Лекции.Орг


Поиск:




Заметка о коммерческих веб сайтах




Возможно, вы знаете людей, вынужденных покупать товары он‑лайн, даже у таких брендовых компаний, как Amazon и eBay или веб сайтах Old Navy, Target или Nike. По сути дела, они имеют право быть подозрительными. Если ваш браузер использует сегодняшний стандарт 128 битного шифрования, то информация, которую вы посылаете какому‑нибудь защищенному сайту, выходит из вашего компьютера зашифрованной. Эта информация может быть расшифрована с большим трудом, но, в принципе ее невозможно взломать разумные сроки, кроме, разве что привлечения Национального Агентства Безопасности (и оно, насколько нам известно, в 98 году, совсем не показало свой заинтересованности в краже номеров кредиток американцев или попытке выяснить, кто заказывает порно‑фильмы или странное нижнее белье).

Эти зашифрованные файлы могут быть вскрыты кем‑то лишь при достаточном наличии времени и ресурсов. Но реально, какой дурак пойдет на все это, чтобы украсть один номер кредитки, когда множество онлайн компаний совершают ошибку, храня всю финансовую информацию их клиентов незашифрованной в базах данных? Хуже всего то, что достаточное количество таких компаний, которые используют обычную базу данных SQL, плохо разбираются в проблеме. Они никогда не меняют стоящий по умолчанию пароль системного администратора в программе. Когда они доставали программное обеспечение из коробки, пароль был «null», и он по‑прежнему «null» сегодня. Так что содержимое базы данных доступно любому в Интернете, кто решит попробовать подсоединиться к серверу базы данных. Эти сайты все время атакуются, и информация воруется, так как нет никого более опытного.

С другой стороны, те же самые люди, которые не делают покупки через Интернет, потому что боятся кражи информации о своей кредитке, не имеют проблем при использовании той же кредитки в обыкновенном магазине, уплате за ланч, ужин или выпивку. Чеки о снятии денег с кредитки крадутся из этих мест постоянно или вылавливаются из мусорных корзин на задней аллее. И любой недобросовестный клерк или официант может записать ваше имя и информацию о карте или использовать приспособление, легко доступное в Интернете, или устройство, которое считывает информацию с любой кредитки, как только ей проведут через него, для дальнейшего восстановления.

Существуют несколько опасностей в совершении покупок он‑лайн, но, возможно, это так же безопасно, как и в обычных магазинах. И компании, обслуживающие кредитки, предоставляют вам ту же защиту, когда вы пользуетесь своей картой он‑лайн, если было совершено незаконное снятие денег с вашего счета, вы несете ответственность только за первые 50$.Так что, по‑моему, страх покупок в Интернете – это еще одно необоснованное беспокойство.

Эдгар не заметил некоторых особенных знаков, которые были неправильны в этом письме (например, точка с запятой после поздравительной строки и опечатку «дорогим клиентам сервис отличный сервис»). Он щелкнул по ссылке, заполнил информационный запрос – имя, адрес, номер телефона, информацию о кредитке – и сел ждать, когда же 5$ поступят на его счет. Но вместо того, начал появляться список расходов на товары, которые он никогда не заказывал.

Анализ обмана

Эдгар попался на довольно банальный в Интернете трюк. Это трюк, который можно использовать довольно разнообразно. Один из видов (описан в Главе 9) включает в себя макет формы авторизации, созданный взломщиком, и идентичный настоящему. Разница заключается в том, что фальшивая форма не дает доступа к системе, до которой пользователь пытается добраться, а кроме этого, отправляет его логин и пароль хакеру.

Эдгар попался на трюк, в котором обманщики зарегистрировали веб сайт с именем «paypal‑secure.com»‑который звучит так, будто бы это защищенная страница законного PayPal сайта, но это не так. Когда он ввел информацию на том сайте, взломщики получили то, что хотели.

Сообщение от Митника

Пока отсутствует полная защищенность, всякий раз, когда вы посещаете сайт, который требует информацию, которую вы считаете личной, убедитесь, что соединение подлинно и зашифровано. И еще более важно не щелкать автоматически «Да» в любом диалоговом окно, которое может отображать информацию о безопасности, такую как неверный, истекший или аннулированный цифровой сертификат.

