من خلال الاتصال بالإنترنت عبر نقطة اتصال Wi-Fi مجانية، فإنك تخاطر بفقدان جميع كلمات المرور والبيانات الخاصة، لأن... يمكن تتبع كل حركة المرور الخاصة بك عبر الأثير وعلى جهاز التوجيه (الكمبيوتر الذي تتصل من خلاله بالإنترنت). أولئك. يمكن أن تصبح جميع عمليات تسجيل الدخول وكلمات المرور وأرقام بطاقات الائتمان الخاصة بك ومراسلاتك ومواقع تصفح الويب ملكًا للمتسللين أو مسؤولي نقاط الوصول عديمي الضمير.

القبعة السوداء: النقاط الساخنة تضمن سرقة البيانات الخاصة

وقال روب جرام، المدير التنفيذي لشركة Errata Security، في مؤتمر Black Hat في لاس فيغاس، إن النقاط الساخنة - نقاط الوصول العامة لشبكة Wi-Fi - تشكل جميعها تقريبًا تهديدًا لتسرب بيانات الاعتماد.

لسرقة التفاصيل، يكفي استخدام برنامج Sniffer بسيط - وهو برنامج لتسجيل حركة مرور الشبكة التي تمر عبر واجهة الشبكة. أظهر جراهام للجمهور ملفات تعريف الارتباط لحساب Gmail الخاص بأحد الحاضرين، "تم القبض عليه" من قبل أحد المتشممين. تستخدم مواقع البريد الإلكتروني ملفات تعريف الارتباط لتخزين معرف الجلسة، والذي يتم إصداره بعد إدخال تفاصيل الوصول الصحيحة. وباستخدام هذا المعرف، يمكن للمهاجم انتحال شخصية مستخدم آخر. وخلص جراهام إلى أن "الويب 2.0 معطل في جوهره"، مما يعني أن أي متسلل للشبكة على شبكة Wi-Fi يمكنه الحصول على جميع بيانات الاعتماد المطلوبة.

حتى الآن، كان يُعتقد أن الوصول عبر بروتوكول SSL المشفر (عنوان URL بالبادئة https://) كان كافيًا لمنع الغرباء من "التطفل" على حركة المرور. ومع ذلك، فإن خدمات البريد الإلكتروني الشائعة لا تقوم بتشفير حركة المرور في جميع المراحل بشكل افتراضي. أما بالنسبة لوقت الوصول باستخدام ملفات تعريف الارتباط المسروقة، فبعضها صالح لسنوات. الطريقة الوحيدة للحماية، وفقًا لجراهام، هي تكوين الوصول إلى خدمات الويب بحيث يتم تشفير الاتصال بالخادم بالكامل.

تعليقاتنا على سلامة شبكة Wi-Fi

جميع المخاطر الموصوفة حقيقية تماما، ولكن يمكن حل كل هذه المشكلات ببساطة عن طريق استخدام اتصال VPN مشفر يعمل عبر شبكة Wi-Fi. لذلك، نوصي بشدة باستخدام وصول VPN المشفر فقط لتصفح الإنترنت من خلال نقاط وصول Wi-Fi المجانية وحتى المدفوعة.

إذا كنت تخطط لاستخدام إنترنت Wi-Fi عند السفر في إجازة أو في رحلة عمل، فنوصيك بالشراء منا أولاً وإعداد الوصول إلى خدمة VPN. وهذا يضمن لك أمان تسجيلات الدخول وكلمات المرور والبيانات الخاصة بك أثناء السفر، مما يعني مزاجًا جيدًا وخلايا عصبية محفوظة.

"للاستماع" واعتراض حركة المرور غير المشفرة أو سيئة التشفير، يحتاج المهاجمون فقط إلى أن يكونوا قريبين من نقاط الوصول. يسمح لك تحليل الحزم الإضافي باعتراض أي بيانات حساسة يدخلها المستخدم في هذا الوقت. بادئ ذي بدء، هذه هي تسجيلات الدخول وكلمات المرور من الشبكات الاجتماعية أو البريد الإلكتروني: حتى الهاتف الذكي البسيط المثبت عليه برنامج DroidSheep يكفي.

بتعبير أدق، في حالة الشبكات الاجتماعية، لا يتم اعتراض كلمة المرور نفسها، ولكن "معرف الجلسة" (ملف تعريف الارتباط)، المطلوب للبقاء مسجلاً الدخول، وعدم إدخال كلمة المرور بعد كل نقرة. سيتم قبول معرف الجلسة هذا بواسطة الخادم من أي جهاز كمبيوتر متصل بنفس الشبكة اللاسلكية التي ينتمي إليها الضحية.

يقوم المتسلل بتسجيل الدخول بسهولة إلى حساب شخص آخر ويمكنه فعل أي شيء نيابة عن الضحية - حتى إرسال رسائل غير مرغوب فيها إلى الأصدقاء، أو حتى حذف الحساب تمامًا.

وإذا كنت تدفع مقابل شيء ما باستخدام بطاقة مصرفية، فقد تتم سرقة بياناتك، بما في ذلك رمز CVC. عادة، يتم تنفيذ معاملات الدفع باستخدام بروتوكول HTTPS الآمن، ولكن من السهل نسبيًا اختراقها، على سبيل المثال، من خلال انتحال المفاتيح.

الصورة: نانا بي أجيي / فليكر / CC BY 2.0

الخطر رقم 2: الشبكات الوهمية

يحتاج المهاجم فقط إلى تثبيت جهاز كمبيوتر محمول في مكان عام مع تشغيل نقطة وصول عليه باسم شائع. على سبيل المثال، "شبكة Wi-Fi مجانية": ربما يرغب العديد من الأشخاص في الاتصال بها.

غالبًا ما يتم استخدام أسماء الشبكات المجانية الشهيرة في مدينة معينة. لذلك، على سبيل المثال، إذا قمت بتسمية الشبكة "Beeline_WiFi_Free" أو "Mosmetro_free" في موسكو، فإن جميع المارة المهتمين بالإنترنت المجاني سيبدأون على الفور في الاتصال بهم. سيتمكنون على الفور من الوصول إلى بريدك الإلكتروني وشبكاتك الاجتماعية، مما يعني أن جميع عمليات تسجيل الدخول وكلمات المرور ستنتهي تلقائيًا في أيدي عدو محتمل.

