ما هو استغلال POODLE؟ وكيفية التغلب عليها

تتيح طريقة القرصنة POODLE للمتطفلين فرصة تكسير التشفير الذي يحمي عمليات نقل الويب الخاصة بك. يستغل الهجوم نقطة ضعف في طريقة التشفير المستخدمة لحماية بروتوكول HTTPS. هذا الضعف الأمني ​​يهدد نجاح التجارة الإلكترونية ، لأن HTTPS وفرت الأمان الذي يحتاجه المستهلكون من أجل إدخال تفاصيل بطاقة الائتمان الخاصة بهم في صفحة ويب بثقة.

Contents

تأمين طبقة المقبس

في الأيام الأولى لشبكة الويب العالمية ، سيطر متصفح Netscape. أراد مالكو المتصفحات المجانية ، شركة Netscape Corporation ، تشجيع الاستخدام العام للإنترنت واكتشفوا أن وجود نظام أمان مجاني وتلقائي سيشجع نمو المبيعات عبر الإنترنت ، مما يجعل الويب مكانًا للتسوق. لقد اخترعوا طبقة المقابس الآمنة لتوفير هذا الأمن.

تحتاج أجهزة الكمبيوتر التي تتواصل مع بعضها البعض إلى اتباع نفس مجموعة القواعد. يحتاجون إلى استخدام دفتر رموز مشترك حتى يتمكن متلقي الطلب من فهم محتويات كل رسالة يتم استلامها وتعبئة الرد وفقًا للمصطلحات التي يمكن للطالب فهمها. هذه المجموعة من القواعد تسمى البروتوكول.

يسمى البروتوكول القياسي للطلبات وتسليم صفحات الويب ببروتوكول نقل النص التشعبي. ال "HTTP: //" في مقدمة عنوان صفحة ويب ، يشير إلى أن المستعرض يستخدم هذا المعيار للوصول إلى رمز صفحة الويب. أصبح هذا أقل شيوعًا في الوقت الحاضر مثل تأمين بروتوكول نقل النص التشعبي "HTTPS: //" يصبح المعيار. كما يوحي الاسم ، هذا أكثر أمانًا كما أضاف الخالق Netscape SSL.

أصبحت طبقة المقابس الآمنة (SSL) معيارًا صناعيًا وأصبحت HTTPS بسرعة الطريقة المفضلة لطلب صفحات الويب وتسليمها. يتم تشفير نقل البيانات بين جهازي الكمبيوتر في اتصال HTTPS. عندما يقوم جهازي الكمبيوتر بإنشاء اتصال ، يطلب العميل (الطالب) التحقق من هوية الخادم. يتم توفيرها بواسطة شهادة محتفظ بها على كمبيوتر جهة خارجية. تتضمن الشهادة مفتاح تشفير عام يستخدمه العميل لتشفير جميع الرسائل اللاحقة.

مشاكل طبقة المقابس الآمنة

تطورت طبقة المقابس الآمنة حتى الإصدار الثالث ، والمعروفة باسم طبقة المقابس الآمنة 3.0. ومع ذلك ، أثارت عدة نقاط ضعف أمنية مخاوف بشأن النظام. يمكن للمتسلل الذي كان قادرًا على الاستفادة من الأسلاك على الإنترنت ، أو جذب حركة المرور عبر نقطة اتصال واي فاي وهمية ، أن يعترض طلب الشهادة ويقدم نسخته الخاصة. تحاكي الشهادة المزيفة الشهادة الحقيقية بكل التفاصيل ، باستثناء مفتاح التشفير. عندئذٍ سيستخدم الكمبيوتر العميل المخادع مفتاح المتسلل لتشفير جميع الرسائل. بعد ذلك ، سيكون بإمكان المتسلل قراءة جميع المعلومات التي أرسلها جهاز الكمبيوتر العميل ، بما في ذلك تفاصيل بطاقة ائتمان المالك وبيانات اعتماد تسجيل الدخول.

