Prototypowy wyjątkowo niebezpieczny kod

Firma SPI Dynamics zapowiedziała, że pokaże pierwszy skrypt skanujący witryny internetowe, który jednocześnie pozwala cyberprzestępcy na zainfekowanie przeglądarki ofiary oraz znacząco skraca czas potrzebny na wyszukiwanie błędów na stronach WWW.

Do infekcji dochodzi, gdy użytkownik odwiedzi witrynę, na której umieszczono specjalny kod JavaScript. Zarażona przeglądarka znajduje się wówczas pod kontrolą cyberprzestępców i zostaje wykorzystana do skanowania innych witryn, w celu znalezienia w nich luk. Dzięki takiej strategii działania, które dotychczas zajmowały przestępcom całe dnie czy tygodnie (takie jak np. poszukiwanie witryn podatnych na ataki XSS czy szukanie dziurawych serwerów SQL), "mogą zostać wykonane w ciągu kilku godzin, ponieważ zostają w to zaangażowane setki komputerów na całym świecie" – mówi Billy Hoffman z SPI Dynamics.

"Jeśli ktoś użyje tego typu technologii, jest w stanie narobić więcej szkód. Większość ludzi nie zauważy, że skrypty skanują stronę WWW. Jednak cyberprzestępcy prawdopodobnie już pracują nad podobnymi aplikacjami, których użyją do przeprowadzenie wielkich ataków" – dodaje Hoffman.

Do pokazu prototypowego skanera dojdzie podczas konferencji Shmoocon, w czasie której Hoffman wygłosi odczyt. Planuje on połowę czasu poświęcić na uświadomienie słuchaczom, jak niebezpieczne, w epoce Web 2.0, stały się ataki typu XSS. "Możliwości JavaScriptu rozszerzyły się. Problem w tym, że twórcy stron internetowych zostali dwa, trzy lata za specjalistami ds. bezpieczeństwa" – uważa Hoffman. Użytkownicy takich stron niewiele mogą zrobić, ponieważ oprogramowanie antywirusowe nie wyłapie szkodliwego kodu do którego nie ma sygnatur. "JavaScrip posiada możliwości przepisania kodu podczas działania. To bardzo dynamiczny proces i bardzo trudno jest stworzyć bazującą na sygnaturach ochronę przed JavaScriptem" – twierdzi Hoffman. Andrew Storm z firmy nCircle uważa, że twórcy oprogramowania antywirusowego nie są obecnie zapewnić ochrony przed skanerem Hoffmana. "Obecnie żaden producent oprogramowania zabezpieczającego nie poinformował, że potrafi wykrywać tego typu zagrożenia. Wiele aplikacji sieciowych wykorzystuje JavaScript, a więc najprostsza metoda obrony, czyli wyłączenie JavaScriptu, upośledza wydajność i jest nie do zaakceptowania przez wiele przedsiębiorstw" – mówi Storm.

Źródło: ArcaBit