黑客进行Web欺骗的手段和预防措施
本文描述Internet上的一种安全攻击,它可能 侵害到WWW用户的隐私和数据
完整性。这种攻击 可以在现有的系统上实现,危害最普通的Web浏 览器用户,包
括NetscapeNavigator和MicrosoftInternet Explorer用户。
Web欺骗允许攻击者创造整个WWW世界的影像 拷贝。影像Web的入口进入到攻
击者的Web服务器, 经过攻击者机器的过滤作用,允许攻击者监控 受攻击者的任
何活动,包括帐户和口令。攻击者 也能以受攻击者的名义将错误或者易于误解的
数据发送到真正的Web服务器,以及以任何Web服 务器的名义发送数据给受攻击
者。简而言之,攻 击者观察和控制着受攻击者在Web上做的每一件 事。
欺骗攻击
在一次欺骗攻击中,攻击者创造一个易于误 解的上下文环境,以诱使受攻击
者进入并且做 出缺乏安全考虑的决策。欺骗攻击就像是一场 虚拟游戏:攻击者
在受攻击者的周围建立起一 个错误但是令人信服的世界。如果该虚拟世界 是真
实的话,那么受攻击者所做的一切都是无 可厚非的。但遗憾的是,在错误的世界
中似乎是 合理的活动可能会在现实的世界中导致灾难性 的后果。
欺骗攻击在现实的电子交易中也是常见的 现象。例如,我们曾经听说过这样
的事情:一些 西方罪犯分子在公共场合建立起虚假的ATM取款 机,该种机器可以
接受ATM卡,并且会询问用户的 PIN密码。一旦该种机器获得受攻击者的PIN密码
,它会要么“吃卡”,要么反馈“故障”,并返回 ATM卡。不论哪一种情况,罪
犯都会获得足够的 信息,以复制出一个完全一样的ATM卡。后面的事 情大家可想
而知了。在这些攻击中,人们往往被 所看到的事物所愚弄:ATM取款机所处的位
置,它 们的外形和装饰,以及电子显示屏的内容等等。
人们利用计算机系统完成具有安全要求的 决策时往往也是基于其所见。例如
,在访问网上 银行时,你可能根据你所见的银行Web页面,从该 行的帐户中提取
或存入一定数量的存款。因为 你相信你所访问的Web页面就是你所需要的银行 的
Web页面。无论是页面的外观、URL地址,还是其 他一些相关内容,都让你感到非
常熟悉,没有理 由不相信。但是,你很可能是在被愚弄。
为了分析可能出现欺骗攻击的范围和严重 性,我们需要深入研究关于Web欺
骗的两个部分: 安全决策和暗示。
安全决策
安全决策,这里指的是会导致安全问题的一 类决策。这类决策往往都含有较
为敏感的数据, 也就是意味着一个人在做出决策时,可能会因 为关键数据的泄
露,导致不受欢迎的结果。很可 能发生这样的事情:第三方利用各类决策数据
攻破某种秘密,进行破坏活动,或者导致不安全 的后果。例如,在某种场合输入
帐户和密码,就 是我们在此谈到的安全决策问题。因为帐户和 密码的泄露会产
生我们不希望发生的问题。此 外,从Internet上下载文件也是一类安全决策问
题。不能否认,在下载的文件当中可能会包含有 恶意破坏的成分,尽管这样的事
情不会经常发 生。
安全决策问题无处不在,甚至在我们通过阅 读显示信息做出决策时,也存在
一个关于信息 准确性的安全决策问题。例如,如果你决定根据 网上证券站点所
提供的证券价格购买某类证券 时,那么你必须确保所接收信息的准确性。如果
有人故意提供不正确的证券价格,那么不可避 免地会有人浪费自己的财富。
暗示
WWW站点提供给用户的是丰富多彩的各类信 息,人们通过浏览器任意翻阅网
页,根据得到的 上下文环境来做出相应的决定。Web页面上的文 字、图画与声音
可以给人以深刻的印象,也正是 在这种背景下,人们往往能够判断出该网页的
地址。例如,一个特殊标识的存在一般意味着处 于某个公司的Web站点。
我们都知道目标的出现往往传递着某种暗 示。在计算机世界中,我们往往都
习惯于各类图 标、图形,它们分别代表着各类不同的含义。富 有经验的浏览器
