Взлом куки (cookies): действие и противодействие
Cookies (куки) — информация в виде текстового файла, сохраняемая на компьютере пользователя веб-сайтом. Содержит данные об аутентификации (логин/пароль, ID, номер телефона, адрес почтового ящика), пользовательские настройки, статус доступа. Хранится в профиле браузера.
Взлом куки — это кража (или «угон») сессии посетителя веб-ресурса. Закрытая информация становится доступной не только отправителю и получателю, но и ещё третьему лицу — человеку осуществившему перехват.
Инструменты и методы взлома куки
У компьютерных воров, как и у их коллег в реале, помимо навыков, сноровки и знаний, конечно же, есть и свой инструментарий — своеобразный арсенал отмычек и щупов. Ознакомимся с наиболее популярными хитростями хакеров, которые они применяют для выуживания куки у обывателей сети Интернет.
Снифферы
Специальные программы для отслеживания и анализа сетевого трафика. Их название происходит от английского глагола «sniff» (нюхать), т.к. в буквальном смысле слова «вынюхивают» передаваемые пакеты между узлами.
Сниффер может быть и вредной, и полезной утилитой, смотря кто им пользуется — хакер или сетевой администратор. На службе «сил добра» он помогает выявлять сетевые атаки, организованные посредством зловредного ПО, детектировать паразитный трафик, искусственно создающий нагрузку на каналы связи и соединения.
А вот злоумышленники при помощи сниффера перехватывают сессионые данные, сообщения и другую конфиденциальную информацию. Объектом их атак становятся в основном незащищённые сети, где куки пересылаются в открытой HTTP-сессии, то есть практически не шифруются. (Наиболее уязвимы в этом плане публичные Wi-Fi.)
Для внедрения сниффера в интернет-канал между узлом пользователя и веб-сервером используются следующие методы:
- «прослушивание» сетевых интерфейсов (хабов, свитчей);
- ответвление и копирование трафика;
- подключение в разрыв сетевого канала;
- анализ посредством специальных атак, перенаправляющих трафик жертвы на сниффер (MAC-spoofing, IP-spoofing).
XSS-атака
Аббревиатура XSS означает Cross Site Scripting — межсайтовый скриптинг. Применяется для атаки на веб-сайты с целью похищения данных пользователя.
Принцип действия XSS заключается в следующем:
- злоумышленник внедряет вредоносный код (специальный замаскированный скрипт) на веб-страницу сайта, форума либо в сообщение (например, при переписке в соцсети);
- жертва заходит на инфицированную страницу и активирует установленный код на своём ПК (кликает, переходит по ссылке и т.д.);
- в свою очередь приведённый в действие зловредный код «извлекает» конфиденциальные данные пользователя из браузера (в частности, куки) и отправляет их на веб-сервер злоумышленника.
Для того, чтобы «вживить» программный XSS-механизм, хакеры используют всевозможные уязвимости в веб-серверах, онлайн-сервисах и браузерах.
Все XSS-уязвимости разделяются на два типа:
- Пассивные. Атака получается методом запроса к конкретному скрипту веб-страницы. Вредоносный код может вводиться в различные формы на веб-странице (например, в строку поиска по сайту). Наиболее подвержены пассивному XSS ресурсы, на которых отсутствует при поступлении данных фильтрация HTML-тегов;
- Активные. Находятся непосредственно на сервере. И приводятся в действие в браузере жертвы. Активно используются мошенниками во всевозможных блогах, чатах и новостных лентах.
Хакеры тщательно «камуфлируют» свои XSS-скрипты, чтобы жертва ничего не заподозрила. Меняют расширение файлов, выдают код за картинку, мотивируют пройти по ссылке, привлекают интересным контентом. В итоге: пользователь ПК, не совладавший с собственным любопытством, своей же рукой (кликом мышки) отправляет куки сессии (с логином и паролем!) автору XSS-скрипта — компьютерному злодею.
