ما هو هجوم تخفيض الرتبة وكيف يعمل؟

آخر تحديث في بواسطة Dionisie Gitlan

تستغل هجمات التخفيض في الأمن السيبراني نقاط ضعف نظامك، مما يجبره على استخدام بروتوكولات قديمة وأقل أماناً. يمكن أن تؤدي هذه الخدعة الخطيرة إلى سرقة البيانات أو حتى الاستيلاء على النظام. يتلاعب القراصنة باتصالات الشبكة، ويخدعون نظامك لتقليل مستوى الأمان فيه.

توجد العديد من هجمات التخفيض، مثل POODLE و FREAK و Logjam، ولكل منها آليات فريدة ونتائج محتملة.

تعرفك هذه المقالة على هجمات تخفيض مستوى SSL/TLS وتشرح كيفية منعها.

جدول المحتويات

  1. ما هو هجوم التخفيض؟
  2. كيف يعمل هجوم تخفيض الرتبة؟
  3. أنواع الهجمات التخفيضية
  4. مخاطر هجمات تخفيض التصنيف
  5. كيف تحمي من هجمات تخفيض التصنيف؟
  6. أمثلة على هجمات التخفيضات

ما هو هجوم التخفيض؟

هجوم الرجوع للخلف، المعروف أيضًا باسم هجوم التراجع عن الإصدار أو هجوم المزايدة على الإصدار السابق، هو نوع من هجمات التشفير التي تستغل التوافق مع الإصدارات السابقة في الأنظمة أو البروتوكولات، مثل بروتوكول SSL/TLS، لإجبار اتصال آمن على استخدام خوارزميات أو مجموعات تشفير أضعف أو أقدم.

تستفيد هذه الهجمة من خوادم الويب أو التطبيقات التي تدعم إصدارات قديمة من بروتوكولات الأمان، مما يقوض النظام المستهدف. في بعض الأحيان، يمكن أن يؤدي استغلال المتصفح إلى تسهيل خفض مستوى الاتصال إلى إصدارات أقل أمانًا.

كيف يعمل هجوم تخفيض الرتبة؟

لتنفيذ هجوم التخفيض، يقوم المخترقون باعتراض اتصالات نظامك والتلاعب بها، وخداعه لاستخدام بروتوكولات أقل أماناً. قد تتساءل، كيف يعمل هجوم التخفيض؟ العملية تقنية بعض الشيء، ولكن دعنا نحللها باستخدام مثال TLS.

هجوم تخفيض مستوى TLS هو أسلوب هجوم يستغل الثغرات الأمنية في الإصدارات القديمة من المتصفحات الرئيسية أو تطبيقات الويب الرئيسية للوصول إلى البيانات الحساسة.
إليك كيفية عمل ذلك:

عندما يحاول المستخدم الاتصال بخادم ويب يدعم HTTPS (HTTP عبر TLS/SSL)، يتفاوض متصفح الويب والخادم على اتصال آمن لضمان سرية وسلامة البيانات المرسلة. يرسل الخادم قائمة ببروتوكولات التشفير وخوارزميات التشفير المدعومة أثناء عملية التفاوض هذه.

يعترض المهاجم هذا الاتصال عبر هجوم رجل في الوسط ويتلاعب به لإزالة الخيارات الأكثر أمانًا، تاركًا فقط البروتوكولات القديمة أو الأضعف سليمة. غالبًا ما يستغل هذا التلاعب ثغرات في قنوات الاتصال أو يستخدم نصوصًا برمجية خبيثة.

ونتيجةً لذلك، عندما يتلقى متصفح الويب القائمة المعدّلة، يضطر إلى الاختيار من بين الخيارات المخترقة، مما يؤدي إلى خفض مستوى HTTPS. يتم إنشاء الاتصال باستخدام وضع تشفير أقل جودة أو حتى عبر HTTP العادي، الذي يفتقر إلى التشفير تمامًا.

قد لا يلاحظ المستخدم أي اختلاف فوري في تجربة التصفح لأن صفحة الويب لا تزال تُحمّل. ومع ذلك، يتم تقليل أمان الاتصال، مما يجعله عرضة للتنصت والاعتراض من قبل المهاجم.

أي بيانات حسّاسة يتم تبادلها بين المستخدم وخادم الويب، مثل بيانات اعتماد تسجيل الدخول أو معلومات بطاقة الائتمان أو التفاصيل الشخصية، أصبحت الآن عرضةً للاستيلاء عليها واستغلالها من قبل المهاجم.

على الرغم من الجهود التي تبذلها فرق التطوير لتصحيح الثغرات الأمنية وتحديث بروتوكولات الأمان، فإن نجاح هجوم تخفيض مستوى بروتوكول TLS يعتمد على استخدام برمجيات قديمة أو الفشل في تطبيق معايير الاتصال الآمن، مما يجعل العديد من المستخدمين والأنظمة في خطر.

