Обман пользователей настольных компьютеров

Обман пользователей настольных компьютеров

Большинство атак спуфинга нацелено на владельцев ресурсов. Как правило, пользователи замечают исчезновение собственных ресурсов и очень редко обнаруживают случаи использования их ресурсов посторонним до тех пор, пока у них не пропадет возможность получить что-либо от кого-либо.

Поэтому с точки зрения злоумышленника лучшим вариантом спуфинга является фальсификация, которую жертва не замечает. Уязвимость возникает там, где появляется возможность взлома. Взлом практически невозможно скрыть (так называемая атака медленного разрушения). Для злоумышленника возможность тайного контроля над ресурсом всегда полезнее, чем его разрушение.

Преимущество фальсификации заключается в потенциальной способности злоумышленника воспользоваться возможностями, которые открываются перед ним при присвоении чужих данных идентификации. Доверие к участнику соединений сохраняется до тех пор, пока сохраняется доверие к представленным им идентификационным данным. Фальсификация идентификационных данных живуча и зачастую может намного пережить любую другую разновидность спуфинга в сети. Если злоумышленник контролирует учетную запись пользователя в большей степени, чем сам пользователь, то это приводит систему к состоянию, которое известно как обман системы (under spoof).

Напасть автообновлений приложений

Вопрос: «Что в результате получит пользователь, если он объединит возможности мультимедийного программиста, свободный доступ к выбранному хосту без его разрешения и легкомысленное отношение к своей безопасности только потому, что это всего лишь автообновление?» Ответ: см. рис. 12.1.

Рис. 12.1. О чем говорит программа Winamp?

Что хорошего делают межсетевые экраны? Поверьте, что не так мало: так, это предотвращает доступ к сети, который пользователем явно не был запрошен. Удивительно, но пользователи хорошо осведомлены о программах, которые они запускают для получения доступа. Web-браузеры, помимо других своих достоинств, вероятно, являются наиболее отказоустойчивыми программами, которые очень серьезно подходят к проверке диапазона допустимых значений переменных. Кроме того, сегодня они являются наиболее часто атакуемыми сетевыми программами. Браузеры могут завершиться аварийно, пытаясь обработать все ошибки, но, по крайней мере, они сообщают о попытках их аварийного завершения.

Посмотрите на экранную форму автоматического обновления, которая приведена на рис. 12.1. Содержание экранной формы поступило из сети. C точки зрения идентификации анализ ее содержания ничего не дает. Разве только он позволяет определить, что запрос поступил от сайта www.winamp.com по протоколу HTTP с методом доступа GET, который содержит параметры /update/latest-version.jhtml?v=2.64. (Автор полагает, что 2.64 – это номер версии программы, установленной на компьютере. С помощью запроса на сайт пересылается номер установленной на хосте пользователя версии, а в ответ он сможет ответить о наличии более новой версии.) Несложно сформировать запрос, чтобы при его запоминании в буфере буфер разумно быстро переполнялся, например буфер переполнится при указании на файл размером в 11 Мб. В главе 11 было рассказано о способах организации подобных атак.

За день пользователь загружает программу Internet Explorer несколько раз. Как правило, браузер запрашивает о необходимости сохранения домашней страницы каждый раз перед переходом на выбранный сайт. Домашнюю страницу устанавливают большинство корпораций. К тому времени, когда программа Winamp спрашивает пользователя, не желает ли он обновить версию этой программы, компьютер пользователя уже стал уязвимым к любой атаке фальсификации со стороны злоумышленника, который, возможно, расположился в сети между компьютером пользователя и его законным адресатом.