تعتمد معظم الشركات والحكومات على الويب لعرض خدماتها. ومع التطور الكبير لتكنولوجيا المعلومات وشبكة الانترنت أصبح الاعتماد على مواقع الويب أمر أساسي لكل الشركات والأفراد حيث تلعب مخدمات الويب “سيرفرات الويب web servers” دوراً رئيساً في هذا المجال. في هذه السلسلة من المقالات سنتعرف على سيرفرات الويب والهجمات التي تستهدفها بها وطرق الحماية والإجراءات المضادة.
مخدم الويب:
بداية، فإن أبسط تعريف لسيرفر الويب أنه جهاز حاسب يقوم بتخزين ومعالجة وتسليم صفحات الويب للمستخدم باستخدام البرتوكول HTTP. يبدأ المستخدم عملية الاتصال عبر طلبات HTTP وعندما يريد الوصول إلى أي محتوى من الويب (صفحة – صورة – فيديو) فإن متصفح المستخدم يقوم بتوليد طلب HTTP request ليتم إرساله إلى سيرفر الويب. وبحسب هذا الطلب فإن سيرفر الويب سيقوم بإرسال الرد المناسب HTTP response . وفي حال لم يتمكن سيرفر الويب من إيجاد المعلومات المطلوبة فسيولد رسالة خطأ.
مكونات مخدم الويب:
Document Root: هو المجلد الخاص بتطبيق الويب والموجود ضمن السيرفر والذي يتم فيه تخزين ملفات HTML والملفات الأخرى الخاصة بالموقع والتي سيتم إرسالها كإجابات على طلبات المستخدم. وسيتم الرد بالبحث ضمن المسار المرسل ضمن الطلب.
Server Root: يحوي على إعدادات السيرفر والسجلات logs وعادة ما يحوي على أربع ملفات. الأول يصف الكود الخاص بالسيرفر بينما الملفات الثلاثة الأخرى هي مجلدات فرعية لها الأسماء -conf, -logs, and -cgi-bin والتي تستخدم لحفظ معلومات الإعدادات والسجلات.
Virtual Document Tree: حيز تخزين للأجهزة أو الأقراص بعد أن يتم ملئ القرص الأساسي ويمكن أن تستخدم لتأمين حماية لطبقة object-level.
Virtual Hosting: هذه التقنية تسمح باستضافة أكثر من دومين أو موقع على نفس السيرفر. ويتم ذلك من خلال مشاركة قيم مختلفة من مصادر السيرفر وله عدد من الأنواع وهي:
- Name-based hosting
- IP-based hosting
- Port-based hosting
Web Proxy: يوضع بين المستخدم وسيرفر الويب. تمرر خلاله كل طلبات المستخدم إلى سيرفر الويب (يعمل كوسيط أو وكيل) ويستخدم للحفاظ على الخصوصية وإخفاء الهوية وتجاوز الحجب.
مخدمات الويب مفتوحة المصدر
غالباً ما يتم استخدام Linux, Apache, MySQL, and PHP وتسمى LAMP software والتالي هو المهمة الأساسية لكل مكون من هذه البنية:
Linux: هو نظام التشغيل OS – Operating System الخاص بالسيرفر Apache: هو المكون الخاص الذي سيتعامل مع طلبات وإجابات HTTP يمكن تسميته أيضاً Web Server Software MySQL: نظام قاعدة البيانات المستخدم لحفظ المحتوى والإعدادات الخاصة بسيرفر الويب PHP: لغة البرمجة المستخدمة لكتابة أو توليد محتوى ويب ديناميكي.
مخدمات الويب المعتمدة على IIS
IIS هو تطبيق خاص بسيرفر الويب وتم تطويره من قبل شركة مايكروسوفت. يعتبر IIS سهل الإدارة والاستخدام في استضافة أي محتوى على الويب ويدعم HTTP, HTTPS, FTP, FTPS, and SMTP. كما يحوي على protocol listener مثل HTTP.sys وخدمات مثل WWW Service و WAS – Windows Process Activation Service. ولكل مكون وظيفة خاصة ضمن التطبيق وهذه الوظائف ممكن أن تكون الانصات للطلبات أو إدارة العمليات أو قراءة ملفات الإعدادات.
