يده الممدودة.
- Capitaine Ramball du treizieme Leger, Decore pour l "affaire du Sept, [الكابتن رامبال، فوج الضوء الثالث عشر، شوفالييه من وسام جوقة الشرف لقضية السابع من سبتمبر،" قدم نفسه بابتسامة متعجرفة لا يمكن السيطرة عليها تجعدت شفتيه تحت شاربه. - Voudrez vous bien me dire gift, a qui" j"ai l"honneur de parler aussi agreablement au lieu de Rester a l"إسعاف avec la balle de ce fou dans le corps. [هل ستكون كذلك؟" من اللطيف أن تخبرني الآن مع من أنا، أتشرف بالتحدث بكل سرور، بدلاً من أن أكون في محطة تبديل الملابس مع رصاصة من هذا الرجل المجنون في جسدي؟]
أجاب بيير أنه لا يستطيع أن يقول اسمه، وبدأ، خجلا، في محاولة اختراع اسم، للحديث عن أسباب عدم قدرته على قول ذلك، لكن الفرنسي قاطعه على عجل.
قال: "دي غريس". - أنا أفهم أسبابك، أنت مسؤول... موظف متفوق، قد يكون كذلك. Vous avez porte les Armes contre nous. Ce n"est pas mon Affairse. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme؟ [لكي تكون كاملاً، من فضلك. أنا أفهمك، أنت ضابط... ضابط أركان، "ربما. لقد خدمت ضدنا. هذا ليس من شأني. أنا مدين لك بحياتي. هذا يكفيني، وأنا لك. هل أنت نبيل؟] - أضاف مع تلميح من السؤال. انحنى بيير له الرأس - Votre nom de bapteme، s"il vous plait؟ لا أطلب أي فائدة. السيد بيير، تفضل... بارفيه. C "est tout ce que je Desire savoir. [اسمك؟ أنا لا أسأل أي شيء آخر. السيد بيير، هل قلت؟ عظيم. هذا كل ما أحتاجه.]
عندما تم إحضار لحم الضأن المقلي والبيض المخفوق والسماور والفودكا والنبيذ من القبو الروسي الذي أحضره الفرنسيون معهم، طلب رامبال من بيير المشاركة في هذا العشاء وعلى الفور، بجشع وبسرعة، مثل صحي وجائع بدأ الشخص في تناول الطعام، وهو يمضغ بسرعة بأسنانه القوية، ويضرب شفتيه باستمرار ويقول ممتاز، رائع! [رائع، ممتاز!] كان وجهه متوردًا ومغطى بالعرق. كان بيير جائعًا وشارك بكل سرور في العشاء. أحضر موريل، المنظم، قدرًا به ماء دافئ ووضع فيه زجاجة من النبيذ الأحمر. بالإضافة إلى ذلك، أحضر زجاجة كفاس، والتي أخذها من المطبخ للاختبار. كان هذا المشروب معروفًا بالفعل لدى الفرنسيين وحصل على اسمه. أطلقوا عليه اسم kvass limonade de cochon (عصير الليمون من لحم الخنزير)، وأشاد موريل بعصير الليمون دي كوشون الذي وجده في المطبخ. ولكن نظرًا لأن القبطان حصل على النبيذ أثناء المرور عبر موسكو، فقد قدم الكفاس لموريل وتناول زجاجة من بوردو. لف الزجاجة حتى الرقبة في منديل وسكب لنفسه وبيير بعض النبيذ. أدى الجوع والنبيذ إلى إحياء القبطان أكثر، وتحدث بلا انقطاع أثناء العشاء.
