مثل الرجل في المنتصف. شروط. حقن التعليمات البرمجية الخبيثة

سنحاول في هذه المقالة اكتشاف نظرية هجمات الرجل في الوسط وبعض النقاط العملية التي ستساعد في منع هذه الأنواع من الهجمات. سيساعدنا ذلك على فهم المخاطر التي تشكلها مثل هذه الاختراقات على خصوصيتنا ، حيث تسمح لنا هجمات MitM بالتطفل على الاتصالات والاستماع إلى محادثاتنا.

فهم كيفية عمل الإنترنت

لفهم هجوم man-in-the-middle ، عليك أولاً أن تفهم كيف تعمل الإنترنت نفسها. نقاط التفاعل الرئيسية: العملاء ، وأجهزة التوجيه ، والخوادم. بروتوكول الاتصال الأكثر شيوعًا بين العميل والخادم هو Hypertext Transfer Protocol (HTTP). تصفح الويب باستخدام المستعرض والبريد الإلكتروني والمراسلة الفورية - كل ذلك يتم من خلال HTTP.

عندما تكتب في شريط عنوان المستعرض الخاص بك ، يرسل العميل (أنت) طلبًا لعرض صفحة ويب على الخادم. يتم إرسال الحزمة (طلب HTTP GET) عبر أجهزة توجيه متعددة إلى الخادم. ثم يستجيب الخادم بصفحة الويب التي يتم إرسالها إلى العميل وعرضها على الشاشة الخاصة به. يجب إرسال رسائل HTTP في الوضع الآمن لضمان السرية وإخفاء الهوية.

الشكل 1. تفاعل خادم العميل

تأمين بروتوكول الاتصال

يجب أن يحتوي بروتوكول الاتصال الآمن على كل من الخصائص التالية:

1. الإجمالية- يمكن للمستلم المقصود فقط قراءة الرسالة.
2. أصالة- إثبات هوية الأطراف المتفاعلة.
3. التكامل- التأكيد على أن الرسالة لم يتم تعديلها أثناء النقل.

إذا لم يتم اتباع واحدة على الأقل من هذه القواعد ، فسيتم اختراق البروتوكول بأكمله.

هجوم رجل في الوسط عبر بروتوكول HTTP

يمكن للمهاجم تنفيذ هجوم man-in-the-middle بسهولة باستخدام تقنية تسمى انتحال ARP. يمكن لأي شخص على شبكة Wi-Fi الخاصة بك أن يرسل لك حزمة ARP مزيفة ، مما يجعلك ترسل دون قصد كل حركة المرور الخاصة بك من خلال مهاجم بدلاً من جهاز التوجيه.

بعد ذلك ، يتحكم المهاجم بشكل كامل في حركة المرور ويمكنه مراقبة الطلبات المرسلة في كلا الاتجاهين.

الشكل 2. مخطط هجوم رجل في الوسط

لمنع مثل هذه الهجمات ، تم إنشاء نسخة آمنة من بروتوكول HTTP. أمان طبقة النقل (TLS) وسابقتها ، طبقة مآخذ التوصيل الآمنة (SSL) ، هي بروتوكولات تشفير توفر اتصالاً آمنًا عبر الشبكة. ومن ثم ، سيطلق على البروتوكول الآمن اسم HTTPS. يمكنك معرفة كيفية عمل البروتوكول الآمن عن طريق الكتابة في شريط العنوان في متصفحك (لاحظ S في https).

هجوم رجل في الوسط على طبقة المقابس الآمنة سيئة التنفيذ

تستخدم SSL الحديثة خوارزمية تشفير جيدة ، ولكن لا يهم إذا لم يتم تنفيذها بشكل صحيح. إذا كان بإمكان المتسلل اعتراض الطلب ، فيمكنه تغييره عن طريق إزالة "S" من عنوان URL المطلوب ، وبالتالي تجاوز SSL.

يمكن ملاحظة هذا الاعتراض والتعديل للطلب. على سبيل المثال ، إذا طلبت https://login.yahoo.com/ وكان الرد هو http://login.yahoo.com/ ، فمن المفترض أن يثير ذلك الشك. في وقت كتابة هذا التقرير ، كان مثل هذا الهجوم يعمل بالفعل على خدمة البريد الإلكتروني في Yahoo.

الشكل 3. اعتراض وتعديل طلب

لمنع مثل هذا الهجوم ، يمكن للخوادم تنفيذ HTTP Strict Transport Security (HSTS) ، وهي آلية تفرض اتصالاً آمنًا قسريًا عبر بروتوكول HTTPS. في هذه الحالة ، إذا قام المهاجم بتعديل الطلب عن طريق إزالة "S" من عنوان URL ، فسيظل الخادم يعيد توجيه المستخدم بإعادة توجيه 302 إلى صفحة بها بروتوكول آمن.

الشكل 4. مخطط عملية HSTS

هذه الطريقة في تطبيق SSL معرضة لنوع آخر من الهجمات - يقوم المهاجم بإنشاء اتصال SSL بالخادم ، ولكنه يخدع المستخدم لاستخدام HTTP.

الشكل 5. مخطط هجوم ل HSTS

لمنع مثل هذه الهجمات ، تراقب المتصفحات الحديثة مثل Chrome و Firefox و Tor المواقع التي تستخدم HSTS وتفرض اتصال SSL من جانب العميل معها. في هذه الحالة ، سيتعين على المهاجم الذي يقوم بهجوم man-in-the-middle إنشاء اتصال SSL مع الضحية.

الشكل 6. مخطط الهجوم ، حيث ينشئ المهاجم اتصال SSL مع الضحية

من أجل تأمين اتصال SLL للمستخدم ، يجب أن يعرف المهاجم كيفية التصرف كخادم. دعونا نفهم الجوانب التقنية لـ SSL.

فهم SSL

من وجهة نظر المتسلل ، فإن المساس بأي بروتوكول اتصال يعود إلى إيجاد رابط ضعيف بين المكونات المذكورة أعلاه (الخصوصية والأصالة والنزاهة).

يستخدم SSL خوارزمية تشفير غير متماثل. في التشفير المتماثل ، تكمن المشكلة في استخدام نفس المفتاح لتشفير البيانات وفك تشفيرها ، وهذا الأسلوب غير مقبول لبروتوكولات الإنترنت ، حيث يمكن للمهاجم تتبع هذا المفتاح.

من ناحية أخرى ، يتضمن التشفير غير المتماثل مفتاحين لكل جانب: المفتاح العام المستخدم للتشفير والمفتاح الخاص المستخدم لفك تشفير البيانات.

الشكل 7. عمل المفاتيح العامة والخاصة

كيف توفر SSL الخصائص الثلاث المطلوبة للاتصال الآمن؟

1. نظرًا لاستخدام التشفير غير المتماثل لتشفير البيانات ، توفر طبقة المقابس الآمنة اتصالاً خاصًا. ليس من السهل كسر هذا التشفير وعدم ملاحظته.
2. يثبت الخادم شرعيته من خلال إرسال شهادة SSL للعميل صادرة عن جهة خارجية موثوق بها.

إذا تمكن المهاجم بطريقة ما من الحصول على الشهادة ، فيمكنه تهيئة الظروف لهجوم man-in-the-middle. وبالتالي ، سيتم إنشاء اتصالين - مع الخادم ومع الضحية. يعتقد الخادم في هذه الحالة أن المهاجم هو عميل عادي ، وليس لدى الضحية أي طريقة للتعرف على المهاجم ، لأنه قدم شهادة تثبت أنه خادم.

تصل رسائلك إلى شكل مشفر وتصل إليه ، ولكنها تمر عبر السلسلة عبر كمبيوتر المجرم الإلكتروني ، حيث يتمتع بالتحكم الكامل.

الشكل 8. مخطط الهجوم إذا كان المهاجم لديه شهادة

لا يلزم تزوير الشهادة إذا كان المهاجم لديه القدرة على اختراق متصفح الضحية. في هذه الحالة ، يمكنه إدراج شهادة موقعة ذاتيًا سيتم الوثوق بها افتراضيًا. هذه هي الطريقة التي يتم بها تنفيذ معظم هجمات man-in-the-middle. في الحالات الأكثر تعقيدًا ، يجب على المخترق الذهاب في الاتجاه الآخر - تزوير الشهادة.