الحماية الخاصة بسيرفرات الويب:
سيرفرات الويب Hardware/Software تعمل على استضافة المواقع وتسمح بالوصول إليهم عبر الانترنت. و يتم ذلك من خلال البنية client-server وهي في حالتنا متصفح المستخدم وسيرفر الويب.
الاستضافة:
نعرف الاستضافة بإنها تخزين لملفات الموقع على مخدم الويب ضمن مجلد خاص مرتبط بالدومين الخاص بالموقع. و يمكن لسيرفر الويب أن يستضيف أكثر من موقع. كما يمكن -من حيث المبدأ- تحويل أي جهاز إلى سيرفر ويب من خلال تنصيب أحد برامج web server software ووصل هذا الجهاز مع الانترنت كما هو موضح في الشكل التالي:
وتتم عملية اختيار مخدمات الويب بالاعتماد على قدرة أو إمكانية هذا السيرفر على التعامل مع لغات البرمجة server-side programming والحماية وأدوات بناء المواقع. و أشهر برامج سيرفرات الويب هي Apache, Microsoft IIS and, Nginx والتي يجب أن تكون مُعدة بشكل آمن ولا تحوي على ثغرات.
تحمي الشركات نفسها من الهجمات على الشبكة الخاصة بها أو على أنظمة التشغيل الخاصة بها من خلال استخدام برامج وتقنيات الحماية كالجدران النارية Firewall وأنظمة منع الاختراق IPS – Intrusion Prevention System وأنظمة كشف الاختراق , IDS – Intrusion Detection System . وكذلك تطبيق سياسات حماية قوية.
بالمقابل، يسعى المهاجمون للقيام بهجمات ضد سيرفرات وتطبيقات الويب كونه يمكن الوصول إليها من أي مكان عبر الانترنت. ولذلك فهم يبحثون على مدار الساعة عن الثغرات ونقاط الضعف في المخدمات، كالإعداد الخاطئ أو الإعدادات الافتراضية ليقوم باستغلالها وكسر الحماية المطبقة.
الهدف من مهاجمة مخدمات الويب:
تهاجم جهات التهديد Threat actors سيرفرات وتطبيقات الويب لتحقيق هدف معين ممكن أن يكون تقني أو غير تقني مثل كسر الحماية للوصول إلى سيرفر الويب وسرقة المعلومات الحساسة والمالية. و يعرض لكم روبودين فيما يلي بعض أهداف المهاجمين:
- سرقة أرقام البطاقات البنكية.
- تحويل السيرفر إلى جهاز متحكم به واستخدامه للقيام بهجمات أخرى كهجمات منع الخدمة الموزعة DDoS Attacks.
- الوصول إلى قواعد البيانات.
- الحصول على التطبيقات closed source.
- إخفاء بيانات أو إعادة توجيه حركة البيانات.
- تجاوز مستوى الصلاحيات.
بينما نجد أن لبعض المهاجمين أهدافاً شخصية وليست مادية مثل:
- الفضول
- إكمال التحديات في مجتمع القراصنة.
الأخطاء القاتلة في سيرفرات الويب:
يمكن لسيرفر الويب الذي تم إعداده من قبل مدير للنظام لا يملك خبرة كافية أن يسبب مشاكل أمنية كبيرة. و من الأخطاء القاتلة التي تجعل سيرفر الويب عرضة للهجمات ما يلي:
- الفشل بتحديث سيرفر الويب إلى أحدث إصدار (لإصلاح الثغرات الأمنية).
- استخدام نفس معلومات تسجيل الدخول في أكثر من مكان.
- السماح بحركة البيانات الداخلية والخارجية الغير مقيدة.
- تشغيل برامج إضافية غير ضرورية على السيرفر.
