前言
本文描述 Internet
上的一种安全攻击,它可能侵害到 WWW 用户的隐私和数据完整性。这种攻击可以在现有的系统上实现,危害最普通的 Web
浏览器用户,包括 Netscape
Navigator 和 Microsoft Internet Explorer 用户。
允许攻击者创造整个 WWW 世界的影像拷贝。影像 Web 的入口进入到攻击者的 Web 服务器
,经过攻击者机器的过滤作用,允许攻击者监控受攻击者的任何活动 ,
包括帐户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的 Web 服务器,以及以任何 Web
服务器的名义发送数据给受攻击者。简而言之,攻击者观察和控制着受攻击者在 Web 上做的每一件事。
欺骗攻击
在一次欺骗攻击中,攻击者创造一个易于误解的上下文环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟 游戏 :
攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话,那么受攻击者所做的一切都是无可厚非的。但遗憾的是,在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。
欺骗攻击在现实的电子交易中也是常见的现象。例如,我们曾经听说过这样的事情 :
一些西方罪犯分子在公共场合建立起虚假的 ATM 取款机,该种机器可以接受 ATM 卡,并且会询问用户的 PIN
密码。一旦该种机器获得受攻击者的 PIN 密码,它会要么 “ 吃卡 ” ,要么反馈 “ 故障 ” ,并返回 ATM
卡。不论哪一种情况,罪犯都会获得足够的信息,以复制出一个完全一样的 ATM
卡。后面的事情大家可想而知了。在这些攻击中,人们往往被所看到的事物所愚弄 :ATM
取款机所处的位置,它们的外形和装饰,以及电子显示屏的内容等等。
人们利用计算机系统完成具有安全要求的决策时往往也是基于其所见。例如,在访问网上 银行
时,你可能根据你所见的银行 Web 页面,从该行的帐户中提取或存入一定数量的存款。因为你相信你所访问的 Web
页面就是你所需要的银行的 Web 页面。无论是页面的外观、 URL
地址,还是其他一些相关内容,都让你感到非常熟悉,没有理由不相信。但是,你很可能是在被愚弄。
Web
欺骗的两个组成部分
为了分析可能出现欺骗攻击的范围和严重性,我们需要深入研究关于 Web
欺骗的两个部分 : 安全决策和暗示。
安全决策
安全决策,这里指的是会导致安全问题的一类决策。这类决策往往都含有较为敏感的数据,也就是意味着一个人在做出决策时,可能会因为关键数据的泄露,导致不受欢迎的结果。很可能发生这样的事情
:
第三方利用各类决策数据攻破某种秘密,进行破坏活动,或者导致不安全的后果。例如,在某种场合输入帐户和密码,就是我们在此谈到的安全决策问题。因为帐户和密码的泄露会产生我们不
希望
发生的问题。此外,从 Internet
上下载文件也是一类安全决策问题。不能否认,在下载的文件当中可能会包含有恶意破坏的成分,尽管这样的事情不会经常发生。
安全决策问题无处不在,甚至在我们通过阅读显示信息做出决策时,也存在一个关于信息准确性的安全决策问题。例如,如果你决定根据网上 证券
站点所提供的证券价格购买某类证券时,那么你必须确保所接收信息的准确性。如果有人故意提供不正确的证券价格,那么不可避免地会有人浪费自己的财富。
暗示
WWW
站点提供给用户的是丰富多彩的各类信息,人们通过浏览器任意翻阅网页,根据得到的上下文环境来做出相应的决定。 Web
页面上的文字、图画与声音可以给人以深刻的 印象
,也正是在这种背景下,人们往往能够判断出该网页的地址。例如,一个特殊标识的存在一般意味着处于某个公司的 Web 站点。
我们都知道目标的出现往往传递着某种暗示。在计算机世界中,我们往往都习惯于各类图标、图形,它们分别代表着各类不同的含义。富有经验的浏览器用户对某些信息的反应就如同富有经验的驾驶员对交通信号和标志做出的反应一样。
目标的名字能传达更为充分的信息。人们经常根据一个文件的名称来推断它是关于什么的。 manual.doc
是用户手册的正文吗 ? 它完全可以是另外一个文件种类,而不是用户手册一类的文档。一个 microsoft.com
的链接难道就一定指向我们大家都知道的 微软 公司的
URL 地址吗 ? 显然可以偷梁换柱,改向其他地址。
人们往往还会在时间的先后顺序中得到某种暗示。如果两个事件同时发生,你自然地会认为它们是有关联的。如果在点击银行的网页时,
username
对话框同时出现了,你自然地会认为你应该输入你在该银行的帐户与口令。如果你在点击了一个文档链接后,立即就开始了下载,那么你很自然地会认为该文件正从该站点下载。然而,以上的想法不一定都是正确的。
如果你仅仅看到一个弹出窗口,那么你会和一个可视的事件联系起来,而不会认识到一个隐藏在窗口背后的不可视的事件。
现代的用户接口程序设计者花费很大的精力来设计简单易懂的界面,人们感受到了方便,但潜在的问题是人们可能习惯于此,不可避免地被该种暗示所欺骗。
上一篇:三招必杀技清除IE顽固病毒
下一篇:黑客Web欺骗的工作原理和解决方案(2)
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
