Антифишинг как шпион

Антифишинг как шпион

Защиту иногда можно использовать и для нанесения вреда. Наиболее сложно отличить одно от другого в условиях современного Интернет, в котором не всегда понятно кто получает выгоду от собираемой информации и кому, собственно, наносится вред.

С точки зрения пользователей путь его движения с одного сайта на другой является конфиденциальной информацией, поскольку восстановив этот путь можно получить очень много информации о предпочтениях посетителя - эту информацию в некоторых случаях можно использовать против самого пользователя. В то же время рекламные системы в Сети как раз и стараются собирать эти данные для целенаправленного показа баннеров и других маркетинговых сообщений. Однако если такая информация где-то собирается, то она может быть оттуда украдена, а сами пользователи об этом дажеи не узнают.

В то же время современные Web-технологии настолько сложны, что не всегда можно понять ее потенциальные возможности и опасности. Например, в различных системах защиты есть технология черных списков, которая позволяет блокировать некоторые угрозы такие как спам, фишинг и загрузка вредоносного содержания. Сейчас подобные черные списки превратились в репутационные базы, которые используются в большинстве защитных систем. В то же время технология этих репутационных баз может быть использована в том числе и для сбора данных о перемещении пользователей по Интернет.

Дело в том, что система антифишинга должна перед загрузкой данных по определенную URL вначале проверить его репутацию в базе данных. Для этого традиционно используется очень компактный запрос к базе, содержащий URL ресурса, на который пользователь собирается попасть, а в ответ система сообщает уровень опасности запрашиваемого URL. Однако пользователь такой системы не всегда знает сохраняется ли предыстория его обращений к репутационной базе или нет. А такая предыстория и является тем самым путем пользователя по Интернет, важность которого обсуждалась выше. Если же такая история сохраняется, то подобная система и позволяет ее владельцам получать данные о перемещении пользователей по Интернет. То есть репутационную технологию всегда можно использовать как такой своеобразный шпион.

В качестве примера можно привести сервиc Google Safe Browsing, который предназначен для защиты от фишинга и сейчас интегрирован в браузеры Google Chrome и Mozilla Firefox.Скорее всего именно этот компонент многие исследователи воспринимают как шпиона, поскольку браузеры регулярно отсылают запрашиваемые браузером URL на центральный сервер системы. Однако важно, что Google собирает и анализирует полученные таким образом URL и использует их как для поиска (посылает по полученным адресам своего поискового робота), так и для настройки рекламы Adwords. То есть компания действительно использует антифишинговую технологию, которую они совместно создали с разработчиками Firefox, для контроля за действиями пользователей.

Наиболее опасны такие действия компании из-за интеграции этого механизма с поисковой системой. Дело в том, что когда Google индексирует URL, полученные от системы антифишинга, то часто они попадают на так называемый "приватный Интернет", который пользователи не всегда открывают широкой публике, но надеются на то, что эти данные злоумышленники найдут не скоро. Однако поисковик сильно упрощаеи ускоряет поиск такой приватной информации. Конечно для поисковика такой ценный источник сведений очень важен - он позволяет роботам проникнуть в такие уголки, в которые традиционным способом анализа ссылок попасть невозможно. Это, например, могут быть личные архивы или закрытые сайты, доступ к которым ограничен. В то же время технология FTP, с помощью которой часто организуют доступ к файловым хранилищам, в некоторых случаях позволяет получить доступ даже к закрытым файлам если пользователь точно укажет его URL. В результате, с помощью Google можно проникнуть даже в такие места, которые традиционно недоступны из открытого Веб. А ведь разрабатывалась система для защиты от фишинга, а получилось... как всегда.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru