dxdt.ru: занимательный интернет-журнал

Даже технически подкованные пользователи часто уверены, что для того, чтобы увести пароль от некоторого “электронного кошелька” на компьютере обязательно должен сработать вирус (троян). Понятно, что такой технически подкованный пользователь не использует Windows, поэтому полагает, что и вируса у него на компьютере быть не могло (что, впрочем, не до конца верно, но это уже другая история). А кошелёк кто-то посторонний использовал.

При этом, хоть “вирусный метод” – самый массовый, есть и другие способы перехвата паролей. Правда, для того, чтобы они сработали, требуется наличие архитектурных особенностей в системе авторизации “кошелька” (платёжной системы). Так, в теории, злоумышленники могут поломать DNS-сервера интернет-провайдера, изменить адресацию, и в результате клиенты этого провайдера станут вместо настоящего сайта платёжной системы попадать на фишерский сервер, собирающий пароли. При этом домен, для клиентов атакованного провайдера, останется тем же. Если клиент работает через веб и не обучен правильному использованию HTTPS, если не используются дополнительные методы аутентификации (обоюдной), то – всё пропало. Метод с подменой DNS может работать и для специализированных приложений (например, iPhone и т.п.), если они не проводят дополнительной аутентификации.

Есть открытые сети Wi-Fi – тут всё и так понятно. Есть ещё подсадные Wi-Fi сети: тут уже и не только DNS, но и IP-адрес подменить можно. Особенно эффективно для приложений в смартфонах, пользователи которых готовы работать через любую обнаруженную сеть.

Или вот хуже сценарий: прослушивать трафик, идущий к серверам платёжной системы, могут на каком-то другом участке сети, хоть бы и непосредственно в дата-центре (с соседних серверов), если там сетевое оборудование настроено с ошибками и админы мух не ловят. Если ключи/пароли не шифруются, или шифруются с ошибками, то доступ могут увести. Массово. Впрочем, тут уже не будет вины пользователя. Независимо от его технической грамотности/неграмотности.

А основная неприятность-то тут в том, что в пользовательском соглашении наверняка сказано: владелец кошелька “сам виноват” во всех действиях, совершённых с использованием его пароля. Даже если этот пароль передаётся по сетям в открытом виде, потому что так плохо устроена авторизация. При этом для подробного аудита системы авторизации сервиса, которым хочет воспользоваться рядовой интернетчик, уже одной только технической грамотности никак не хватит, нужен ещё и доступ соответствующий.

Адрес записки: https://dxdt.ru/2011/08/10/3950/