Рыбалка окончена, или Обновка для Internet Explorer

Февраль 2004 г. для Internet Explorer вновь начался с критических обновлений. После того как был опубликован ряд уязвимостей в программном продукте и предложена некая "альтернативная" заплатка, позволяющая искоренить одну из проблем, компания Microsoft решила несколько изменить поддержку универсальных идентификаторов URL в своем броузере.

"Я взял мотыля и пошел на рыбалку..."

Этому решению компании предшествовал ряд весьма интересных событий в мире сетевой безопасности. Термин phishing появился в "американском" английском для обозначения новых схем жульничества, служащих для того, чтобы выманить у пользователей номера их кредитных карточек и пароли доступа к банковским счетам в онлайне (phishing -- умышленно искривленный вариант слова fishing, что переводится с английского как рыбалка).

В роли рыбака здесь выступает мошенник, заинтересованный в получении доступа к онлайн-счету пользователя или к номеру его кредитки. Разумеется, просто так важные финансовые номера на незнакомых сайтах никто оставлять не будет, а схемы, при реализации которых мошенники открывали фальшивые электронные магазины, уже давно известны даже начинающим пользователям Internet. Автором такой схемы разрабатывается новый сайт, практически полностью повторяющий элементы дизайна крупного банка или онлайнового аукциона. На странице, по оформлению напоминающей сайт крупного финансового учреждения, обычно представлена информация о необходимости "подтверждения личных данных" (среди которых, разумеется, присутствует и номер банковской карточки). Поля формы, естественно, вовсе не ведут на сервер банка или онлайн-предприятия, а заботливо отсылаются мошеннику, после чего пользователь перенаправляется на официальный сайт, так как его миссия считается законченной.

Особенности национальной адресации

Поскольку разместить у себя на сервере подобную страницу крупный банк вряд ли согласится, хостинг обычно приходится искать самому. И здесь на помощь приходит одна особенность URL, о которой рядовому пользователю известно мало. Символы @ и : могут содержаться в адресе сайта, разделяя комбинацию имени, пароля и собственно адреса. То есть адрес user: password@ www.server.com на самом деле направит Web-броузер на www.server.com, где и попытается автоматически авторизировать пользователя с именем user и паролем password. Это удобно для создания закладок в броузере, прямых ссылок на конкретные учетные записи на сервере, а также экономит время тех, кто хочет набрать всего одну строку и получить доступ к закрытым ресурсам.

Именно такой функциональностью и злоупотребляли мошенники, подставляя в качестве пользовательского имени адрес известного сайта, не забывая за знаком @ дописывать свой URL или IP-адрес сервера. Получалось, что адрес www.paypal [email protected] на самом деле ведет не к странице финансовой компании PayPal, а в данном случае -- к локальному Web-серверу пользователя. При условии же реального применения "phishing" -- к серверу злоумышленника.

Организации ранга PayPal, eBay, US Bank и Bank of America становились невольными жертвами подобных махинаций, когда путем массовой рассылки от их имени отправлялись приглашения "подтвердить свою информацию". Последние атаки были особенно издевательскими -- не успел Президент США в одном из своих регулярных посланий к Конгрессу упомянуть о необходимости принятия закона Patriot Act для борьбы с терроризмом и отмыванием денег, как в почтовые ящики пользователей тут же посыпались "банковские" письма, требующие подтверждения информации в соответствии с Patriot Act.

При пожаре наберите %01

Опытный человек усмехнется и подумает, что на такую уловку мало кто попадется. Между тем провайдер электронной почты Tumbleweed Communications утверждает, что на подобные электронные сообщения, разосланные спамерами, реагируют около 5% пользователей. По данным сайта Anti-Phishing.org, который занимается, как нетрудно догадаться, борьбой со всевозможными phishing-схемами, в предрождественский период активность мошенников выросла на 400%. На сайте можно увидеть и примеры таких электронных сообщений. Большое количество обманутых пользователей объясняется тем, что в некоторых случаях получателям говорится, что с их кредитной карточки была снята определенная сумма для оплаты телефонных или коммунальных платежей, а также кабельного ТВ. Привыкшие к такой безалаберности операторов американцы возмущенно идут по ссылке, чтобы проверить состояние своего счета, в порыве эмоций указывая все важные данные в полях формы неизвестного происхождения.

В январе 2004 г. датская компания Secunia опубликовала у себя на сайте описание уязвимости в Internet Explorer, которое позволяло злоумышленнику маскировать фальшивые адреса URL под настоящие. Если в какой-то момент в адресную строку броузера впечатать набор символов %01, то все последующие не отображаются, хотя и интерпретируются Web-броузером. Проще говоря, адрес www.paypal.com%[email protected] в Microsoft Internet Explorer выводился бы как абсолютно легальный www.paypal.com, а вот реальный сервер скрывался бы под тем IP-адресом или URL, который следовал после символа @. Такое поведение броузера могло бы привести к дикому скачку phishing-схем.

Обновление 832894, выпущенное Microsoft 2 февраля 2004 г., впервые за долгое время радикально изменило интерпретацию адресов в броузере. Internet Explorer 5.01 и более новые теперь перестали распознавать знаки @ в адресной строке. Это создает определенные проблемы для сайтов, которые раздавали уникальные URL типа [email protected] для бесплатного хостинга и закрытых аккаунтов, однако подобная практика, благо, не считается общепринятой.

Internet Explorer 2004

Выпуск обновлений был в целом позитивно воспринят сетевой общественностью, до этого довольно жестко критиковавшей Microsoft за отсутствие должной скорости реакции на проблемы такого масштаба.

Между тем компания становится все более заинтересованной в продвижении продукта, распространение которого не приносит ни единого цента и который на рынке Web-броузеров и так занимает отнюдь не последние позиции. Известная в Сети фигура Роберт Скобл (Robert Scoble) -- на сегодняшний день он работает в Microsoft и ведет один из наиболее популярных Web-дневников Scobleizer -- 14 января опубликовал свой отчет о встрече с командой разработчиков, занимающихся Microsoft Internet Explorer.

"Дверь открыта. Чего вы хотите от Internet Explorer? Помните, что если вы предлагаете какую-то функцию, я буду говорить с вами как менеджер компании. Почему? Потому что тогда вы будете более реалистичны. Перед командой стоят действительно трудные задачи, и я этого не понимал, пока мне не показали, какой нежелательный эффект могут вызвать изменения даже базовой функциональности", -- написал Скобл, приглашая к диалогу. В своем отчете он также обозначил проблемы, с которыми приходится сталкиваться команде: "Обновления в области безопасности особенно проблематичны. Вам со стороны так не покажется, но движок Internet Explorer работает в нескольких ОС, поддерживает десятки разных языков и внедрен в тысячи сторонних приложений. Мы меняем одну строку и потенциально ломаем кучу программ. Команда такой вариант всегда отбрасывает. Поэтому если что-то и будет меняться, то только с учетом пожеланий наших клиентов".

Можно надеяться, что нововведения среди Web-броузеров в этом году не будут ограничены заплатами и обновлениями, связанными с безопасностью.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365