بالإضافة إلى ذلك، فإن الشبكة المزيفة هي ببساطة جنة لعشاق التصيد، لأنه من الممكن “رفع” خادم DNS فيها، والذي سيعيد توجيه كل شخص متصل بها إلى المواقع المزيفة للبنوك والخدمات الأخرى، مما يعني أنها ستكون من السهل جدًا استخراج البيانات الشخصية.

كل هذا، بالطبع، يحدث تلقائيًا باستخدام برنامج تم تكوينه خصيصًا: الإخراج عبارة عن قاعدة بيانات ملائمة تحتوي على تسجيلات الدخول وكلمات المرور والأرقام وما إلى ذلك.

كيف يكون هذا ممكن حتى

كقاعدة عامة، لا تستخدم نقاط اتصال Wi-Fi المجانية التشفير - أي أنها ليست محمية بكلمة مرور. حتى لو تم استخدام نوع من التفويض في المستقبل (على سبيل المثال، تحتاج إلى إدخال كلمة مرور في الصفحة المقصودة التي تفتح في المتصفح، أو تأكيد رقم هاتفك (بدون هذا، بالمناسبة، في روسيا مستحيل) ، ثم يتم نقل البيانات بين هاتفك الذكي أو جهازك اللوحي أو الكمبيوتر المحمول ونقطة الوصول دون أي تشفير، وبنص واضح، وهذا هو الهدف المفضل للمتسللين.

وهي تعمل في أغلب الأحيان في أماكن يتجمع فيها عدد كبير من الضحايا المحتملين - على سبيل المثال، بالقرب من مناطق الجذب الشهيرة أو في وسائل النقل العام، بما في ذلك المطارات ومحطات القطار. عادةً ما يصبح السائحون ضحايا: حيث يجبرهم تجوال البيانات الباهظ الثمن على البحث عن نقاط مجانية. حسنًا، في الأماكن ذات التغطية الضعيفة للشبكة الخلوية، على سبيل المثال، في المترو، يتعرض السكان المحليون أيضًا للهجوم.

إذا لم تكن نقطة الوصول مشفرة، فيمكن لمجرم الإنترنت الوصول بسهولة إلى البيانات المنقولة عبر هذه الشبكات. وفقًا لشركة Kaspersky Lab، يوجد 16% من هذه النقاط في موسكو.

حل

ينصح بعض "الخبراء" بالطبع بعدم استخدام شبكات Wi-Fi المفتوحة على الإطلاق. في الواقع، هناك حل - إنه VPN: "شبكة خاصة افتراضية"، نفق إلى عقدة موثوقة مع تشفير قوي. يكاد يكون من المستحيل اعتراض حركة المرور وفك تشفيرها عند استخدامها. تدعم أي أداة حديثة VPN، ما عليك سوى تكوينها.

مستخدم متقدم لديه عنوان IP خارجي في المنزل (يتم توفير هذه الخدمة مجانًا من قبل موفري خدمات مختلفين، اعتمادًا على التعريفة، أو تكلف ما لا يزيد عن 150-300 روبل شهريًا) وليس أقدم جهاز توجيه (على سبيل المثال، تتمتع Asus بهذه الوظيفة حتى في أرخص الموديلات)، ويمكنها تشغيل VPN واستخدامها دون أي قيود على السرعة وحركة المرور. يتم تعيين تسجيل الدخول وكلمة المرور في جهاز التوجيه، ويتم تعيين تسجيل الدخول وكلمة المرور وعنوان IP للمنزل في الجهاز المحمول.

إذا كنت نادرًا ما تستخدم شبكة Wi-Fi عامة، فإن الخدمات المجانية مناسبة أيضًا. على سبيل المثال، يوجد Cloud VPN كتطبيق للهاتف الذكي بحيث لا تحتاج إلى تكوين أي شيء، كما أن Browsec ليس مجرد تطبيق، ولكنه أيضًا مكونات إضافية للمتصفحات الشائعة.

لا بد لي من الاتصال بشبكات Wi-Fi العامة، ولكن في مثل هذه الحالات أتأكد من استخدام شبكة افتراضية خاصة (VPN). هذه طريقة رائعة لحماية نفسك، والتي يمكنني أن أوصي بها بكل ثقة. لكن شبكة VPN لا تضمن الحماية بنسبة 100%، لذلك من الضروري استخدام برامج مكافحة فيروسات عالية الجودة وتحديث جميع البرامج المثبتة على الفور.

يفغيني كاسبيرسكي

هل أنت بحاجة ماسة إلى الإنترنت أثناء التنقل؟ تعد خدمة الواي فاي العامة المجانية واحدة من الكماليات الصغيرة التي يمكن أن تجعل السفر أسهل، ولكن عليك أن تكون حذرًا بشأن كيفية استخدامها.

فيما يلي بعض النصائح حول ما يجب الانتباه إليه عند استخدام شبكة Wi-Fi عامة، سواء كنت تستخدم جهاز كمبيوتر محمولًا أو هاتفًا ذكيًا أو جهازًا لوحيًا.

اختر شبكتك بحكمة.

هل ترغب في الاتصال بنقطة اتصال مفتوحة تسمى "شبكة Wi-Fi مجانية"؟ من المفيد القيام ببعض الواجبات المنزلية قبل اختيار أي شبكة لا تعرفها. على سبيل المثال، إذا كنت في مقهى أو سينما، فتحقق من اسم الشبكة أو انتبه إلى التعيين قبل الاتصال.

بالنسبة لأولئك الذين يريدون اعتراض بياناتك في هجوم رجل في الوسط، فمن السهل جدًا إنشاء شبكة تسمى "شبكة Wi-Fi مجانية"، أو شيء مشابه، يمكن أن يحتوي الاسم أيضًا على اسم موقعك خداعك للاعتقاد بأن هذا مصدر قانوني.

