Google-søket er det viktigste verktøyet til mange utviklere og systemadministratorer. Det fungerer som kollektiv hukommelse for hvordan man bruker egenskapene og funksjonaliteten i språkene og kommandoene man benytter, men også for å lete opp eksempler på kildekode eller kommandoer som man har behov for for å utføre spesifikke oppgaver.
Det aller meste har noen andre gjort tidligere, og ofte har dette blitt omtalt i en eller annen sammenheng i webbaserte fora. Det gjelder bare å søke med riktige stikkord.
Så snart man har funnet svaret på det man leter etter, vil det gjerne være enkelt å kopiere den aktuelle koden eller kommandoen på websiden, for deretter å lime den rett inn i et utviklerverktøy eller terminalvindu.
Hva kan vel gå galt? Ganske mye
Bleeping Computer omtalte denne uken et blogginnlegg skrevet av Gabriel Friedlander, gründeren av Wizer, en tjeneste for opplæring i sikkerhetsbevissthet. I blogginnlegget omtales en metode som kan gi den informasjonssøkende litt mer enn det vedkommende ber om.
Det er ingenting nytt ved metoden, men trolig er den lite kjent for andre enn webutviklere. Det er derfor grunn til å advare om den.
Når man markerer og kopierer en tekst på en webside, er det ikke gitt at det er den markerte teksten som faktisk kopieres over i utklippstavlen. Det kan være noe helt annet, slik det demonstreres i videoen nedenfor. Utklippsfunksjonen i nettleseren kan manipuleres med noen få linjer med Javascript.
Som det vises i videoen, kan den skjulte kommandoen som kopieres over i utklippstavlen, umiddelbart bli kjørt dersom man limer den inn i terminalvinduet. Dette kan trolig gjøres så raskt at brukeren ikke egentlig ser hva som skjer.
Mulige mottiltak
For å forhindre dette anbefaler Friedlander at man ikke limer noe man har kopiert fra weben direkte inn i terminalvinduet. I stedet kan man først lime det inn i Notepad eller annet tekstverktøy. Da ser man om det faktisk er den markerte teksten som har blitt kopiert.
Det er også mulig å sette inn tegnet «#» i terminalen før man limer inn noe. Da «kommenteres» kommandoen ut, og ingenting vil bli kjørt før man fjerner tegnet igjen. Dette forutsetter dog at det man kopierer, ikke innledes med et linjeskift.
Ifølge Friedlander er det også mulig å konfigurere mange terminaler slik at de ikke automatisk kjører en kommando dersom det man limer inn, inneholder et linjeskifttegn («\n»).
Det samme kan selvfølgelig også gjøres med kildekode. Også da kan det lures med uønsket kode, men det vil ikke bli kjørt umiddelbart. Forhåpentligvis vil alle utviklere faktisk sjekke at koden de har limt inn, er den ønskede, slik at de ikke inkluderer kode som er ondsinnet.
Faren for å oppleve noe sånt, er nok ikke så stor på de mest kjente foraene, som Stack Overflow. Verre er det med helt ukjente nettsteder, som kan være satt opp nettopp for å være en angrepsplattform.
Denne skadevaren skjuler seg i pikslene til bildefiler
