لقد عرف الباحثون منذ فترة طويلة أنهم يستطيعون جمع معلومات مخفية حول العمليات الداخلية لموقع ويب ما من خلال قياس مقدار الوقت الذي تستغرقه الطلبات المختلفة حتى يتم الوفاء بها واستقراء المعلومات – والنقاط الضعيفة المحتملة – من الاختلافات الطفيفة. تم وصف مثل هذه “هجمات توقيت الويب” لسنوات، ولكنها غالبًا ما تكون معقدة للغاية بحيث لا يستطيع المهاجمون في العالم الحقيقي الاستفادة منها عمليًا، حتى لو كانت تعمل من الناحية النظرية. ومع ذلك، في مؤتمر Black Hat للأمن في لاس فيجاس هذا الأسبوع، حذر أحد الباحثين من أن هجمات توقيت الويب ممكنة بالفعل وجاهزة للاستغلال.
قام جيمس كيتل، مدير الأبحاث في شركة بورت سويجر لأمن تطبيقات الويب، بتطوير مجموعة من تقنيات الهجوم بتوقيت الويب والتي يمكن استخدامها للكشف عن ثلاث فئات مختلفة من نقاط الضعف في مواقع الويب. وقد قام بالتحقق من صحة الأساليب باستخدام بيئة اختبار أنشأها والتي جمعت 30 ألف موقع ويب حقيقي، وكلها تقدم برامج مكافأة الأخطاء. ويقول إن هدف العمل هو إظهار أنه بمجرد أن يمتلك شخص ما فهمًا مفاهيميًا لأنواع المعلومات التي يمكن أن توفرها هجمات التوقيت على الويب، يصبح الاستفادة منها أكثر جدوى.
يقول كيتل: “لطالما تجنبت البحث في هجمات التوقيت لأنها موضوع له سمعة سيئة. الجميع يبحثون في هذا الموضوع ويقولون إن بحثهم عملي، لكن لا يبدو أن أحدًا يستخدم هجمات التوقيت في الحياة الواقعية، لذا ما مدى عمليتها؟ ما آمل أن يفعله هذا العمل هو إظهار للناس أن هذا الأمر يعمل بالفعل هذه الأيام وحثهم على التفكير فيه”.
استوحى كيتل فكرته جزئيًا من ورقة بحثية صدرت عام 2020 بعنوان “هجمات التوقيت الخالدة”، والتي عملت على إيجاد حل لمشكلة شائعة. يُشار إلى اسم الورقة البحثية، المعروف باسم “تذبذب الشبكة”، بالتأخيرات الزمنية بين إرسال إشارة واستقبالها على الشبكة. تؤثر هذه التقلبات على قياسات التوقيت، لكنها مستقلة عن معالجة خادم الويب المقاسة لهجمات التوقيت، وبالتالي يمكنها تشويه القراءات. ومع ذلك، أشار بحث عام 2020 إلى أنه عند إرسال الطلبات عبر بروتوكول الشبكة HTTP/2 الشامل، من الممكن وضع طلبين في حزمة اتصال TCP واحدة حتى تعرف أن كلا الطلبين وصلا إلى الخادم في نفس الوقت. بعد ذلك، نظرًا لكيفية تصميم HTTP/2، ستعود الاستجابات مرتبة بحيث تكون الاستجابة التي استغرقت وقتًا أقل في المعالجة هي الأولى والاستجابة التي استغرقت وقتًا أطول هي الثانية. وهذا يوفر معلومات موثوقة وموضوعية حول التوقيت على النظام دون الحاجة إلى أي معرفة إضافية بخادم الويب المستهدف – ومن ثم، “هجمات التوقيت الخالدة”.
تعد هجمات توقيت الويب جزءًا من فئة من الاختراقات المعروفة باسم “القنوات الجانبية”، حيث يجمع المهاجم معلومات حول هدف بناءً على خصائصه الفيزيائية في العالم الحقيقي. في عمله الجديد، صقل كيتل تقنية “هجمات التوقيت الخالدة” لتقليل ضوضاء الشبكة واتخذ أيضًا خطوات لمعالجة أنواع مماثلة من المشكلات المتعلقة بالضوضاء المرتبطة بالخادم حتى تكون قياساته أكثر دقة وموثوقية. ثم بدأ في استخدام هجمات التوقيت للبحث عن أخطاء الترميز والعيوب غير المرئية في مواقع الويب والتي يصعب عادةً على المطورين أو الجهات السيئة العثور عليها، ولكنها تُبرز في المعلومات التي تتسرب مع قياسات التوقيت.
بالإضافة إلى استخدام هجمات التوقيت للعثور على موطئ قدم مخفي للهجوم، طور كيتل أيضًا تقنيات فعالة للكشف عن نوعين آخرين شائعين من أخطاء الويب القابلة للاستغلال. الأول، المعروف باسم ثغرة حقن جانب الخادم، يسمح للمهاجم بإدخال كود ضار لإرسال الأوامر والوصول إلى البيانات التي لا ينبغي أن تكون متاحة. والآخر، المعروف باسم وكلاء عكسيين غير مهيئين، يسمح بالوصول غير المقصود إلى النظام.
في عرضه التقديمي في Black Hat يوم الأربعاء، أوضح Kettle كيف يمكنه استخدام هجوم توقيت الويب للكشف عن خطأ في التكوين وتجاوز جدار حماية تطبيق الويب المستهدف في النهاية.
“لأنك وجدت هذا التهيئة الخاطئة للوكيل العكسي، فما عليك سوى الالتفاف حول جدار الحماية”، هكذا صرح لموقع WIRED قبل محاضرته. “من السهل للغاية تنفيذ هذه العملية بمجرد العثور على هذه الوكلاء البعيدين، والهجمات التوقيتية مفيدة للعثور على هذه المشكلات”.
إلى جانب حديثه، أصدر كيتل وظيفة لأداة مسح الثغرات مفتوحة المصدر المعروفة باسم Param Miner. هذه الأداة هي امتداد لمنصة تقييم أمان تطبيقات الويب الشهيرة Burp Suite، والتي طورتها شركة PortSwigger التي يعمل بها كيتل. يأمل كيتل في زيادة الوعي بفائدة هجمات توقيت الويب، لكنه يريد أيضًا التأكد من استخدام هذه التقنيات للدفاع حتى عندما لا يفهم الناس المفاهيم الأساسية.
يقول كيتل: “لقد قمت بدمج كل هذه الميزات الجديدة في Param Miner حتى يتمكن الأشخاص الذين لا يعرفون شيئًا عن هذا من تشغيل هذه الأداة والعثور على بعض هذه الثغرات الأمنية. إنها تُظهر للناس أشياءً ربما فاتتهم لولا ذلك”.
