Взлом куки (Cookies)

Инструменты для взлома сессии: принцип действия сниффера, разновидности XSS-атаки, технология подмены куки. Способы кражи куки. Предохраняющие и защищающие меры от похищения сессионных данных.
Взлом куки. Защита cookies от взлома.

Взлом куки (cookies): действие и противодействие

 
Cookies (куки) — информация в виде текстового файла, сохраняемая на компьютере пользователя веб-сайтом. Содержит данные об аутентификации (логин/пароль, ID, номер телефона, адрес почтового ящика), пользовательские настройки, статус доступа. Хранится в профиле браузера. 
 
Взлом куки — это кража (или «угон») сессии посетителя веб-ресурса. Закрытая информация становится доступной не только отправителю и получателю, но и ещё третьему лицу — человеку осуществившему перехват. 
 
 

Инструменты и методы взлома куки 

 
У компьютерных воров, как и у их коллег в реале, помимо навыков, сноровки и знаний, конечно же, есть и свой инструментарий — своеобразный арсенал отмычек и щупов. Ознакомимся с наиболее популярными хитростями хакеров, которые они применяют для выуживания куки у обывателей сети Интернет.
 

Снифферы 

 
Специальные программы для отслеживания и анализа сетевого трафика. Их название происходит от английского глагола «sniff» (нюхать), т.к. в буквальном смысле слова «вынюхивают» передаваемые пакеты между узлами. 
 
Сниффер может быть и вредной, и полезной утилитой, смотря кто им пользуется — хакер или сетевой администратор. На службе «сил добра» он помогает выявлять сетевые атаки, организованные посредством зловредного ПО, детектировать паразитный трафик, искусственно создающий нагрузку на каналы связи и соединения.
 
Анализ трафика
 
А вот злоумышленники при помощи сниффера перехватывают сессионые данные, сообщения и другую конфиденциальную информацию. Объектом их атак становятся в основном незащищённые сети, где куки пересылаются в открытой HTTP-сессии, то есть практически не шифруются. (Наиболее уязвимы в этом плане публичные Wi-Fi.) 
 
Для внедрения сниффера в интернет-канал между узлом пользователя и веб-сервером используются следующие методы:
 
  • «прослушивание» сетевых интерфейсов (хабов, свитчей);
  • ответвление и копирование трафика;
  • подключение в разрыв сетевого канала;
  • анализ посредством специальных атак, перенаправляющих трафик жертвы на сниффер (MAC-spoofing, IP-spoofing).
 

XSS-атака

 
Аббревиатура XSS означает Cross Site Scripting — межсайтовый скриптинг. Применяется для атаки на веб-сайты с целью похищения данных пользователя. 
 
Принцип действия XSS заключается в следующем:
 
  • злоумышленник внедряет вредоносный код (специальный замаскированный скрипт) на веб-страницу сайта, форума либо в сообщение (например, при переписке в соцсети);
  • жертва заходит на инфицированную страницу и активирует установленный код на своём ПК (кликает, переходит по ссылке и т.д.);
  • в свою очередь приведённый в действие зловредный код «извлекает» конфиденциальные данные пользователя из браузера (в частности, куки) и отправляет их на веб-сервер злоумышленника. 
Для того, чтобы «вживить» программный XSS-механизм, хакеры используют всевозможные уязвимости в веб-серверах, онлайн-сервисах и браузерах.
 
XSS-атака
 
Все XSS-уязвимости разделяются на два типа:
 
  • Пассивные. Атака получается методом запроса к конкретному скрипту веб-страницы. Вредоносный код может вводиться в различные формы на веб-странице (например, в строку поиска по сайту). Наиболее подвержены пассивному XSS ресурсы, на которых отсутствует при поступлении данных фильтрация HTML-тегов;
  • Активные. Находятся непосредственно на сервере. И приводятся в действие в браузере жертвы. Активно используются мошенниками во всевозможных блогах, чатах и новостных лентах. 
Хакеры тщательно «камуфлируют» свои XSS-скрипты, чтобы жертва ничего не заподозрила. Меняют расширение файлов, выдают код за картинку, мотивируют пройти по ссылке, привлекают интересным контентом. В итоге: пользователь ПК, не совладавший с собственным любопытством, своей же рукой (кликом мышки) отправляет куки сессии (с логином и паролем!) автору XSS-скрипта — компьютерному злодею. 
 