مشاكل المراجع المصدقة

يتم إصدار الشهادة التي يرسلها الخادم وتوقيعها من قبل مرجع مصدق. يحتوي كل متصفح على قائمة مراجع التصديق الموثوقة ويمكنك إضافتها أو إزالتها. تكمن المشكلة هنا في أنك إذا قررت إزالة السلطات الكبيرة ، فلن تتمكن من زيارة المواقع التي تستخدم الشهادات الموقعة من هذه السلطات.

لطالما كانت الشهادات و CAs هي الحلقة الأضعف في اتصال HTTPS. حتى لو تم تنفيذ كل شيء بشكل صحيح وكان لكل مرجع مصدق سلطة قوية ، فلا يزال من الصعب التصالح مع حقيقة أنه يتعين عليك الوثوق بالعديد من الأطراف الثالثة.

يوجد اليوم أكثر من 650 منظمة قادرة على إصدار الشهادات. إذا اخترق المهاجم أيًا منهم ، فسيحصل على أي شهادات يريدها.

حتى عندما كان هناك مرجع تصديق واحد فقط ، VeriSign ، كانت هناك مشكلة - الأشخاص الذين كان من المفترض أن يمنعوا هجمات man-in-the-middle كانوا يبيعون خدمات اعتراض.

أيضًا ، تم إنشاء العديد من الشهادات عن طريق قرصنة المراجع المصدقة. تم استخدام تقنيات وحيل مختلفة لإجبار المستخدم المهاجم على الوثوق بالشهادات المزورة.

علم الإجرام

نظرًا لأن المهاجم يرسل حزم ARP وهمية ، فلا يمكنك رؤية عنوان IP الخاص به. بدلاً من ذلك ، تحتاج إلى الانتباه إلى عنوان MAC الخاص بكل جهاز على الشبكة. إذا كنت تعرف عنوان MAC الخاص بجهاز التوجيه الخاص بك ، فيمكنك مقارنته بعنوان MAC الخاص بالبوابة الافتراضية لمعرفة ما إذا كان حقًا جهاز التوجيه الخاص بك أم متطفلًا.

على سبيل المثال ، في نظام التشغيل Windows ، يمكنك استخدام الأمر ipconfig في سطر الأوامر (CMD) لرؤية عنوان IP الخاص بالعبّارة الافتراضية (السطر الأخير):

الشكل 9 باستخدام الأمر ipconfig

ثم استخدم الأمر arp -a لمعرفة عنوان MAC لهذه البوابة:

الشكل 10. استخدام الأمر arp –a

ولكن هناك طريقة أخرى لملاحظة الهجوم - إذا كنت تراقب نشاط الشبكة في الوقت الذي بدأت فيه وتشاهد حزم ARP. على سبيل المثال ، يمكنك استخدام Wireshark لهذا الغرض ، وسيقوم هذا البرنامج بإعلامك إذا تم تغيير عنوان MAC الخاص بالبوابة الافتراضية.

ملاحظة: إذا قام المهاجم بسخرية عناوين MAC بشكل صحيح ، فسيصبح تتبعه مشكلة كبيرة.

استنتاج

SSL هو بروتوكول يجبر المهاجم على القيام بالكثير من العمل لتنفيذ هجوم. لكنها لن تحميك من الهجمات التي ترعاها الحكومة أو منظمات القرصنة المؤهلة.

تتمثل مهمة المستخدم في حماية متصفحه وجهاز الكمبيوتر الخاص به من أجل منع إدخال شهادة مزيفة (تقنية شائعة جدًا). يجب أيضًا الانتباه إلى قائمة الشهادات الموثوقة وإزالة تلك التي لا تثق بها.

دلالة على حالة يكون فيها المهاجم قادرًا على قراءة الرسائل التي يتبادلها المراسلون وتعديلها حسب الرغبة ، ولا يمكن لأي من هؤلاء أن يخمن وجوده في القناة.

مؤسسة ويكيميديا. 2010.

انظر ماذا تعني عبارة "Man in the middle (attack)" في القواميس الأخرى:

Man in the middle attack، MITM attack (eng. Man in the middle) هو مصطلح في التشفير يشير إلى حالة يكون فيها محلل الشفرات (المهاجم) قادرًا على قراءة وتعديل الرسائل المتبادلة حسب الرغبة ... ... ويكيبيديا

- ... ويكيبيديا

تحليل الشفرات (من اليونانية κρυπτός المخفية والتحليل) هو علم طرق الحصول على القيمة الأولية للمعلومات المشفرة دون الوصول إلى المعلومات السرية (المفتاح) اللازمة لذلك. في معظم الحالات ، هذا يعني ... ... ويكيبيديا

هجوم المتسللين بالمعنى الضيق للكلمة مفهوم حاليًا من خلال عبارة "Assault on a security system" ، ويميل أكثر إلى معنى المصطلح التالي Cracker attack. حدث هذا بسبب تشويه معنى كلمة "هاكر" ... ويكيبيديا

- (من اليونانية الأخرى المخفية والتحليل) علم طرق فك تشفير المعلومات المشفرة دون مفتاح مخصص لفك التشفير. تم تقديم المصطلح من قبل عالم التشفير الأمريكي ويليام ف. فريدمان في عام 1920. بشكل غير رسمي ...... ويكيبيديا

هجوم "رجل في المنتصف" (رجل في المنتصف ، هجوم MitM) - مصطلح في التشفير ، يشير إلى حالة يكون فيها المهاجم قادرًا على قراءة وتعديل الرسائل التي يتبادلها المراسلون متى شاء ، ولا يستطيع أي من هؤلاء احزر عن وجوده في القناة.

طريقة لتسوية قناة اتصال ، حيث يتدخل المهاجم ، المتصل بقناة بين الأطراف المقابلة ، بنشاط في بروتوكول الإرسال ، أو يحذف ، أو يشوه المعلومات ، أو يفرض معلومات كاذبة.

مبدأ الهجوم:

لنفترض أن الكائن "أ" يخطط لإرسال بعض المعلومات للاعتراض على "ب". الكائن "C" لديه معرفة حول بنية وخصائص طريقة نقل البيانات المستخدمة ، بالإضافة إلى حقيقة النقل المخطط للمعلومات الفعلية التي تخطط "C" لاعتراضها.

لتنفيذ هجوم ، يتم "تمثيل" "C" للاعتراض على "A" على أنها "B" والاعتراض على "B" على أنها "A". الكائن "A" ، الذي يعتقد خطأً أنه يرسل معلومات إلى "B" ، يرسله إلى الكائن "C".

الكائن "C" ، بعد تلقي المعلومات ، وبعد تنفيذ بعض الإجراءات معه (على سبيل المثال ، النسخ أو التعديل لأغراضه الخاصة) يرسل البيانات إلى المستلم نفسه - "B" ؛ الكائن "ب" ، بدوره ، يعتقد أن المعلومات وردت إليه مباشرة من "أ".

مثال على هجوم MitM:

لنفترض أن أليس تعاني من مشكلة مالية وأن استخدام أحد برامج المراسلة الفورية قرر أن تطلب من جون مبلغًا من المال عن طريق إرسال رسالة:

أليس: جون ، مرحبا!
أليس: الرجاء ارسال مفتاح التشفير ، هناك طلب صغير!
جون: مرحبًا! انتظر لحظة!