Подмена куки
Все куки сохраняются и отправляются на веб-сервер (с которого они «пришли») без каких-либо изменений — в первозданном виде — с такими же значениями, строками и другими данными. Умышленная модификация их параметров называется подменна куки. Другими словами говоря, при подмене куки злоумышленник выдаёт желаемое за действительное. Например, при осуществлении платежа в интернет-магазине, в куки изменяется сумма оплаты в меньшую сторону — таким образом происходит «экономия» на покупках.
Украденные куки сессии в соцсети с чужого аккаунта «подкладываются» в другую сессию и на другом ПК. Владелец украденных кук получает полный доступ к аккаунту жертвы (переписка, контент, настройки страницы) до тех пор пока, она будет находится на своей странице.
«Редактирование» кук осуществляется при помощи:
- функции «Управление cookies... » в браузере Opera;
- аддонов Cookies Manager и Advanced Cookie Manager для FireFox;
- утилиты IECookiesView (только для Internet Explorer);
- текстового редактора типа AkelPad, NotePad или блокнота Windows.
Физический доступ к данным
Очень простая схема по реализации, состоит из нескольких шагов. Но действенна лишь в том случае, если компьютер жертвы с открытой сессией, например Вконтакте, оставлен без присмотра (и достаточно надолго!):
- В адресную строку браузера вводится функция javascript, отображающая все сохранённые куки.
- После нажатия «ENTER» они все появляются на странице.
- Куки копируются, сохраняются в файл, а затем переносятся на флешку.
- На другом ПК осуществляется подмена куки в новой сессии.
- Открывается доступ к аккаунту жертвы.
Как правило, хакеры используют вышеперечисленные инструменты (+ другие) как в комплексе (поскольку уровень защиты на многих веб-ресурсах достаточно высок), так и по отдельности (когда пользователи проявляют чрезмерную наивность).
XSS + сниффер
- Создаётся XSS-скрипт, в котором указывается адрес сниффера-онлайн (собственного изготовления либо конкретного сервиса).
- Вредоносный код сохраняется с расширением .img (формат картинки).
- Затем этот файл загружается на страницу сайта, в чат, либо в личное сообщение — туда, где будет осуществляться атака.
- Привлекается внимание пользователя к созданной «ловушке» (здесь в силу уже вступает социальная инженерия).
- Если «ловушка» срабатывает, куки из браузера жертвы перехватываются сниффером.
- Взломщик открывает логи сниффера и извлекает похищенные куки.
- Далее выполняет подмену для получения прав владельца аккаунта посредством вышеперечисленных инструментов.
Защита cookies от взлома
- Пользоваться шифрованным соединением (с использованием соответствующих протоколов, и методов обеспечения безопасного сёрфинга).
- Не реагировать на сомнительные ссылки, картинки, заманчивые предложения ознакомиться с «новым бесплатным ПО». В особенности от незнакомых людей.
- Пользоваться только доверенными веб-ресурсами.
- Завершать авторизированную сессию, нажатием кнопки «Выход» (а не просто закрывать вкладку!). Особенно, если вход в аккаунт выполнялся не с личного компьютера, а, например, с ПК в интернет-кафе.
- Не пользоваться функцией браузера «Сохранить пароль». Сохраняемые регистрационные данные повышают риск кражи в разы. Не стоит лениться, не стоит жалеть нескольких минут времени на ввод пароля и логина в начале каждой сессии.
- После веб-сёрфинга — посещения соцсетей, форумов, чатов, сайтов — удалять сохранённые куки и очищать кэш браузера.
- Регулярно обновлять браузеры и антивирусное ПО.
- Пользоваться браузерными расширениями, защищающими от XSS-атак (например, NoScript для FF и Google Chrome).
- Периодически менять пароли в аккаунтах.
И самое главное — не теряйте бдительность и внимание во время отдыха или работы в Интернете!