ما هو هجوم تجريد SSL وكيفية منعه

منذ طرحها في السوق التجارية، خضعت شهادات SSL للعديد من التحسينات الأمنية وأصبحت الآن تتميز بمستوى تشفير غير قابل للاختراق تقريبًا. ومع ذلك، فإن التحسينات المستمرة على طبقة المقابس الآمنة SSL لم تثني المهاجمين المتشائمين عن محاولة سرقة البيانات المشفرة.

حتى مع وجود تدابير أمنية قوية، يلوح في الأفق تهديد إلكتروني يُعرف باسم تجريد بروتوكول SSL على الويب، يبحث عن الثغرات الأمنية والثغرات في تكوين HTTPS، وهو جاهز للضرب عند أول غفلة. تشرح هذه المقالة ما هي هجمات نزع طبقة المقابس الآمنة SSL، وسبب خطورتها، وكيف يمكنك اكتشاف هجمات نزع طبقة المقابس الآمنة SSL ومنعها من تهديد موقعك الإلكتروني ونشاطك التجاري.

---

جدول المحتويات

1. ما هو تجريد SSL؟
2. كيف يعمل تجريد SSL؟
3. ما هي أنواع تجريد SSL؟
4. لماذا يعتبر قطاع SSL Strip خطير للغاية؟
5. كيفية اكتشاف تجريد SSL؟
6. كيفية منع تجريد SSL؟

---

ما هو تجريد SSL؟

تجريد SSL هو هجوم إلكتروني يستهدف الاتصال الآمن بين المستخدم والموقع الإلكتروني. وهو يستفيد من حقيقة أن معظم المواقع الإلكترونية والخدمات عبر الإنترنت تستخدم تشفير SSL/TLS لحماية المعلومات الحساسة المنقولة عبر الإنترنت. يعمل هجوم تجريد SSL على خفض مستوى اتصال HTTPS الآمن إلى اتصال HTTP غير آمن، مما يسهل على لصوص الإنترنت اعتراض البيانات أثناء النقل بين خادم الويب والعميل والتلاعب بها.

---

كيف يعمل تجريد SSL؟

في عام 2009، تحدث موكسي مارلينسبايك، وهو باحث أمريكي معروف في مجال أمن الحاسوب ويدعو إلى الاستخدام الواسع النطاق للتشفير القوي وتقنيات تعزيز الخصوصية، عن شريط SSL لأول مرة في فعالية بلاك هات لأمن المعلومات.

لفهم كيفية عمل هجمات تجريد SSL بشكل أفضل، دعنا نفكر في سيناريو يريد فيه المستخدم الوصول إلى موقع ويب عبر HTTPS. يبدأ متصفح الويب الخاص بالمستخدم الاتصال عن طريق طلب شهادة SSL من موقع الويب. إذا كانت شهادة SSL الخاصة بالموقع الإلكتروني صالحة، فإن المتصفح سيثق بها ويسمح للزوار بالوصول إلى صفحة الويب.

ومع ذلك، في هجوم تجريد SSL، يعمل المهاجم كرجل وسيط، حيث يعترض الطلب الأولي ويخفض مستوى الاتصال إلى HTTP قبل أن يصل إلى الموقع الإلكتروني. ونتيجة لذلك، يكون المتصفح غير مدرك للهجوم ويسمح للمخترق باعتراض وقراءة وتعديل أي بيانات مرسلة بين المستخدم والموقع الإلكتروني.

يضع المهاجم نفسه بين المستخدم وموقع الويب عبر وسائل مختلفة، مثل نقطة اتصال Wi-Fi مخادعة أو جهاز شبكة مخترق. ثم يقومون بتعديل الاستجابة من موقع الويب، وإزالة أي إشارات إلى HTTPS واستبدالها بـ HTTP.

بالإضافة إلى ذلك، قد يزيلون الروابط الآمنة أو عمليات إعادة التوجيه أو العناصر الأخرى التي تفرض HTTPS.

نظرًا لأن متصفح المستخدم يعتقد الآن أن موقع الويب يستخدم HTTP، سيتم إرسال أي طلبات لاحقة يقوم بها المستخدم، مثل إرسال بيانات اعتماد تسجيل الدخول أو المعلومات الحساسة، عبر اتصال غير آمن.

---

ما هي أنواع تجريد SSL؟

يوجد نوعان شائعان من هجمات نزع طبقة المقابس الآمنة SSL: السلبي والنشط. دعنا نتعمق في المزيد من التفاصيل الفنية ونستكشف كل هجوم.

تجريد SSL السلبي

في هجوم تجريد SSL السلبي، يعترض المهاجم الاتصال بين المستخدم والموقع الإلكتروني دون تعديل أي بيانات. إليك تفاصيل العملية:

1. يبدأ المستخدم الاتصال بالموقع الإلكتروني باستخدام HTTPS، ولكن المهاجم يعترض هذا الاتصال.
2. يقوم المخترق بعد ذلك بتنفيذ هجوم خفض مستوى SSL عن طريق التلاعب برؤوس الاستجابة المرسلة إلى متصفح المستخدم.
3. وبمجرد خفض الاتصال، يمكن للمهاجم اعتراض الاتصال بين المستخدم والموقع الإلكتروني وعرضه بالكامل.
4. يقوم المهاجم بجمع البيانات التي تم اعتراضها بصمت لأغراض خبيثة، مثل سرقة الهوية أو اختراق الحساب أو الوصول غير المصرح به إلى موارد حساسة.