يسمى هذا النوع من الخدعة "رجل في الوسط" هجوم. يقوم برنامج القرصنة بفك تشفير رسالة العميل وتخزينها وإعادة تشفيرها باستخدام مفتاح التشفير الفعلي للخادم ثم إرسالها. يتم اعتراض الردود التي تنتقل من الخادم إلى العميل وإعادة تشفيرها ثم إعادة توجيهها. وبالتالي ، لا يدرك أي طرف أن هناك متلصص واقف بينهما.

أمن طبقة النقل

هناك نوع آخر من الرجال في الهجوم الأوسط على SSL 3.0 جعل فريق هندسة الإنترنت يعلن انتهاء SSL في عام 2015. وقد تم تطوير بديل أكثر أمانًا لـ SSL. هذا هو بروتوكول أمان طبقة النقل ، والذي يشار إليه عادة باسم TLS. يمكن حل مشكلة الشهادات المزيفة إجرائيًا ، لكن وجود خلل في نظام التشفير يعني أن النظام بالكامل كان به عيوب أساسية. يدور الاختراق الذي قتل SSL حول طريقة الكتلة المستخدمة لتحويل النص لجعله مشفرًا.

لقد أصبحت TLS الآن ناضجة وقد تجاوزت نسختها الأولى. كما ستقرأ لاحقًا ، يمكن خداع TLS 1.0 في العودة إلى إجراءات SSL 3.0 ، لذلك تحتاج أيضًا إلى حماية نفسك من هذا الإصدار من البروتوكول.

ما هو استغلال POODLE SSL?

يعد ضعف الأمان الكبير مع طريقة التشفير المستخدمة لـ SSL هو أساس POODLE. POODLE لتقف على "الحشو أوراكل على خفض مستوى التشفير القديمة." ال "خفض مستوى التراث" سيتم شرح جزء من الاسم في القسم التالي من هذا التقرير. ومع ذلك ، دعونا ننظر أولاً إلى مكان وجود هذه البرامج الضارة.

لا يجب أن يكون برنامج استغلال POODLE مقيمًا على جهاز الكمبيوتر الخاص بك. يمكن تقديمه في أي مكان بين جهاز الكمبيوتر الخاص بك والخادم الذي ينوي المستعرض الخاص بك طلب صفحة ويب منه. مثل العديد من أنظمة التشفير ، يستخدم SSL تسلسل كتلة التشفير. هذا يأخذ جزءًا من النص ويرتبه في كتلة. يخترق الاختراق بايت اختبار واحد في كل كتلة من النص للكشف عن مفتاح التشفير.

تعتمد الطريقة على القدرة على ضخ JavaScript في شفرة صفحة الويب التي يتم تسليمها. يمكن أن يحدث هذا الحدث على الخادم أو أثناء الإرسال أو على الكمبيوتر المتلقي. لذلك ، لا يمكنك حماية نفسك من هذا الهجوم باستخدام برنامج مكافحة البرامج الضارة ، لأن البرنامج الضار على الأرجح ليس مقيماً على جهاز الكمبيوتر الخاص بك.

التوافق الوراء

توفر القدرة على التواصل مع أي كمبيوتر في العالم القوة الدافعة وراء جميع بروتوكولات الشبكات والإنترنت وويب. لسوء الحظ ، لا يحافظ الجميع على تحديث برامجهم. لا يزال بعض الأشخاص يشغلون إصدارات قديمة من المتصفحات وبعض منتجي برامج الإنترنت يستغرقون وقتًا لإنشاء إصدارات جديدة من برامجهم.

مع وضع ذلك في الاعتبار ، من الممارسات الشائعة لبروتوكولات الإنترنت تضمين شكل من أشكال التوافق مع الإصدارات السابقة. تتبع إجراءات التفاوض لـ TLS هذا المبدأ. عندما يحاول العميل فتح جلسة مع خادم ، سيتم إجراء جهة الاتصال الأولية بعد بروتوكول TLS. ومع ذلك ، إذا كان الخادم لا يفهم هذا الطلب ، فمن المفترض أنه لا يزال يعمل بنظام SSL 3.0. سيقوم الكمبيوتر العميل بالتبديل إلى إجراءات SSL 3.0 لمحاولة الحصول على اتصال بالخادم.