عند الاتصال باستخدام Windows، قم بإيقاف تشغيل مشاركة الملفات ووضع علامة على شبكة Wi-Fi كشبكة عامة. يمكنك العثور على هذا الخيار في الإعدادات "لوحة التحكم > مركز الشبكة والمشاركة > تغيير إعدادات المشاركة المتقدمة". ضمن عنوان "مشترك"، قم بإيقاف تشغيل مشاركة الملفات. يمكنك أيضًا تمكين جدار حماية Windows عند الاتصال بشبكة عامة إذا لم يكن ممكّنًا بالفعل. توجد هذه الإعدادات أيضًا في "لوحة التحكم > جدار حماية Windows".

على جهاز Mac الخاص بك، افتح تفضيلات النظام وحدد أيقونة المشاركة. هنا، قم بإلغاء تحديد المربع الموجود بجوار مشاركة الملفات.

استخدم VPN.

يعد إعداد شبكة افتراضية خاصة (VPN) أحد أفضل الطرق للحفاظ على خصوصية جلسة التصفح الخاصة بك. يقوم عميل VPN بتشفير حركة المرور بين جهازك وخادم VPN، مما يزيد من صعوبة اكتشاف المهاجم المحتمل لبياناتك.

إذا لم تكن قد قمت بالفعل بإعداد VPN من خلال صاحب العمل أو مكان العمل، فهناك خيارات أخرى. يوفر الإصدار المجاني من SecurityKISS وصولاً إلى VPN بدون إعلانات مع حد لنقل البيانات يصل إلى 300 ميجابايت/اليوم. وهذا يكفي للتحقق من البريد الإلكتروني وعرض الخريطة وغيرها من الاستخدامات البسيطة لشبكة Wi-Fi.

يوجد عميل مخصص لنظام التشغيل Windows، ولكن بالنسبة لأجهزة iOS وAndroid، يمكنك تسجيل حساب مجاني، مما سيؤدي إلى إنشاء اسم مستخدم وكلمة مرور فريدين. سيتم إرسال قائمة بالخوادم التي يمكن إدخال عناوينها يدويًا في الجهاز لتكوين VPN بشكل صحيح.

تعليمات تفصيلية حول كيفية إعداد VPN على جهاز iOS وعلى Android.

هناك العديد من خدمات VPN الأخرى المتاحة، بما في ذلك الخدمات المدفوعة والمجانية. يجب عليك إجراء بعض الأبحاث بنفسك لمعرفة أي منها يناسب احتياجاتك، خاصة إذا كنت تستخدم الإنترنت كثيرًا.

يساعد Disconnect.me على الحماية من "سرقة الجلسة" من خلال ملحقات المتصفح لمتصفح Chrome وOpera وSafari، ولكنه يوفر أيضًا تطبيق Android مستقل يسمى Secure Wireless مع شبكة VPN مثبتة مسبقًا والتي تكتشف تلقائيًا شبكة Wi-Fi غير الآمنة وتقوم بتنشيط VPN عند الحاجة. .

تحقق من HTTPS.

كما يقول المثل القديم، تحقق من قفل متصفحك للتأكد من أنه آمن. إحدى الطرق لإجبار متصفحك على استخدام HTTPS هي من خلال ملحقات مثل HTTPS Everywhere. هذه الميزة متاحة لمتصفحات Chrome وFirefox وFirefox لنظام Android وOpera.

من المهم ملاحظة أن HTTPS Everywhere يعمل عن طريق تمكين التشفير على جميع الأقسام المدعومة بالموقع. كما جاء في الأسئلة الشائعة:
"يعتمد HTTPS Everywhere بشكل كامل على ميزات الأمان الخاصة بمواقع الويب الفردية التي تستخدمها. فهو يعمل على تمكين ميزات الأمان هذه، ولكن لا يمكنه إنشاؤها بنفسه إذا لم تكن موجودة. إذا كنت تستخدم موقعًا لا يدعم HTTPS Everywhere أو موقع يوفر معلومات بطريقة غير آمنة، لا يمكن لـ HTTPS Everywhere توفير أمان إضافي لاستخدامك لهذا الموقع."

تحقق من تطبيقاتك للحصول على أحدث تصحيحات الأمان.

لقد حان الوقت للبدء في إنشاء عادات ترقيع جيدة. حافظ على تحديث المتصفح وأجهزة الإنترنت الخاصة بك، ولكن قم بذلك على شبكة منزلية أو عمل موثوقة، وليس على شبكة Wi-Fi عامة.

كانت هناك حالات يتفاجأ فيها المستخدمون عند الاتصال بشبكة Wi-Fi عامة أو بشبكة فندق ويتم خداعهم لتحديث برامجهم. وإذا وافق المستخدم، يتم تثبيت برنامج ضار على جهاز الكمبيوتر.

وأيضًا، إذا كنت تصل إلى الويب من جهاز محمول، فلا تفترض أن تطبيقاتك آمنة تلقائيًا أو تستخدم HTTPS. ما لم ينص مطور التطبيق صراحةً على ذلك، فمن الأفضل افتراض أن التطبيق لا يحترم وضع الأمان. في هذه الحالة، يجب عليك استخدام متصفحك لتسجيل الدخول إلى الخدمة والتحقق من حالة HTTPS في شريط الحالة.

تمكين المصادقة الثنائية.

من الممارسات الجيدة تمكين المصادقة الثنائية على الخدمات المختلفة التي تدعمها، مثل Gmail وTwitter وFacebook. بهذه الطريقة، حتى لو تمكن شخص ما من التعرف على كلمة المرور الخاصة بك أثناء اتصالك بشبكة Wi-Fi عامة، فستكون لديك طبقة إضافية من الحماية.

عندما يتعلق الأمر بكلمات المرور، حاول عدم استخدام نفس كلمة المرور على خدمات متعددة. هناك العديد من برامج إدارة كلمات المرور المتاحة لتسهيل العمل معهم.

إزالة الشبكات.

