أصبحت هجمات التوقيت الصعبة على الويب أسهل في الاستخدام وإساءة الاستخدام
لقد عرف الباحثون منذ فترة طويلة أنهم قادرون على جمع معلومات مخفية حول الأعمال الداخلية لموقع الويب عن طريق قياس مقدار الوقت الذي تستغرقه الطلبات المختلفة للوفاء بها واستقراء المعلومات – ونقاط الضعف المحتملة – من الاختلافات الطفيفة. لقد تم وصف مثل هذه “الهجمات بتوقيت الويب” لسنوات، لكنها غالبًا ما تكون متورطة جدًا بحيث لا يمكن للمهاجمين في العالم الحقيقي الاستفادة منها عمليًا حتى لو كانوا يعملون من الناحية النظرية. وفي مؤتمر Black Hat الأمني الذي عقد في لاس فيغاس هذا الأسبوع، حذر أحد الباحثين من أن هجمات توقيت الويب ممكنة بالفعل وجاهزة للاستغلال.
قام جيمس كيتل، مدير الأبحاث في شركة PortSwigger لأمن تطبيقات الويب، بتطوير مجموعة من تقنيات هجوم توقيت الويب التي يمكن استخدامها لكشف ثلاث فئات مختلفة من نقاط الضعف في مواقع الويب. لقد تحقق من صحة الأساليب باستخدام بيئة اختبارية قام بإنشائها والتي جمعت 30 ألف موقع ويب حقيقي، وكلها تقدم برامج مكافأة الأخطاء. ويقول إن الهدف من العمل هو إظهار أنه بمجرد أن يكون لدى شخص ما فهم مفاهيمي لأنواع المعلومات التي يمكن لهجمات توقيت الويب تقديمها، يصبح الاستفادة منها أكثر جدوى.
يقول كيتل: “لقد كنت دائمًا أتجنب البحث في الهجمات التوقيتية، لأنه موضوع له سمعة طيبة”. “يقوم الجميع بالبحث في هذا الأمر ويقولون إن أبحاثهم عملية، ولكن لا يبدو أن أحدًا يستخدم فعليًا الهجمات الموقوتة في الحياة الواقعية، فما مدى كونها عملية؟ ما آمل أن يفعله هذا العمل هو أن يُظهر للناس أن هذه الأشياء تعمل بالفعل هذه الأيام وأن يجعلهم يفكرون فيها.
استلهمت Kettle جزئيًا من الورقة البحثية لعام 2020 بعنوان “هجمات التوقيت الخالدة”، والتي عملت على إيجاد حل لمشكلة مشتركة. يشير لقب الورقة، المعروف باسم “ارتعاش الشبكة”، إلى التأخير الزمني بين وقت إرسال الإشارة واستقبالها على الشبكة. تؤثر هذه التقلبات على قياسات التوقيت، ولكنها مستقلة عن معالجة خادم الويب المُقاسة لهجمات التوقيت، لذا يمكنها تشويه القراءات. ومع ذلك، أشار بحث عام 2020 إلى أنه عند إرسال الطلبات عبر بروتوكول شبكة HTTP/2 واسع الانتشار، فمن الممكن وضع طلبين في حزمة اتصال TCP واحدة حتى تعرف أن كلا الطلبين وصلا إلى الخادم في نفس الوقت. بعد ذلك، نظرًا لكيفية تصميم HTTP/2، ستعود الاستجابات مرتبة بحيث تكون الاستجابات التي استغرقت وقتًا أقل في المعالجة هي الأولى والأخرى التي استغرقت وقتًا أطول هي الثانية. وهذا يوفر معلومات موضوعية موثوقة حول التوقيت على النظام دون الحاجة إلى أي معرفة إضافية بخادم الويب المستهدف، ومن ثم “هجمات التوقيت الخالدة”.
تعد هجمات توقيت الويب جزءًا من فئة الاختراق المعروفة باسم “القنوات الجانبية” حيث يقوم المهاجم بجمع معلومات حول هدف بناءً على عالمه الحقيقي وخصائصه الفيزيائية. في عمله الجديد، قام Kettle بتحسين تقنية “هجمات التوقيت الخالدة” لتقليل ضوضاء الشبكة واتخذ أيضًا خطوات لمعالجة أنواع مماثلة من المشكلات المتعلقة بالضوضاء المرتبطة بالخادم حتى تكون قياساته أكثر دقة وموثوقية. ثم بدأ بعد ذلك في استخدام هجمات التوقيت للبحث عن أخطاء برمجية وعيوب غير مرئية في مواقع الويب والتي عادةً ما يصعب على المطورين أو الجهات الفاعلة السيئة العثور عليها، ولكن يتم تسليط الضوء عليها في المعلومات التي تتسرب مع قياسات التوقيت.
بالإضافة إلى استخدام الهجمات الموقوتة للعثور على موطئ قدم مخفي للهجوم، طور Kettle أيضًا تقنيات فعالة لاكتشاف نوعين شائعين آخرين من أخطاء الويب القابلة للاستغلال. إحداها، والمعروفة باسم ثغرة الحقن من جانب الخادم، تسمح للمهاجم بإدخال تعليمات برمجية ضارة لإرسال الأوامر والوصول إلى البيانات التي لا ينبغي أن تكون متاحة. والآخر، يسمى الوكلاء العكسيين الذين تم تكوينهم بشكل خاطئ، يسمح بالوصول غير المقصود إلى النظام.
في العرض الذي قدمه في Black Hat يوم الأربعاء، أوضح Kettle كيف يمكنه استخدام هجوم توقيت الويب للكشف عن التكوين الخاطئ وتجاوز جدار حماية تطبيق الويب المستهدف في النهاية.
وقال لـ WIRED قبل حديثه: “لأنك وجدت هذا التكوين الخاطئ للوكيل العكسي، فما عليك سوى الالتفاف حول جدار الحماية”. “إنه أمر تافه تمامًا أن يتم تنفيذه بمجرد العثور على هؤلاء الوكلاء البعيدين، كما أن الهجمات التوقيتية مفيدة للعثور على هذه المشكلات.”
وإلى جانب حديثه، أصدر Kettle وظيفة لأداة فحص الثغرات مفتوحة المصدر المعروفة باسم Param Miner. تعد هذه الأداة امتدادًا لمنصة تقييم أمان تطبيقات الويب الشهيرة Burp Suite، والتي تم تطويرها بواسطة PortSwigger، صاحب العمل في شركة Kettle. يأمل Kettle في رفع مستوى الوعي حول فائدة الهجمات التوقيتية على الويب، لكنه يريد أيضًا التأكد من استخدام التقنيات للدفاع حتى عندما لا يفهم الأشخاص المفاهيم الأساسية.
يقول كيتل: “لقد قمت بدمج كل هذه الميزات الجديدة في Param Miner حتى يتمكن الأشخاص الذين لا يعرفون شيئًا عن هذا من تشغيل هذه الأداة والعثور على بعض نقاط الضعف هذه”. “إنها تُظهر للناس أشياءً كانوا سيفتقدونها لولا ذلك.”