---

تجريد SSL النشط

تذهب هجمات نزع طبقة المقابس الآمنة النشطة إلى أبعد من ذلك من خلال عدم الاكتفاء بتخفيض مستوى الاتصال إلى HTTP، بل أيضًا تعديل محتوى صفحات الويب المتبادلة بين المستخدم والموقع الإلكتروني. إليك شرحاً أكثر تفصيلاً:

1. يعترض المهاجم اتصال HTTPS الخاص بالمستخدم ويخفضه إلى HTTP، على غرار تجريد SSL السلبي.
2. في التجريد النشط لـ SSL، يقوم المخترق بتغيير محتوى صفحات الويب المتبادلة بين المستخدم والموقع الإلكتروني. يمكنهم استخدام تقنيات مختلفة، مثل:

• تغيير الروابط: يقوم المهاجم بتعديل الروابط داخل صفحة الويب للإشارة إلى عناوين URL غير آمنة HTTP بدلاً من عناوين URL الآمنة HTTPS.
• إدخال شيفرة برمجية خبيثة: يمكن للمهاجم إدراج جافا سكريبت أو كود HTML خبيث في صفحة الويب لالتقاط مدخلات المستخدم أو سرقة البيانات الحساسة.
• إعادة توجيه المستخدم: قد يقوم المهاجم بإعادة توجيه المستخدم إلى موقع ويب مزيف يحاكي الموقع الشرعي – وهو هجوم تصيد كلاسيكي قد تكون له عواقب وخيمة.

تُعد هجمات تجريد SSL النشطة أكثر خطورة من الهجمات السلبية لأنها تنطوي على التلاعب بالمحتوى ويمكن أن تؤدي إلى استغلال إضافي واختراق معلومات المستخدم.

---

لماذا يعتبر قطاع SSL Strip خطير للغاية؟

يقوم SSL Strip بإعادة توجيه كل حركة المرور القادمة من جهاز الضحية نحو وكيل أنشأه المهاجم. والآن، لنضع أنفسنا مكان المهاجم. لقد أنشأنا اتصالاً بين الضحية وخادمنا الوكيل. يمكنه اعتراض كل حركة المرور التي تتدفق إلينا. بدون استخدام شريط SSL، سنستقبل ببساطة البيانات المشفرة، والتي لن نتمكن من فك تشفيرها.

لكن الأمور تتغير بشكل جذري بمجرد أن نضيف شريط SSL إلى المزيج. إذا اتصل شخص ما بخادم البروكسي الخاص بنا، مع تشغيل الشريط في الخلفية، فلن يحصل الضحية على أي تنبيه من المتصفح حول خطأ شهادة SSL. لن يكون لديهم أي شك في حدوث هجوم فعلي. إذن كيف يمكن لشريط SSL أن يخدع كل من المتصفح وخادم الموقع الإلكتروني؟

يستفيد الشريط من الطريقة التي يأتي بها معظم المستخدمين إلى مواقع SSL الإلكترونية. يتصل غالبية الزائرين بصفحة موقع إلكتروني تتم إعادة توجيهه (على سبيل المثال: عمليات إعادة التوجيه 302)، أو يصلون إلى صفحة SSL عبر رابط من موقع لا يعمل بنظام SSL. إذا أراد الضحية، على سبيل المثال، شراء منتج رقمي وكتب عنوان URL التالي في شريط العناوين www.somedigitalproduct.com، يتصل المتصفح بجهاز المهاجم وينتظر الرد من الخادم. يقوم المهاجم، بدوره، بإعادة توجيه طلب الضحية إلى خادم المتجر الإلكتروني ويتلقى صفحة الدفع الآمنة HTTPS. على سبيل المثال https://www.somedigitalproduct.com.

في هذه المرحلة، يكون لدى المهاجم سيطرة كاملة على صفحة الدفع الآمنة. يقوم بتخفيضه من HTTPS إلى HTTP وإرساله مرة أخرى إلى متصفح الضحية. يتم الآن إعادة توجيه المتصفح إلى http://www.somedigitalproduct.com. من الآن فصاعدًا، سيتم نقل جميع بيانات الضحية بصيغة نصية عادية، وسيتمكن المهاجم من اعتراضها. وفي الوقت نفسه، سيعتقد خادم الموقع الإلكتروني أنه أنشأ اتصالاً آمناً بنجاح. لقد فعلت ذلك بالفعل، ولكن بجهاز المهاجم، وليس بجهاز الضحية.