بمجرد الانتهاء من كل ما تحتاج إلى القيام به على صفحة الويب الخاصة بك، تأكد من تسجيل الخروج من أي خدمات قمت بتسجيل الدخول إليها للتو. ثم اجعل جهازك "ينسى" الشبكة. وهذا يعني أن هاتفك أو جهاز الكمبيوتر الخاص بك لن يتصل تلقائيًا بالشبكة في المرة القادمة إذا كنت داخل النطاق.

في نظام التشغيل Windows، يمكنك إلغاء تحديد "الاتصال تلقائيًا" بجوار اسم الشبكة أو الانتقال إلى "لوحة التحكم > مركز الشبكة والمشاركة" والنقر فوق اسم الشبكة. انقر فوق "إدارة الشبكات اللاسلكية" ثم قم بإلغاء تحديد "الاتصال تلقائيًا إذا كانت الشبكة ضمن النطاق".

على جهاز Mac، انتقل إلى "تفضيلات النظام"، وحدد "الشبكة"، ثم ضمن Wi-Fi، انقر فوق "خيارات متقدمة". هنا، قم بإلغاء تحديد "تذكر الشبكات التي يتصل بها هذا الكمبيوتر". يمكنك أيضًا حذف الشبكات بشكل فردي عن طريق تحديد اسمها والضغط على زر الطرح.

على نظام Android، يمكنك القيام بذلك عن طريق الانتقال إلى قائمة شبكات Wi-Fi، والضغط لفترة طويلة على اسم الشبكة، واختيار "حذف هذه الشبكة". على نظام iOS، انتقل إلى الإعدادات، وحدد شبكات Wi-Fi، واسم الشبكة، ثم حدد "حذف هذه الشبكة". وكإجراء احترازي إضافي، يمكنك أيضًا تمكين خيار "تأكيد الاتصال"، الموجود أيضًا في قائمة شبكات Wi-Fi.

أخيرًا، كن حذرًا للغاية فيما تفعله على شبكة Wi-Fi عامة وغير آمنة. من الأفضل حفظ جلسة الخدمات المصرفية عبر الإنترنت الخاصة بك حتى الوقت الذي يمكنك فيه الاتصال عبر الإنترنت الخلوي أو شبكة آمنة.

أول ما يتبادر إلى الذهن عند ذكر VPN هو عدم الكشف عن هويته وأمان البيانات المرسلة. هل هو حقا؟ دعونا معرفة ذلك.

عندما تحتاج إلى الوصول إلى شبكة الشركة، يمكنك نقل المعلومات المهمة بأمان عبر قنوات الاتصال المفتوحة، وإخفاء حركة المرور الخاصة بك عن العين الساهرة لمزود الخدمة الخاص بك، وإخفاء موقعك الحقيقي عند تنفيذ أي إجراءات غير قانونية تمامًا (أو غير قانونية على الإطلاق) فعادةً ما تلجأ إلى استخدام VPN. ولكن هل يستحق الاعتماد بشكل أعمى على VPN، مما يعرض أمان بياناتك وسلامتك للخطر؟ قطعا لا. لماذا؟ دعونا معرفة ذلك.

تحذير

يتم توفير جميع المعلومات لأغراض إعلامية فقط. لا يتحمل المحررون ولا المؤلف مسؤولية أي ضرر محتمل ناتج عن مواد هذه المقالة.

نحن بحاجة إلى VPN!

الشبكة الافتراضية الخاصة، أو ببساطة VPN، هي اسم عام للتقنيات التي تسمح بتوفير اتصال شبكة واحد أو أكثر (شبكة منطقية) عبر شبكة أخرى، مثل الإنترنت. على الرغم من إمكانية تنفيذ الاتصالات من خلال شبكات عامة ذات مستوى ثقة غير معروف، إلا أن مستوى الثقة في الشبكة المنطقية المبنية لا يعتمد على مستوى الثقة في الشبكات الأساسية بسبب استخدام أدوات التشفير (التشفير، المصادقة والبنية التحتية للمفتاح العام ووسائل الحماية من رسائل الإعادة والتغيير المرسلة عبر شبكة منطقية). كما ترون، من الناحية النظرية، كل شيء وردي وخالي من الغيوم، ولكن في الممارسة العملية كل شيء مختلف إلى حد ما. في هذه المقالة، سنلقي نظرة على نقطتين رئيسيتين يجب عليك مراعاتهما عند استخدام VPN.

تسرب حركة VPN

المشكلة الأولى في شبكات VPN هي تسرب حركة المرور. أي أن حركة المرور التي يجب إرسالها عبر اتصال VPN بشكل مشفر تدخل الشبكة بنص واضح. هذا السيناريو ليس نتيجة خطأ في خادم أو عميل VPN. كل شيء أكثر إثارة للاهتمام هنا. الخيار الأبسط هو قطع اتصال VPN فجأة. لقد قررت فحص مضيف أو شبكة فرعية باستخدام Nmap، وقمت بتشغيل الماسح الضوئي، وابتعدت عن الشاشة لبضع دقائق، ثم انقطع اتصال VPN فجأة. لكن الماسح الضوئي يستمر في العمل. ويأتي المسح من عنوانك. هذا هو الوضع غير السار. ولكن هناك سيناريوهات أكثر إثارة للاهتمام. على سبيل المثال، ينتشر تسرب حركة مرور VPN على نطاق واسع في الشبكات (على الأجهزة المضيفة) التي تدعم كلا الإصدارين من بروتوكول IP (ما يسمى بالشبكات/المضيفات المزدوجة المكدسة).

