|
|
Пишет schegloff (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} schegloff)@ 2007-09-29 16:09:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
О взломах - 2 1/2, или Зачем нам троян? Нам троян не нужен!
В предыдущей заметке я запугивал всех Pinch'ем, а дальше собирался рассказать о способах его (и ему подобных) доставки на атакуемый компьютер. Однако последние новости подсказали, что существуют куда более элегантные способы своровать Вашу приватную информацию.
Начнем с самого простого - для любителей vkontakte.ru. Если зайти СЮДА, то можно увидеть самую обычную страницу авторизации на этом самом VKontakte. Однако не спешите вводить имя и пароль: это всего лишь пример технологии фишинга - создания зловредной страницы, изымающей у пользователя пароли и использующие их затем по своему усмотрению. В приведенной демке зловредная страница меняла имя пользователя на Ya Krevedko. В результате за несколько часов 11 сентября - Супер! Сейчас в фконтакте 107 Креведков. :)).
А теперь о более сложном и свежем случае - уязвимости разрекламированного на днях почтового сервиса GMail. Позавчера![[info]](http://lj.rossia.org/img/userinfo-lj.gif)
sinodov@lj сообщил о ней ЖЖ-сообществу: Исследователь GNU Citizen Petko Petkov обнаружил уязвимость в Gmail, которая позволяет похищать переписку жертвы. Идея на редкость изящна: пользуясь тем очевидным фактом, что GMail открывается как правило в одном из многочисленных окон браузера, зловредный софт осуществляет классическую Cross-Site Request Forgery (Подделку HTTP-запросов) и от имени пользователя устанавливает в его персональную конфигурацию GMail фильтр, который и берет на себя пересылку всей последующей почты злоумышленнику.
Подробности со скриншотами: Google GMail E-mail Hijack Technique. Справедливости ради замечу, что выложенный там эксплойт на моем gmail не сработал - то ли Google уже пофиксил уязвимость, то ли я не умею правильно пользоваться эксплойтами.
Таким образом, развитие веб-браузеров привело к ситуации, когда очень многие пакости можно сделать, используя встроенные средства HTML, JavaScript, ActiveX и многочисленных подключаемых расширений. В частности, самым популярным средством доставки троянов в августе 2007 года стал Trojan Fake Codec. Загрузчик попросту предлагает пользователю установить специальный кодек для просмотра "вкусного" видео - и пользователь, привыкший к нынешнему безмерному разнообразию форматов, легко соглашается, пуская троян на свою машину.
Словом, "только постоянное совершенствование в боевых искусствах гарантирует долгую и счастливую жизнь" (с) Брюс Ли / Роберт Асприн :)))
В предыдущей заметке я запугивал всех Pinch'ем, а дальше собирался рассказать о способах его (и ему подобных) доставки на атакуемый компьютер. Однако последние новости подсказали, что существуют куда более элегантные способы своровать Вашу приватную информацию.
Начнем с самого простого - для любителей vkontakte.ru. Если зайти СЮДА, то можно увидеть самую обычную страницу авторизации на этом самом VKontakte. Однако не спешите вводить имя и пароль: это всего лишь пример технологии фишинга - создания зловредной страницы, изымающей у пользователя пароли и использующие их затем по своему усмотрению. В приведенной демке зловредная страница меняла имя пользователя на Ya Krevedko. В результате за несколько часов 11 сентября - Супер! Сейчас в фконтакте 107 Креведков. :)).
А теперь о более сложном и свежем случае - уязвимости разрекламированного на днях почтового сервиса GMail. Позавчера
sinodov@lj сообщил о ней ЖЖ-сообществу: Исследователь GNU Citizen Petko Petkov обнаружил уязвимость в Gmail, которая позволяет похищать переписку жертвы. Идея на редкость изящна: пользуясь тем очевидным фактом, что GMail открывается как правило в одном из многочисленных окон браузера, зловредный софт осуществляет классическую Cross-Site Request Forgery (Подделку HTTP-запросов) и от имени пользователя устанавливает в его персональную конфигурацию GMail фильтр, который и берет на себя пересылку всей последующей почты злоумышленнику.Подробности со скриншотами: Google GMail E-mail Hijack Technique. Справедливости ради замечу, что выложенный там эксплойт на моем gmail не сработал - то ли Google уже пофиксил уязвимость, то ли я не умею правильно пользоваться эксплойтами.
Таким образом, развитие веб-браузеров привело к ситуации, когда очень многие пакости можно сделать, используя встроенные средства HTML, JavaScript, ActiveX и многочисленных подключаемых расширений. В частности, самым популярным средством доставки троянов в августе 2007 года стал Trojan Fake Codec. Загрузчик попросту предлагает пользователю установить специальный кодек для просмотра "вкусного" видео - и пользователь, привыкший к нынешнему безмерному разнообразию форматов, легко соглашается, пуская троян на свою машину.
Словом, "только постоянное совершенствование в боевых искусствах гарантирует долгую и счастливую жизнь" (с) Брюс Ли / Роберт Асприн :)))