خطورة الهجمات على مخدمات الويب:
يمكن للمهاجمين التسبب بأشكال مختلفة من الضرر للشركة أو المنظمة الهدف من خلال مهاجمة سيرفر الويب. و من أهم أشكال هذا الضرر:
- الوصول لحسابات المستخدمين: إذا تمكن المهاجم من الوصول لحسابات المستخدمين فيكنه الحصول على كم كبير من المعلومات والتي يمكن أن يستخدمها أيضاً لتنفيذ هجمات إضافية.
- تشويه موقع الويب: تغيير غير مصرح به لخصائص موقع الويب من خلال استبدال المعلومات الاصلية أو تغير المحتوى المرئي للموقع واستبداله بمحتوى يحوي على رسالته الخاصة.
- السيطرة لكاملة على السيرفر: عندما يحصل المهاجم على صلاحيات root (أعلى مستوى صلاحيات في نظام لينكس) مهما كان نوع السيرفر dedicated or VPS – Virtual Private Server فيمكن للمهاجم تنفيذ كل ما يريد على السيرفر. تزوير البيانات: تعديل غير مصرح به أو حذف البيانات من سيرفر الويب أو استبدالها ببرمجيات خبيثة تسمح له باختراق كل من يتصفح هذه الموقع.
- سرقة البيانات: تعتبر البيانات ذات أهمية بالغة للشركات و منظمات الأعمال. يسعى المهاجمون للوصول للسجلات المالية أو الخطط المستقبلية أو الكود المصدري للبرامج التي يتم تطويرها.
- تشويه سمعة الشركة: يمكن للهجوم على سيرفر الويب أن يكشف معلومات شخصية عن زبائن الشركة مما سيضر بسمعة الشركة ويؤدي إلى فقدان الثقة بها.
نقاط الضعف في مخدمات الويب؟
يوجد العديد من مصادر الخطر التي تؤثر على سيرفرات الويب. ومن هذه المصادر الشبكة المحلية المرتبط بها هذا السيرفر. بالإضافة إلى المستخدم العادي الذي يمكنه الوصول لهذا السيرفر من خلال متصفح الويب.
⦁ من الناحية الداخلية: أكبر مشكلة أمنية في هذه الناحية هي أن سيرفر الويب يمكن أن يُعرض كامل الشبكة المحلية لخطر الوصول من الخارج وهذا الخطر ممكن أن يتحقق من خلال إصابة الشبكة ببرمجيات خبيثة أو الوصول للبيانات الحساسة
⦁ من ناحية مدير الشبكة: يؤثر الإعداد الخاطئ أو الضعيف من قبل مدير الشبكة لسيرفر الويب على كامل الحماية الخاصة بالشبكة. لذلك يجب على مدير الشبكة اعداد سيرفر الويب بحذر وإدارة التحكم بالوصول له بشكل جيد والانتباه بشكل جيد لصلاحيات المستخدمين والمجموعات.
⦁ من ناحية المستخدم: بشكل عام فإن المستخدم لا يعاني من تهديد مباشر لأنه يستطيع أن يتصفح الويب بشكل آمن ومخفي. ولكن المحتوى النشط من الممكن أن يسبب الضرر للمستخدم. بالإضافة إلى أن هذا المحتوى الذي يعرض على متصفح المستخدم يمكن أن يحوي على برمجيات خبيثة تسمح للمهاجم بتجاوز الجدران النارية وأنظمة الحماية.
أسباب اختراق سيرفر الويب:
- الصلاحيات الغير مضبوطة بشكل جيد للملفات والمجلدات.
- تنصيب السيرفر دون تغيير الاعدادات الافتراضية.
- وجود خدمات مفعلة غير ضرورية. وتتضمن أداوت إدارة المحتوى وأدوات الإدارة من عن بعد.
- تعارض إجراءات الأمان مع سهولة الوصول والاستخدام.
- الضعف في السياسات الأمنية والإجراءات وعمليات الصيانة.
- الإعداد الخاطئ لعمليات المصادقة مع الأنظمة الخارجية.