用户对某些信息的反应就如同 富有经验的驾驶员对交通信号和标志做出的反 应
一样。
目标的名字能传达更为充分的信息。人们经 常根据一个文件的名称来推断它
是关于什么 的。manual.doc是用户手册的正文吗?它完全可以 是另外一个文件
种类,而不是用户手册一类的 文档。一个microsoft.com的链接难道就一定指向
我 们大家都知道的微软公司的URL地址吗?显然可 以偷梁换柱,改向其他地址。
人们往往还会在时间的先后顺序中得到某 种暗示。如果两个事件同时发生,
你自然地会认 为它们是有关联的。如果在点击银行的网页时, username对话框
同时出现了,你自然地会认为你 应该输入你在该银行的帐户与口令。如果你在
点击了一个文档链接后,立即就开始了下载,那 么你很自然地会认为该文件正从
该站点下载。 然而,以上的想法不一定都是正确的。
如果你仅仅看到一个弹出窗口,那么你会和 一个可视的事件联系起来,而不
会认识到一个 隐藏在窗口背后的不可视的事件。现代的用户 接口程序设计者花
费很大的精力来设计简单易 懂的界面,人们感受到了方便,但潜在的问题是 人
们可能习惯于此,不可避免地被该种暗示所 欺骗。
TCP和DNS欺骗
除了我们将要讨论的欺骗手段外,还有一些 其他手段,在这里我们将不做讨
论。这种攻击的 例子包括TCP欺骗(在TCP包中使用伪造的IP地址) 以及DNS欺骗
(攻击者伪造关于机器名称和网络 信息)。读者有兴趣可以阅读有关资料。 We
b欺骗
Web欺骗是一种电子信息欺骗,攻击者在其 中创造了整个Web世界的一个令人
信服但是完全 错误的拷贝。错误的Web看起来十分逼真,它拥有 相同的网页和链
接。然而,攻击者控制着错误的 Web站点,这样受攻击者浏览器和Web之间的所有
网络信息完全被攻击者所截获,其工作原理就 好像是一个过滤器。
后果
由于攻击者可以观察或者修改任何从受攻 击者到Web服务器的信息;同样地
,也控制着从Web 服务器至受攻击者的返回数据,这样攻击者就 有许多发起攻击
的可能性,包括监视和破坏。
攻击者能够监视受攻击者的网络信息,记录 他们访问的网页和内容。当受攻
击者填写完一 个表单并发送后,这些数据将被传送到Web服务 器,Web服务器将
返回必要的信息,但不幸的是, 攻击者完全可以截获并加以使用。大家都知道
绝大部分在线公司都是使用表单来完成业务 的,这意味着攻击者可以获得用户的
帐户和密 码。下面我们将看到,即使受攻击者有一个“安 全”连接(通常是通
过SecureSocketsLayer来实现 的,用户的浏览器会显示一把锁或钥匙来表示 处
于安全连接),也无法逃脱被监视的命运。
在得到必要的数据后,攻击者可以通过修改 受攻击者和Web服务器之间任何
一个方向上的数 据,来进行某些破坏活动。攻击者修改受攻击者 的确认数据,
例如,如果受攻击者在线订购某个 产品时,攻击者可以修改产品代码,数量或者
邮 购地址等等。攻击者也能修改被Web服务器所返 回的数据,例如,插入易于误
解或者攻击性的资 料,破坏用户和在线公司的关系等等。
欺骗整个Web世界
你可能认为攻击者欺骗整个Web世界是不可 能的,但是恰恰相反,攻击者不
必存储整个Web世 界的内容,他只需要制造出一条通向整个Web世 界的链路。当
他需要提供关于某个Web站点的错 误Web页面时,他只需要在自己的服务器上建立
一个该站点的拷贝,由此等待受害者自投罗网。 Web欺骗的工作原理
欺骗能够成功的关键是在受攻击者和其 他Web服务器之间设立起攻击者的We
b服务器,这 种攻击种类在安全问题中称为“来自中间的攻 击”。为了建立起这
样的中间Web服务器,黑客往 往进行以下工作。
改写URL
首先,攻击者改写Web页中的所有URL地址,这 样它们指向了攻击者的Web服
务器而不是真正 的Web服务器。假设攻击者所处的Web服务器 是www.attacker.o
rg,攻击者通过在所有链接前增加 http://www.attacker.org来改写URL。例如,
