Проблемы и решения

Советы и секреты: pcmag.ru/solutions/

Один день хакера в Web 2.0

Они крадут данные непосредственно из Web-приложений, которые вы используете, и с сайтов, которые вы посещаете. Вот как это делается.

Дорогой друг!

Все стало очень просто. Раньше мне приходилось придумывать вирусы и атаковать сети, чтобы показать, какой я умный, но сегодня стать хакером проще простого: миллионы домашних пользователей работают совсем без защиты. Самое трудное – найти тебя, мою жертву. Однако благодаря новейшим технологиям – вычислительному «облаку», особенно социальным сетям, программному обеспечению как службе (SaaS, software as a service – модным приложениям Web 2.0) и оперативным хранилищам, мне стало проще найти тебя и собрать о тебе данные. Я расскажу, как это делается.

10:00. Время «выпустить на волю» новую программу Facebook, остроумную игру о котятах в микроволновой печке. Запуская мое приложение, ты соглашаешься поделиться со мной всеми данными своего профиля, и если при этом ты сообщил хоть что-то полезное для меня (например, номер кредитной карточки), то я считаю, что ты заслуживаешь того, чтобы я украл это. Вот образец подобного трюка, придуманного, к сожалению, не мной: в марте 2008 г. с помощью программы выгрузки изображений Aurigma ActiveX были организованы атаки с переполнением буфера, в ходе которых в ПК пользователей размещались вредоносные программы.

11:00. Мой новый фальшивый профиль в службе MySpace почти готов. Основное назначение Web 2.0 – обмен материалами, подготовленными пользователями. Мои материалы – вредоносные программы, и особенно приятно, что пользователи сами загружают их. Большинство людей не представляют, насколько просто настроить профили MySpace. Программа завладевает вашим ПК, пока в него скрыто загружаются «вредители» с другого инфицированного с моим участием Web-сервера. Это старый проверенный прием, применявшийся много раз. Кажется, впервые он был использован вирусом Samy на основе JavaScript, который поразил службу MySpace в 2005 г.

14:00. После хорошего обеда и освежающего сна я продолжил атаку, разместив вредоносные элементы iFrame на сайтах, которым ты уже доверяешь. iFrame – это HTML-элемент, позволяющий вставить одну Web-страницу в другую. Я разместил атакующие средства на украинском сервере, вставив в пользующиеся твоим доверием Web-узлы, например CNN и PlayStation.com, элементы iFrame.

16:00. Сети социального взаимодействия также очень хороши для хакеров. Направляюсь в Интернет, чтобы продать украденные данные о кредитных картах и банковских счетах. За пределами США существуют тысячи серверов с досками объявлений, где всякий может покупать и продавать чужие личные данные. Это стало так просто, что даже цены на эту информацию упали. За данные о твоей кредитной карте Visa я получил всего 3 долл., но не остался внакладе, потому что сегодня я похитил несколько тысяч номеров кредитных карт.

18:00. Пора переключить внимание на сетевые приложения. Ты пользуешься Google Docs? Отличная служба. С ее помощью можно даже вставить вредоносный элемент iFrame в электронную таблицу.

Я могу обмануть тебя, заставив открыть мою электронную таблицу, или просто взломать твою учетную запись и вставить iFrame в твою электронную таблицу. Открыв документ, ты заразишь свой ПК ботом, который перехватывает личную информацию и пароль, когда ты регистрируешься на банковских сайтах.

Не обижайся на меня, друг. В конце концов, ты сам облегчил мне задачу.

До встречи в Интернете,

53CUR17Y W47CH.