هذا ال "خفض مستوى التراث" جزء من اسم POODLE. لم يستطع مطورو POODLE اختراق TLS. ومع ذلك ، اكتشفوا ميزة التوافق مع الإصدارات السابقة في إجراءات البروتوكول. من خلال إجبار العميل على التبديل إلى SSL 3.0 ، كان المتسللون قادرين على تنفيذ هجوم تسلسل كتلة التشفير المشهور.

نظرًا لأن هذا استغلال في الوسط ، فقد يكون الخادم قادرًا على استخدام TLS. ومع ذلك ، فإن جهاز الكمبيوتر العميل لا يعرف ذلك ، لأن برنامج القرصنة يدعي أنه الخادم.

تعطيل SSL 3.0 في متصفحك

لا تحتاج إلى شراء أي برنامج لمكافحة الفيروسات من أجل هزيمة POODLE. تحتاج فقط إلى منع المتصفح من محاولة طلب في SSL 3.0 عندما لا يحصل على استجابة باستخدام TLS. يسهل تطبيق الإصلاح بشكل خاص على Internet Explorer و Google Chrome وهو نفسه بغض النظر عن نظام التشغيل الذي تقوم بتشغيله. إذا كنت تستخدم كليهما ، فيجب عليك فقط حظر SSL 3.0 في أحدهما والآخر سيحتوي تلقائيًا على الإعدادات الجديدة.

تعطيل SSL 3.0 في برنامج Internet Explorer

يمكنك تعطيل SSL 3.0 في Internet Explorer باتباع الخطوات التالية.

1. الذهاب إلى خيارات الإنترنت

انقر على رمز الترس في أعلى يمين المتصفح وحدد "خيارات الإنترنت" من القائمة المنسدلة.

قائمة Internet Explorer

2. انتقل إلى خيارات الإنترنت المتقدمة

انقر فوق علامة التبويب "خيارات متقدمة" في شاشة "خيارات الإنترنت" وانتقل لأسفل إلى قسم "الأمان" في لوحة "الإعدادات".

إعدادات SSL لبرنامج Internet Explorer

3. قم بإلغاء تحديد SSL 3.0

ألغ تحديد "استخدم SSL 3.0"و "استخدم TLS 1.0" خانات. انقر فوق الزر "تطبيق" ثم اضغط "موافق".

تعليمات لجوجل كروم

إعدادات الشبكة الأساسية في Google Chrome هي نفسها تمامًا مثل إعدادات Internet Explorer. يمكنك فقط الوصول إلى شاشة الإعدادات عن طريق مسار مختلف قليلاً.

1. انتقل إلى إعدادات Google Chrome

انقر فوق القائمة الموجودة في نهاية حقل العنوان أعلى المتصفح وحدد الإعدادات من القائمة المنسدلة.

قائمة جوجل كروم

2. انتقل إلى إعدادات Chrome المتقدمة

قم بالتمرير لأسفل في صفحة "الإعدادات" وانقر فوق "خيارات متقدمة".

خيار الإعدادات المتقدمة في Google Chrome

3. انتقل إلى إعدادات الوكيل

تابع وصولاً إلى قسم النظام وانقر على المربع المجاور لـ "افتح إعدادات الخادم الوكيل."

سيؤدي هذا إلى فتح نافذة خصائص الإنترنت.

4. افتح إعدادات الوكيل المتقدمة

انقر فوق علامة التبويب "خيارات متقدمة" وانتقل لأسفل إلى قسم "الأمان" في لوحة "الإعدادات".

5. قم بإلغاء تحديد SSL 3.0

ألغ تحديد "استخدم SSL 3.0"و "استخدم TLS 1.0" خانات. انقر فوق الزر "تطبيق" ثم اضغط "موافق".

إعدادات SSL لبرنامج Internet Explorer

تعليمات للأوبرا

تم حظر استخدام طبقة المقابس الآمنة 3.0 بشكل افتراضي في Opera 12. وبالتالي ، فإن أسهل طريقة لحماية نفسك من POODLE هي ترقية المتصفح.