http://home.netscape.com将变 为http://www.attacker.org/http://home.ne
tscape.com.当用 户点击改写过的http://home.netscape.com(可能它仍 然显示
的是http://home.netscape.com),将进入的是 http://www.attacker.org,然
后由http://www.attacker.org 向http://home.netscape.com发出请求并获得真
正的文 档,然后改写文档中的所有链接,最后经过 http://www.attacker.org返
回给用户的浏览器。工作 流程如下所示:1.用户点击经过改写后 的http://www
.attacker.org/http://home.netscape.com;
2.http://www.attacker.org向http://home.netscape.com请求文档;
3.http://home.netscape.com向http://www.attacker.org返回文档;
4.http://www.attacker.org改写文档中的所有URL;
5.http://www.attacker.org向用户返回改写后的 文档。
很显然,修改过的文档中的所有URL都指向了www.attacker.org,当用户点击
任何一个链接都 会直接进入www.attacker.org,而不会直接进入真正 的URL。如
果用户由此依次进入其他网页,那么他 们是永远不会摆脱掉受攻击的可能。
关于表单
如果受攻击者填写了一个错误Web上的表单,那么结果看来似乎会很正常,因
为只要遵循标 准的Web协议,表单欺骗很自然地不会被察觉:表 单的确定信息被
编码到URL中,内容会以HTML形式 来返回。既然前面的URL都已经得到了改写,那
么 表单欺骗将是很自然的事情。
当受攻击者提交表单后,所提交的数据进入了攻击者的服务器。攻击者的服
务器能够观察, 甚至是修改所提交的数据。同样地,在得到真正 的服务器返回
信息后,攻击者在将其向受攻击 者返回以前也可以为所欲为。
关于“安全连接”
我们都知道为了提高Web应用的安全性,有人 提出了一种叫做安全连接的概
念。它是在用户 浏览器和Web服务器之间建立一种基于SSL的安全 连接。可是让
人感到遗憾的是,它在Web欺骗中基 本上无所作为。受攻击者可以和Web欺骗中所
提 供的错误网页建立起一个看似正常的“安全连 接”:网页的文档可以正常地
传输而且作为安全 连接标志的图形(通常是关闭的一把钥匙或者 锁)依然工作
正常。换句话说,也就是浏览器提 供给用户的感觉是一种安全可靠的连接。但正
像我们前面所提到的那样,此时的安全连接是 建立在www.attacker.org而非用
户所希望的站点。
攻击的导火索
为了开始攻击,攻击者必须以某种方式引诱 受攻击者进入攻击者所创造的错
误的Web。黑客 往往使用下面若干种方法。
1把错误的Web链接放到一个热门Web站点 上;
2如果受攻击者使用基于Web的邮件,那么 可以将它指向错误的Web;
3创建错误的Web索引,指示给搜索引擎。
完善攻击
前面描述的攻击相当有效,但是它还不是十 分完美的。黑客往往还要创造一
个可信的环境, 包括各类图标、文字、链接等,提供给受攻击者 各种各样的十
分可信的暗示。总之就是隐藏一 切尾巴。此时,如果错误的Web是富有敌意的,
那 么无辜的用户将处于十分危险的境地。
另外,黑客还会注意以下方面。
1状态线路
连接状态是位于浏览器底部的提示信息,它 提示当前连接的各类信息。Web
欺骗中涉及两类 信息。首先,当鼠标放置在Web链接上时,连接状 态显示链接所
指的URL地址,这样,受攻击者可能 会注意到重写的URL地址。第二,当Web连接