جذور الشر

إن التعايش بين البروتوكولين - IPv4 وIPv6 - له العديد من الجوانب المثيرة للاهتمام والدقيقة التي يمكن أن تؤدي إلى عواقب غير متوقعة. على الرغم من أن IP 6 غير متوافق مع IP 4، إلا أنه يتم لصق الإصدارين معًا بواسطة نظام اسم المجال (DNS). ولتوضيح ما نتحدث عنه، دعونا نلقي نظرة على مثال بسيط. على سبيل المثال، لنأخذ موقع ويب (على سبيل المثال www.example.com) يدعم كلاً من IPv4 وIPv6. سيحتوي اسم النطاق المقابل (www.example.com في حالتنا) على كلا النوعين من سجلات DNS: A وAAAA. يحتوي كل سجل A على عنوان IPv4 واحد، ويحتوي كل سجل AAAA على عنوان IPv6 واحد. علاوة على ذلك، يمكن أن يحتوي اسم المجال الواحد على عدة سجلات من كلا النوعين. وبالتالي، عندما يريد تطبيق يدعم كلا البروتوكولين التواصل مع الموقع، يمكنه طلب أي من العناوين المتاحة. ستختلف عائلة العناوين المفضلة (IPv4 أو IPv6) والعنوان النهائي الذي سيستخدمه التطبيق (نظرًا لوجود العديد من الإصدارات 4 و6) من تطبيق بروتوكول إلى آخر.

يعني هذا التعايش بين البروتوكولات أنه عندما يرغب العميل الذي يدعم كلا المجموعتين في الاتصال بنظام آخر، فإن وجود سجلات A وAAAA سيؤثر على البروتوكول الذي سيتم استخدامه للتواصل مع هذا النظام.

VPN ومكدس البروتوكول المزدوج

لا تدعم العديد من تطبيقات VPN، أو الأسوأ من ذلك، أنها تتجاهل IPv6 تمامًا. عند إنشاء اتصال، يعتني برنامج VPN بنقل حركة مرور IPv4 - بإضافة مسار افتراضي لحزم IPv4، وبالتالي ضمان إرسال كل حركة مرور IPv4 عبر اتصال VPN (بدلاً من إرسالها بشكل واضح عبر جهاز التوجيه المحلي). . ومع ذلك، إذا لم يكن IPv6 مدعومًا (أو تم تجاهله تمامًا)، فسيتم إرسال كل حزمة تحتوي على عنوان IPv6 للوجهة في رأسها بشكل واضح من خلال جهاز توجيه IPv6 المحلي.

السبب الرئيسي للمشكلة يكمن في حقيقة أنه على الرغم من أن IPv4 وIPv6 هما بروتوكولان مختلفان غير متوافقين مع بعضهما البعض، إلا أنهما يستخدمان بشكل وثيق في نظام اسم المجال. وبالتالي، بالنسبة للنظام الذي يدعم مجموعتي البروتوكولات، فمن المستحيل تأمين الاتصال بنظام آخر دون تأمين كلا البروتوكولين (IPv6 وIPv4).

سيناريو تسرب حركة مرور VPN المشروع

خذ بعين الاعتبار مضيفًا يدعم كلا مكدسي البروتوكول، ويستخدم عميل VPN (يعمل فقط مع حركة مرور IPv4) للاتصال بخادم VPN، ومتصل بشبكة مزدوجة المكدس. إذا كان أحد التطبيقات الموجودة على المضيف يحتاج إلى الاتصال بعقدة مكدسة، فسيقوم العميل عادةً بالاستعلام عن سجلات DNS A وAAAA. نظرًا لأن المضيف يدعم كلا البروتوكولين، وستحتوي العقدة البعيدة على كلا النوعين من سجلات DNS (A وAAAA)، فسيكون أحد السيناريوهات المحتملة هو استخدام بروتوكول IPv6 للاتصال بينهما. وبما أن عميل VPN لا يدعم الإصدار السادس من البروتوكول، فلن يتم إرسال حركة مرور IPv6 عبر اتصال VPN، ولكن سيتم إرسالها بنص واضح عبر الشبكة المحلية.

يعرض هذا السيناريو البيانات القيمة التي يتم إرسالها بنص واضح للخطر عندما نعتقد أنه يتم نقلها بشكل آمن عبر اتصال VPN. في هذه الحالة بالذات، يعد تسرب حركة مرور VPN أحد الآثار الجانبية لاستخدام برامج غير IPv6 على شبكة (ومضيف) تدعم كلا البروتوكولين.

التسبب عمدًا في تسرب حركة مرور VPN

يمكن للمهاجم فرض اتصال IPv6 عمدًا على كمبيوتر الضحية عن طريق إرسال رسائل إعلانية وهمية لجهاز توجيه ICMPv6. يمكن إرسال هذه الحزم باستخدام أدوات مساعدة مثل rtadvd أو IPv6 Toolkit الخاص بـ SI6 Networks أو THC-IPv6. بمجرد إنشاء اتصال IPv6، يمكن أن يؤدي "الاتصال" مع نظام يدعم مجموعتي البروتوكولات، كما تمت مناقشته أعلاه، إلى تسرب حركة مرور VPN.

على الرغم من أن هذا الهجوم يمكن أن يكون مثمرًا جدًا (نظرًا للعدد المتزايد من المواقع التي تدعم IPv6)، إلا أنه لن يؤدي إلى تسرب حركة المرور إلا عندما يدعم المستلم كلا الإصدارين من بروتوكول IP. ومع ذلك، ليس من الصعب على المهاجم أن يتسبب في تسرب حركة المرور لأي مستلم (مزدوج مكدس أم لا). من خلال إرسال رسائل إعلانية زائفة لجهاز التوجيه تحتوي على خيار RDNSS المناسب، يمكن للمهاجم التظاهر بأنه خادم DNS محلي متكرر، ثم تنفيذ انتحال DNS لتنفيذ هجوم الوسيط واعتراض حركة المرور المقابلة. كما في الحالة السابقة، يمكن لأدوات مثل SI6-Toolkit وTHC-IPv6 تنفيذ هذه الخدعة بسهولة.

لا يهم على الإطلاق إذا كانت حركة المرور غير المخصصة لأعين المتطفلين تنتهي في العلن على الشبكة. كيف تحمي نفسك في مثل هذه المواقف؟ فيما يلي بعض الوصفات المفيدة:

1. إذا تم تكوين عميل VPN لإرسال كل حركة مرور IPv4 عبر اتصال VPN، فحينئذٍ:

• إذا لم يكن IPv6 مدعومًا من قبل عميل VPN، فقم بتعطيل دعم الإصدار السادس من بروتوكول IP على كافة واجهات الشبكة. وبالتالي، لن يكون أمام التطبيقات التي تعمل على الكمبيوتر خيار سوى استخدام IPv4؛
• إذا كان IPv6 مدعومًا، فتأكد من إرسال كل حركة مرور IPv6 أيضًا عبر VPN.