1. قم بتنزيل أحدث إصدار للأوبرا Build

انتقل إلى صفحة تنزيل موقع Opera. قم بتنزيل الإصدار المناسب لنظامك وتثبيته.

صفحة تنزيل متصفح Opera

2. إنهاء التثبيت والكتابة فوق كل تثبيت أوبرا

دع المثبت يعمل من خلال. انقر فوق اتفاقية شروط الاستخدام وسيقوم المعالج باستبدال إصدار Opera القديم الخاص بك بإصدار جديد محمي من POODLE.

تعليمات لموزيلا فايرفوكس

نظام موزيلا هو أكثر تعقيدا قليلا. تحتاج إلى فتح صفحة خاصة على متصفحك بعنوان مخفي.

1. انتقل إلى حول إعدادات التكوين

اكتب "حول: التكوين" في مجال عنوان المتصفح. سيتم تحذيرك من لعنة القرون الوسطى. انقر فوق "سأكون حذرا ، أعدك!" لاستكمال.

رسالة تحذير تكوين Firefox

2. البحث عن TLS

أدخل "TLS" في مربع البحث ، ثم انقر نقرًا مزدوجًا فوق "security.tls.version.min."

إعدادات TLS لفايرفوكس

3. تغيير إعداد TLS

أدخل "2" في الجواب المنبثقة. سيعطيك هذا TLS الإصدار 1.1 كحد أدنى لبروتوكول الأمان. انقر فوق "موافق" لحفظ هذا الإعداد.

إعدادات TLS لفايرفوكس

تعليمات لـ Microsoft Edge

إذا قمت بتشغيل Windows 10 ، سيكون لديك Microsoft Edge. هذا هو البديل لبرنامج Internet Explorer ، وقد تمت كتابته بعد حدوث استغلال POODLE بحيث لا تتوفر لديه إمكانيات للتراجع إلى SSL 3.0. لا تحتاج إلى القيام بأي شيء لتعطيل SSL 3.0 في هذا المتصفح لأنه مستبعد بالفعل.

نقاط الضعف المستعرض الأخرى

متصفحات الويب هي بوابة الوصول إلى الإنترنت لغالبية الجمهور ، وهذه الحقيقة تجعلها هدفًا متكررًا للمتسللين. يدرك منتجو المتصفحات نقاط الضعف المكتشفة حديثًا ويقومون بإعداد تحديثات بشكل متكرر لإغلاق طرق الوصول هذه للهجمات الضارة. هذا هو السبب في أنه من المهم التحقق بانتظام من وجود إصدارات جديدة من متصفحك المفضل وتثبيتها. يعتبر Qualys Browser Check طريقة سريعة للتحقق من أن المستعرض والمكونات الإضافية الخاصة به كلها محدثة.

أدوبي فلاش بلاير

تم العثور على برنامج Adobe Flash Player للسماح بمسار جيد للمتسللين في المتصفحات ، ولذا يوصي معظم خبراء الأمن بعدم تثبيت إصدار ملحق المتصفح. لا يتم مسح ملفات تعريف الارتباط التي يتم تنزيلها من Flash على جهاز الكمبيوتر بواسطة وظائف حذف ملفات تعريف الارتباط القياسية للمستعرض. يمكنك التحكم في تضمين Flash code في صفحات الويب التي تزورها باستخدام Flashblock ، والذي يتوفر لـ Firefox.

منع فلاش في كروم

في Google Chrome ، يمكنك اختيار حظر محتوى فلاش أو التحكم فيه باتباع هذه التعليمات.

  1. انقر فوق القائمة الموجودة في نهاية حقل العنوان وحدد الإعدادات من القائمة المنسدلة.
  2. قم بالتمرير لأسفل في صفحة "الإعدادات" وانقر فوق "خيارات متقدمة".
  3. متابعة أسفل الصفحة وانقر على "إعدادات المحتوى" السهم في قسم الخصوصية والأمان.
  4. انقر على سهم الفلاش في "إعدادات المحتوى" صفحة.
  5. اختر ما إذا كنت تريد حظر Flash تمامًا أم تسمح به ، ولكن لا تعمل إلا بموافقة محددة عن طريق تحريك منزلق الإعدادات في أعلى الصفحة..