لكن في هذا الوقت ، أثار السيد X ، أثناء تحليله لحركة المرور باستخدام متشمم ، هذه الرسالة ، وأثارت عبارة "مفتاح التشفير" فضولًا. لهذا قرر اعتراض الرسائل التالية واستبدالها بالبيانات التي يحتاجها ، وعندما تلقى الرسالة التالية:

جون: هنا مفتاحي: 1111_D

لقد غير مفتاح جون إلى مفتاحه الخاص ، وأرسل رسالة إلى أليس:

جون: هنا هو مفتاحي: 6666_M

أليس ، غير مدركة وتفكر أنه مفتاح جون ، باستخدام المفتاح الخاص 6666_ م، يرسل رسائل مشفرة إلى جون:

أليس: جون ، أنا في ورطة وأحتاج المال بشكل عاجل ، يرجى تحويل 300 دولار إلى حسابي: Z12345. شكرًا لك. ملاحظة. مفتاحي: 2222_A

بعد تلقي الرسالة ، قام Mister-X بفك تشفيرها باستخدام مفتاحه ، وقراءتها ، وابتهاج ، وتغيير رقم حساب Alice ومفتاح التشفير الخاص به ، وتشفير الرسالة باستخدام المفتاح 1111_ د، ويرسل إلى يوحنا رسالة:

أليس: جون ، لدي مشاكل وأحتاج المال بشكل عاجل ، يرجى تحويل 300 دولار إلى حسابي: Z67890. شكرًا لك. ملاحظة. مفتاحي: 6666_A

بعد تلقي الرسالة ، فك جون تشفيرها باستخدام المفتاح. 1111_ د، وبدون أدنى شك ، ستحول الأموال إلى الحساب Z67890...

وهكذا كسب السيد X 300 دولار باستخدام هجوم man-in-the-middle ، لكن على أليس الآن أن توضح أنها لم تحصل على المال ... وجون؟ يجب على جون أن يثبت لأليس أنه أرسلهم ...

تطبيق:

يتم استخدام نوع مماثل من الهجوم في بعض منتجات البرامج للاستماع إلى الشبكة ، على سبيل المثال:

نت ستومبلر- برنامج يمكنك من خلاله جمع الكثير من البيانات المفيدة حول شبكة لاسلكية وحل بعض المشكلات المرتبطة بتشغيلها. يتيح لك NetStumbler تحديد نطاق الشبكة ومساعدتك في توجيه الهوائي بدقة للاتصال عبر مسافات طويلة. لكل نقطة وصول تم العثور عليها ، يمكنك معرفة عنوان MAC ونسبة الإشارة إلى الضوضاء واسم الخدمة ودرجة أمانها. إذا لم يتم تشفير حركة المرور ، فستكون قدرة البرنامج على اكتشاف الاتصالات غير المصرح بها مفيدة.

dsniff- عبارة عن مجموعة من البرامج الخاصة بمراجعة الشبكة وفحص الاختراق ، وتوفر مراقبة الشبكة السلبية للبحث عن البيانات ذات الأهمية (كلمات المرور وعناوين البريد الإلكتروني والملفات وما إلى ذلك) ، واعتراض حركة مرور الشبكة التي يتعذر الوصول إليها عادةً للتحليل (على سبيل المثال ، على شبكة مبدلة) ، بالإضافة إلى إمكانية تنظيم هجمات MITM لاعتراض جلسات SSH و HTTPS من خلال استغلال أوجه القصور في البنية التحتية للمفاتيح العمومية (PKI).

قابيل وهابيل- برنامج مجاني يسمح لك باستعادة كلمات المرور المفقودة لأنظمة تشغيل عائلة Windows. يتم دعم العديد من أوضاع الاسترداد: تكسير القوة الغاشمة واختيار القاموس وعرض كلمات المرور المخفية بواسطة العلامات النجمية وما إلى ذلك. هناك أيضًا خيارات لاكتشاف كلمة المرور عن طريق اعتراض حزم المعلومات وتحليلها اللاحق ، وتسجيل محادثات الشبكة ، وتحليل ذاكرة التخزين المؤقت ، وغيرها.

إتركاب- هو متشمم وحزم اعتراض ومسجل لشبكات Ethernet المحلية ، والذي يدعم التحليل النشط والسلبي للعديد من البروتوكولات ، بالإضافة إلى "إلقاء" البيانات الخاصة في اتصال موجود وتصفية "على الطاير" دون تعطيل مزامنة الاتصال. يتيح لك البرنامج اعتراض SSH1 و HTTPS والبروتوكولات الآمنة الأخرى ويوفر القدرة على فك تشفير كلمات المرور للبروتوكولات التالية: TELNET و ftp و POP و RLOGIN و SSH1 و icq و SMB و Mysql و HTTP و NNTP و X11 و NAPSTER و IRC ، RIP، BGP، SOCKS 5، IMAP 4، VNC، LDAP، NFS، SNMP، HALF LIFE، QUAKE 3، MSN، YMSG.

الكرمة- مجموعة من الأدوات المساعدة لتقييم أمان العملاء اللاسلكيين ، هي أداة شم لاسلكية تتيح لك ، من خلال الاستماع السلبي إلى إطارات طلب المسبار 802.11 ، اكتشاف العملاء وشبكاتهم المفضلة / الموثوقة. يمكن بعد ذلك إنشاء نقطة وصول مزيفة لإحدى الشبكات المطلوبة ، والتي يمكن توصيلها بها تلقائيًا. يمكن استخدام الخدمات المزيفة عالية المستوى لسرقة البيانات الشخصية أو استغلال نقاط الضعف من جانب العميل على المضيف.

مقبس هوائي- مجموعة من البرامج التي تعتبر حسب الخبراء في مجال اختراق شبكات WiFi أفضل أداة لتوليد إطارات 802.11 مختلفة. يتضمن AirJack عددًا من الأدوات المساعدة المصممة لاكتشاف ESSID المخفي ، وإرسال إطارات إنهاء الجلسة باستخدام MAC مزيف ، وتنفيذ هجمات MitM وتعديلها.

المعارضة:

لتجنب الهجمات من هذا النوع ، يكفي للمشتركين "أ" و "ب" نقل التوقيعات الرقمية لمفاتيح التشفير العامة لبعضهم البعض باستخدام قناة موثوقة. بعد ذلك ، عند مقارنة التوقيعات الرئيسية في جلسات التشفير ، سيكون من الممكن تحديد المفتاح الذي تم تشفير البيانات به ، وما إذا كانت المفاتيح قد تم انتحالها.

هجوم man-in-the-middle هو اسم عام لتقنيات مختلفة تهدف إلى الوصول إلى حركة المرور كوسيط. نظرًا للتنوع الكبير في هذه التقنيات ، فمن الصعب تنفيذ أداة واحدة للكشف عن هذه الهجمات التي من شأنها أن تعمل في جميع المواقف المحتملة. على سبيل المثال ، في هجوم رجل في الوسط على شبكة محلية ، يتم استخدام انتحال ARP (التسمم) بشكل شائع. والعديد من أدوات اكتشاف هجوم الرجل الوسيط تراقب تغييرات زوج عناوين Ethernet / أو تبلغ عن نشاط ARP المشبوه من خلال المراقبة السلبية لطلبات / استجابات ARP. ولكن إذا تم استخدام هذا الهجوم على خادم وكيل تم تكوينه بشكل ضار ، أو VPN ، أو خيارات أخرى عند عدم استخدام تسمم ARP ، فإن هذه الأدوات تكون عاجزة.

الغرض من هذا القسم هو إلقاء نظرة على بعض الأساليب لاكتشاف هجمات man-in-the-middle ، بالإضافة إلى بعض الأدوات المصممة لتحديد أنك تتعرض لهجوم MitM. نظرًا لتنوع المنهجيات وسيناريوهات التنفيذ ، لا يمكن ضمان الكشف بنسبة 100٪.

1. كشف تعديل حركة المرور

كما ذكرنا سابقًا ، لا يتم استخدام انتحال ARP دائمًا في هجمات man-in-the-middle. لذلك ، في حين أن اكتشاف نشاط مستوى ARP هو أكثر طرق الكشف شيوعًا ، فإن اكتشاف تعديل حركة المرور هو طريقة أكثر عمومية. يمكن أن يساعدنا برنامج mitmcanary في ذلك.

مبدأ البرنامج هو أنه يجعل طلبات "التحكم" ويحفظ الإجابات الواردة. بعد ذلك ، يكرر نفس الطلبات على فترات زمنية معينة ويقارن الردود الواردة. البرنامج ذكي تمامًا ولتجنب الإيجابيات الخاطئة ، يكتشف العناصر الديناميكية في الاستجابات ويعالجها بشكل صحيح. بمجرد أن يسجل البرنامج آثار نشاط الأدوات لهجمات MitM ، فإنه يبلغ عنها.