 

Вариации по вариации

 

Как много других путей существует, чтобы ввести в заблуждение пользователей компьютера и заставить посетить фальшивый веб сайт, где они предоставят свою личную информацию? Я не думаю, что у кого‑то есть точный ответ на этот вопрос, но фраза «множество и множество» вполне послужит цели.

Несуществующая ссылка

Один трюк используется регулярно. Отправляется письмо с соблазнительной причиной посетить сайт и предоставляется прямая ссылка на него. Кроме этого, ссылка не доставляет вас на сайт, который вы ожидаете увидеть, потому что ссылка только имеет сходство со ссылкой на тот сайт. Вот вам другой пример, который начал использоваться в Интернете, снова злоупотребляя именем PayPal:

Www.PayPai.com

В принципе, это выглядит так, будто речь идет о PayPal. Даже если жертва заметит, то может подумать, что это всего лишь незначительная ошибка в тексте, которая переделала "I" в "i". И кто заметит, что в адресе

Www.PayPa1.com

используется цифра 1 вместо прописной "L"? Существует достаточно людей, которые допускают опечатки и другие неправильные указания и тем самым прибавляют популярности этой затее ворующих кредитки. Когда люди идут на фальшивый сайт, он выглядит так же, как и сайт, который они ожидают увидеть, и они жизнерадостно вводят информацию об их кредитке. Чтобы провернуть один из этих ужасов, взломщику всего лишь нужно зарегистрировать фальшивое доменное имя, разослать письма и ждать дураков, чтобы обмануть их.

В середине 2002,я получил письмо, по‑видимому, являющееся частью из массовой рассылки, которое было помечено от: [email protected]. Это сообщение показано ниже.

 

Дорогой пользователь eBay,

Стало известно, что другая группа испортила ваш eBay аккаунт и нарушила наше Пользовательское Соглашение по безопасности, приведенное ниже:

4. Торги и покупка

Вы обязываетесь завершить транзакцию с продавцом, если вы покупаете товар по одной из указанных нами цен или являетесь лицом, предложившим наибольшую цену на торгах, как упомянуто выше. Если вы предложили наибольшую цен в конце торгов и ваша надбавка к цене одобряется продавцом, вы обязываетесь завершить транзакцию с продавцом или транзакция запрещается законом или этим соглашением.

Вы получили это предупреждение от eBay, потому что нам стало известно, что ваш текущий аккаунт вызвал неприятности с другими членами eBay и eBay требует немедленно подтвердить ваш аккаунт. Пожалуйста, подтвердите ваш аккаунт, иначе он может быть аннулирован. Щелкните по этой ссылке, чтобы подтвердить ваш аккаунт: http://errorebay.tripod.com

 

***

 

Созданные торговые марки и брэнды являются собственностью их соответствующих владельцев, eBay и eBay logo являются торговыми марками eBay Inc.

 

Жертвы, которые щелкали по ссылке, попадали на веб‑страницу, очень похожую на страницу eBay. Фактически, страница была хорошо спроектирована, с достоверным логотипом eBay и ссылками «Посмотреть», «Продать», а также другими навигационными ссылками, которые, если щелкнуть по ним, приводили посетителя на настоящий сайт eBay. В нижнем правом углу был также логотип гарантии. Чтобы удержать догадливую жертву, дизайнер даже использовал даже HTML шифрование, чтобы замаскировать, откуда отправлялась предоставленная пользователем информация.

Это был отличный пример предумышленной атаки с использованием компьютера, на основе социальной инженерии. Но все‑таки, в ней были некоторые недоработки.

Письмо не было написано очень хорошо; в частности, параграф, начинающийся словами «Вы получили это предупреждение», слишком бестактный и бессмысленный (люди, ответственные за эти мистификации, никогда не нанимают профессионалов, чтобы отредактировать их образец, и это всегда видно). Также, любой, обративший внимание, пришел бы в подозрение, что eBay интересуется информацией клиента компании PayPal; нет ни одной причины, почему eBay будет спрашивать клиента о его личной информации, использующейся другой компанией.

И кто‑нибудь, хорошо осведомленный по теме Интернета, вероятно, поймет, что ссылка соединяет не с доменом eBay, а с tripod.com, который предоставляет бесплатный хостинг. Все это говорит о том, что письмо не было законным. Тем не менее, готов поспорить, что нашлось много людей, напечатавших свою личную информацию, включающую номер кредитки, на ту страницу.

