Атаки из зеркального мира

А теперь рассмотрим атаку из «Зазеркалья», представляющую собой некий гибрид, по- лученный скрещиванием атак перехвата соединений и Троянских коней. (Под перехва- том соединения (hijacking) мы подразумеваем ситуацию, когда пользователь Web при попытке загрузить один сайт, без всякого на то запроса со своей стороны, внезапно пе- реключается на загрузку совершенно другого сайта). Предположим, путешествуя по Web, некая Сюзанна Серфер (Suise Surfer), указала адрес сайта cheapomusic.com, желая купить последние опусы группы Nine Inch Kails. Переход на сайт прошел без всяких проблем, кроме, быть может, одного маленького происшествия - адрес URL в адресной строке браузера внезапно стал длиннее обычного, и в нем вдруг появились переменные сценария CGI. Поскольку Сюзанна - поклонница Трента Резнора (Trent Reznor), она до- бавила компакт-диск этого барда в свою электронную тележку и оформила покупку. При этом Сюзанна указала номер своей кредитной карточки, пароль и так далее, затем вышла из системы и стала нетерпеливо ждать поступления компакт-диска. Но этого не про- изошло. Что действительно произошло, так это прибытие финансового отчета о расхо- дах ее кредитной карточки, а также начавшееся поступление счетов со всего мира, в том числе, от магазина cheapomusic.com, в общей сумме превышающих зарплат}' Сюзанны - обычного продавца универмага. Что случилось?

Крекеры перенаправили соединение Сюзанны на свой зеркальный сайт, который выгля- дит и функционирует в точности наподобие подлинного сайта cheapomusic.com. Когда Сюзанна указала свое входное имя, пароль и номер кредитной карточки и щелкнула на кнопке подтверждения ввода, вся эта информация была переправлена крекерам. Далее крекеры продали украденный номер кредитной карточки другим преступникам, и даже воспользовались ее счетом в магазине cheapomusic.com для удовлетворения своих му- зыкальных потребностей за деньги Сюзанны. Что следует сделать для избавления своих заказчиков от подобных приключений? Предусмотреть использование цифровых серти- фикатов, которые позволят заказчикам верифицировать подлинность сайта. Мы обсудим цифровые сертификаты в Главе 27.

Продолжение темы:

Полезная информация