أمثلة على كيفية "وراثة" بعض الأدوات:

• يقوم MITMf افتراضيًا بتغيير جميع عناوين URL الخاصة بـ HTTPS في كود HTML إلى HTTP. تم الاكتشاف بمقارنة محتوى HTTP.
• Zarp + MITMProxy ، يحتوي MITMProxy على ميزة تسمح لك بمسح ضغط HTTP ، ويستخدم هذا لشفافية حركة المرور المنقولة ، ويتم اكتشاف هذه الحزمة من خلال اختفاء الضغط الموجود سابقًا
• المستجيب ، الذي تم الكشف عنه من خلال التغييرات المفاجئة في ترجمة استجابة mDNS: استجابة غير متوقعة ؛ الاستجابة داخلية ، لكن خارجية متوقعة ؛ استجابة مختلفة عن IP المتوقع

• MITMCanary مقابل MITMF:

• MITMCanary مقابل المستجيب:

• MITMCanary مقابل Zarp + MITMProxy:

sudo pip install Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid urlopen analysis طلب simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary /

كما ذكرنا سابقًا ، يجب أن يبدأ عمل mitmcanary بطلبات التحكم. للقيام بذلك ، انتقل إلى الدليل

خدمة القرص المضغوط /

وقم بتشغيل الملف setup_test_persistance.py:

Python2 setup_test_persistance.py

سيستغرق هذا بعض الوقت - انتظر حتى النهاية. يجب عدم عرض رسائل خطأ (إذا كان الأمر كذلك ، فأنت تفتقد بعض التبعيات).

سيتم إخراج شيء من هذا القبيل:

[بريد إلكتروني محمي]: ~ / bin / mitmcanary / service $ python2 setup_test_persistence.py تم اكتشاف إصدار تكوين أقدم (0 بدلاً من 14) جارٍ ترقية التكوين. أطلق سجل التطهير. جاري التحليل ... انتهى التطهير! تسجيل الدخول / home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12 + (افتراضي ، 1 سبتمبر 2016 ، 20:27:38)

بعد الانتهاء من هذه العملية ، في نفس الدليل ، نفذ (هذا سيبدأ عملية في الخلفية):

Python2 main.py

بعد ذلك ، افتح نافذة طرفية جديدة وقم بالتغيير إلى الدليل الجذر باستخدام mitmcanary. الدليل الخاص بي هو bin / mitmcanary / ، لذلك أدخل

حاوية القرص المضغوط / Mitmcanary /

ونفذ هناك:

Python2 main.py

ستعرض النافذة الأولى شيئًا مثل:

[بريد إلكتروني محمي]: ~ / bin / mitmcanary / service $ python2 main.py سجل تسجيل الدخول /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12 + (افتراضي ، 1 سبتمبر 2016 ، 20:27 : 38) باستخدام للاستماع إلى المقبس لـ Tuio على 127.0.0.1:3000 النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية النوم لمدة 60 ثانية

أولئك. يقوم البرنامج بعمل طلبات تحكم مرة واحدة في الدقيقة ويبحث عن علامات هجوم man-in-the-middle فيها.

في النافذة الثانية يوجد أيضًا مخرج + تفتح نافذة مظلمة ، يطلق مؤلفو البرنامج على هذه النافذة "واجهة رسومية":

يمكنك الانتظار بعض الوقت ، وتصفح الإنترنت للتأكد من أن البرنامج لا يقوم بأي تنبيهات خاطئة.

لنجرب برنامج Ettercap الكلاسيكي.

أنا أقوم بتنفيذ هجوم MitM منتظم مع انتحال ARP. لا يتفاعل الميزاناري مع الحفر نفسه. تقوم أداة mitmcanary بإنشاء حركة المرور نفسها ، أي أنه لا يلزم اتخاذ أي إجراء من قبل المستخدم. بعد مرور بعض الوقت ، يظهر تحذير واحد لم يتم تأكيده أثناء عمليات الفحص التالية. لكن نفس التحذير يظهر بعد بضع دقائق. بدون تحليل إضافي ، أجد صعوبة في تحديد ما إذا كان هذا مثالاً على نتيجة إيجابية خاطئة - فهو مشابه جدًا لذلك. من المحتمل أن يكون هذا التحذير ناتجًا عن فشل الاتصال بسبب الحاجة إلى مرور حركة المرور عبر مسارات إضافية ، أو بسبب خصائص اتصال الإنترنت السيئ لدي.

نظرًا لأن النتيجة ليست واضحة (بدلاً من "لا" بدلاً من "نعم") ، فلنجرّب برنامج Bettercap ، الذي يحتوي على مجموعة متنوعة من الوحدات. ليس لدي أدنى شك في أنه عند استخدام ملحقات Ettercap المتنوعة و / أو برامج إضافية لتوسيع الوظائف ، فإننا أيضًا "نضيء" لـ mitmcanary.

من أجل نقاء التجربة ، أقوم بإعادة تشغيل المعدات ، وتشغيل metmcanary على الجهاز المهاجم و Bettercap على الجهاز المهاجم. في الوقت نفسه ، ليس من الضروري إجراء طلبات تحكم مرة أخرى على الجهاز المهاجم - يتم حفظها في ملف داخل الدليل مع البرنامج. أولئك. يكفي بدء الخدمة والواجهة الرسومية.

وفي الجهاز المهاجم ، سنقوم بتشغيل Bettercap مع تمكين المحلل اللغوي:

سودوكاب -X

تظهر تحذيرات منفصلة ، والتي تبدو أيضًا أشبه بالإيجابيات الكاذبة.

لكن تشغيل هذا الأمر:

sudo bettercap -X --proxy

على الجهاز المهاجم ، يتسبب في عدد كبير من التحذيرات بشأن هجوم man-in-the-middle محتمل:

لذلك ، كلما كانت أداة هجوم man-in-the-middle أكثر فاعلية ، زادت آثارها في حركة المرور. من أجل الاستخدام العملي لمكناري ، يجب استيفاء الشروط التالية:

• تقديم طلبات أولية في شبكة موثوق بها عندما تكون متأكدًا من عدم وجود وسيط في نقل حركة المرور ؛
• قم بتحرير الموارد التي يتم إجراء طلبات التحقق عليها ، حيث يمكن للمهاجم المحترف إضافة موارد افتراضية إلى الاستثناءات ، مما سيجعله غير مرئي لهذه الأداة.

2. الكشف عن انتحال ARP (تسمم ذاكرة التخزين المؤقت ARP)

في كثير من الأحيان ، يبدأ هجوم man-in-the-middle على شبكة محلية بتسمم ARP. هذا هو السبب في أن العديد من الأدوات المصممة لاكتشاف هجمات MitM تستند إلى آلية لتتبع التغييرات في ذاكرة التخزين المؤقت ARP ، حيث يتم تعيين المراسلات بين Ethernet (عناوين MAC) وعناوين IP.

تتضمن أمثلة هذه البرامج arpwatch و arpalert وعدد كبير من البرامج الجديدة. لا يراقب برنامج ArpON تغييرات ذاكرة التخزين المؤقت لـ ARP فحسب ، بل يحميها أيضًا منها.

على سبيل المثال ، لنقم بتشغيل arpwatch في وضع التصحيح ، دون إنشاء متفرع في الخلفية وإرسال الرسائل بالبريد. بدلاً من ذلك ، يتم إرسال الرسائل إلى stderr (ناتج الخطأ القياسي).

sudo / usr / sbin / arpwatch -d

على الجهاز المهاجم ، قم بتشغيل Ettercap وابدأ في انتحال ARP. نلاحظ على الجهاز المهاجم:

سيساعدك برنامج arpwatch في التعرف بسرعة على الأجهزة الجديدة المتصلة بشبكتك المحلية ، بالإضافة إلى التغييرات التي تم إجراؤها على ذاكرة التخزين المؤقت ARP.

هناك أداة أخرى لاكتشاف انتحال ARP في الوقت الفعلي وهي مكون إضافي من Ettercap يسمى نفسه arp_cop. على الجهاز المهاجم ، قم بتشغيل Ettercap كما يلي:

sudo ettercap -TQP arp_cop ///

وعلى المهاجم ، لنبدأ حفر ARP. تبدأ التحذيرات فورًا في الظهور على الجهاز المهاجم:

3. كشف انتحال DNS

يشير انتحال DNS إلى وجود وسيط بينك وبين الوجهة يمكنه تعديل حركة المرور الخاصة بك. كيف يمكنك اكتشاف أن سجلات DNS قد تم انتحالها؟ أسهل طريقة للقيام بذلك هي المقارنة مع استجابات خادم الأسماء الذي تثق به. ولكن بعد كل شيء ، يمكن أيضًا استبدال الإدخالات الواردة في الرد المرسل على طلبك ...

