ALPACA - បច្ចេកទេសថ្មីសម្រាប់ការវាយប្រហារ MITM លើ HTTPS

ក្រុមអ្នកស្រាវជ្រាវមកពីសាកលវិទ្យាល័យជាច្រើនក្នុងប្រទេសអាឡឺម៉ង់បានបង្កើតការវាយប្រហារ MITM ថ្មីលើ HTTPS ដែលអាចទាញយកខូគីសម័យ និងទិន្នន័យរសើបផ្សេងទៀត ក៏ដូចជាប្រតិបត្តិកូដ JavaScript តាមអំពើចិត្តនៅក្នុងបរិបទនៃគេហទំព័រមួយផ្សេងទៀត។ ការវាយប្រហារត្រូវបានគេហៅថា ALPACA ហើយអាចត្រូវបានអនុវត្តចំពោះម៉ាស៊ីនមេ TLS ដែលអនុវត្តពិធីការស្រទាប់កម្មវិធីផ្សេងៗគ្នា (HTTPS, SFTP, SMTP, IMAP, POP3) ប៉ុន្តែប្រើវិញ្ញាបនបត្រ TLS ទូទៅ។

ខ្លឹមសារនៃការវាយប្រហារគឺថា ប្រសិនបើគាត់គ្រប់គ្រងលើច្រកចេញចូលបណ្តាញ ឬចំណុចចូលប្រើឥតខ្សែ អ្នកវាយប្រហារអាចប្តូរទិសចរាចរណ៍បណ្តាញទៅកាន់ច្រកបណ្តាញផ្សេងទៀត និងរៀបចំការបង្កើតការតភ្ជាប់ជាមួយ FTP ឬម៉ាស៊ីនមេសំបុត្រដែលគាំទ្រការអ៊ិនគ្រីប TLS និងប្រើប្រាស់ វិញ្ញាបនបត្រ TLS ទូទៅជាមួយម៉ាស៊ីនមេ HTTP ហើយកម្មវិធីរុករករបស់អ្នកប្រើនឹងសន្មត់ថាការតភ្ជាប់ត្រូវបានបង្កើតឡើងជាមួយម៉ាស៊ីនមេ HTTP ដែលបានស្នើសុំ។ ដោយសារពិធីការ TLS មានលក្ខណៈជាសកល ហើយមិនត្រូវបានភ្ជាប់ជាមួយពិធីការកម្រិតកម្មវិធី ការបង្កើតការតភ្ជាប់ដែលបានអ៊ិនគ្រីបសម្រាប់សេវាកម្មទាំងអស់គឺដូចគ្នាបេះបិទ ហើយកំហុសនៃការផ្ញើសំណើទៅកាន់សេវាកម្មខុសអាចត្រូវបានកំណត់តែបន្ទាប់ពីបង្កើតវគ្គដែលបានអ៊ិនគ្រីប ខណៈពេលដែលដំណើរការ ពាក្យបញ្ជានៃសំណើដែលបានផ្ញើ។

ដូច្នោះហើយ ប្រសិនបើឧទាហរណ៍ អ្នកប្តូរទិសការតភ្ជាប់របស់អ្នកប្រើពីដើមទៅ HTTPS ទៅម៉ាស៊ីនមេសំបុត្រដែលប្រើវិញ្ញាបនបត្រដែលចែករំលែកជាមួយម៉ាស៊ីនមេ HTTPS នោះការតភ្ជាប់ TLS នឹងត្រូវបានបង្កើតឡើងដោយជោគជ័យ ប៉ុន្តែម៉ាស៊ីនមេសំបុត្រនឹងមិនអាចដំណើរការការបញ្ជូនបានទេ។ ពាក្យបញ្ជា HTTP ហើយនឹងត្រឡប់ការឆ្លើយតបជាមួយនឹងលេខកូដកំហុស។ ការឆ្លើយតបនេះនឹងត្រូវបានដំណើរការដោយកម្មវិធីរុករកតាមអ៊ីនធឺណិតជាការឆ្លើយតបពីគេហទំព័រដែលបានស្នើសុំ បញ្ជូននៅក្នុងបណ្តាញទំនាក់ទំនងដែលបានអ៊ិនគ្រីបដែលបានបង្កើតឡើងយ៉ាងត្រឹមត្រូវ។