Заметка

Почему людям позволяют регистрировать вводящие в заблуждение и неподходящие домены? Потому что, в соответствии с нынешним законом и он‑лайн политикой, любой может зарегистрировать любые имена сайтов, которые еще не используются.

Компании пытаются бороться против такого копирования их адресов, но представьте, с чем они сталкиваются. General Motors подала иск против компании, зарегистрировавшей сайт f**kgeneralmotors.com (только без звездочек) и поместившей ссылку на официальный сайт General Motors. GM проиграла дело.

Будьте бдительны

Будучи отдельными пользователями Интернета, нам нужно быть бдительными, принимая сознательное решение, когда безопасно вводить персональную информацию, пароли, номера аккаунтов, пины и т.д.

Как много ваших знакомых могут рассказать вам, какой из используемых ими сайтов отвечает всем требованиям безопасности? Как много работников в вашей компании знают, чего ожидать?

Каждый, кто использует Интернет, должен знать о маленьком символе, который обычно появляется на какой‑нибудь веб – странице и напоминает нарисованный висячий замок. Им следует знать, что когда засов закрыт, это значит, что защищенность сайта гарантирована. Когда засов открыт или изображение замка отсутствует, веб‑сайт не отмечен как подлинный и любая информация, открыто передаваемая, не шифруется.

Тем не менее, атакующий, обладающий администраторскими привилегиями в компьютерной системе компании, может изменить или пропатчить код операционной системы, чтобы исказить понимание пользователем ситуации. Например, перепрограммирование инструкций к софту браузера, который позволяет не отображать нерабочее состояние цифрового сертификата страницы, а просто обходить проверку. Или система может быть изменена с помощью руткита, установив один или больше бэкдоров на уровне операционной системы, где их труднее обнаружить.

Безопасное соединение устанавливает подлинность сайта и шифрует передаваемую информацию, так что атакующий не сможет использовать какие‑либо перехваченные данные. Вы можете доверять сайту, даже использующему безопасное соединение? Нет, потому что владелец сайта может не быть бдительным в установке всех необходимых патчей или принуждению пользователей или администраторов к использованию хороших паролей. Так что вы не можете допускать мысль, что тот или иной сайт является неуязвимым к атакам.

LINGO

бэкдор – скрытый вход, который обеспечивает секретный доступ к компьютеру пользователя. Также используется программистами в процессе разработки программы, чтобы иметь возможность «зайти» в программу для исправления ошибок

Надежный HTTP(гипертекстовый протокол передачи) или SSL обеспечивает автоматический механизм, который использует цифровые сертификаты не только для зашифровки посланной на удаленный сайт информации, но и для обеспечения идентификации (чтобы убедиться в подлинности удаленного сайта). Тем не менее, этот механизм защиты не приемлем для пользователей, не обращающих внимания на правильность имени сайта, к которому они пытаются получить доступ.

Другой вопрос безопасности, чаще игнорируемый, появляется в виде предупреждающей таблички, в которой говорится нечто вроде «Этот сайт не является безопасным или срок действия сертификата истек. Вы желаете посетить этот сайт?». Многие пользователи Интернета просто не понимают это сообщение и, когда оно появляется, просто щелкают OK или YES и продолжают свою работу, не подозревая, что они вступили на зыбучие пески. Будьте внимательны: на веб‑сайте, не использующем безопасный протокол, никогда не вводите какую‑либо конфиденциальную информацию, будь это ваш адрес или номер телефона, номера кредитной карты или банковского счета или что‑то еще, что вы желаете сохранить в тайне.

Томас Джефферсон сказал, что поддержание нашей свободы требует постоянной бдительности. Для поддержания безопасности в обществе, где информация играет роль денег, требуется не меньше.





Поделиться с друзьями:


Дата добавления: 2015-11-05; Мы поможем в написании ваших работ!; просмотров: 254 | Нарушение авторских прав


Поиск на сайте:

Лучшие изречения:

Лучшая месть – огромный успех. © Фрэнк Синатра
==> читать все изречения...

780 - | 742 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.01 с.