أولئك. تحتاج إلى التحقق إما من خلال قناة مشفرة (على سبيل المثال ، عبر Tor) ، أو استخدام إعدادات غير قياسية (منفذ آخر ، TCP بدلاً من UDP). برنامج sans من XiaoxiaoPu مخصص لهذا تقريبًا (على الأقل ، كما أفهمه). تمكنت من استخدام هذا البرنامج لإعادة توجيه استعلامات DNS من خلال Tor ومن خلال الإعدادات غير القياسية إلى خادم DNS الخاص بي. لكنني لم أتمكن مطلقًا من جعلها تظهر لي رسائل حول انتحال استجابة DNS. وبدون ذلك يضيع معنى البرنامج.

لم أجد بدائل أفضل.

من حيث المبدأ ، نظرًا لأن مخادعي DNS يراقبون عادةً المنفذ 53 فقط ، وبروتوكول UDP فقط ، يكفي حتى يدويًا التحقق من حقيقة انتحال DNS ، على الرغم من أن هذا يتطلب خادم DNS الخاص بك بتكوين غير قياسي. على سبيل المثال ، قمت بإنشاء الملف على الجهاز المهاجم dns.confبالمحتوى التالي:

mi-al.ru المحلية

أولئك. عند طلب سجل DNS للموقع mi-al.ru ، سيتم إرسال عنوان IP الخاص بجهاز المهاجم بدلاً من IP الحقيقي.

أركض على آلة الهجوم:

sudo bettercap --dns dns.conf

وعند الهجوم أقوم بفحصين:

احفر mi-al.ru # واحفر mi-al.ru -p 4560 @ 185.117.153.79

نتائج:

[بريد إلكتروني محمي]: ~ $ حفر mi-al.ru؛<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ؛؛ الخيارات العالمية: + cmd ؛؛ حصلت على إجابة: ؛؛ - >> رأس<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 [بريد إلكتروني محمي]: ~ $ dig mi-al.ru -p 4560 @ 185.117.153.79 ؛<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @ 185.117.153.79 ؛؛ الخيارات العالمية: + cmd ؛؛ حصلت على إجابة: ؛؛ - >> رأس<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

يمكن ملاحظة أنه بالنسبة لاستعلام DNS "العادي" ، تم إرسال عنوان IP المحلي 192.168.1.48 ، وعند الاستعلام عن DNS على منفذ غير نمطي ، يتم إرسال عنوان IP الصحيح للخادم.

إذا تم تكوين الخادم للعمل مع TCP (بدلاً من UDP) ، فسيبدو الأمر كما يلي:

حفر mi-al.ru -p 4560 + tcp @ 185.117.153.79

من الواضح أن هناك نقصًا في الأداة التي من شأنها تتبع استجابات DNS في حركة المرور نفسها ، والتحقق منها مرة أخرى مقابل مصدر بديل ، وإصدار إنذار في حالة الانتحال.

لتجنب إعداد DNS البعيد الخاص بك ، يمكنك الاستعلام عن خادم الأسماء عبر Tor. نظرًا لأن جميع حركات مرور Tor مشفرة ، فإن استجابات DNS المستلمة بهذه الطريقة صعبة للغاية بالنسبة للوسيط. إذا لم يكن Tor مثبتًا بالفعل ، فقم بتثبيته.

sudo apt-get install tor

سودو بكمن-اس تور

ابدأ الخدمة:

sudo systemctl بدء تشغيل تور

إذا كنت بحاجة إليها ، أضف هذه الخدمة لبدء التشغيل:

sudo systemctl تمكين tor

افتح الملف / etc / tor / torrcوأضف الأسطر التالية هناك:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit، .onion

انتبه إلى الرقم 530. هذا هو رقم المنفذ ، بدلاً من 530 ، يمكنك تحديد أي منفذ آخر (غير مشغول). الأهم من ذلك ، تذكرها.

مرة أخرى نتحقق من:

احفر mi-al.ru # واحفر mi-al.ru -p 530localhost

الآن نحدد كخادم مضيف محلي، واكتب رقم المنفذ كما هو محدد في الملف / etc / tor / torrc.

كما ترى من لقطة الشاشة التالية ، يتم تنفيذ هجوم انتحال DNS ضد الجهاز الذي تم إجراء الفحص عليه:

4. ابحث عن واجهات الشبكة في الوضع المختلط

إذا كانت شبكتك المحلية تحتوي على معدات (وخاصة إذا ظهرت فجأة) في الوضع المختلط ، فهذا أمر مريب للغاية ، على الرغم من أنه لا يشير بوضوح إلى هجوم رجل في الوسط.

في هذا الوضع ، تسمح لك بطاقة الشبكة باستلام جميع الحزم ، بغض النظر عمن يتم توجيهها إليه.

في الحالة العادية ، يتم استخدام تصفية حزمة طبقة الارتباط على واجهة Ethernet ، وإذا كان عنوان MAC في رأس الوجهة للحزمة المستلمة لا يتطابق مع عنوان MAC لواجهة الشبكة الحالية ولا يتم بثها ، فسيتم تجاهل الحزمة . في الوضع المختلط ، يتم تعطيل التصفية على واجهة الشبكة ويتم السماح لجميع الحزم ، بما في ذلك تلك غير المخصصة للمضيف الحالي ، في النظام.

تتطلب معظم أنظمة التشغيل حقوق المسؤول لتمكين الوضع المختلط. أولئك. وضع بطاقة الشبكة في الوضع المختلط هو عمل واع قد يخدم غرض الاستنشاق.

للبحث عن واجهات الشبكة في الوضع المختلط ، هناك ملحق Ettercap يسمى search_promisc.

مثال على تشغيل البرنامج المساعد:

sudo ettercap -TQP search_promisc ///

تشغيل البرنامج المساعد غير موثوق به تمامًا ، فقد تكون هناك أخطاء في تحديد وضع واجهة الشبكة.

استنتاج

تترك بعض أساليب هجوم man-in-the-middle الكثير من الآثار ، وبعضها (مثل البحث السلبي عن بيانات الاعتماد على الوكيل) يكون من المستحيل أو يكاد يكون من المستحيل اكتشافه.

حيث يتدخل المهاجم ، المتصل بقناة بين الأطراف المقابلة ، في بروتوكول الإرسال ، ويحذف المعلومات أو يشوهها.

مبدأ الهجوم

يبدأ الهجوم عادةً بالاستماع إلى قناة الاتصال وينتهي بمحاولة محلل الشفرات استبدال الرسالة التي تم اعتراضها واستخراج معلومات مفيدة منها وإعادة توجيهها إلى مصدر خارجي.

افترض أن الكائن أ يخطط لإرسال بعض المعلومات إلى الكائن ب. يمتلك الكائن C معرفة حول بنية وخصائص طريقة نقل البيانات المستخدمة ، بالإضافة إلى حقيقة أن النقل المخطط للمعلومات الفعلية التي تخطط C لاعتراضها. لتنفيذ هجوم ، "يظهر" C للاعتراض A على أنه B ، والاعتراض B باعتباره A. الكائن A ، معتقدًا خطأ أنه يرسل معلومات إلى B ، يرسله إلى الكائن C. الكائن C ، بعد أن تلقى المعلومات و يؤدي تنفيذ بعض الإجراءات معها (على سبيل المثال ، النسخ أو التعديل لأغراضهم الخاصة) إلى إرسال البيانات إلى المستلم نفسه - B ؛ الكائن B ، بدوره ، يعتقد أنه تلقى المعلومات مباشرة من A.

مثال الهجوم

حقن التعليمات البرمجية الخبيثة

يسمح هجوم man-in-the-middle لمحلل التشفير بحقن الكود الخاص به في رسائل البريد الإلكتروني وعبارات SQL وصفحات الويب (على سبيل المثال ، يسمح بحقن SQL أو حقن HTML / البرنامج النصي أو هجمات XSS) ، وحتى تعديل الثنائيات التي يحمّلها المستخدم في من أجل الوصول إلى حساب مستخدم أو تغيير سلوك برنامج ينزله المستخدم من الإنترنت.

