حتی فرآیندی که برای انتقال فایلها بین دستگاهها استفاده میکنید میتواند توسط هکرها مورد حمله قرار گیرد تا دادهها به سرقت بروند. در اینجا چیزی است که شما باید بدانید.
داده های شما ممکن است به سادگی با انتقال فایل ها بین دستگاه خود و یک وب سایت در معرض خطر قرار گیرند. برای محافظت از اطلاعات شخصی شما، تنظیمات فایروال هم برای سرورهای خارجی و هم برای سرورهای داخلی باید به درستی تنظیم شوند. به همین دلیل است که آشنایی با سرور FTP و درک استراتژی های مختلف حمله از دیدگاه یک مهاجم بسیار مهم است.
پس سرورهای FTP چیست؟ اگر مجرمان سایبری به درستی پیکربندی نشده باشند، چگونه می توانند داده های شما را رهگیری کنند؟
سرورهای FTP چیست؟
FTP مخفف File Transfer Protocol است. انتقال فایل بین دو کامپیوتر متصل به اینترنت را فراهم می کند. به عبارت دیگر، می توانید فایل های مورد نظر خود را از طریق FTP به سرورهای وب سایت خود انتقال دهید. شما می توانید از طریق خط فرمان یا رابط کاربری گرافیکی (GUI) به FTP دسترسی داشته باشید.
اکثر توسعه دهندگانی که از FTP استفاده می کنند افرادی هستند که به طور منظم وب سایت ها را نگهداری می کنند و فایل ها را انتقال می دهند. این پروتکل به آسان و بدون دردسر نگهداری برنامه وب کمک می کند. اگرچه این یک پروتکل کاملا قدیمی است، اما هنوز به طور فعال استفاده می شود. شما می توانید از FTP نه تنها برای آپلود داده ها بلکه برای دانلود فایل ها نیز استفاده کنید. از طرف دیگر یک سرور FTP مانند یک برنامه کاربردی با استفاده از پروتکل FTP کار می کند.
برای اینکه یک مهاجم به طور مؤثر به سرور FTP حمله کند، حقوق کاربر یا تنظیمات امنیتی عمومی باید به اشتباه تنظیم شود.
چگونه هکرها ارتباطات RCP را به خطر می اندازند؟
RCP مخفف عبارت Remote Procedure Call است. این به رایانههای موجود در شبکه کمک میکند تا برخی از درخواستها را بین یکدیگر بدون اطلاع از جزئیات شبکه انجام دهند. ارتباط با RCP حاوی هیچ رمزگذاری نیست. اطلاعاتی که ارسال و دریافت می کنید به صورت متن ساده است.
اگر از RCP در مرحله احراز هویت سرور FTP استفاده کنید، نام کاربری و رمز عبور به صورت متن ساده به سرور میرود. در این مرحله مهاجمی که به ارتباط گوش می دهد وارد ترافیک شده و با گرفتن این بسته متنی به اطلاعات شما می رسد.
به همین ترتیب، از آنجایی که انتقال اطلاعات بین مشتری و سرور رمزگذاری نشده است، مهاجم می تواند بسته ای را که مشتری دریافت می کند بدزدد و بدون نیاز به رمز عبور یا نام کاربری به اطلاعات دسترسی پیدا کند. با استفاده از SSL (Secure Socket Layer) می توانید از این خطر جلوگیری کنید، زیرا این لایه امنیتی رمز عبور، نام کاربری و کلیه ارتباطات داده را رمزگذاری می کند.
برای استفاده از این ساختار، باید نرم افزاری با پشتیبانی از SSL در سمت کلاینت داشته باشید. همچنین، اگر می خواهید از SSL استفاده کنید، به یک ارائه دهنده گواهی مستقل و شخص ثالث، یعنی مرجع صدور گواهی (CA) نیاز دارید. از آنجایی که CA فرآیند احراز هویت را بین سرور و مشتری انجام می دهد، هر دو طرف باید به آن موسسه اعتماد کنند.
