خطر استفاده از وای فای عمومی برای رمزنگاری مجازی

بانکداری ایرانی ـ روشی اخیراً کشف شده که یک کد استخراج در پیج‌های مربوط به کاربران شبکه‌های وای فای عمومی رایگان نفوذ کرده‌ و یک توسعه‌دهنده نرم‌افزاری را وادار می‌کند تا حملاتی که به‌صورت خودکار انجام می‌شوند را مورد بررسی قرار دهد.

به گزارش ایسنا، امروزه کمتر خانه‌ای را می‌توان یافت که به اینترنت مجهز نباشد. حتی اماکن عمومی نظیر رستوران‌ها، کافی شاپ‌ها، فرودگاه‌ها و... اینترنت را در شبکه بی‌سیم ارائه می‌کنند و کافی است با تبلت یا گوشی هوشمند خود از هر جایی به اینترنت متصل شوید.

اما نکته مهم در هر بار اتصال به شبکه وای فای و یا هر شبکه عمومی دیگر، حفظ امنیت در بستر اینترنت است؛ چراکه بسیاری از شبکه‌های اینترنت بی سیم، رمزنگاری نشده‌اند و شما می‌توانید بدون استفاده از نام و کلمه عبور به این شبکه‌ها متصل شوید. نکته مهم این است که ما بدانیم هنگام استفاده از این شبکه‌ها چه اقداماتی را به منظور حفظ امنیت خودمان به کار بگیریم.

امروزه بدافزارها و وب‌سایت‌ها و مشکلات آن‌ها با نرم‌افزارهای بازیابی اطلاعات یا اسکریپت‌های رمزنگاری، دو رویکرد رایج به شمار می‌روند. اما روش دیگری که اخیراً  کشف شده، شامل یک کد استخراج است که در page‌های مربوط به کاربران شبکه‌های وای فای عمومی رایگان نفوذ کرده‌ است.

بر این اساس اولین گام حمله شامل قرار دادن دستگاه مهاجم بین دستگاه‌های کاربران و روتر Wi-Fi است که به‌طور موثر اجازه می‌دهد تا آن را انتقال و یا ترافیک وب بین آن‌ها را تغییر دهد و این موقعیت نیز با انجام یک حمله ARP به‌دست می‌آید.

ARP مخفف سه کلمه Address Resolution Protocol است که وظیفه آن شناخت و تشخیص Mac Address) hardware address ) است؛ البته درصورتی‌که یک کامپیوتر با دانستن IP بخواهد با یک سیستم ارتباط برقرار کند. به‌عبارت دیگر، arp وظیفه تبدیل ip address به mac address را بر عهده دارد. هنگامی که یک کامپیوتر بخواهد با یک کامپیوتر دیگر در یک شبکه ارتباط برقرار کند باید ip آن را داشته باشد، اما این ظاهر قضیه است و در واقع سیستم باید برای دریافت و ارسال داده از آدرس سخت‌افزاری یا MAC Address استفاده کند و پیدا کردن mac address کامپیوترهای یک شبکه توسط arp انجام می‌شود.

 مهاجم پیام‌های تقلبی آدرس قطعنامه ARP را به یک شبکه محلی می‌فرستد تا مک آدرس خود را با آدرس IP روتر مرتبط سازد. هنگامی که این کار انجام شد، هرگونه ترافیکی که متعلق به این آدرس IP است، به جای آن برای مهاجم ارسال می‌شود.

هکرها با استفاده از mitmproxy، می‌توانند ترافیکی که از طریق دستگاه حرکت می‌کند را تجزیه و تحلیل کرده و آن را فقط با تزریق یک خط کد، به صفحات HTML درخواست شده، تغییر دهد و این کد تزریق شده نیز رمزنگاری جاوا اسکریپت را به‌صورت معکوس از سرور فراخوانی می‌کند.

بر اساس اطلاعات سایت پلیس فتا، در اینجا هدف توسعه‌دهنده این بوده تا اسکریپتی ایجاد کند که حمله کاملاً مستقل خود را بر روی شبکه Wi-Fi انجام دهد، اما این کار را انجام نداده، از این‌رو هکر یا مهاجم باید یک فایل متنی با آدرس آی‌پی قربانیان را قبل از استقرار آماده کند و این اسکریپت تولید شده مواردی از قبیل اخذ IP روتر و قربانیان، تنظیم IPها و پورت IP، اجرای ARPspoof برای همه قربانیان، رمزگشایی سرور HTTP و فعال کردن انواع پروکسی‌ها را فراهم می‌آورد و اسکریپت مورد نیاز را نیز در ترافیک وب تزریق می‌کند.

بنابراین توسعه‌دهنده حمله را در سناریوهای واقعی به‌صورت موفقیت‌آمیز انجام داده‌است. با این حال، توسعه‌دهنده قصد دارد با استفاده از رمز اثبات شده خود، در آینده حملات اصلی خود را صرفاً به اهداف دانشگاهی متمرکز کند.

در نسخه‌های دیگر با اضافه کردن یک اسکن مستقل از Nmap به‌عنوان یک ویژگی احتمالی، می‌توان IPهای شناسایی شده به لیست قربانیان را شناسایی کرد و از ویژگی‌های دیگر آن نیز اضافه کردن sslstrip جهت اطمینان از تزریق بدافزارها در وب‌سایت‌هایی که دارای HTTPS است را می‌توان اشاره کرد.