Naujas įrankis, pernelyg pavojingas,
kad būtų parodytas, gali paversti bet kurį kompiuterį su Windows, Mac ar Linux
sistema — ar bet kurį kitą įrenginį su naršykle — į tinklalapių užpuoliką.
kad būtų parodytas, gali paversti bet kurį kompiuterį su Windows, Mac ar Linux
sistema — ar bet kurį kitą įrenginį su naršykle — į tinklalapių užpuoliką.
Naujas įrankis, pernelyg pavojingas, kad būtų parodytas, gali paversti bet kurį kompiuterį su Windows, Mac ar Linux sistema — ar bet kurį kitą įrenginį su naršykle — į tinklalapių užpuoliką.
Įrankis, pavadintas Jikto, yra tinklo programų skaneris, ieškantis tarptinklalapinių scenarijų pažeidžiamumų. Billy Hoffman’as, SPI Dynamics saugumo tyrėjas, pademonstravo įrankio galimybes ShmooCon hakerių konvente kovo 24-ąją. Jikto, parašytas JavaScript kalba, gali prisitvirtinti prie naršyklės su įjungtu JavaScript’o palaikymu.
Tyliai įsiskverbęs ir veikiantis bet kurioje naršyklėje — kompiuteryje ar mobiliajame telefone — Jikto ieško tarptinklalapinių scenarijų spragų ir praneša apie tai trečiajai šaliai be naršyklės savininko žinios.
Ji gali daugintis į tinklalapius, turinčius tarptinklalapinių scenarijų spragų ir tada plisti, įsiskverbdamas į tuos tinklalapius aplankiusias naršykles. Tai yra tai, ko JavaScript neturėjo sugebėti daryti, bet, deja, jis tai gali, sakė Hoffman’as interviu, duotame eWEEK.
JavaScript yra ECMAScript standarto versija, sukurta Netscape’o ir paremta prototipiniu programavimu.
Dabar kontroliuojamas Mozilla Fondo, JavaScript geriausiai žinomas dėl tinklalapiuose klientui teikiamų interneto galimybių, pavyzdžiui, sukuria iššokančius langus, tikrina interneto formų įvestis ar pakeičia paveikslėlį, kai virš jo pereina pelės kursorius.
Interneto spragų ieškikliai žinomi jau septynerius metus. Tai daugiausia programos, įdiegtos į asmeninius kompiuterius. Jikto nereikia įdiegti į kompiuterį, nes jis parašytas JavaScript’u. „Jūsų naršyklė tiesiog aplanko puslapį ir jei puslapyje naudojamas JavaScript’as, ji gali pradėti skenuoti kitus tinklalapius, ieškodama spragų juose” pažymėjo Hoffman’as.
ShmooCon klausytojai, tarp kurių buvo Microsoft’o Internet Explorer’io komanda ir Mozillos — FireFox kūrėjos — atstovai, buvo šokiruoti sužinoję, ką piktavaliai gali padaryti su JavaScript’u, sakė Hoffman’as. „Tai gerai“ – pastebi saugumo ekspertas, — „Sudomindami juos, galime tuo pasinaudoti, atkreipdami didesnį dėmesį į tinklalapių pažeidžiamumų keliamą pavojų.”
Ši tarptinklalapinių pažeidžiamumų technika, kai užpuolikai įdiegia JavaScript į tinklalapį, naudojama vis plačiau.
Pastarasis JavaScript išnaudojimas įvyko, kai anksčiau kovo mėnesį, Windows Live Italy paieškos variklis buvo pažeistas nuorodų bombos, pateikusios 95 procentus atsakymų į „karštas“ užklausas, kaip nuorodas, vedančias į kenksmingos programinės įrangos puslapius.
Symantec pranešė, kad užšifruotas JavaScript nukreipdavo lankytojus. Kiti naujesni JavaScript išnaudojimo pavyzdžiai yra Yamanner virusas, atakavęs Yahoo Webmail sistemą ir Samy interneto kirmino ataka, nukreipta prieš MySpace, pastebi Hoffman’as. „Matėme interneto kirminų atakų, bet jie užkrėsdavo tik kompiuterines programas“.