تنظیمات اتصال فعال و غیرفعال چیست؟
سیستم FTP روی دو پورت کار می کند. اینها کانالهای کنترل و داده هستند.
کانال کنترل روی پورت 21 کار می کند. اگر قبلاً راه حل های CTF را با استفاده از نرم افزارهایی مانند nmap انجام داده اید، احتمالاً پورت 21 را دیده اید. کلاینت ها به این پورت سرور متصل می شوند و ارتباط داده را آغاز می کنند.
در کانال داده، فرآیند انتقال فایل انجام می شود. بنابراین این هدف اصلی از وجود FTP است. همچنین دو نوع اتصال مختلف هنگام انتقال فایل وجود دارد: فعال و غیرفعال.
اتصال فعال
کلاینت نحوه ارسال داده ها را در طول یک اتصال فعال انتخاب می کند. سپس آنها درخواست می کنند که سرور انتقال داده ها را از یک پورت خاص شروع کند و سرور این کار را انجام می دهد.
یکی از مهم ترین ایرادات این سیستم با شروع انتقال توسط سرور و تایید فایروال مشتری این اتصال آغاز می شود. اگر فایروال یک پورت را برای فعال کردن آن باز کند و اتصالات را از این پورت ها بپذیرد، بسیار خطرناک است. در نتیجه، مهاجم میتواند مشتری را برای پورتهای باز اسکن کند و با استفاده از یکی از پورتهای FTP که باز است، دستگاه را هک کند.
اتصال غیرفعال
در یک اتصال غیرفعال، سرور تصمیم می گیرد که از کدام راه داده ها را انتقال دهد. کلاینت فایلی را از سرور درخواست می کند. سرور اطلاعات کلاینت را از هر پورتی که سرور بتواند آن را دریافت کند ارسال می کند. این سیستم نسبت به یک اتصال فعال از امنیت بیشتری برخوردار است زیرا طرف شروع کننده مشتری است و سرور به پورت مربوطه متصل می شود. به این ترتیب، مشتری نیازی به باز کردن پورت و اجازه اتصالات ورودی ندارد.
اما یک اتصال غیرفعال همچنان می تواند آسیب پذیر باشد زیرا سرور یک پورت را روی خود باز می کند و منتظر می ماند. مهاجم پورت های روی سرور را اسکن می کند، قبل از درخواست مشتری فایل به پورت باز متصل می شود و فایل مربوطه را بدون نیاز به جزئیاتی مانند اعتبار ورود به سیستم بازیابی می کند.
در این حالت، کلاینت نمی تواند هیچ اقدامی برای محافظت از فایل انجام دهد. اطمینان از امنیت فایل دانلود شده یک فرآیند کاملا سمت سرور است. بنابراین چگونه می توانید از این اتفاق جلوگیری کنید؟ برای محافظت در برابر این نوع حمله، سرور FTP فقط باید به آدرس IP یا MAC که فایل را درخواست کرده اجازه دهد به پورتی که باز می شود متصل شود.
پوشش IP/MAC
اگر سرور دارای کنترل IP/MAC باشد، مهاجم باید آدرس IP و MAC کلاینت واقعی را شناسایی کند و بر اساس آن خود را برای سرقت فایل بپوشاند. البته در این صورت شانس موفقیت حمله کاهش می یابد زیرا لازم است قبل از اینکه کامپیوتر فایل را درخواست کند به سرور متصل شود. تا زمانی که مهاجم پوشش IP و MAC را انجام ندهد، کامپیوتر درخواست کننده فایل به سرور متصل خواهد شد.
بازه زمانی
حمله موفقیت آمیز به سرور با فیلتر IP/MAC در صورتی امکان پذیر است که کلاینت دوره های کوتاهی قطع اتصال را در حین انتقال فایل تجربه کند. سرورهای FTP به طور کلی یک بازه زمانی مشخص را تعریف می کنند تا در صورت قطع شدن کوتاه مدت در اتصال، انتقال فایل به پایان نرسد. هنگامی که کلاینت با چنین مشکلی مواجه می شود، سرور آدرس IP و MAC کلاینت را Log off نمی کند و منتظر می ماند تا اتصال مجدد برقرار شود تا زمانی که مهلت زمانی منقضی شود.