1. لتجنب تسرب حركة المرور في حالة انقطاع اتصال VPN فجأة وتم إرسال كافة الحزم عبر البوابة الافتراضية، يمكنك:
2. إجبار كل حركة المرور على المرور عبر مسار VPN حذف 0.0.0.0 192.168.1.1 // حذف مسار البوابة الافتراضية إضافة قناع 83.170.76.128 255.255.255.255 192.168.1.1 متري 1

• استخدم الأداة المساعدة VPNetMon، التي تراقب حالة اتصال VPN، وبمجرد اختفائها، تقوم على الفور بإنهاء التطبيقات المحددة من قبل المستخدم (على سبيل المثال، عملاء التورنت، ومتصفحات الويب، والماسحات الضوئية)؛
• أو الأداة المساعدة VPNCheck، والتي، وفقًا لاختيار المستخدم، يمكنها إما تعطيل بطاقة الشبكة تمامًا أو إنهاء التطبيقات المحددة ببساطة.

1. يمكنك التحقق مما إذا كان جهازك عرضة لتسريبات حركة مرور DNS على موقع الويب، ثم تطبيق النصائح حول كيفية إصلاح التسرب الموضح.

فك تشفير حركة مرور VPN

حتى لو قمت بتكوين كل شيء بشكل صحيح ولم تتسرب حركة مرور VPN الخاصة بك إلى الشبكة بشكل واضح، فهذا ليس سببًا للاسترخاء. النقطة المهمة هي أنه إذا اعترض شخص ما البيانات المشفرة المرسلة عبر اتصال VPN، فسيكون قادرًا على فك تشفيرها. علاوة على ذلك، فإنه لا يؤثر على ذلك بأي شكل من الأشكال سواء كانت كلمة المرور الخاصة بك معقدة أو بسيطة. إذا كنت تستخدم اتصال VPN بناءً على بروتوكول PPTP، فيمكنك القول بثقة مائة بالمائة أنه يمكن فك تشفير جميع حركة المرور المشفرة التي تم اعتراضها.

كعب أخيل

بالنسبة لاتصالات VPN المستندة إلى PPTP (بروتوكول الاتصال النفقي من نقطة إلى نقطة)، يتم إجراء مصادقة المستخدم باستخدام بروتوكول MS-CHAPv2 الذي طورته Microsoft. على الرغم من أن MS-CHAPv2 أصبح قديمًا وكثيرًا ما يكون موضع انتقادات، إلا أنه لا يزال يُستخدم بشكل نشط. لإرساله أخيرًا إلى مزبلة التاريخ، تناول الباحث الشهير Moxie Marlinspike الأمر، والذي أبلغ في مؤتمر DEF CON العشرين أن الهدف قد تم تحقيقه - تم اختراق البروتوكول. يجب القول أن أمان هذا البروتوكول كان محيرًا من قبل، ولكن مثل هذا الاستخدام الطويل لـ MS-CHAPv2 قد يكون بسبب حقيقة أن العديد من الباحثين ركزوا فقط على قابلية تعرضه لهجمات القاموس. بحث محدود وعدد كبير من العملاء المدعومين، والدعم المدمج من خلال أنظمة التشغيل - كل هذا يضمن اعتمادًا واسع النطاق لبروتوكول MS-CHAPv2. بالنسبة لنا، تكمن المشكلة في حقيقة أن MS-CHAPv2 يُستخدم في بروتوكول PPTP، والذي تستخدمه العديد من خدمات VPN (على سبيل المثال، الخدمات الكبيرة مثل خدمة VPN المجهولة IPredator وشبكة VPN الخاصة بـ The Pirate Bay).

إذا رجعنا إلى التاريخ، ففي عام 1999، في دراسته لبروتوكول PPTP، أشار بروس شناير إلى أن "مايكروسوفت قامت بتحسين PPTP من خلال تصحيح العيوب الأمنية الرئيسية. ومع ذلك، فإن نقطة الضعف الأساسية في بروتوكول المصادقة والتشفير هي أنه آمن بقدر كلمة المرور التي يختارها المستخدم. لسبب ما، جعل هذا مقدمي الخدمة يعتقدون أنه لا يوجد خطأ في PPTP وأنه إذا طُلب من المستخدم التوصل إلى كلمات مرور معقدة، فإن البيانات المرسلة ستكون آمنة. استلهمت خدمة Riseup.net من هذه الفكرة لدرجة أنها قررت إنشاء كلمات مرور مكونة من 21 حرفًا للمستخدمين بشكل مستقل، دون منحهم الفرصة لتعيين كلمات مرور خاصة بهم. ولكن حتى مثل هذا الإجراء الصارم لا يمنع فك تشفير حركة المرور. لفهم السبب، دعونا نلقي نظرة فاحصة على بروتوكول MS-CHAPv2 ونرى كيف تمكن Moxie Marlinspike من اختراقه.