أنواع الهجمات التخفيضية

سنستكشف الآن أنواعًا مختلفة من هجمات التخفيض. إن معرفة كيفية عمل هذه الهجمات وما تستهدفه سيساعدك على حماية أنظمتك وبياناتك بشكل أفضل. كل منها يمثل تحديات فريدة من نوعها ويستغل نقاط ضعف مختلفة.

بودل

بودل يستهدف SSL 3.0 من خلال استغلال ثغراته الأمنية. يرمز الاختصار POODLE إلى “Padding Oracle On Downgrade Legacy Encryption ” ويعود تاريخه إلى عام 2014.

والهدف الرئيسي منه هو إجبار الاتصال بين الخادم والعميل على العودة إلى إصدار أقل أمانًا، SSL 3.0، مما يسهل فك تشفير البيانات الحساسة. يمكن أن يسمح هجوم POODLE للقراصنة بالحصول على معلومات حساسة مثل بيانات اعتماد تسجيل الدخول أو أرقام بطاقات الائتمان.

والخبر السار هو أنه من السهل الوقاية منه. كل ما عليك فعله هو تعطيل SSL 3.0 على خادمك. علاوةً على ذلك، فإن معظم الخوادم والمتصفحات الحديثة تتصل حصريًا عبر TLS 1.2 و TLS 1.3، لذا لا يمكن أن يحدث هذا الهجوم إلا على المنصات القديمة والمتقادمة.

فريك

FREAK يرمز إلى “FREAK لتفسير مفاتيح تصدير RSA. يتلاعب هجوم خفض التشفير هذا بالاتصال الآمن، مما يجبره على استخدام تشفير أضعف. ثم يكسر المهاجم التشفير الأضعف لاعتراض البيانات أو تغييرها.

يستغل FREAK نقطة الضعف في خوارزمية تشفير RSA، والتي لا تزال تدعم التشفير “من درجة التصدير”. هذه سياسات قديمة من التسعينيات عندما حدّت الحكومة الأمريكية من قوة التشفير للاستخدام الدولي. لا تزال بعض الخوادم تدعم هذا التشفير الأضعف، مما يجعلها عرضة لهجمات FREAK.

لذلك، في حين أن تشفير RSA قوي من الناحية النظرية، إلا أن العيب يكمن في ضعف مفاتيح RSA لأغراض التصدير، وهو ما يستغله مهاجمو FREAK. لحماية نفسك، تأكد من أن خادمك لا يدعم التشفير على مستوى التصدير.

سلوث

يرمز SLOTH إلى ” خسائر الأمان من تجزئات النسخ المتقادمة والمبتورة“. يستهدف بروتوكولات مثل TLS و SSL، والتي قد لا تزال تدعم خوارزميات تجزئة ضعيفة مثل MD5 أو SHA-1.

في هجوم SLOTH، يعترض المهاجمون الاتصالات بين طرفين ويتلاعبون بعملية المصافحة لفرض استخدام دالة تجزئة مبتورة. وبدلاً من مخرجات التجزئة الكاملة، يتم استخدام جزء منها فقط، مما يسمح للمهاجمين بشن هجمات التصادم وهجمات ما قبل الصورة.

لمنع مثل هذا الهجوم، استخدم دائمًا خوارزميات تشفير قوية، مثل SHA-256 أو أعلى للتجزئة و AES للتشفير.

لوجام

يستهدف هجوم Logjam هجوم Logjam تبادل مفاتيح Diffie-Hellman من خلال استغلال معلمات ضعيفة، غالباً ما تكون أعداداً أولية صغيرة، مما يجعلها عرضة لحسابات اللوغاريتمات المنفصلة.

في هذا الهجوم، يعترض اللصوص الإلكترونيون عملية تبادل المفاتيح ويخفضون مستوى تبادل المفاتيح، مستغلين نقاط الضعف لحساب اللوغاريتم المنفصل بكفاءة (دالة رياضية تخبرك بعدد المرات التي تحتاج فيها إلى ضرب رقم معين في نفسه للحصول على رقم آخر) واسترداد المفتاح السري المشترك.

لإيقاف هجمات Logjam، استخدم معلمات تشفير أقوى، وقم بتعطيل دعم جميع مجموعات شفرات DHE_EXPORT، وحافظ على تحديث مكتبات التشفير.

BEAST

يستهدف BEAST، أو استغلال المتصفح ضد SSL/TLS، وضع تسلسل كتلة التشفير (CBC) في بروتوكولات تشفير SSL/TLS، مما يسمح للمهاجمين بفك تشفير ملفات تعريف الارتباط HTTPS. يستغل ثغرة CBC من خلال استخدام نص تشفير جلسة عمل سابقة للتنبؤ بالنص العادي للكتلة التالية، وبالتالي الوصول إلى معلومات حساسة مثل معرّفات جلسات عمل المستخدم.

للحماية من BEAST، احرص على إجراء تحديثات منتظمة للنظام، وفكر في الانتقال إلى أوضاع تشفير أكثر أماناً.