- نعم، يا عزيزي السيد بيير، إنني أتوجه إليك بسماعة نارية من يدي منقذ... من هذا الغضب... J"en ai assez، voyez vous، de balles dans le corps. En voila une (أشار إلى جانبه) a Wagram et deux a Smolensk،» أظهر الندبة التي كانت على خده. - Et cette jambe، comme vous voyez، qui ne veut pas Marcher. إنها معركة كبيرة في السابعة من موسكو، والتي أتذكرها. Sacre dieu، c"etait beau. Il Fallait voir ca، c"etait un طوفان من النار. Vous nous avez taille une فظ besogne؛ vous pouvez vous en vanter, nom d"un petit bonhomme. Et, ma parole, malgre l"atoux que j"y ai gagne, je serais pret a recommencer. Je plains ceux qui n"ont pas vu ca. [نعم، عزيزي السيد بيير، أنا مضطر لإشعال شمعة جيدة لك لأنك أنقذتني من هذا المجنون. كما ترون، لقد اكتفيت من الرصاص الموجود في جسدي. هنا أحدهما بالقرب من واجرام والآخر بالقرب من سمولينسك. وهذه الساق، كما ترى، لا تريد أن تتحرك. كان هذا خلال معركة السابع الكبرى بالقرب من موسكو. عن! كانت رائعة! كان يجب أن ترى أنه كان طوفانًا من النار. لقد أعطيتنا مهمة صعبة، يمكنك التفاخر بها. ووالله، رغم هذه الورقة الرابحة (أشار إلى الصليب)، سأكون مستعداً للبدء من جديد. أشعر بالأسف لأولئك الذين لم يروا هذا.]
قال بيير: "J"y ai ete، [كنت هناك]".
- باه، حقا! قال الفرنسي: "إيه بيان، تانت ميوكس". - Vous ets de fiers ennemis، tout de meme. La grande redoute a ete Tenace، nom d"une Pipe. Et vous nous l"avez fait cranement payer. J"y suis alle trois fois، tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes. أوه!! c"etait beau، السيد بيير. Vos grenadiers ont ete superbes، tonnerre de Dieu. إذا كنت ستشاهد ستة أيام من الجناح، فستستمر في النطاقات، وستسير كمراجعة. الرجال الجميلون! Notre roi de Naples، qui s"y connait a crie: برافو! آه، آه! جندي كآخرين! - قال مبتسمًا بعد لحظة صمت. - Tant mieux، tant mieux، monsieur Pierre. Terribles en Bataille. .. جالانت... - غمز بابتسامة، - avec les belles، voila les Francais، monsieur Pierre، n "est ce pas؟ [باه، حقا؟ كل ما هو أفضل. أنتم أعداء شرسون، ويجب أن أعترف. لقد صمد المعقل الكبير جيدًا، اللعنة. وجعلتنا ندفع الثمن غاليا. لقد كنت هناك ثلاث مرات، كما ترون. كنا مسلحين ثلاث مرات، وتعرضنا للسقوط مثل جنود الورق ثلاث مرات. لقد كانت رماتك رائعة، والله. ورأيت كيف تقاربت صفوفهم ست مرات وكيف خرجوا مثل العرض. شعب رائع! صرخ لهم ملكنا النابولي، الذي أكل الكلب في هذه الأمور: برافو! - ها ها، إذن أنت أخينا الجندي! - ذلك أفضل بكثير، أفضل بكثير، سيد بيير. رهيبون في المعركة، لطيفون مع الجمال، هؤلاء هم الفرنسيون، السيد بيير. أليس كذلك؟]
كان القبطان ساذجًا ولطيفًا ومبهجًا وصادقًا ومسرورًا بنفسه لدرجة أن بيير كاد أن يغمز نفسه وينظر إليه بمرح. ربما كانت كلمة "جالانت" هي التي جعلت القبطان يفكر في الوضع في موسكو.