Подмена куки 

 
Все куки сохраняются и отправляются на веб-сервер (с которого они «пришли») без каких-либо изменений — в первозданном виде — с такими же значениями, строками и другими данными. Умышленная модификация их параметров называется подменна куки. Другими словами говоря, при подмене куки злоумышленник выдаёт желаемое за действительное. Например, при осуществлении платежа в интернет-магазине, в куки изменяется сумма оплаты в меньшую сторону — таким образом происходит «экономия» на покупках. 
 
Украденные куки сессии в соцсети с чужого аккаунта «подкладываются» в другую сессию и на другом ПК. Владелец украденных кук получает полный доступ к аккаунту жертвы (переписка, контент, настройки страницы) до тех пор пока, она будет находится на своей странице.
 
Cookie Manager
 
«Редактирование» кук осуществляется при помощи:
 
  • функции «Управление cookies... » в браузере Opera;
  • аддонов Cookies Manager и Advanced Cookie Manager для FireFox;
  • утилиты IECookiesView (только для Internet Explorer);
  • текстового редактора типа AkelPad, NotePad или блокнота Windows.
 

Физический доступ к данным

 
Очень простая схема по реализации, состоит из нескольких шагов. Но действенна лишь в том случае, если компьютер жертвы с открытой сессией, например Вконтакте, оставлен без присмотра (и достаточно надолго!):
  1. В адресную строку браузера вводится функция javascript, отображающая все сохранённые куки. 
  2. После нажатия «ENTER» они все появляются на странице. 
  3. Куки копируются, сохраняются в файл, а затем переносятся на флешку. 
  4. На другом ПК осуществляется подмена куки в новой сессии.
  5. Открывается доступ к аккаунту жертвы.
 
Как правило, хакеры используют вышеперечисленные инструменты (+ другие) как в комплексе (поскольку уровень защиты на многих веб-ресурсах достаточно высок), так и по отдельности (когда пользователи проявляют чрезмерную наивность).
 

XSS + сниффер

 
  1. Создаётся XSS-скрипт, в котором указывается адрес сниффера-онлайн (собственного изготовления либо конкретного сервиса).
  2. Вредоносный код сохраняется с расширением .img (формат картинки).
  3. Затем этот файл загружается на страницу сайта, в чат, либо в личное сообщение — туда, где будет осуществляться атака. 
  4. Привлекается внимание пользователя к созданной «ловушке» (здесь в силу уже вступает социальная инженерия). 
  5. Если «ловушка» срабатывает, куки из браузера жертвы перехватываются сниффером. 
  6. Взломщик открывает логи сниффера и извлекает похищенные куки. 
  7. Далее выполняет подмену для получения прав владельца аккаунта посредством вышеперечисленных инструментов.
 

Защита cookies от взлома

  1. Пользоваться шифрованным соединением (с использованием соответствующих протоколов, и методов обеспечения безопасного сёрфинга).
  2. Не реагировать на сомнительные ссылки, картинки, заманчивые предложения ознакомиться с «новым бесплатным ПО». В особенности от незнакомых людей. 
  3. Пользоваться только доверенными веб-ресурсами. 
  4. Завершать авторизированную сессию, нажатием кнопки «Выход» (а не просто закрывать вкладку!). Особенно, если вход в аккаунт выполнялся не с личного компьютера, а, например, с ПК в интернет-кафе.
  5. Не пользоваться функцией браузера «Сохранить пароль». Сохраняемые регистрационные данные повышают риск кражи в разы. Не стоит лениться, не стоит жалеть нескольких минут времени на ввод пароля и логина в начале каждой сессии. 
  6. После веб-сёрфинга — посещения соцсетей, форумов, чатов, сайтов — удалять сохранённые куки и очищать кэш браузера. 
  7. Регулярно обновлять браузеры и антивирусное ПО. 
  8. Пользоваться браузерными расширениями, защищающими от XSS-атак (например, NoScript для FF и Google Chrome).
  9. Периодически менять пароли в аккаунтах. 
 
И самое главное — не теряйте бдительность и внимание во время отдыха или работы в Интернете!
 
Читать дальше: