Sikkerhetsekspert slapp løs skadelig kode

Et nytt hackerverktøy spres nå på nettet. Det er skrevet og lekket av to ansatt i sikkerhetbrasjen.

3. apr. 2007 - 09:03

Under hacker-konferansen ShmooCon i slutten av mai, demonstrerte sikkerhetsforskeren Billy Hoffman, som er ansatt i SPI Dynamics, en måte å skrive en sårbarhetsskanner i JavaScript. Teknikken gjorde det mulig å omgå sikkerhetsrestriksjoner i JavaScript-implementeringene og å oppnå tilgang til blant annet nettleserbrukerens filsystem.

Nettopp av den grunn valgte Hoffman bare å vise fram koden, ikke å publisere den. Men for å demonstrere bruken av Jikto, som verktøyet kalles, var Hoffman nødt til å legge koden ut på nettet. URL-en til koden skal ha blitt vist fram for publikum et øyeblikk, noe som skal ha vært nok til at Mike Schroll, en sikkerhetskonsulent i Security Management Partners, fanget den opp og publiserte den på nettstedet Digg.com allerede den 25. mars.

Der ble den liggende i noen få timer inntil han ble bedt av Hoffman om å fjerne den igjen. I mellomtiden var programvaren blitt lastet ned omtrent hundre ganger. I helgen dukket koden opp igjen i ulike diskusjonsfora.

Ifølge IDG News Service advarer sikkerhetseksperter nå om at Jikto kan misbrukes av kriminelle til å skanne interne nettverk for sensitiv informasjon eller til å bygge kode for et ondsinnet botnet.

- Dette verktøyet er designet for å ta kontroll over nettleseren. Det vil også gjennomsøke andre websider for å se etter sårbarheter, sier Jeremiah Grossman, teknologisjef i WhiteHat Security, til IDG News Service.

Hoffman er på sin side ikke så veldig opprørt over utgivelsen.

- Det er en tragedie at den endte opp med å bli utgitt, men i virkeligheten visste nok de slemme folkene allerede om denne metoden. Og selv om de ikke gjorde det, var de sannsynligvis bare et par måneder unna å få det til, mener Hoffman. Hele koden skal være på omtrent 800 linjer.

Hoffman skriver i dette blogginnleggetom utgivelsen og hans tanker rundt dette.

Schroll, også kjent under kallenavnet LogicX, har publisert sin versjon av historien på denne siden.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.