成功 时,连接状态将显示所连接的服务器名称。这 样,受攻击者可以注意到显
示www.attacker.org,而 非自己所希望的站点。
攻击者能够通过JavaScript编程来弥补这两项 不足。由于JavaScript能够对
连接状态进行写操 作,而且可以将JavaScript操作与特定事件绑定在 一起,所
以,攻击者完全可以将改写的URL状态恢 复为改写前的状态。这样Web欺骗将更为
可信。
2位置状态行
浏览器的位置状态行显示当前所处的URL位 置,用户也可以在其中键入新的
URL地址进入到 另外的URL,如果不进行必要的更改,此时URL会暴 露出改写后的
URL。同样地,利用JavaScript可以隐 藏掉改写后的URL。JavaScript能用不真实
的URL掩盖 真实的URL,也能够接受用户的键盘输入,并将之 改写,进入不正确
的URL。 Web欺骗的弱点
尽管黑客在进行Web欺骗时已绞尽脑汁,但是 还是留有一些不足。
文档信息
攻击者并不是不留丝毫痕迹,HTML源文件就 是开启欺骗迷宫的钥匙。攻击者
对其无能为力。 通过使用浏览器中“viewsource”命令,用户能够 阅读当前的
HTML源文件。通过阅读HTML源文件,可 以发现被改写的URL,因此可以觉察到攻
击。遗憾 的是,对于初学者而言,HTML源文件实在是有些 难懂。
通过使用浏览器中“viewdocumentinformation”命 令,用户能够阅读当前
URL地址的一些信息。可喜 的是这里提供的是真实的URL地址,因此用户能 够很
容易判断出Web欺骗。不过,绝大多数用户都 很少注意以上一些属性,可以说潜
在的危险还 是存在的。
逃离灾难
受攻击者可以自觉与不自觉地离开攻击者 的错误Web页面。这里有若干种方
法。访问Bookmark 或使用浏览器中提供的“Openlocation”进入其他 Web页面,
离开攻击者所设下的陷阱。不过,如果 用户使用“Back”按键,则会重新进入原
先的错误 Web页面。当然,如果用户将所访问的错误Web存 入Bookmark,那么下
次可能会直接进入攻击者所设 下的陷阱。
关于追踪攻击者
有人建议应当通过跟踪来发现并处罚攻击 者。确实如此,攻击者如果想进行
Web欺骗的话, 那么离不开Web服务器的帮助。但是,他们利用的 Web服务器很可
能是被攻击后的产物,就象罪犯 驾驶着盗窃来的汽车去作案一样。 预防办法
Web欺骗是当今Internet上具有相当危险性而 不易被察觉的欺骗手法。幸运
的是,我们可以采 取的一些保护办法。
短期的解决方案
为了取得短期的效果,最好从下面三方面来 预防:
1.禁止浏览器中的JavaScript功能,那么各类 改写信息将原形毕露;
2.确保浏览器的连接状态是可见的,它将给 你提供当前位置的各类信息;
3.时刻注意你所点击的URL链接会在位置状 态行中得到正确的显示。
现在,JavaScript、ActiveX以及Java提供越来越丰 富和强大的功能,而且
越来越为黑客们进行攻 击活动提供了强大的手段。为了保证安全,建议 用户考
虑禁止这些功能。
这样做,用户将损失一些功能,但是与可能 带来的后果比较起来,每个人会
得出自己的结 论。
长期的解决方案
1.改变浏览器,使之具有反映真实URL信息的 功能,而不会被蒙蔽;
2.对于通过安全连接建立的Web——浏览器 对话,浏览器还应该告诉用户谁
在另一端,而不 只是表明一种安全连接的状态。比如:在建立了 安全连接后,
给出一个提示信息“NetscapeInc.”等 等。
所有的解决方案,可以根据用户的安全要求 和实际条件来加以选择。
--
我是[回合策略]版副,[宗教信仰]斑竹,欢迎大家常来坐坐。
* * * * *
无挂碍故无有恐怖
----DOS----
※ 来源:.网易虚拟社区北京站 http://bj.netease.com.[FROM: 202.96.50.178]
|
|