منع فلاش في برنامج Internet Explorer

في Internet Explorer ، يمكنك إيقاف تشغيل إدراج Flash في الصفحات التي تزورها من خلال التحكم في إعدادات Active-X.

  1. انقر على الترس في أعلى يمين المتصفح. حدد Safety من القائمة المنسدلة ، ثم انقر فوق "تصفية ActiveX" في القائمة الفرعية.
  2. سوف تظهر علامة بجانب هذا الخيار.
  3. اختبر الكتلة في صفحة مساعدة Adobe Flash Player.

كتلة فلاش في مايكروسوفت الحافة

في Microsoft Edge ، يمكنك حظر Flash باتباع هذه الخطوات البسيطة.

  1. انقر على أيقونة قائمة النقاط الثلاث في أعلى يمين المتصفح. حدد الإعدادات من القائمة المنسدلة.
  2. في قائمة الإعدادات ، قم بالتمرير لأسفل وانقر فوق "عرض الإعدادات المتقدمة."
  3. انقر على "استخدم برنامج Adobe Flash Player" شريط التمرير إلى إيقاف.
  4. اختبر الكتلة في صفحة مساعدة Adobe Flash Player.

أزرار وسائل التواصل الاجتماعي ومكتبات التتبع

عندما تزور صفحة ويب تحتوي على صف من الوسائط الاجتماعية مثل الأزرار الموجودة عليها ، تسجل هذه الأزرار زيارتك. لذلك ، حتى إذا لم يكن لديك حساب على Facebook ، فإن Facebook يسجل في كل مكان تذهب إليه عبر الويب. يقوم Twitter و Instagram أيضًا بجمع البيانات من خلال وجود أزرارهم على الصفحة حتى إذا لم تنقر عليها.

تحتوي العديد من المواقع على مسافات للإعلانات التي يتم تسليمها بالفعل بواسطة شركات أخرى. تهيمن GoogleAds على قطاع الإعلان التابع لجهات خارجية على الويب. يمكن لمالكي مواقع الويب كسب القليل من المال من خلال عرض الإعلانات. يمكن أن يكون الإعلان على شبكة الإنترنت أكثر تطوراً بكثير من اللوحات الإعلانية أو الإعلانات الصحفية لأن لديها القدرة على جمع البيانات عن الأشخاص الذين يزورون المواقع المشاركة.

ربما لاحظت أنك إذا قمت بزيارة موقع ويب ، تفكر في شراء منتجاتها ، ثم تركت دون شراء أي شيء ، فسترى إعلانًا عن تلك الشركة ومنتجاتها في كل صفحة لاحقة تزورها. وتسمى هذه الظاهرة إعادة الاستهداف أو تجديد النشاط التسويقي ويتم تحقيق ذلك من خلال تتبع البرامج.

يجمع المتتبعون معلوماتك الشخصية وبياناتك عن جهاز الكمبيوتر الخاص بك ، والمتصفح ، وأنشطة التصفح الخاصة بك. هذه العوامل معروفة باسم "وكلاء المستخدم" ويمكن أن تساعد في تحديد هويتك حتى إذا كنت تخفي هويتك باستخدام VPN.

يمكنك هزيمة التتبع عن طريق تثبيت ملحق المستعرض.

تنتج Windscribe امتدادًا لمتصفح Google Chrome و Opera و Firefox. هذه خدمة VPN مجانية ، ولكنها تتضمن أدوات مساعدة أخرى للخصوصية ، والتي تشمل مانع تعقب ومزيل زر وسائط التواصل الاجتماعي. ستعمل هذه الخيارات على حماية جهاز الكمبيوتر الخاص بك حتى في حالة عدم تشغيل VPN.

حماية الخصوصية في امتداد متصفح Windscribe

ال "انفصام الشخصية" يرسل خيار الامتداد بيانات إعدادات مزيفة لعوامل وكيل المستخدم التي يمكن أن تستخدمها برامج التتبع والهوية لتحديد هويتك حتى إذا قمت بتغيير عنوان IP الخاص بك باستخدام VPN.