يوتيوب الموسوعي

1 / 3

✪ رقم 4 كيف تصبح هاكرًا؟ "هجوم الوسيط"! |القرصنة من الألف إلى الياء|

✪ هجوم MiTM على نظام iOS. التقنية والعواقب

✪ التسلسل الزمني للبيتكوين لهجمات القراصنة وعمليات اختراق البورصة في سوق العملات المشفرة (2012 - 2018)

ترجمات

مبدأ الهجوم

هجوم مثال

حقن التعليمات البرمجية الضارة

يسمح هجوم الرجل في الوسط لمحلل التشفير بإدخال تعليمات برمجية في رسائل البريد الإلكتروني وبيانات SQL وصفحات الويب (على سبيل المثال، السماح بإدخال SQL أو حقن HTML/script أو هجمات XSS)، وحتى تعديل الثنائيات التي تم تحميلها بواسطة المستخدم إلى الوصول إلى حساب مستخدم أو تغيير سلوك البرنامج الذي قام المستخدم بتنزيله من الإنترنت.

هجوم خفض المستوى

SSH V1 بدلاً من SSH V2

قد يحاول أحد المهاجمين تغيير معلمات الاتصال بين الخادم والعميل عند إنشاء اتصال بينهما. وفقًا لمحاضرة ألقيت في مؤتمر Blackhat Europe 2003، يمكن لمحلل الشفرات "إجبار" العميل على بدء جلسة SSH1 عن طريق تغيير رقم الإصدار "1.99" لجلسة SSH إلى "1.51" بدلاً من SSH2، مما يعني استخدام SSH V1 . يحتوي بروتوكول SSH-1 على نقاط ضعف يمكن استغلالها بواسطة محلل التشفير.

IPsec

في سيناريو الهجوم هذا، يقوم محلل التشفير بتضليل ضحيته للاعتقاد بأن جلسة IPsec لا يمكن أن تبدأ من الطرف الآخر (الخادم). وينتج عن هذا إعادة توجيه الرسائل بشكل صريح إذا كان الجهاز المضيف يعمل في وضع التراجع.

PPTP

الاتصالات العامة دون حماية دقة المعلومات وسريتها وتوافرها وسلامتها

هل سيساعد التشفير؟

ومع ذلك، إذا تواصل العميل والخادم باستخدام HTTPS، وهو بروتوكول يدعم التشفير، فيمكن أيضًا تنفيذ هجوم الوسيط. يستخدم هذا النوع من الاتصال TLS أو SSL لتشفير الطلبات، الأمر الذي يبدو أنه يجعل القناة محمية من التجسس وهجمات MITM. يمكن للمهاجم إنشاء جلستي SSL مستقلتين لكل اتصال TCP. يقوم العميل بإنشاء اتصال SSL مع المهاجم، الذي يقوم بدوره بإنشاء اتصال مع الخادم. في مثل هذه الحالات، يحذر المتصفح عادةً من أن الشهادة غير موقعة من قبل مرجع مصدق موثوق به، ولكن يمكن للمستخدمين العاديين للمتصفحات القديمة تجاوز هذا التحذير بسهولة. بالإضافة إلى ذلك، قد يكون لدى المهاجم شهادة موقعة من المرجع المصدق الجذر (على سبيل المثال، يتم استخدام هذه الشهادات أحيانًا لـ DLP) ولا يقوم بإنشاء تحذيرات. بالإضافة إلى ذلك، هناك عدد من الهجمات ضد HTTPS. وبالتالي، لا يمكن اعتبار بروتوكول HTTPS محميًا من هجمات MITM للمستخدمين العاديين. [ ] هناك عدد من الإجراءات التي تمنع بعض هجمات MITM على مواقع https، على وجه الخصوص، HSTS، الذي يحظر استخدام اتصال http من المواقع، وCertificate pinning وHTTP Public Key Pinning، الذي يحظر استبدال الشهادة.

كشف هجوم MITM

عنوان IP للخادم
خادم DNS
X.509 - شهادة الخادم
- هل الشهادة موقعة ذاتيا؟
- هل الشهادة موقعة من جهة التصديق؟
- هل تم الغاء الشهادة؟
- هل تغيرت الشهادة مؤخرا؟
- هل حصل عملاء آخرون على الإنترنت على نفس الشهادة؟

تطبيقات الهجوم MITM

أنظر أيضا

أسبيدسترا (إنجليزي) - جهاز إرسال إذاعي بريطاني تم استخدامه أثناء "غزو" الحرب العالمية الثانية، وهو نوع مختلف من هجوم MITM.
مؤامرة بابينغتون (الإنجليزية) - مؤامرة ضد إليزابيث الأولى، اعترض خلالها والسينغهام المراسلات.

هجمات أخرى

"Man-in-the-Browser" هو نوع من الهجوم يستطيع فيه المهاجم تغيير معلمات المعاملة على الفور وتغيير الصفحات الشفافة تمامًا للضحية.
هجوم Meet-in-the-middle هو هجوم تشفيري، مثل هجوم عيد الميلاد، يستغل المفاضلة بين الوقت والذاكرة.
"الخسارة في المنتصف" (Miss in the الهجوم الأوسط) هي طريقة فعالة لما يسمى بتحليل الشفرات التفاضلي المستحيل.
هجوم الترحيل هو أحد أشكال هجوم MITM الذي يعتمد على إعادة توجيه الرسالة التي تم اعتراضها إلى مستلم صالح، ولكن ليس إلى الشخص الذي كانت الرسالة موجهة إليه.