هجوم الرجوع إلى إصدار أقدم

يشير مصطلح "هجوم الرجوع إلى إصدار أقدم" إلى مثل هذا الهجوم الذي يجبر فيه محلل التشفير المستخدم على استخدام وظائف أقل أمانًا ، وهي بروتوكولات لا تزال مدعومة لأسباب تتعلق بالتوافق. يمكن تنفيذ هذا النوع من الهجوم على بروتوكولات SSH و IPsec و PPTP.

للحماية من هجوم الرجوع إلى إصدار أقدم ، يجب تعطيل البروتوكولات غير الآمنة على جانب واحد على الأقل ؛ مجرد دعم واستخدام البروتوكولات الآمنة بشكل افتراضي لا يكفي!

SSH V1 بدلاً من SSH V2

قد يحاول المهاجم تغيير معلمات الاتصال بين الخادم والعميل عند إنشاء اتصال بينهما. وفقًا لمحادثة في Blackhat Conference Europe 2003 ، يمكن لمحلل التشفير "إجبار" العميل على بدء جلسة SSH1 بدلاً من جلسة SSH2 عن طريق تغيير رقم الإصدار "1.99" من جلسة SSH إلى "1.51" ، مما يعني استخدام SSH V1. يحتوي بروتوكول SSH-1 على نقاط ضعف يمكن لمحلل التشفير استغلالها.

IPsec

في سيناريو الهجوم هذا ، يقوم محلل التشفير بتضليل ضحيته للاعتقاد بأن جلسة IPsec لا يمكن أن تبدأ من الطرف الآخر (الخادم). يؤدي هذا إلى إعادة توجيه الرسائل بشكل صريح إذا كان الجهاز المضيف في وضع العودة إلى الحالة السابقة.

PPTP

في مرحلة التفاوض على معلمات جلسة PPTP ، يمكن للمهاجم إجبار الضحية على استخدام مصادقة PAP أقل أمانًا ، MSCHAP V1 (أي "التراجع" من MSCHAP V2 إلى الإصدار 1) ، أو عدم استخدام التشفير على الإطلاق.

يمكن للمهاجم إجبار ضحيته على تكرار خطوة تفاوض معلمة جلسة PPTP (إرسال حزمة إنهاء- Ack) ، وسرقة كلمة المرور من النفق الحالي ، وكرر الهجوم.

وسائل الاتصال العامة دون حماية لصحة المعلومات وسريتها وتوافرها وسلامتها

أكثر وسائل الاتصال شيوعًا لهذه المجموعة هي الشبكة الاجتماعية وخدمة البريد الإلكتروني العامة ونظام المراسلة الفورية. يتمتع مالك المورد الذي يوفر خدمة الاتصال بالسيطرة الكاملة على المعلومات التي يتبادلها المراسلون ويمكن ، وفقًا لتقديره الخاص ، تنفيذ هجوم بسهولة في أي وقت.

على عكس السيناريوهات السابقة القائمة على الجوانب الفنية والتكنولوجية للاتصالات ، فإن الهجوم في هذه الحالة يقوم على جوانب عقلية ، أي على تأصيل في أذهان المستخدمين لمفهوم تجاهل متطلبات أمن المعلومات.

هل سيوفر التشفير؟

ضع في اعتبارك حالة معاملة HTTP القياسية. في هذه الحالة ، يمكن للمهاجم بسهولة أن يكسر اتصال TCP الأصلي إلى اتصالين جديدين: أحدهما بينه وبين العميل ، والآخر بينه وبين الخادم. هذا سهل إلى حد ما ، لأنه نادرًا ما يكون الاتصال بين العميل والخادم مباشرًا ، وفي معظم الحالات يتم توصيلهما من خلال عدد من الخوادم الوسيطة. يمكن تنفيذ هجوم MITM على أي من هذه الخوادم.

ومع ذلك ، إذا كان العميل والخادم يتواصلان عبر HTTPS - وهو بروتوكول يدعم التشفير - فيمكن أيضًا تنفيذ هجوم man-in-the-middle. مع هذا النوع من الاتصال ، يتم استخدام TLS أو SSL لتشفير الطلبات ، والتي ، على ما يبدو ، تجعل القناة آمنة من هجمات الاستكشاف وهجمات MITM. يمكن للمهاجم إنشاء جلستي SSL مستقلتين لكل اتصال TCP. ينشئ العميل اتصال SSL مع المهاجم ، الذي يقوم بدوره بإنشاء اتصال بالخادم. عادةً ما يحذر المستعرض في مثل هذه الحالات من أن الشهادة لم يتم توقيعها بواسطة مرجع مصدق موثوق به ، ولكن يمكن للمستخدمين العاديين للمتصفحات القديمة تجاوز هذا التحذير بسهولة. بالإضافة إلى ذلك ، قد يكون لدى المهاجم شهادة موقعة من مرجع مصدق جذري (على سبيل المثال ، تُستخدم هذه الشهادات أحيانًا في DLP) ولا تنشئ تحذيرات. بالإضافة إلى ذلك ، هناك عدد من الهجمات على HTTPS. وبالتالي ، لا يمكن اعتبار بروتوكول HTTPS آمنًا من هجمات MITM من قبل المستخدمين العاديين. [ ] هناك عدد من الإجراءات التي تمنع بعض هجمات MITM على مواقع https ، على وجه الخصوص ، HSTS ، التي تحظر استخدام اتصالات http من المواقع ، وتثبيت الشهادات و HTTP Public Key Pinning ، والتي تحظر استبدال الشهادة.

كشف هجوم MITM

لاكتشاف هجوم man-in-the-middle ، يجب تحليل حركة مرور الشبكة. على سبيل المثال ، لاكتشاف هجوم SSL ، يجب الانتباه إلى المعلمات التالية:

• خادم IP
• خادم DNS
• شهادة خادم X.509
  • هل الشهادة موقعة ذاتيًا؟
  • هل الشهادة موقعة من قبل مرجع مصدق؟
  • هل تم إبطال الشهادة؟
  • هل تغيرت الشهادة مؤخرًا؟
  • هل تلقى عملاء آخرون على الإنترنت نفس الشهادة؟

تطبيقات هجوم MITM

يمكن استخدام البرامج المدرجة لتنفيذ هجمات man-in-the-middle ، وكذلك لاكتشافها واختبار نقاط الضعف في النظام.

أنظر أيضا

• Aspidistra (إنجليزي) - جهاز إرسال راديو بريطاني استخدم أثناء "غزوات" الحرب العالمية الثانية ، وهو نوع من هجوم MITM.
• مؤامرة بابينغتون (إنجليزي) - مؤامرة ضد إليزابيث الأولى ، اعترض خلالها والسينغهام مراسلات.

هجمات أخرى

• "Man in the Browser" هو نوع من الهجوم يستطيع فيه المهاجم تغيير معاملات المعاملة على الفور ، وتغيير الصفحات بشفافية كاملة للضحية.
• "هجوم Meet-in-the-middle" - هجوم تشفير يستخدم ، مثل هجوم عيد الميلاد ، المفاضلة بين الوقت والذاكرة.
• "الخسارة في الوسط" (Miss in the middle attack) هي طريقة فعالة لما يسمى بتحليل الشفرات التفاضلي المستحيل.
• هجوم الترحيل - نوع من هجوم MITM يعتمد على إعادة توجيه رسالة تم اعتراضها إلى مستلم صالح ، ولكن ليس إلى المستلم المقصود.
• الجذور الخفية هو برنامج مصمم لإخفاء آثار وجود دخيل.

