Jikto: Code des Javascript-Scanners veröffentlicht

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Jikto: Code des Javascript-Scanners veröffentlicht

    pcwelt.de schreib am 3.4.2007:

    Jikto: Code des Javascript-Scanners veröffentlicht

    Ende März stellte der Sicherheitsexperte Billy Hoffman auf einer Hacker-Konferenz ein Javascript-Tool namens Jikto vor. Das Programm ist in jedem Browser lauffähig und kann einem Anwender über speziell präparierte Web-Seiten untergeschoben werden. Danach scannt es alle vom Anwender besuchten Websites automatisch auf Sicherheitslücken und meldet diese gegebenenfalls an seinen Herrn und Meister. Der Code dieses Tools, der, wenn er in die falschen Hände geraten sollte, mächtigen Schaden anrichten könnte, ist nun veröffentlicht worden.

    Dummheit oder Naivität? Diese Frage stellt sich unweigerlich, wenn man sich vor Augen führt, wie der Code von Jikto an die Öffentlichkeit geraten konnte. Denn bei dessen Präsentation betonte sein Entwickler Hoffman noch, diesen nicht veröffentlichen zu wollen, da dieses Werkzeug in den Händen von Malware-Autoren beträchtlichen Schaden verursachen könnte . Zwar kann das Tool in seiner derzeitigen Version nur nach Schwachstellen wie XSS (Cross-Site-Scripting) suchen, es wäre aber laut Hoffman auch möglich, direkt Exploit-Code in Jikto einzubinden, den das Tool dann gezielt bei lückenhaften Sites anwenden könnte.

    Für die Veröffentlichung des Codes verantwortlich waren aber nicht etwa Personen, die sich in die Rechner von Hoffman gehackt haben, sondern ein Teilnehmer der Sicherheitskonferenz Shmoocon . Denn bei der Präsentation von Jikto war kurz die URL zu sehen, von der aus Jikto geladen wurde, wie Hoffman erklärte. Zeit genug für den Teilnehmer Mike Schroll, die URL in sein Notebook zu tippen und Jikto herunter zu laden. Schroll ist Sicherheits-Consultant bei der Firma Security Management Partners.

    Danach veröffentlichte Schroll den Code auf seiner Website und reichte einen entsprechenden Link bei Digg.com ein. Nach ein paar Stunden nahm Schroll den Code auf Bitten von Hoffman wieder Offline. In dieser Zeit sei der Code etwa 100 Mal heruntergeladen worden, so Schroll.

    Schroll erklärte, er habe den Code veröffentlicht, da er annahm, dass er auch für andere Sicherheits-Experten nützlich sei, um zu demonstrieren, wie gefährlich eine Scripting-Attacke sein kann. "Ich war sehr daran interessiert, da wir gerade mit einigen Kunden daran arbeiten, gefälschte Phishing-Seiten zu erstellen. Ich wollte nicht schändlich oder bösartig sein", so Schroll.

    Nun ist das Kind - oder besser der Code - aber in den Brunnen gefallen und weitere Links auf selbigen sind in diversen, einschlägigen Foren aufgetaucht. Entsprechend alarmiert zeigen sich Sicherheitsexperten wie Jeremiah Grossman, CTO bei Whitehat Security: "Dieses spezielle Tool wurde dafür erstellt, die Kontrolle über den Webbrowser zu übernehmen. Es wird andere Websites scannen und auf Sicherheitslücken überprüfen." Malware-Autoren könnten mit Hilfe von Jikto - oder einer Weiterentwicklung - beispielsweise komplette interne Netzwerke auf sensible Daten hin überprüfen oder Botnet-Code einbinden.

    Obwohl es anders zu erwarten wäre, ist Hoffman nicht sonderlich verärgert über die Veröffentlichung des Codes. Er ist vielmehr der Ansicht, dass Kriminelle ein ähnliches Tool ebenfalls hätten entwickeln können, wenn vielleicht auch erst in einigen Monaten. In Richtung Schroll meint Hoffman: "Er hat getan, was wahrscheinlich jede neugierige Person getan hätte. Ich kann niemand dafür verurteilen, neugierig zu sein, denn das bin ich auch in meinem Job."


    zwar bin ich spät dran, aber ich hab bei euch noch nichts dergleichen gesehen! :D
    Tja, dann werden wirs mal weiter spreaden ;)

    5 DL-Mirrors erstellt von *slimer*. BIG THX an dich! :D

    Links gits bei mir - keine öffentlichen DL-Posts ;)

    Lg RamesV
  • Hi,

    hab mal ne frage dazu. (ob ich das richtig gerafft hab)

    Das ist ein Tool das Webseit nach Sicherheitslücken abscannt ?
    Und die Gefahr der veröffentlichung liegt darin, das Maleware herrsteller das is ihren gram "einbauen" können so das die teile direkt Seiten scannen können um ne lücke zu finden durch die, die dann durchkönnen ??

    :confused: :confused:

    mfg
    useless
  • du hast es ziemlich auf den Punkt gebracht.

    Das "gefährliche" daran ist, dass Malware-Hersteller auch in PVNs und LANs eindringen können, sobald nur ein PC des Netzes auf eine infizierte Seite kommt.
    So könnten derartige User z.B. das Surfverhalten einer gesamten Firma ausleuchten, ohne das Firmennetzwerk im klassischen Sinn zu hacken.

    Derzeit arbeiten bereits einige aus der Scene daran, den Code 1. unschädlich zu machen und 2. für ihre Zwecke zu benutzen.

    Lg
  • Ich sags mal so ... die Lücken sind da; ob sie das Tool jetzt findet oder nicht und bekanntermaßen sollte man sich nicht auf Security by Obscurity verlassen.

    Vielmehr sollten die Betreiber und Programmierer der Webseiten versuchen auf Sicherheit zu achten, sicher ist das nicht immer einfach, aber ich wetter mit ETWAS Know-How kann man 99% der Lücken schließen und vermeiden.

    Sicher gibt es immer wieder irgendwelche 0-Day privaten Exploits über die man aus der ferne Code einschleußen und ausführen kann, aber sich darauf zu verlassen das die niemand in die Hände bekommt ist der falsche Weg.