عصر کالا- روشی اخیراً کشف شده که یک کد استخراج در پیجهای مربوط به کاربران شبکههای وای فای عمومی رایگان نفوذ کرده و یک توسعهدهنده نرمافزاری را وادار میکند تا حملاتی که بهصورت خودکار انجام میشوند را مورد بررسی قرار دهد.
به گزارش پایگاه خبری «عصر کالا» به نقل از ایسنا، امروزه کمتر خانهای را میتوان یافت که به اینترنت مجهز نباشد. حتی اماکن عمومی نظیر رستورانها، کافی شاپها، فرودگاهها و... اینترنت را در شبکه بیسیم ارائه میکنند و کافی است با تبلت یا گوشی هوشمند خود از هر جایی به اینترنت متصل شوید.
اما نکته مهم در هر بار اتصال به شبکه وای فای و یا هر شبکه عمومی دیگر، حفظ امنیت در بستر اینترنت است؛ چراکه بسیاری از شبکههای اینترنت بی سیم، رمزنگاری نشدهاند و شما میتوانید بدون استفاده از نام و کلمه عبور به این شبکهها متصل شوید. نکته مهم این است که ما بدانیم هنگام استفاده از این شبکهها چه اقداماتی را به منظور حفظ امنیت خودمان به کار بگیریم.
امروزه بدافزارها و وبسایتها و مشکلات آنها با نرمافزارهای بازیابی اطلاعات یا اسکریپتهای رمزنگاری، دو رویکرد رایج به شمار میروند. اما روش دیگری که اخیراً کشف شده، شامل یک کد استخراج است که در pageهای مربوط به کاربران شبکههای وای فای عمومی رایگان نفوذ کرده است.
بر این اساس اولین گام حمله شامل قرار دادن دستگاه مهاجم بین دستگاههای کاربران و روتر Wi-Fi است که بهطور موثر اجازه میدهد تا آن را انتقال و یا ترافیک وب بین آنها را تغییر دهد و این موقعیت نیز با انجام یک حمله ARP بهدست میآید.
ARP مخفف سه کلمه Address Resolution Protocol است که وظیفه آن شناخت و تشخیص Mac Address) hardware address ) است؛ البته درصورتیکه یک کامپیوتر با دانستن IP بخواهد با یک سیستم ارتباط برقرار کند. بهعبارت دیگر، arp وظیفه تبدیل ip address به mac address را بر عهده دارد. هنگامی که یک کامپیوتر بخواهد با یک کامپیوتر دیگر در یک شبکه ارتباط برقرار کند باید ip آن را داشته باشد، اما این ظاهر قضیه است و در واقع سیستم باید برای دریافت و ارسال داده از آدرس سختافزاری یا MAC Address استفاده کند و پیدا کردن mac address کامپیوترهای یک شبکه توسط arp انجام میشود.
مهاجم پیامهای تقلبی آدرس قطعنامه ARP را به یک شبکه محلی میفرستد تا مک آدرس خود را با آدرس IP روتر مرتبط سازد. هنگامی که این کار انجام شد، هرگونه ترافیکی که متعلق به این آدرس IP است، به جای آن برای مهاجم ارسال میشود.
هکرها با استفاده از mitmproxy، میتوانند ترافیکی که از طریق دستگاه حرکت میکند را تجزیه و تحلیل کرده و آن را فقط با تزریق یک خط کد، به صفحات HTML درخواست شده، تغییر دهد و این کد تزریق شده نیز رمزنگاری جاوا اسکریپت را بهصورت معکوس از سرور فراخوانی میکند.
بر اساس اطلاعات سایت پلیس فتا، در اینجا هدف توسعهدهنده این بوده تا اسکریپتی ایجاد کند که حمله کاملاً مستقل خود را بر روی شبکه Wi-Fi انجام دهد، اما این کار را انجام نداده، از اینرو هکر یا مهاجم باید یک فایل متنی با آدرس آیپی قربانیان را قبل از استقرار آماده کند و این اسکریپت تولید شده مواردی از قبیل اخذ IP روتر و قربانیان، تنظیم IPها و پورت IP، اجرای ARPspoof برای همه قربانیان، رمزگشایی سرور HTTP و فعال کردن انواع پروکسیها را فراهم میآورد و اسکریپت مورد نیاز را نیز در ترافیک وب تزریق میکند.
بنابراین توسعهدهنده حمله را در سناریوهای واقعی بهصورت موفقیتآمیز انجام دادهاست. با این حال، توسعهدهنده قصد دارد با استفاده از رمز اثبات شده خود، در آینده حملات اصلی خود را صرفاً به اهداف دانشگاهی متمرکز کند.
در نسخههای دیگر با اضافه کردن یک اسکن مستقل از Nmap بهعنوان یک ویژگی احتمالی، میتوان IPهای شناسایی شده به لیست قربانیان را شناسایی کرد و از ویژگیهای دیگر آن نیز اضافه کردن sslstrip جهت اطمینان از تزریق بدافزارها در وبسایتهایی که دارای HTTPS است را میتوان اشاره کرد.