اكتب مراجعة لمقال "هجوم الوسيط"

المؤلفات

الروابط

• www.all.net/CID/Attack/Attack74.html
• www.nag.ru/2003/0405/0405.shtml
• www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

مقتطف يصف هجوم الوسيط

قال الضابط ، وهو ينظر إلى الرجل الصغير بابتسامة متعجرفة وطيبة: "كوارتير ، ربع ، لوجنت". - Les Francais sont de bons enfants. كيو ديابل! فويونس! Ne nous fachons pas، mon vieux، [شقق ، شقق ... الفرنسيون هم رجال طيبون. اللعنة ، دعونا لا نتشاجر ، يا جدي.] - أضاف ، وهو يربت على كتف جرسيم الخائف والصامت.
- كاليفورنيا! Dites donc، on ne parle donc pas francais dans cette boutique؟ [حسنًا ، ألا يتحدث أحد هنا الفرنسية أيضًا؟] أضاف وهو ينظر حوله ويلتقي بعيون بيير. ابتعد بيير عن الباب.
عاد الضابط إلى جراسيم مرة أخرى. وطالب جرسيم أن يريه غرف المنزل.
قال جيراسم "لا سيد - لا أفهم .. كلامك .." وهو يحاول توضيح كلماته من خلال التحدث بها بالعكس.
قام الضابط الفرنسي ، مبتسمًا ، بمد يديه أمام أنف جيراسيم ، مما جعله يشعر بأنه لم يفهمه أيضًا ، وذهب وهو يعرج إلى الباب حيث كان بيير يقف. أراد بيير الابتعاد من أجل الاختباء منه ، لكنه في تلك اللحظة بالذات رأى ماكار أليكسيش ينحني من باب المطبخ المفتوح ومسدسًا في يديه. بمكر مجنون ، نظر ماكار الكسيفيتش إلى الفرنسي ورفع مسدسه وصوب.
- على متن سفينة!!! - صاح المخمور بالضغط على زناد المسدس. استدار الضابط الفرنسي عند الصراخ ، وفي نفس اللحظة اندفع بيير نحو السكر. بينما أمسك بيير المسدس ورفعه ، ضرب ماكار الكسيش أخيرًا الزناد بإصبعه ، وصدمت رصاصة أصابت الجميع بدخان المسحوق. تحول الرجل الفرنسي شاحبًا واندفع عائداً إلى الباب.
بعد أن نسى نيته عدم الكشف عن معرفته باللغة الفرنسية ، خطف بيير المسدس ورماه بعيدًا ، وركض إلى الضابط وتحدث معه باللغة الفرنسية.
- Vous n "etes pasessed؟ [هل أنت مصاب؟] - قال.
أجاب الضابط "Je crois que non" ، وهو يشعر بنفسه ، "mais je l" ai manque belle cette fois ci ، "أضاف ، مشيرًا إلى الجص المكسور في الجدار." Quel est cet homme؟ [يبدو أنه ليس كذلك. .. ولكن هذه المرة كانت قريبة. من هذا الرجل؟] - نظر بصرامة إلى بيير ، قال الضابط.
- آه ، إنني حقًا في حالة من اليأس ، [آه ، أنا حقًا في يأس مما حدث ،] - قال بيير سريعًا ، متناسيًا دوره تمامًا. - C "est un fou، un malheureux qui ne savait pas ce qu "il faisait. [هذا رجل مجنون مؤسف لم يكن يعرف ماذا كان يفعل.]
صعد الضابط إلى مقار الكسيفيتش وأمسكه من طوقه.
ماكار الكسيش ، بشفتين مفترقتين ، كأنما نام ، متمايلًا ، متكئًا على الحائط.
قال الفرنسي وهو يسحب يده: "بريجاند ، تو لي لا payeras".
- Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres، [Robber، you will pay me for this. أخونا يرحم بعد النصر ، لكننا لا نغفر للخونة] ، أضاف بوقار كئيب في وجهه وبلفتة حيوية جميلة.
استمر بيير في إقناع الضابط بالفرنسية بألا يبتعد عن هذا الرجل المجنون المخمور. استمع الفرنسي في صمت ، دون أن يغير نظرته القاتمة ، وفجأة التفت إلى بيير بابتسامة. نظر إليه بصمت لبضع ثوان. اتخذ وجهه الوسيم تعبيرا رقيقًا بشكل مأساوي ، ومد يده.
- Vous m "avez sauve la vie! Vous etes Francais، [لقد أنقذت حياتي. أنت فرنسي] ،" قال. بالنسبة للفرنسي ، كان هذا الاستنتاج لا يمكن إنكاره. فقط الفرنسي يمكن أن يفعل شيئًا عظيمًا ، وينقذه كانت الحياة ، mr Ramball capitaine du 13 me leger [السيد رامبال ، كابتن فوج الضوء الثالث عشر] ، بلا شك ، أعظم عمل.
لكن بغض النظر عن مدى الشك في هذا الاستنتاج وقناعة الضابط المبنية عليه ، اعتبر بيير أنه من الضروري أن يخيب ظنه.
قال بيير بسرعة: "Je suis Russe ، [أنا روسي]".
- Ti ti ti، a d "autres، [Tell it to others] - قال الفرنسي وهو يلوح بإصبعه أمام أنفه ويبتسم. - قال:" heure vous، I have to cone tout ca، "قال. - Charme de rencontrer un مواطن. ايه بيان! qu "allons nous faire de cet homme؟ [الآن ستخبرني بكل هذا. من الجيد جدًا مقابلة مواطن. حسنًا! ماذا يجب أن نفعل مع هذا الرجل؟] - أضاف مخاطبًا بيير ، بصفته شقيقه بالفعل. لو لم يكن بيير فرنسياً فقط ، بعد أن حصل ذات مرة على هذا الاسم الأعلى في العالم ، لم يستطع التخلي عنه ، هكذا قال التعبير على وجه ونبرة الضابط الفرنسي. بالنسبة للسؤال الأخير ، أوضح بيير مرة أخرى من كان ماكار أليكسيش ، أوضحوا أنه قبل وصولهم بقليل قام رجل مخمور ومجنون بجر مسدس محشو ، لم يكن لديهم وقت لإخراجها منه ، وطلب ترك صكه دون عقاب.
قام الفرنسي بإخراج صدره وقام بإشارة ملكية بيده.
- Vous m "avez sauve la vie. Vous etes Francais. Vous m" avez sauve la vie. Vous etes Francais. Vous me requestez sa grace؟ Je vous l "accorde. Qu "on emmene cet homme ، [لقد أنقذت حياتي. أنت فرنسي. هل تريدني أن أسامحه؟ أنا أسامحه. خذ هذا الرجل بعيدًا ،] قال الضابط الفرنسي بسرعة ونشاط ، وأخذ من ذراعه ما أنتج لإنقاذ حياته في لغة بيير الفرنسية ، وذهب معه إلى المنزل.
ودخل الجنود الذين كانوا في الفناء ، وسمعوا الرصاص ، وسألوا عما حدث ، وأعربوا عن استعدادهم لمعاقبة المذنب ؛ لكن الضابط منعهم بشدة.
قال: "عند الطلب على الهالة ، [عند الحاجة ، سيتم الاتصال بك". غادر الجنود. اقترب باتمان ، الذي كان في المطبخ أثناء ذلك ، من الضابط.
"Capitaine، ils ont de la soupe et du gigot de mouton dans la cuisine ،" قال. - Faut il vous l "apporter؟ [القبطان لديه حساء وشواء في المطبخ. هل ترغب في إحضاره؟]
- Oui ، et le vin ، [نعم ، والنبيذ ،] - قال القبطان.

