Fexyn
Fexyn

قاموس

ما هو هجوم man-in-the-middle

هجوم يضع فيه شخص نفسه بين طرفين، يقرأ الحركة أو يعدّلها دون أن يدرك أيّ طرف.

هجوم man-in-the-middle (MITM) هو عندما يضع مهاجم نفسه بين طرفين يتواصلان عبر شبكة، ويقرأ أو يعدّل الحركة في كلا الاتجاهين دون أن يدرك أيّ طرف أنهما لا يتحدّثان مع بعضهما مباشرةً.

تخيّل: تتصل بموقع بنك. مهاجم اخترق الشبكة بينهما. يعترضون اتصالك، يقدّمون شهادتهم الخاصة (يتظاهرون بأنهم البنك)، ويمرّرون حركتك إلى البنك الحقيقي — يجمعون كلمات السر أو يعدّلون المعاملات في الطريق.

إذا عمل TLS بشكل صحيح، شهادة المهاجم تفشل في التحقّق ويحذّرك متصفّحك. إذا عمل TLS بشكل غير صحيح، لا تلاحظ.

أين تحدث هجمات MITM

عدّة سيناريوهات واقعية:

  • Wi-Fi العامة. شبكات الفنادق، Wi-Fi المقاهي، شبكات المطارات. المهاجم قد يكون مشغّل الشبكة أو أيّ شخص آخر على نفس الشبكة. انظر VPN لـ Wi-Fi العامة لماذا يهمّ هذا.
  • راوترات مخترقة. راوترات منزلية بكلمات سر افتراضية، راوترات يقدّمها مزوّد الإنترنت ببوابات خلفية. المهاجم يتحكّم في gateway خاصتك؛ كل شيء يمرّ عبرهم.
  • خصوم على مستوى الدولة. بعض الدول تشغّل MITM على المقياس عبر certificate authorities مزيّفة صادرة من CAs مُجبرة. أقلّ شيوعًا منذ أن جعلت Certificate Transparency misissuance مرئية، لكنها لم تذهب.
  • CAs مخترقة. مفتاح intermediate لـ CA يُسرَق؛ المهاجمون يصدرون شهادات تبدو صالحة لنطاقات تعسّفية. حدث (DigiNotar، Comodo). المتصفّحات في النهاية لا تثق بـ CA المتأثّرة.

كيف يدافع TLS ضدّ MITM

TLS يتحقّق من هوية الخادم عبر شهادات موقَّعة من قبل CAs موثوقة. عند الاتصال، يقدّم الخادم شهادته. متصفّحك يفحص: هل هذه الشهادة موقَّعة من قبل CA أثق بها؟ هل hostname يطابق؟ هل تمّ إلغاؤها؟

إذا فشل أي فحص، المتصفّح يرفض الاتصال أو يحذّرك. إذا مرّ كل شيء، الجلسة المشفّرة تستمرّ.

لكي يدافع هذا ضدّ MITM، ثلاثة أشياء يجب أن تصمد:

  1. نظام CA يجب أن يكون غير مخترق. CA خادعة تستطيع إصدار شهادات صالحة لأي نطاق.
  2. trust store خاصتك يجب أن يكون نظيفًا. إذا ركّب مهاجم cert CA على جهازك (شبكات مؤسسية، malware)، يستطيعون إصدار شهادات صالحة ستثق بها.
  3. يجب أن تحترم التحذير. المتصفّحات تحذّر على أخطاء cert؛ المستخدمون ينقرون من خلالها على أي حال.

Certificate pinning: دفاع أقوى

للاتصالات عالية القيمة، تحقّق CA العادي ليس كافيًا. Certificate pinning يبرمج بشدّة الشهادة المحدّدة (أو CA) التي يجب أن يتوقّعها العميل. إذا لم تطابق الشهادة الـ pin، الاتصال يفشل — حتى لو كانت موقَّعة من قبل CA "موثوقة".

Fexyn يثبّت intermediate CA الخاص به في عميل سطح المكتب. العميل يرفض أي اتصال VPN حيث cert الخادم ليس موقَّعًا من قبل ذلك intermediate. لا يمكن استخدام CA عامة مخترقة لـ MITM حركة Fexyn — العميل لا يثق بـ CAs العامة لاتصالات VPN، فقط بـ PKI الداخلي لـ Fexyn.

هذا أحد الأسباب التي تجعل هجمات MITM ضدّ Fexyn تتطلّب اختراق بنية توقيع Fexyn تحديدًا، لا مجرّد أي CA عشوائية على الإنترنت.

ماذا يفعل VPN وما لا يفعل

VPN يجعل MITM على الشبكة الكامنة مستحيلًا في الغالب. النفق مشفّر بين جهازك وخادم VPN؛ لا أحد على المسار بينهما يستطيع MITM ما داخله.

VPN لا يحمي من MITM في الوجهة — بمجرّد خروج حركتك من خادم VPN ووصولها إلى هدفها الحقيقي، TLS العادي هو الدفاع الوحيد. وVPN لا يحمي من MITM في الأصل — malware على جهازك يستطيع MITM لك قبل دخول الحركة إلى النفق.

اقرأ المزيد في نظرة عامة على الأمان ودليل Wi-Fi العامة.

جرّب Fexyn مجانًا لمدة 7 أيام.

مصطلحات ذات صلة

جرّب Fexyn مجانًا لمدة 7 أيام

تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.

الأسعار
ما هو هجوم man-in-the-middle | Fexyn VPN