---

كيفية اكتشاف تجريد SSL؟

على الرغم من أن اكتشاف هجمات تجريد SSL قد يكون أمرًا صعبًا، إلا أن هناك العديد من المؤشرات التي يمكنك البحث عنها. فيما يلي خمس علامات يمكن أن تساعد في اكتشاف تجريد SSL.

1. رمز القفل المفقود: عادة، عندما تزور موقعًا آمنًا على الويب، يعرض متصفحك رمز القفل في شريط العناوين بالقرب من عنوان URL الخاص بالموقع. إذا كان رمز القفل مفقودًا أو تم استبداله برمز تحذير، فقد يشير ذلك إلى أن الاتصال الآن عبر HTTP، وقد يحدث تجريد SSL.
2. عنوان URL غير متناسق: انتبه إلى عنوان URL الخاص بالموقع الإلكتروني. عندما تقوم في البداية بتحميل موقع ويب آمن عبر HTTPS، يبدأ عنوان URL بـ “https://”. إذا تغير عنوان URL، في أي وقت أثناء تفاعلك مع الموقع الإلكتروني، إلى “http://” بدلاً من أن يظل “https://”، فهذا يشير إلى أن الاتصال قد تم تخفيضه وقد يكون تجريد SSL قيد التنفيذ.
3. رسائل تحذير المتصفح: غالباً ما تعرض المتصفحات الحديثة رسائل تحذيرية عند وجود مخاوف أمنية. إذا أشار متصفحك إلى أن شهادة الأمان الخاصة بالموقع الإلكتروني غير صالحة أو أن الاتصال غير آمن، فيجب عليك مغادرة الموقع.
4. تحذيرات المحتوى المختلط: يجب ألا تقوم مواقع الويب الآمنة (HTTPS) بتحميل أي محتوى، مثل الصور أو البرامج النصية، من مصادر غير آمنة (HTTP). إذا كان متصفحك يعرض تحذيرات حول “محتوى مختلط”، فهذا يشير إلى أن الاتصال الآمن ربما تم التلاعب به، مما قد يشير إلى هجوم تجريد SSL.
5. سلوك غير متوقع: إذا لاحظت سلوكًا غير معتاد على أحد مواقع الويب، مثل الوظائف المفقودة أو الصور المعطلة أو عناصر الصفحة غير المتناسقة، فقد يكون ذلك أيضًا علامة على هجوم تجريد SSL. قد يقوم المهاجمون بتعديل المحتوى أو حقن تعليمات برمجية خبيثة، مما يؤدي إلى سلوك غير متوقع للموقع الإلكتروني.

تجدر الإشارة إلى أن هذه المؤشرات ليست مضمونة وقد لا تشير دائمًا إلى هجوم MitM أو تعرية SSL. ومع ذلك، إذا واجهت أيًا من هذه العلامات، فمن المستحسن توخي الحذر والنظر في إمكانية حدوث هجوم مستمر.

---

كيفية منع تجريد SSL؟

يتطلب منع تجريد SSL نهجاً متعدد الطبقات. أولاً وقبل كل شيء، يجب على مالكي مواقع الويب فرض اتصالات HTTPS بشكل افتراضي من خلال تطبيق HTTP Strict Transport Security (HSTS)، والذي يوجه متصفح المستخدم إلى التواصل مع الموقع الإلكتروني فقط عبر اتصالات HTTPS الآمنة. بالإضافة إلى ذلك، يجب على مالكي المواقع الإلكترونية تجديد شهادة SSL في الوقت المحدد واستخدام أحدث بروتوكولات التشفير وخوارزميات التشفير.

من وجهة نظر المستخدم، من الضروري أن يكون يقظاً ويتحقق من أمان المواقع الإلكترونية قبل مشاركة المعلومات الحساسة. يجب على المستخدمين البحث عن رمز القفل، والتحقق من البادئة “https” في عنوان URL، وتوخي الحذر عند إدخال بيانات اعتماد تسجيل الدخول أو إجراء معاملات عبر الإنترنت على مواقع ويب غير مألوفة أو مشبوهة. يمكن أن يساعد استخدام شبكة افتراضية خاصة موثوقة (VPN) في الحماية من هجمات تجريد SSL من خلال تشفير كل حركة المرور على الإنترنت ومنع اعتراضها من قبل المهاجمين المحتملين.

---

الخاتمة

على الرغم من التطورات في تشفير SSL/TLS، يستمر المهاجمون في استغلال الثغرات والثغرات الأمنية لتحويل اتصالات HTTPS الآمنة إلى اتصالات HTTP غير آمنة. أصبح اكتشاف هجمات تجريد SSL أسهل الآن لأن جميع المتصفحات الحديثة تُشير إلى مواقع HTTP على أنها غير آمنة وتشجع المستخدمين على عدم استخدامها. من خلال البقاء على اطلاع، وتنفيذ تدابير أمنية قوية، واتخاذ تدابير أمنية قوية، والمبادرة في اكتشاف مثل هذه الهجمات ومنعها، يمكن للأفراد والشركات ضمان تفاعلات أكثر أمانًا عبر الإنترنت.

الأسئلة المتداولة