با انجام پوشش IP و MAC، مهاجم در این بازه زمانی به جلسه باز روی سرور متصل می شود و به دانلود فایل ها از جایی که کلاینت اصلی متوقف شده است ادامه می دهد.
Bounce Attack چگونه کار می کند؟
مهمترین ویژگی حمله برگشتی این است که یافتن مهاجم را دشوار می کند. هنگامی که یک مجرم سایبری همراه با سایر حملات مورد استفاده قرار می گیرد، می تواند بدون بر جای گذاشتن هیچ ردی حمله کند. منطق در این نوع حمله استفاده از سرور FTP به عنوان پروکسی است. انواع اصلی حمله که روش پرش برای آنها وجود دارد، اسکن پورت و عبور فیلترهای بسته اولیه است.
اسکن پورت
اگر مهاجم از این روش برای اسکن پورت استفاده کند، وقتی به جزئیات گزارشهای سرور نگاه میکنید، یک سرور FTP را بهعنوان رایانه اسکنکننده مشاهده خواهید کرد. اگر سرور مورد نظر که قرار است مورد حمله قرار گیرد و سرور FTP که به عنوان یک پروکسی عمل می کند در یک زیرشبکه باشند، سرور هدف هیچ فیلترینگ بسته ای را روی داده های دریافتی از سرور FTP انجام نمی دهد. بسته های ارسالی به فایروال وصل نمی شوند. از آنجایی که هیچ قانون دسترسی برای این بسته ها اعمال نخواهد شد، شانس موفقیت مهاجم افزایش می یابد.
عبور از فیلترهای بسته پایه
با استفاده از این روش، یک مهاجم می تواند به سرور داخلی پشت یک سرور FTP ناشناس که توسط یک فایروال محافظت می شود، دسترسی پیدا کند. مهاجمی که به سرور FTP ناشناس متصل می شود، سرور داخلی متصل را با روش اسکن پورت شناسایی می کند و می تواند به آن دسترسی پیدا کند. و بنابراین، یک هکر می تواند سروری را که فایروال در برابر اتصالات خارجی محافظت می کند، از یک نقطه مشخص برای برقراری ارتباط با سرور FTP مورد حمله قرار دهد.
حمله انکار سرویس چیست؟
حملات DoS (Denial of Service) نوع جدیدی از آسیب پذیری نیستند. حملات DoS برای جلوگیری از تحویل فایل توسط سرور با هدر دادن منابع سرور مورد نظر انجام می شود. این بدان معناست که بازدیدکنندگان یک سرور FTP هک شده نمی توانند به سرور متصل شوند یا فایل های درخواستی خود را در طول این حمله دریافت کنند. در این صورت، ممکن است برای یک برنامه وب پربازدید ضررهای مالی زیادی متحمل شوید و بازدیدکنندگان را بسیار ناامید کنید!
نحوه کار پروتکل های اشتراک گذاری فایل را بدانید
مهاجمان به راحتی می توانند پروتکل هایی را که برای آپلود فایل ها استفاده می کنید، کشف کنند. هر پروتکل نقاط قوت و ضعف خود را دارد، بنابراین باید به روش های مختلف رمزگذاری تسلط داشته باشید و این پورت ها را پنهان کنید. البته، خیلی بهتر است که همه چیز را از چشم یک مهاجم ببینید تا بهتر بتوانید اقدامات لازم را برای محافظت از خود و بازدیدکنندگان انجام دهید.
به یاد داشته باشید: مهاجمان از بسیاری جهات یک قدم جلوتر از شما خواهند بود. اگر بتوانید آسیب پذیری های خود را پیدا کنید، می توانید برتری بزرگی نسبت به آنها به دست آورید.