Лекция: Злонамеренные аплеты и сценарии

Элементы ActiveX представляют собой небольшие программы, включаемые в HTML-код Web-страницы для придания ей интерактивных возможностей. При загрузке браузером Web-страницы программа, реализующая элемент ActiveX, запускается и выполняет свои функции. Ясно, что для хакера нет лучшей возможности для проникновения в компьютер Web-путешественника, чем загрузка браузером хакерского ActiveX, поскольку программный код ActiveX имеет те же права доступа к информационным ресурсам, что и учетная запись пользователя браузера.

Для защиты клиентов Интернета от такой угрозы создатель технологии ActiveX — компания Microsoft — включила в механизм обработки элементов ActiveX проверку цифровых сертификатов, которые присваиваются каждому официально зарегистрированному элементу ActiveX уполномоченными организациями (например, Verisign Corporation). И если параметры безопасности Web-браузера настроены корректно, то автоматический запуск не сертифицированных элементов ActiveX будет исключен — как минимум, пользователю будет отображаться сообщение о загрузке потенциально опасного элемента ActiveX.

Теоретически, такой механизм обеспечения безопасности выглядит безупречно, однако, как показывают исследования, проводимые отдельными специалистами в области компьютерной безопасности (интересные результаты можно найти на сайте www.guninski.com), на практике все обстоит далеко не так гладко. Причина тому — ошибки реализации и беспечность пользователей, которые часто не обращают внимания на мелькающие сообщения о загрузке не сертифицированных ActiveX и соглашаются на их загрузку, не думая о последствиях.

С элементами ActiveX связаны многие возможности хакинга клиентов Интернета, и множество примеров можно найти на сайте www.guninski.com. Обсудим некоторые из этих возможностей, отобрав их по принципу полезности для достижения желанной цели — доступу к информационным ресурсам компьютера.