تحتوي الوظيفة الإضافية Windscribe على ميزة تسمى Secure Link ، والتي تقدم تقريراً عن مخاطر الأمان في كل صفحة يتم تحميلها في متصفحك.

تقرير Secure.Link

يتوفر ملحق Windscribe لمتصفحات Google Chrome و Firefox و Opera. لسوء الحظ ، لا يوجد إصدار لبرنامج Internet Explorer أو Microsoft Edge.

سيقوم Adblock Plus بحظر أكواد التتبع وإزالة أزرار الوسائط الاجتماعية من المواقع التي تزورها وكذلك حظر الإعلانات. هذه وظيفة إضافية مجانية ، وهي متوفرة لـ Internet Explorer و Microsoft Edge.

نقاط ضعف الخصوصية

إن الطبيعة المفتوحة لتكنولوجيا الويب تخلق فرصًا للمتسللين لاستهداف فرد من خلال أجزاء صغيرة من المعلومات الموجودة في رؤوس الإدارة في مقدمة كل رسالة تعبر الإنترنت.

يعني تنسيق العناوين المستخدمة في الاتصال بالإنترنت أنه يمكن تتبع كل شخص في أي موقع. يتم استغلال هذا الضعف بواسطة مواقع الويب التي تستخدم قيودًا إقليمية للحد من الوصول إلى محتواها. الحكومات التي ترغب في منع الوصول إلى مواقع معينة تستخدم هذه المعلومات أيضًا لمنع المواطنين من الوصول إلى هذه العناوين.

تخفي شبكات VPN هوية المستخدم من خلال استبدال عنوان IP مؤقت بعنوان العميل الحقيقي. قد يبدو أنك في موقع آخر وأن الوجهة الحقيقية لكل اتصال تقوم به مخفية عن مزود خدمة الإنترنت ، بحيث لا يمكن استخدام نقطة الدخول إلى الإنترنت للتحكم في الوصول إلى المواقع.

تخلق أفضل الشبكات الافتراضية الخاصة الخصوصية من خلال العمل كبديل للمصدر الحقيقي للاتصال. وبالتالي ، عندما يتصل جهاز الكمبيوتر الخاص بك بخادم الويب ، يكون في الواقع متصلاً بخادم VPN ، الذي يتصل بعد ذلك بالخادم المرغوب نيابة عن كمبيوتر العميل..

POODLE SSL استغلال الخاتمة

تتضمن تعقيدات شبكة الويب العالمية مجموعة كبيرة من التقنيات والكثير من نقاط الاتصال من أجل تقديم خدمات الويب بسهولة. أي نظام يتضمن شركات وتقنيات مختلفة لجعله يعمل ، يخلق العديد من نقاط الفشل المحتملة. هذه هي نقاط الضعف التي يستغلها المتسللون.

الأمن السيبراني هو هدف متحرك. بمجرد إغلاق نقطة ضعف ، سيجد المتسللون مشكلة أخرى. يعد استغلال POODLE مثالاً على كيفية تمكن الأشخاص الأذكياء للغاية الذين يريدون كسب المال مقابل لا شيء من التغلب على أقوى الدفاعات.

في حالة SSL ، "الأخيار" اكتشف نقاط ضعف البروتوكول واستبدلها بطريقة جديدة تمامًا للأمان: TLS. ومع ذلك ، فإن النوايا الحسنة لأولئك الذين صمموا TLS خلقت نقطة ضعف يمكن للمتسللين استغلالها. أتاح التوافق الخلفي من TLS إلى SSL 3.0 للمجرمين فرصة للعودة إلى حيلهم القديمة.

احتفظ بجميع برامجك محدثة لتظل متقدماً في نقاط الضعف الأمنية. الكفاح من أجل الأمن والخصوصية هو صراع مستمر. لا تتخلى عن يقظتك. حافظ على نفسك آمن.

صورة الائتمان: مارك Bruxelle // ShutterStock

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me