ជម្រើសវាយប្រហារបីត្រូវបានស្នើឡើង៖

• "ផ្ទុកឡើង" ដើម្បីទាញយកខូគីដែលមានប៉ារ៉ាម៉ែត្រផ្ទៀងផ្ទាត់។ វិធីសាស្ត្រអាចអនុវត្តបាន ប្រសិនបើម៉ាស៊ីនមេ FTP គ្របដណ្តប់ដោយវិញ្ញាបនបត្រ TLS អនុញ្ញាតឱ្យអ្នកផ្ទុកឡើង និងទាញយកទិន្នន័យរបស់វា។ នៅក្នុងវ៉ារ្យ៉ង់នៃការវាយប្រហារនេះ អ្នកវាយប្រហារអាចសម្រេចបាននូវការរក្សាទុកផ្នែកនៃសំណើ HTTP ដើមរបស់អ្នកប្រើ ដូចជាខ្លឹមសារនៃបឋមកថាខូគី ជាឧទាហរណ៍ ប្រសិនបើម៉ាស៊ីនមេ FTP បកស្រាយសំណើនេះជាឯកសាររក្សាទុក ឬកត់ត្រាសំណើចូលទាំងស្រុង។ ដើម្បី​វាយ​ប្រហារ​ដោយ​ជោគជ័យ អ្នក​វាយ​ប្រហារ​ត្រូវ​ទាញ​យក​មាតិកា​ដែល​បាន​រក្សា​ទុក។ ការវាយប្រហារអាចអនុវត្តបានចំពោះ Proftpd, Microsoft IIS, vsftpd, filezilla និង serv-u ។
• “ទាញយក” សម្រាប់ការរៀបចំស្គ្រីបឆ្លងគេហទំព័រ (XSS)។ វិធីសាស្ត្រនេះបង្កប់ន័យថាអ្នកវាយប្រហារ ជាលទ្ធផលនៃឧបាយកលបុគ្គលមួយចំនួនអាចដាក់ទិន្នន័យនៅក្នុងសេវាកម្មដែលប្រើវិញ្ញាបនបត្រ TLS ទូទៅ ដែលបន្ទាប់មកអាចត្រូវបានចេញជាការឆ្លើយតបទៅនឹងសំណើរបស់អ្នកប្រើ។ ការវាយប្រហារអាចអនុវត្តបានចំពោះម៉ាស៊ីនមេ FTP ដែលបានរៀបរាប់ខាងលើ ម៉ាស៊ីនមេ IMAP និងម៉ាស៊ីនមេ POP3 (អ្នកនាំសំបុត្រ, cyrus, kerio-connect និង zimbra) ។
• "ការឆ្លុះបញ្ចាំង" ដើម្បីដំណើរការ JavaScript នៅក្នុងបរិបទនៃគេហទំព័រផ្សេងទៀត។ វិធីសាស្ត្រគឺផ្អែកលើការត្រឡប់ទៅផ្នែកអតិថិជននៃសំណើដែលមានកូដ JavaScript ដែលផ្ញើដោយអ្នកវាយប្រហារ។ ការវាយប្រហារអាចអនុវត្តបានចំពោះម៉ាស៊ីនមេ FTP ដែលបានរៀបរាប់ខាងលើ ម៉ាស៊ីនមេ IMAP cyrus kerio-connect និង zimbra ក៏ដូចជាម៉ាស៊ីនមេ SMTP ផ្ញើសំបុត្រផងដែរ។

ឧទាហរណ៍ នៅពេលដែលអ្នកប្រើប្រាស់បើកទំព័រដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ទំព័រនេះអាចផ្តួចផ្តើមការស្នើសុំធនធានពីគេហទំព័រដែលអ្នកប្រើប្រាស់មានគណនីសកម្ម (ឧទាហរណ៍ bank.com)។ ក្នុងអំឡុងពេលការវាយប្រហារ MITM សំណើនេះផ្ញើទៅកាន់គេហទំព័រ bank.com អាចត្រូវបានបញ្ជូនបន្តទៅកាន់ម៉ាស៊ីនមេអ៊ីមែលដែលប្រើវិញ្ញាបនបត្រ TLS ដែលត្រូវបានចែករំលែកជាមួយ bank.com ។ ដោយសារម៉ាស៊ីនមេសំបុត្រមិនបញ្ចប់វគ្គបន្ទាប់ពីកំហុសដំបូង បឋមកថាសេវាកម្ម និងពាក្យបញ្ជាដូចជា "POST / HTTP/1.1" និង "Host:" នឹងត្រូវបានដំណើរការជាពាក្យបញ្ជាដែលមិនស្គាល់ (ម៉ាស៊ីនមេសំបុត្រនឹងត្រឡប់ "500 ពាក្យបញ្ជាដែលមិនស្គាល់" សម្រាប់ ក្បាលនីមួយៗ) ។