مخاطر هجمات تخفيض التصنيف

يمكن أن تؤدي هجمات خفض مستوى الأمان إلى تعطيل سلامة اتصالاتك عبر الإنترنت، مما يجبر الأنظمة على استخدام بروتوكول قديم وأقل أمانًا، وهو ما يسهل على المهاجمين استغلاله.

سرية بياناتك على المحك. بينما تعمل هجمات التخفيض في الخلفية، يمكن اعتراض المعلومات الحساسة، مثل البيانات الشخصية أو التفاصيل المالية، وسرقتها.

في سيناريوهات نادرة، يمكن للمهاجمين استخدام هجمات التخفيض لإيقاف نظامك بالكامل، مما يتسبب في تعطل كبير. هذه المخاطر ليست مجرد مخاطر نظرية؛ فقد تجسدت في حوادث واقعية تسببت في أضرار جسيمة.

كيف تحمي من هجمات تخفيض التصنيف؟

تتطلب الوقاية من هجمات التخفيض في المقام الأول الحفاظ على تحديث المتصفح والخادم والتطبيقات وتأمينها. استخدم أحدث الإصدارات من برامجك، حيث إنها عادةً ما تأتي مع تحديثات أمنية تسد الثغرات الأمنية التي تستغلها هجمات التخفيض.

يجب عليك أيضًا تحديث بروتوكولات التشفير بانتظام. أي شيء أقل من TLS 1.2 هو مرفوض. يمكن أن يساعد أيضًا الالتزام بأعلى مستوى من الأمان المتاح وتعطيل التوافق غير الضروري مع الإصدارات السابقة في منع هذه الهجمات.

تعد مراقبة حركة المرور على الشبكة خطوة مهمة أخرى. يمكن أن تشير الأنماط غير المعتادة إلى هجوم تخفيض الرتبة. لذلك، من المهم استخدام أنظمة كشف التطفل (IDS) وأنظمة منع التطفل (IPS) لتحديد مثل هذه الهجمات ومنعها بفعالية.

علاوة على ذلك، استخدم HTTPS عبر HTTP لضمان نقل البيانات بأمان. يمكن أيضًا أن يؤدي تمكين HTTP Strict Transport Security (HSTS) إلى منع هجمات خفض مستوى الخدمة من خلال فرض استخدام HTTPS.

أمثلة على هجمات التخفيضات

فيما يلي ثلاث شركات رفيعة المستوى تأثرت بهجمات تخفيض التصنيف:

  1. جوجل: بعد تأثرها بثغرة POODLE في عام 2014، عطلت Google دعم SSL 3.0 عبر خدماتها لحماية سلامة بيانات المستخدمين وخصوصيتهم.
  2. PayPal: تأثرت PayPal أيضًا بهجوم POODLE في عام 2014، وطبقت PayPal تدابير أمنية لحماية المعلومات المالية لمستخدميها ومنع الاختراقات المحتملة للبيانات.
  3. مايكروسوفت: تأثرت شركة مايكروسوفت بهجوم Logjam في عام 2015، واتخذت خطوات استباقية لمعالجة الثغرة الأمنية وتعزيز أمن برمجياتها وخدماتها، مما يضمن الحماية من الاستغلال المحتمل.

وبدون استجابة سريعة، كان من الممكن أن تؤدي كل هذه الاختراقات للبيانات التي تعرض بيانات المستخدمين الشخصية والمالية للخطر إلى مسؤوليات كبيرة ورسوم قانونية وفقدان ثقة العملاء. وعلاوة على ذلك، فإن التكاليف المرتبطة بتحديث الأنظمة، وتنفيذ التدابير الأمنية، وإجراء عمليات التدقيق الأمني كانت ستضيف إلى الأثر الكلي.

خلاصة القول

من المحتمل أن تتسبب هجمات خفض مستوى بروتوكول SSL في خسائر كبيرة في البيانات، ولكنها تعتمد على خوادم قديمة لا تزال تدعم بروتوكولات التشفير المهملة. في الفضاء الرقمي اليوم، تستخدم 99% من المواقع الإلكترونية والتطبيقات بروتوكولي TLS 1.2 و TLS 1.3 الآمنين للغاية، واللذين يحتويان على آليات حماية ضد مثل هذه الهجمات.

لا داعي للقلق بشأن هجمات التخفيض إلا إذا كنت تستخدم متصفحات قديمة أو خوادم من أوائل التسعينيات. سيجعلك الوعي بوجودها أكثر حذراً عند زيارة موقع قديم أو تشغيل خادم لم يتم تحديثه منذ سنوات.

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

وفّر 10% الآن!
بقلم

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.

منشورات ذات صلة
فك تشفير SSL بعيد عن متناول الإنسان
ما هي خوارزمية SHA-256 وكيف تعمل؟
ما هو التشفير وكيف يعمل؟
تشفير AES و RSA: الاختلافات والتشابهات
التشفير المتماثل مقابل التشفير غير المتماثل: الدليل المقارن النهائي