دخل الضابط الفرنسي مع بيير المنزل. اعتبر بيير أنه من واجبه أن يؤكد للقبطان مرة أخرى أنه ليس فرنسياً ، وأراد المغادرة ، لكن الضابط الفرنسي لم يرغب في سماع ذلك. لقد كان مهذبًا للغاية ، ودودًا ، ولطيفًا ، وممتنًا حقًا لإنقاذ حياته لدرجة أن بيير لم يكن لديه الشجاعة لرفضه وجلس معه في القاعة ، في الغرفة الأولى التي دخلوا إليها. لتأكيد بيير أنه لم يكن فرنسيًا ، من الواضح أن القبطان لم يفهم كيف كان من الممكن رفض مثل هذا اللقب الممتع ، هز كتفيه وقال إنه إذا كان يريد بالتأكيد أن يُعرف باسم روسي ، فليكن ، لكن أنه ، على الرغم من ذلك ، مرتبط به إلى الأبد من خلال الشعور بالامتنان لإنقاذ حياة.
لو كان هذا الشخص موهوبًا على الأقل ببعض القدرة على فهم مشاعر الآخرين وكان قد خمّن مشاعر بيير ، لكان بيير على الأرجح قد تركه ؛ لكن عدم قابلية هذا الرجل للاختراق لكل ما لم يكن هو نفسه هزم بيير.
- قال الفرنسي ، وهو ينظر إلى الملابس الداخلية المتسخة ولكن الرقيقة لبيير والخاتم على يده. - Je vous dois la vie je vous offre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offre mon amitie. Je ne vous dis que ca. [أنا مدين لك بحياتي ، وأنا أقدم لك الصداقة. لا ينسى الفرنسي أبدًا الإهانات أو الخدمات. الصداقة لك ، لا أقول أكثر.]
في أصوات صوته ، في التعبير عن وجهه ، في إيماءات هذا الضابط ، كان هناك الكثير من الطبيعة الطيبة والنبل (بالمعنى الفرنسي) بحيث استجاب بيير بابتسامة غير واعية لابتسامة الفرنسي ، صافح اليد الممدودة.
- Capitaine Ramball du treizieme leger، decore pour l "affaire du Sept، [الكابتن رامبال ، الفوج الثالث عشر للضوء ، فارس من وسام جوقة الشرف من أجل قضية السابع من سبتمبر ،] - قدم نفسه بابتسامة متعجرفة لا يمكن السيطرة عليها تجعد شفتيه تحت شاربه. - Voudrez vous bien me dire a gift ، a qui "j" ai l "honneur de parler aussi agreablement au place de rester a l" ambulance avec la balle de ce fou dans le corps. [هل ستكون كذلك من اللطيف أن تخبرني الآن مع من أنا ، وأتشرف بالتحدث بسرور شديد ، بدلاً من أن أكون في غرفة خلع الملابس برصاصة هذا الرجل المجنون في جسده؟]
أجاب بيير أنه لا يستطيع نطق اسمه ، وبدأ محجوبًا ، محاولًا اختراع اسم ، للحديث عن أسباب عدم قدرته على قول ذلك ، لكن الفرنسي قاطعه على عجل.
قال "دي جريس". - جي يتألف من المبررات ، والضابط والآخر ... Vous avez porte les armes contre nous. Ce n "est pas mon affaire. Je vous dois la vie. لقد خدمتنا ضدنا ، هذا ليس من شأني. أنا مدين لك بحياتي. هذا يكفي لي ، وأنا كلي لك. هل أنت نبيل؟] - أضاف مع تلميح من سؤال. أمال بيير رأسه. - Votre nom de bapteme، s "il vous plait؟ Je ne تطلب pas davantage. السيد بيير ، dites vous… Parfait. C "est tout ce que je want savoir. [your name؟ I don't ask anything else. Mr. Pierre، did you say؟ Fine. that's all I need.]
عندما تم إحضار لحم الضأن المشوي والبيض المخفوق والسماور والفودكا والنبيذ من قبو روسي أحضره الفرنسيون معهم ، طلب رامبل من بيير المشاركة في هذا العشاء وعلى الفور ، بفارغ الصبر وبسرعة ، مثل صحي وجائع. بدأ الرجل يأكل ، يمضغ بسرعة بأسنانه القوية ، ويصفع شفتيه باستمرار ويقول ممتاز ، رائع! [رائع ، ممتاز!] كان وجهه محمرًا ومغطى بالعرق. كان بيير جائعًا وشارك بكل سرور في العشاء. أحضر موريل ، المنظم ، إناءً من الماء الدافئ ووضع فيه زجاجة من النبيذ الأحمر. بالإضافة إلى ذلك ، أحضر زجاجة كفاس ، أخذها من المطبخ للاختبار. كان هذا المشروب معروفًا بالفعل للفرنسيين وحصل على الاسم. أطلقوا على kvass limonade de cochon (عصير ليمون الخنزير) ، وأشاد Morel بليموناد de cochon الذي وجده في المطبخ. ولكن نظرًا لأن القبطان حصل على النبيذ أثناء المرور عبر موسكو ، فقد قدم الكفاس لموريل وشرب زجاجة من بوردو. لف الزجاجة حتى رقبته بمنديل وسكب لنفسه ونبيذ بيير. إشباع الجوع والنبيذ أحيا القبطان أكثر ، ولم يتوقف عن الكلام أثناء العشاء.
- Oui ، mon cher monsieur Pierre ، je vous dois une fiere chandelle de m "تجنب sauve ... de cet enrage ... J" en ai assez، voyez vous، de balles dans le corps. En voila une (يشير إلى جانبه) a Wagram et deux a Smolensk ، - أظهر الندبة التي كانت على خده. - Et cette jambe، comme vous voyez، qui ne veut pas marcher. C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu، c "etait beau. Il Fallait voir ca، c" etait un deluge de feu. Vous nous avez taille une rude besogne؛ vous pouvez vous en vanter، nom d "un petit bonhomme. Et، ma parole، malgre l" atoux que j "y ai gagne، je serais pret a recommencer. Je plains ceux qui n" ont pas vu ca. [نعم ، عزيزي السيد بيير ، أنا مضطر لأن أشعل شمعة جيدة لك لإنقاذي من هذا الرجل المجنون. كما ترى ، لقد سئمت من الرصاص الموجود في جسدي. هنا واحد بالقرب من Wagram ، والآخر بالقرب من Smolensk. وهذه الساق ، كما ترى ، لا تريد أن تتحرك. هذا خلال معركة 7 الكبرى بالقرب من موسكو. اوه! كانت رائعة! كان يجب أن تراها ، لقد كان طوفانًا من النار. لقد أعطيتنا عملاً شاقًا ، يمكنك التباهي. وبالله ، على الرغم من هذه الورقة الرابحة (أشار إلى الصليب) ، سأكون مستعدًا للبدء من جديد. أشفق على أولئك الذين لم يروا ذلك.]
- J "y ai ete ، [كنت هناك] - قال بيير.
- باه ، الذعر! قال الفرنسي إيه بيان ، تانت ميوكس. - Vous etes de fiers ennemis، tout de meme. لا غراند يعيد توجيه a ete tenace ، اسمي "une pipe. et vous l" avez fait cranement payer. J "y suis alle trois fois، tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes. Oh !! c" etait beau، monsieur Pierre. Vos grenadiers ont ete superbes، tonnerre de Dieu. لقد قمت بعمل ستة أجزاء من اللعبة ، وآخرون قاموا بعمل مسرحية. لي بو هومز! Notre roi de Naples ، qui s "y connait a crie: bravo! Ah، ah! ​​Soldat comme nous autres! - قال مبتسمًا ، وأكل لحظة من الصمت. - تانت ميوكس ، تانت ميوكس ، السيد بيير. Terribles en bataille. .. جالانتس ... - غمز بابتسامة ، - avec les belles، voila les Francais، monsieur Pierre، n "est ce pas؟ [با ، حقا؟ كل ما هو أفضل. أنت تحطم الأعداء ، يجب أن أعترف. المعقل الكبير صمد بشكل جيد ، اللعنة. وجعلتنا ندفع ثمنا باهظا. لقد كنت هناك ثلاث مرات ، كما ترون. ثلاث مرات كنا على المدافع ، ثلاث مرات ضربنا مثل جنود البطاقات. كانت قنابلكم رائعة ، والله. رأيت كيف أغلقت صفوفهم ست مرات وكيف ساروا بالضبط إلى العرض. شعب رائع! صرخ لهم ملك نابولي ، الذي أكل الكلب في هذه الحالات: برافو! - ها ها ، إذن أنت شقيقنا الجندي! "كان ذلك أفضل بكثير ، وكان ذلك أفضل بكثير ، السيد بيير. رهيب في المعركة ، لطيف مع الجميلات ، ها هو الفرنسي ، السيد بيير. اليس كذلك؟]
إلى هذا الحد ، كان القبطان مبتهجًا بسذاجة وطيبة ، ومخلصًا ، ومسرورًا بنفسه ، حيث كاد بيير أن يغمز بنفسه ، وينظر إليه بمرح. ربما جعلت كلمة "جالانت" القبطان يفكر في موقف موسكو.