ម៉ាស៊ីនមេសំបុត្រមិនយល់ពីលក្ខណៈពិសេសនៃពិធីការ HTTP ហើយសម្រាប់វា បឋមកថាសេវាកម្ម និងប្លុកទិន្នន័យនៃសំណើ POST ត្រូវបានដំណើរការតាមរបៀបដូចគ្នា ដូច្នេះនៅក្នុងតួនៃសំណើ POST អ្នកអាចបញ្ជាក់បន្ទាត់ដែលមានពាក្យបញ្ជាទៅ ម៉ាស៊ីនមេសំបុត្រ។ ឧទាហរណ៍ អ្នកអាចឆ្លងកាត់៖ MAIL FROM៖ alert(1); ដែលម៉ាស៊ីនមេសំបុត្រនឹងត្រឡប់សារកំហុស 501 alert(1); : អាស័យដ្ឋានមិនត្រឹមត្រូវ៖ ការជូនដំណឹង(1); ប្រហែលជាមិនធ្វើតាម

ការឆ្លើយតបនេះនឹងត្រូវបានទទួលដោយកម្មវិធីរុករករបស់អ្នកប្រើប្រាស់ ដែលនឹងដំណើរការកូដ JavaScript ក្នុងបរិបទមិនមែនជាគេហទំព័របើកដំបូងរបស់អ្នកវាយប្រហារនោះទេ ប៉ុន្តែជាគេហទំព័រ bank.com ដែលសំណើត្រូវបានផ្ញើ ចាប់តាំងពីការឆ្លើយតបមកក្នុងវគ្គ TLS ត្រឹមត្រូវ។ វិញ្ញាបនបត្រដែលបញ្ជាក់ពីភាពត្រឹមត្រូវនៃការឆ្លើយតបរបស់ bank.com ។

ការស្កែនបណ្តាញសកលបានបង្ហាញថា ជាទូទៅម៉ាស៊ីនមេបណ្តាញប្រហែល 1.4 លានត្រូវបានរងផលប៉ះពាល់ដោយបញ្ហានេះ ដែលវាអាចធ្វើការវាយប្រហារដោយការលាយសំណើដោយប្រើពិធីការផ្សេងៗ។ លទ្ធភាពនៃការវាយប្រហារពិតប្រាកដមួយត្រូវបានកំណត់សម្រាប់ម៉ាស៊ីនមេបណ្តាញចំនួន 119 ពាន់ដែលមានម៉ាស៊ីនមេ TLS ភ្ជាប់មកជាមួយដោយផ្អែកលើពិធីការកម្មវិធីផ្សេងទៀត។

ឧទាហរណ៍នៃការកេងប្រវ័ញ្ចត្រូវបានរៀបចំសម្រាប់ម៉ាស៊ីនមេ ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla និង serv-u, IMAP និង POP3 servers dovecot, courier, exchange, cyrus, kerio-connect និង zimbra, SMTP servers postfix, exim, sendmail , mailenable, mdaemon និង opensmtpd ។ អ្នកស្រាវជ្រាវបានសិក្សាពីលទ្ធភាពនៃការវាយប្រហារតែក្នុងការរួមបញ្ចូលគ្នាជាមួយម៉ាស៊ីនមេ FTP, SMTP, IMAP និង POP3 ប៉ុន្តែវាអាចទៅរួចដែលថាបញ្ហាក៏អាចកើតឡើងចំពោះពិធីការកម្មវិធីផ្សេងទៀតដែលប្រើ TLS ផងដែរ។

ដើម្បីទប់ស្កាត់ការវាយប្រហារ វាត្រូវបានស្នើឱ្យប្រើផ្នែកបន្ថែម ALPN (Application Layer Protocol Negotiation) ដើម្បីចរចាវគ្គ TLS ដោយគិតគូរអំពីពិធីការកម្មវិធី និងផ្នែកបន្ថែម SNI (Server Name Indication) ដើម្បីភ្ជាប់ជាមួយឈ្មោះម៉ាស៊ីន ក្នុងករណីប្រើប្រាស់ វិញ្ញាបនបត្រ TLS គ្របដណ្តប់ឈ្មោះដែនជាច្រើន។ នៅផ្នែកខាងកម្មវិធី វាត្រូវបានណែនាំឱ្យកំណត់ដែនកំណត់លើចំនួននៃកំហុសនៅពេលដំណើរការពាក្យបញ្ជា បន្ទាប់ពីនោះការតភ្ជាប់ត្រូវបានបញ្ចប់។ ដំណើរការនៃការបង្កើតវិធានការទប់ស្កាត់ការវាយប្រហារបានចាប់ផ្តើមនៅក្នុងខែតុលាឆ្នាំមុន។ វិធានការសុវត្ថិភាពស្រដៀងគ្នានេះត្រូវបានគេយករួចហើយនៅក្នុង Nginx 1.21.0 (mail proxy), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) និង Internet Explorer ។

ប្រភព: opennet.ru