Главная

Новости

Статьи и обзоры
  Горожанин
  Обнинск в Internet
  Web Design
  Hardware
  Software
  Безопасность
  Серфинг
  Игродром
  Relax
  Технологии
  Web-обзор
  Интернет-ликбез
  Опросник
  УП-Технологии
  ART.net

Ссылки

Архив

О нас

Контакты

Форумы

POPULAR.RU

КАК ВЗЛОМАТЬ AVS

Сергей Коротков korotko-f@mail.ru
по материалам www.iworld.ru

Одной из наиболее "трудных для обеих сторон хакерских атак является принцип man-in-the-middle (атака перехватом). Трудных в том плане, что такие атаки с трудом поддаются обнаружению, и на их подготовку может уйти много времени. Оказывается, одну из их разновидностей в Интернете может провести практически любой человек, неискушенный в хакерских премудростях...

Рассматриваемая методика является универсальной для большого класса систем и давно используется хакерами для получения конфиденциальной информации. Переходя к "разбору полетов", следует предупредить, что практическая реализация описанного механизма получения чужих паролей противоречит общепринятой морали, а с юридической точки зрения вообще может оказаться незаконной и противоправной. Цель этой публикации заключается лишь в демонстрации той легкости, с которой неосторожный пользователь теряет свой пароль, путешествуя по Интернету, а также в предупреждении системных администраторов и веб-мастеров.
Список применяемых хакерами уловок весьма обширен - от сложнейших методик перехвата трафика и использования самоидентефицирующихся программных кодов до чисто психологических трюков. О некоторых наиболее примитивных из них, вероятно, слышали все. Например, пользователь получает письмо от хакера, маскирующегося под сотрудника технической службы провайдера, с просьбой уточнить установленный пароль для доступа к интернет-ресурсам, а потом, лично отправив пароль злоумышленнику, вздыхает о том, что так глупо подставился. Или открывается в Сети сайт солидной фирмы, продающей именно то, что вам нужно, по очень смешным ценам и с доставкой. В результате после ввода информации о кредитной карте с нее снимаются все средства, а фирма бесследно исчезает вместе с сайтом. Рассказы о подобных неуклюжих трюках, на которые могут попасться лишь люди, совершенно не заботящиеся о своей безопасности, читать неинтересно, а излагать информацию для знатоков тайн и тонкостей сетевых технологий не имеет особого смысла, так как для большинства пользователей это будет китайской грамотой. В поисках разумного компромисса следует обратить внимание на наиболее подходящие атаки перехватом системы AVS(Age Verification Systems).
AVS-системы обычно используются для контроля доступа к содержимому сайтов с ресурсами "для взрослых, то есть эротической и порнографической направленности. Примером такой системы является AdultCheck (www.adultcheck.com).
Сайт с системой контроля доступа отличается от обычного сайта тем, что пользователю на странице аутентификации предлагается ввести пароль, после проверки которого отображается либо основная страница сайта, либо специальная страница с сообщением о том, что в доступе отказано, так как пароль неверен. Организовать парольную защиту на отдельно взятом сайте не слишком сложно, но довольно хлопотно, особенно когда требуется обеспечить доступ многим пользователям с различными паролями и контролировать срок действия каждого из них. Кроме того, установка системы контроля доступа, как правило, требует наличия у используемого хостинга возможности исполнять скрипты. Но поскольку владельцы adult-ресурсов стараются на хостинге экономить, такой возможности у них нет.
Системы AVS созданы специально, чтобы обеспечить пользователей удобным сервисом контроля доступа. В задачу этого сервиса входит не только проверка корректности вводимых данных для аутентификации и срока их действия, но и, к примеру, автоматическая генерация неповторяющихся и легко запоминающихся паролей. Пользователь покупает, обычно по кредитной карте, универсальный пароль для доступа ко всем сайтам, защищенным AVS.
В качестве объекта атаки были выбраны именно системы AVS, так как для них элементарно выполняются действия, показанные на рисунках. В самом деле, создать подложный сайт какого-либо банка или интернет-магазина так, чтобы это не вызвало подозрений у пользователей, достаточно сложно. Опытного пользователя, вне всякого сомнения, насторожат околохакерские приемы наподобие открывающихся в браузере новых окон без отображения ссылок или ссылки вида http://www.ebay.com@aiv.spb.ru.
Системы AVS обычно используют пароли нескольких типов. Элитные, так называемые золотые или платиновые, подходят ко всем сайтам, входящим в AVS, обычные пароли - только к асайтам определенных, не слишком интересных категорий. Веб-мастера, воспользовавшиеся услугами AVS для защиты своих сайтов, получают либо пароль простой категории, либо вообще ничего. Опытный хакер может взломать чужой сайт и получить оттуда список паролей, однако обычно с такой мелочью предпочитают не возиться, а разместив собственный adult-сайт на бесплатном хостинге, регистрируют его на чужое имя в системе AVS. Владельцы системы проверяют работоспособность сайта и вносят его в базу данных наравне с другими. Обратите внимание на то, что злоумышленники возлагают на AVS и задачу по рекламе их сайта, куда после публикации информации в каталоге устремляются десятки, а иногда и сотни пользователей системы. Психологический расчет верен - интерес к новым сайтам всегда велик вне зависимости от качества его содержания.

Продолжение следует.