Internetas patrauklus užpuolikams, nes jis visur esantis, taip padarantis atakas daug efektyvesnėmis, sakė Hoffman’as: taip galima atakuoti Windows’us, Linux’us, Mac’us, mobiliuosius telefonus, išmaninguosius telefonus ar bet ką, suprantantį JavaScript’ą.
„Galiu parašyti kenksmingą programą, apkrečiančią tik Windows’us ar tik Linux’us, arba galiu parašyti tai JavaScript’u ir užkrėsti visus.“
„JavaScript yra ribotų galimybių, bet per kelerius praėjusius metus žmonės atrado įvairių išmoningų triukų, kuriuos galima atlikti su JavaScript’u.“ Hoffman’as sakė eWEEK.
Hoffman’as iš pradžių norėjo paviešinti Jikto ShmooCon konvente, bet sakė persigalvojęs, kai suprato žalą, kurią gali padaryti šis įrankis.
„Esame linkę panaudoti jį kaip mokymo priemonę, parodančią kokie gali būti prasti popieriai,” sakė jis. Švietimas būtinas, nes daugelis jo pažįstamų svetainių kūrėjų nuo saugumo aktualijų atsilieka dvejais su puse iki trijų metų.
Nors kai kurie saugumo ekspertai atkreipė dėmesį į augantį tarptinklalapinių atakų skaičių, tik dabar jos pasidarė „labai labai pavojingomis“ pažymėjo Hoffman’as.
Kyla klausimas, kas gali ištaisyti naršykles, kad jos būtų atsparios atakoms, kokios buvo pademonstruotos su Jikto? Niekas, sako Hoffman’as, nes „nėra nieko fundamentaliai blogo IE ar Firefox naršyklėse.“
Nėra problemų ir su JavaScript’u. Bėda ta, kad JavaScript’as paprasčiausiai gali daryti veiksmus, kurie gali būti netinkamai panaudoti.
„Kai kurios jo galimybės leidžia jį naudoti netinkamai“. „Tai panašu į laužtuvą, kuriuo galiu įsilaužti į automobilį, bet jis tinka ir daugybei naudingų tikslų. JavaScript’as nėra blogis pats savaime. Tiesiog su juo galima daryti dalykus, kurių [JavaScript kūrėjai] nemanė, kad darysite.“
Didieji interneto žaidėjai, tarp jų Google, eBay, PayPal, Yahoo ir Mozilla Foundation jau buvo išnaudoti, kaip tarptinklalapinių scenarijų platformos dėl juose esančių spragų.
Kaip jos sprendžiamos didelėse kompanijose, analogiškai turėtų veikti ir mažesniosios, sakė Hoffman’as.
„Google ir Yahoo ir eBay ir PayPal, skiria milijonus, jei ne dešimtis milijonų iš pat pradžių kurdamos savo programas turėdamos galvoje jų saugumą,“ sakė jis. „Ir net jos daro klaidas. Tačiau didieji žaidėjai žiūri į tai rimtai. Smulkios ir vidutinės įmonės, susijusios su internetu, irgi turėtų žiūrėti rimtai. Jei interneto „banginiai“ daro klaidas, o juk jie tikrai ne kvaili, labai gali būti, kad klaidas darote ir jūs.”
Tai, kad SDI Dynamics nepaskelbė programos kodo, neturėtų raminti. Jei Hoffman’as žino apie galimybę panaudoti JavaScript’ą piktam, kaip parodė su Jikto, kiti tai gali atlikti taip pat sėkmingai.
Jikto yra labiau koncepcijos įrodymas, nei įrankis kaip toksai, sakė Hoffman’as
„Gana lengva atkurti mano darbą. Tai koncepcijos įrodymas, viso labo gal 900 eilučių kodo. Didžioji to dalis yra komentarai sau pačiam ir tarpai. Tai nebuvo labai sudėtinga.„Gal ir klystu, bet manau, ji pasitarnavo, parodant, kad „visi turi atsikratyti tarptinklalapinių scenarijų pažeidžiamumų,“. „Žmonės, manantys, kad tai nėra problema, turėtų pažvelgti į Google vykdomus veiksmus“, sakė jis.
