آشنایی با حمله تکرار نشست

 

طبق اعلام وب‌سایت Bleeping Computer، مشخص شده که 483 عدد از 50 هزار وب‌سایتی که رتبه‌های برتر را در Alexa دارند، همه حرکات کاربران را ثبت و ضبط می‌کنند، از جمله حرکات ماوس و فشردن کلیدهای صفحه کلید. معمولا این اطلاعات به یک داشبورد تحلیلی ارسال می‌شوند که ممکن است این اطلاعات در آنجا تفسیر شوند تا اطلاعات ورودی کاربران و سایر داده‌های حساس آن‌ها را استخراج کنند.

بنابراین حمله تکرار یا اجرای دوباره نشست می‌تواند نگرانی‌های امنیتی جدی هم برای سازمان‌ها و هم کاربران نهایی ایجاد کند، چون هکرها می‌توانند تمامی داده‌های ورودی را تفسیر کرده و حتی پیش از این که کاربری اطلاعات وارد شده در یک فرم آنلاین را تایید کند، آن‌ها را ثبت و ضبط کنند.

حملات تکرار نشست چیست؟

حملات تکرار نشست که با نام حمله تکرار یا بازبخش هم شناخته می‌شوند از جمله حملات مخصوص شبکه هستند که با نیات شومی سعی به تکرار یا ایجاد تاخیر در یک عملیات انتقال داده معتبر دارند.

مهاجم می‌تواند با تفسیر نشست و به سرقت بردن شماره نشست منحصر به‌فرد کاربر (که به صورت یک کوکی، URL یا فیلدی از یک فرم ذخیره می‌شود) این کار را انجام دهد. با انجام این کار هکر می‌تواند خودش را به جای کاربر مجاز جلوه داده و دسترسی کاملی به هر آنچه کاربر مجاز می‌تواند در یک وب‌سایت انجام دهد، پیدا کند.

استفاده از سرویس‌های تحلیلی توسط وب‌سایت‌ها که اطلاعات حساس کاربران را ثبت و به صورت ناامن پردازش می‌کنند، نگرانی‌های عمده ای در رابطه با حریم خصوصی برای کاربران ایجاد کرده و پیامدهای امنیتی مختلفی برای آن‌ها داشته است.

برای مثال گزارشی که توسط محققین دانشگاه Princeton منتشر شد، مشخص کرد که بعضی از این داشبوردهای تحلیلی پسوردهای کاربران، اطلاعات کارت‌های اعتباری، شماره تامین اجتماعی، تاریخ تولد و سایر اطلاعاتی را که هکرها می‌توانند از آن برای کلاهبرداری‌های آنلاین مثل سرقت هویت استفاده کنند، ذخیره می‌کنند.

اما هکرها چطور شناسه (یا ID) نشست کاربر را سرقت می‌کنند؟

سرقت شناسه نشست کاربر اولین گام در حمله تکرار نشست است و به آن سشن ربایی یا رباییدن نشست گفته می‌شود. روش‌های مختلفی برای انجام این کار وجود دارد. سشن ربایی شامل بدست آوردن دسترسی به کوکی یک سشن معتبر است که معمولا از طریق بررسی ترافیک شبکه و به کمک حمله مرد میانی انجام می‌شود. در این نوع حمله، مهاجم ارتباطات بین دو کاربر را ربوده و به نوعی تغییر می‌دهد. برای این کار از یک نرم‌افزار میانی استفاده می‌شود اما دو کاربر تصور می‌کنند که به صورت مستقیم با هم در ارتباط هستند. همچنین هکر می‌تواند از طریق حملاتی که در سمت کلاینت انجام می‌شوند، از یک سشن معتبر سوء‌استفاده کند از جمله تروجان، کدهای جاوااسکریپت مخرب، تزریق کد از طریق وب‌سایت و غیره.

اما کاربران چطور می‌توانند از خودشان محافظت کنند و صاحبان وب‌سایت‌ها برای محافظت از بازدیدکنندگان وب‌سایت‌شان قادر به انجام چه کارهایی هستند؟

با توجه به ماهیت و چگونگی انجام حملات تکرار نشست، کاملا مشخص و معقول است که راهکارهای مقابله با این نوع حملات با راهکارهای امنیت اپلیکیشن همپوشانی دارند. بنابراین فایروال‌های سنتی، فایروال‌های اپلیکیشن‌های تحت وب، آنتی ویروس، مسدود کننده‌های پاپ آپ و سایر نرم‌افزارهای ضدجاسوسی می‌توانند در کنار هم به پیشگیری از حملات بازپخش نشست کمک کنند.

سایر گزینه‌ها برای مقابله با این خطرات شامل نصب آپدیت‌ها و پچ‌ها در اسرع وقت برای پیشگیری از قربانی شدن در برابر چنین حملاتی است. همچنین توصیه می‌شود که کاربران دائما کوکی‌های ذخیره شده و سایر فایل‌های موقتی مرورگرها را پاک کنند چون کوکی ربایی هم در سشن ربایی نقش دارد. تاکتیک بسیار مفید بعدی برای پیشگیری از این حملات تنظیم پرچم HTTPOnly برای کوکی‌ها است. این کار از دسترسی کدهای جاوا اسکریپت به کوکی‌ها پیشگیری می‌کند بنابراین کوکی‌ها در معرض کوکی ربایی قرار نمی‌گیرند. استفاده از وای فای رایگان هم توصیه نمی‌شود چون این کار خطر سشن ربایی را به دلیل امنیت پایین چنین شبکه‌هایی افزایش می‌دهد.

با توجه به این که حملات تکرار نشست می‌توانند برای مهاجمین امکان دسترسی به هویت بازدیدکننده یک سایت و اطلاعات عبور وی را فراهم کنند، این حملات می‌توانند برای صاحبان وب‌سایت‌هایی که هیچ یک از توصیه‌های امنیتی اشاره شده را به کار نمی‌بندند، مشکلاتی جدی ایجاد کند.