بروتوكول MS-CHAPv2

كما ذكرنا من قبل، يتم استخدام MSCHAPv2 لمصادقة المستخدم. ويحدث على عدة مراحل:

• يرسل العميل طلب مصادقة إلى الخادم، ويرسل تسجيل الدخول الخاص به علنًا؛
• يقوم الخادم بإرجاع استجابة عشوائية بحجم 16 بايت إلى العميل (تحدي Authenticator)؛
• يقوم العميل بإنشاء PAC سعة 16 بايت (تحدي مصادقة النظير - استجابة مصادقة النظير)؛
• يجمع العميل بين PAC واستجابة الخادم واسم المستخدم الخاص به في سطر واحد؛
• يتم أخذ تجزئة 8 بايت من السلسلة المستلمة باستخدام خوارزمية SHA-1 وإرسالها إلى الخادم؛
• يقوم الخادم باسترداد تجزئة هذا العميل من قاعدة بياناته وفك تشفير استجابته؛
• إذا تطابقت نتيجة فك التشفير مع الاستجابة الأصلية، فكل شيء على ما يرام، والعكس صحيح؛
• بعد ذلك، يأخذ الخادم PAC الخاص بالعميل، وبناءً على التجزئة، يقوم بإنشاء AR (استجابة المصادقة) بحجم 20 بايت، ويمرره إلى العميل؛
• يقوم العميل بنفس العملية ويقارن AR المستلم باستجابة الخادم؛
• إذا كان كل شيء متطابقًا، فسيتم مصادقة العميل بواسطة الخادم. ويبين الشكل رسما تخطيطيا مرئيا لتشغيل البروتوكول.

للوهلة الأولى، يبدو البروتوكول معقدًا للغاية - مجموعة من التجزئة والتشفير والتحديات العشوائية. في الواقع الأمر ليس بهذا التعقيد. إذا نظرت عن كثب، ستلاحظ أنه في البروتوكول بأكمله لا يزال هناك شيء واحد فقط غير معروف - تجزئة MD4 لكلمة مرور المستخدم، والتي يتم على أساسها إنشاء ثلاثة مفاتيح DES. يتم إرسال المعلمات المتبقية إما بشكل واضح، أو يمكن الحصول عليها مما يتم إرساله بشكل واضح.

نظرًا لأن جميع المعلمات تقريبًا معروفة، فلا يمكننا أخذها في الاعتبار، ولكن نولي اهتمامًا وثيقًا لما هو غير معروف ونكتشف ما يقدمه لنا.

إذًا، ما لدينا: كلمة مرور غير معروفة، وتجزئة MD4 غير معروفة لكلمة المرور تلك، ونص عادي معروف، ونص مشفر معروف. عند الفحص الدقيق، ستلاحظ أن كلمة مرور المستخدم ليست مهمة بالنسبة لنا، ولكن تجزئتها مهمة، حيث يتم فحصها على الخادم. وبالتالي، من أجل المصادقة الناجحة نيابة عن المستخدم، وكذلك لفك تشفير حركة المرور الخاصة به، نحتاج فقط إلى معرفة تجزئة كلمة المرور الخاصة به.

بعد اعتراض حركة المرور في متناول اليد، يمكنك محاولة فك تشفيرها. هناك العديد من الأدوات (على سبيل المثال، asleap) التي تسمح لك بتخمين كلمة مرور المستخدم من خلال هجوم القاموس. عيب هذه الأدوات هو أنها لا توفر ضمانًا بنسبة 100٪ للنتائج، ويعتمد النجاح بشكل مباشر على القاموس المختار. تحديد كلمة مرور باستخدام القوة الغاشمة البسيطة ليس فعالًا أيضًا - على سبيل المثال، في حالة خدمة PPTP VPN riseup.net، التي تفرض قسريًا تعيين كلمات مرور بطول 21 حرفًا، سيتعين عليك المرور عبر خيارات 96 حرفًا لكل حرف من الـ 21 حرفًا. الشخصيات. ينتج عن هذا خيارات 96^21، وهو ما يزيد قليلاً عن 2^138. بمعنى آخر، تحتاج إلى تحديد مفتاح 138 بت. في الحالة التي يكون فيها طول كلمة المرور غير معروف، فمن المنطقي تحديد تجزئة MD4 لكلمة المرور. بالنظر إلى أن طوله هو 128 بت، نحصل على خيارات 2^128 - في الوقت الحالي من المستحيل حساب ذلك.

تقسيم وحكم

يتم استخدام تجزئة كلمة المرور MD4 كمدخل لثلاث عمليات DES. يبلغ طول مفاتيح DES 7 بايت، لذا تستخدم كل عملية DES جزءًا من 7 بايت من تجزئة MD4. كل هذا يترك مجالًا لهجوم فرق تسد الكلاسيكي. بدلاً من فرض القوة الغاشمة على تجزئة MD4 (والتي، كما تتذكر، هي خيارات 2^128)، يمكننا تحديدها في أجزاء من 7 بايت. نظرًا لاستخدام ثلاث عمليات DES وكل عملية DES مستقلة تمامًا عن العمليات الأخرى، فإن هذا يعطي إجمالي تعقيد المطابقة 2^56 + 2^56 + 2^56، أو 2^57.59. وهذا بالفعل أفضل بكثير من 2^138 و2^128، لكنه لا يزال يحتوي على خيارات كثيرة جدًا. على الرغم من أنه كما لاحظت، فقد تسلل خطأ إلى هذه الحسابات. تستخدم الخوارزمية ثلاثة مفاتيح DES، حجم كل منها 7 بايت، أي 21 بايت في المجموع. يتم أخذ هذه المفاتيح من تجزئة MD4 لكلمة المرور، والتي يبلغ طولها 16 بايت فقط.

أي أن 5 بايت مفقودة لإنشاء مفتاح DES الثالث. قامت Microsoft بحل هذه المشكلة ببساطة عن طريق ملء البايتات المفقودة بالأصفار بغباء وتقليل فعالية المفتاح الثالث إلى بايتين.

نظرًا لأن طول المفتاح الثالث الفعال يبلغ 2 بايت فقط، أي خيارات 2^16، فإن تحديده يستغرق بضع ثوانٍ، مما يثبت فعالية هجوم فرق تسد. لذلك، يمكننا أن نفترض أن آخر بايتين من التجزئة معروفان، كل ما تبقى هو اختيار الـ 14 المتبقية. وأيضًا، بتقسيمهم إلى جزأين كل منهما 7 بايت، لدينا إجمالي عدد خيارات البحث يساوي 2^ 56 + 2^56 = 2^57. لا يزال أكثر من اللازم، ولكن أفضل بكثير. لاحظ أن عمليات DES المتبقية تقوم بتشفير نفس النص، فقط باستخدام مفاتيح مختلفة. يمكن كتابة خوارزمية البحث على النحو التالي:

ولكن بما أن النص مشفر بنفس الطريقة، فمن الأصح القيام بذلك على النحو التالي:

أي أن هناك 2^56 نوعًا مختلفًا من المفاتيح للبحث فيها. وهذا يعني أنه يمكن تقليل أمان MS-CHAPv2 إلى قوة تشفير DES وحده.