- الحسابات الافتراضية مع كلمات السر الافتراضية.
- الإعداد الخاطئ للشبكة أو نظام التشغيل أو سيرفر الويب.
- أخطاء في برنامج سيرفر الويب أو نظام التشغيل.
- الإعداد الخاطئ لشهادات SSL – Secure Socket Layer Certificates.
- الاستخدام الخاطئ للتشفير.
- أدوات الإدارة وإصلاح الأخطاء المفعلة على سيرفر الويب.
- استخدام شهادات التشفير الافتراضية.
الهجمات على سيرفر الويب:
يستخدم المهاجم عدة تقنيات لمهاجمة سيرفر الويب. من هذه التقنيات هجمات منع الخدمة ومنع الخدمة الموزعة DoS/DDos أو هجمات سرقة سيرفر DNS أو DNS Amplification. أو هجمات تجاوز المسار Directory Traversal أو هجمات رجل في المنتصف MitM. إضافة لهجمات إلتقاط حزم البيانات Sniffing أو استخدام صفحات تصيد مزورة Phishing أو تشويه محتوى الموقع أوHTTP Response Splitting أو تسميم المحتوى المخزن بشكل مؤقت Web Cache Poisoning أو هجمات التخمين أو القوة الغاشمة Brute Force للاتصال باستخدام برتوكول SSH أو FTP. وكذلك هجمات كسر كلمة السر الخاصة بالسيرفر.
سنناقش في هذه السلسلة بعض هذه الهجمات بالتفصيل:
DoS/DDoS Attacks:
هجمات منع الخدمة تتم من خلال إغراق الهدف بعدد كبير جداً من الطلبات المزورة والتي ستؤدي لإيقاف عمل الهدف وعدم إمكانيته للرد على طلبات المستخدم الشرعي.يستهدف هذا النوع من الهجمات عادةً المواقع المهمة مثل مواقع البنوك وبوابات الدفع الالكتروني.
كما هو موضح في المخطط أعلاه. فلإيقاف عمل سيرفر الويب الذي يعمل عليه تطبيق الويب فالمهاجم يقوم باستهداف المصادر التالية:
- عرض حزمة الشبكة bandwidth
- وحدة المعالجة المركزية CPU
- ذاكرة السيرفر
- مساحة القرص الصلب في السيرفر
- السماحة المتاحة في قاعدة البيانات
- آلية معالجة الاستثناءات في التطبيق
DNS Server Hijacking:
في البداية لنتعرف على آلية عمل DNS. تعتمد آلية عمل شبكة الانترنت على نظام العنونة IP . ولكن معرفة عنوان IP للجهاز البعيد ليس بالأمر الممكن دائماً وذلك لصعوبة تذكره. تخيل أنك عندما تريد تصفح موقع سيسكو فستكون بحاجة لحفظ العنوان 72.163.4.161 بدلاً من www.cisco.com . ولحل هذه المشكلة تم إيجاد DNS وهو عبارة عن قاعدة بيانات هرمية ومزوعة وتؤمن الربط بين عناوين IP وأسماء الأجهزة المرتبطة بها.
DNS – Domain Name System عبارة عن خدمة عبر الشبكة تعمل على تحويل اسم الدومين إلى عنوان IP المقابل له. يطلب المستخدم من سيرفر DNS اسم دومين معين. و حينها و بسلسلة من الخطوات سيرد سيرفر DNS على المستخدم بعنوان IP لهذا الدومين. يتم هجوم DNS Server Hijacking ( سرقة سيرفر DNS) عندما يغير المهاجم الإعدادات ليتم توجيه الطلبات إلى سيرفر DNS مخادع والذي بدوره سيقوم بتوجيه طلبات المستخدم إلى السيرفر الخاص بالمهاجم. وعندها عندما يطلب المستخدم رابط موقع صحيح سيتم توجيهه إلى موقع مزور خاص بالمهاجم.
نتابع معكم في مقالات قادمة استعراض الهجمات على مخدمات الويب و أفضل طرق الحماية.