قرصنة DES

الآن بعد أن أصبح نطاق اختيار المفتاح معروفًا، أصبح الأمر متروكًا لقوة الحوسبة لإكمال الهجوم بنجاح. في عام 1998، قامت مؤسسة الحدود الإلكترونية ببناء آلة تسمى Deep Crack، بتكلفة 250 ألف دولار، ويمكنها كسر مفتاح DES في متوسط ​​أربعة أيام ونصف. حاليًا، قامت شركة Pico Computing، المتخصصة في بناء أجهزة FPGA لتطبيقات التشفير، ببناء جهاز FPGA (صندوق تكسير DES) الذي ينفذ DES كخط أنابيب مع عملية DES واحدة لكل دورة على مدار الساعة. مع 40 مركزًا بتردد 450 ميجاهرتز، يمكنه تعداد 18 مليار مفتاح في الثانية. وبمثل هذه السرعة الهائلة، يستطيع صندوق تكسير DES كسر مفتاح DES في أسوأ الحالات خلال 23 ساعة، وفي المتوسط ​​خلال نصف يوم. هذه الآلة المعجزة متاحة من خلال خدمة الويب التجارية Loudcracker.com. والآن يمكنك كسر أي مصافحة MS-CHAPv2 في أقل من يوم واحد. ومع وجود كلمة مرور في متناول اليد، يمكنك المصادقة نيابة عن هذا المستخدم على خدمة VPN أو ببساطة فك تشفير حركة المرور الخاصة به.

لأتمتة العمل مع الخدمة ومعالجة حركة المرور التي تم اعتراضها، جعلت Moxie الأداة المساعدة chapcrack متاحة للجمهور. يقوم بتوزيع حركة مرور الشبكة التي تم اعتراضها، بحثًا عن مصافحة MS-CHAPv2. لكل مصافحة يجدها، فإنه يطبع اسم المستخدم، والنص العادي المعروف، ونصين مشفرين معروفين، ويكسر مفتاح DES الثالث. بالإضافة إلى ذلك، يقوم بإنشاء رمز مميز لـ CloudCracker، والذي يقوم بتشفير ثلاثة معلمات ضرورية للخدمة لكسر المفاتيح المتبقية.

CloudCracker وChapcrack

في حال كنت بحاجة إلى كسر مفاتيح DES من حركة مرور المستخدم التي تم اعتراضها، سأقدم لك تعليمات قصيرة خطوة بخطوة.

1. قم بتحميل مكتبة Passlib التي تنفذ أكثر من 30 خوارزمية تجزئة مختلفة للغة بايثون، قم بفك الضغط وتثبيت: python setup.py install
2. قم بتثبيت python-m2crypto - غلاف OpenSSL لـ Python: sudo apt-get install python-m2crypto
3. قم بتنزيل الأداة المساعدة chapcrack نفسها، وقم بفك ضغطها وتثبيتها: python setup.py install
4. تم تثبيت Chapcrack، ويمكنك البدء في تحليل حركة المرور التي تم اعتراضها. تقبل الأداة المساعدة ملف cap كمدخل، وتبحث فيه عن مصافحة MS-CHAPv2، والتي تستخرج منه المعلومات اللازمة للقرصنة. تحليل Chapcrack -i الاختبارات/pptp
5. من إخراج البيانات بواسطة الأداة المساعدة chapcrack، انسخ قيمة سطر إرسال CloudCracker واحفظها في ملف (على سبيل المثال، Output.txt)
6. انتقل إلى cloudcracker.com، في لوحة "بدء التكسير"، حدد نوع الملف الذي يساوي "MS-CHAPv2 (PPTP/WPA-E)"، وحدد ملف Output.txt الذي تم إعداده مسبقًا في الخطوة السابقة، وانقر فوق التالي -> التالي و قم بالإشارة إلى بريدك الإلكتروني الذي سيتم إرسال رسالة إليه بعد إتمام عملية الاختراق.

لسوء الحظ، CloudCracker هي خدمة مدفوعة. لحسن الحظ، لن تضطر إلى دفع الكثير لاختراق المفاتيح - فقط 20 دولارًا.

ما يجب القيام به؟

على الرغم من أن Microsoft تكتب على موقعها على الإنترنت أنه ليس لديها حاليًا أي معلومات حول الهجمات النشطة باستخدام chapcrack، فضلاً عن عواقب مثل هذه الهجمات على أنظمة المستخدم، إلا أن هذا لا يعني أن كل شيء على ما يرام. توصي Moxie بأن يبدأ جميع المستخدمين ومقدمي حلول PPTP VPN في الانتقال إلى بروتوكول VPN آخر. وتعتبر حركة مرور PPTP غير مشفرة. كما ترون، هناك موقف آخر يمكن أن تخذلنا فيه VPN بشكل خطير.

خاتمة

يحدث أن VPN مرتبطة بإخفاء الهوية والأمان. يلجأ الأشخاص إلى استخدام VPN عندما يريدون إخفاء حركة المرور الخاصة بهم عن أعين مزود الخدمة، واستبدال موقعهم الجغرافي الحقيقي، وما إلى ذلك. في الواقع، اتضح أن حركة المرور يمكن أن "تتسرب" إلى الشبكة بشكل واضح، وإذا لم تكن بشكل واضح، فيمكن فك تشفير حركة المرور المشفرة بسرعة كبيرة. كل هذا يذكرنا مرة أخرى أنه لا يمكننا الاعتماد بشكل أعمى على الوعود الصاخبة بالأمن الكامل وعدم الكشف عن هويته. كما يقولون، ثق، ولكن تحقق. لذا كن على أهبة الاستعداد وتأكد من أن اتصال VPN الخاص بك آمن ومجهول حقًا.