neprihlásený Nedeľa, 5. júla 2026, dnes má meniny Cyril, Metod
JavaScript môže napadnúť PC neprístupné z Internetu

DSL.sk, 31.7.2006


Bezpečnostní experti z IT-bezpečnostnej spoločnosti SPI Dynamics upozornili na nový typ útokov pomocou JavaScriptu, ktorý dokáže zaútočiť aj na PC, servery a zariadenia priamo neprístupné z Internetu.

Navyše súčasné antivírusové a iné ochrany zvyčajne nedokážu tomuto typu útoku zabrániť.

SPI Dynamics na konferencii Black Hat bude demonštrovať JavaScript kód umiestnený na bežných webových stránkach, po ktorých browsujú užívatelia plne aktualizovanými browsermi bez bezpečnostných chýb, ktorý dokáže pri prehliadaní scanovať, útočiť a infikovať iné zariadenia pripojené na rovnakej internej sieti.

Takýto JavaScript dokáže zaútočiť na zariadenia cez chyby v ich web serveroch, napadnuteľné sú tak napríklad intranetové webové servery, PC s bežiacimi webovými servermi, tlačiarne a routery, ktoré v súčasnosti prakticky vždy disponujú aj web rozhraním.

Tieto zariadenia pritom nemusia byť prístupné z Internetu, na ich zabezpečenie sa tak zvyčajne nekladie veľký prípadne žiadny dôraz.

SPI Dynamics podľa servera Zdnet bude demonštrovať na Black Hat konferencii takýto JavaScript kód, ktorý prehliadaním na plne zabezpečnom PC a prehliadači úspešne napadne a získa kontrolu nad slabo zabezpečeným DSL routerom užívateľa, na ktorý nie je možné priamo pristupovať z Internetu.

Podľa Fjodora Vaskovica, tvorcu známeho Nmap bezpečnostného nástroja, ktorý mal už možnosť nahliadnuť do kódu SPI Dynamics, je nový spôsob mimoriadne účinný a v najbližšej dobe mu nebude možné zabrániť bez obmedzenia funkčnosti viacerých webových stránok.



Najnovšie články:

Veľký výrobca LiFePO4 uviedol úložisko postavené na sodíkových článkoch
Začal postapokalyptický seriál od Apple
Pohybový senzor v lopte rozhodol o postupe na MS vo futbale
Intel výrazne zvýšil ceny najnovších desktopových procesorov
V Poľsku budú mať 2.4 GWh a v Nemecku 5.7 GWh batériové úložiská, na Slovensku máme 20 MWh
Konkurent Starlinku má už dosť satelitov pre spustenie služby
Pokuta 4.1 miliardy pre Google za zneužívanie Androidu platí, rozhodol najvyšší európsky súd
Nová verzia OpenWrt opravuje vážne zraniteľnosti, odporúčané upgradovať
Používanie Blu-ray skončí aj na hry pre PlayStation
IBM vyvinula výrobu 0.7-nm čipov


Diskusia:
                               
 

Preco neprichadzaju nikdy ziadne dobre spravy. Vzdy len dalsie chyby a dalsie sposoby hackovania a pod. Uz z toho zacinam byt smutny :( BLEEEEEEEEEEEE!!!!!
Odpovedať Hodnotiť:
 

Dobrá správa je, že už si informovaný a môžeš sa brániť ;)
Odpovedať Hodnotiť:
 

JUCHUUUUUUUUU!!! :)
Odpovedať Hodnotiť:
 

aj ked neni pravda ze AV systemy by tomu nedokazali zabranit... keby je vzorka v tom AV na PC s internetom ten by predsa nedovolil stiahnutie takeho skriptu...
Odpovedať Hodnotiť:
 

Skripty sa bez problemov stiahnu do PC a AV len kontroluje, na zaklade signature alebo heuristiky, ci tam nie je nejaky skodlivy kod. Sanca ze ho detekuje nikdy nie je 100%. Najlepsiu proaktivnu detekciu "zlych" skriptov podla AV-Comaparatives ma AVG 63%, takze najlepsou obranou je blokovanie skriptov v prehliadaci.
Odpovedať Hodnotiť:
 

existuje aj genericka detekcia a su aj heuristiky na skripty takze sanca chytit taky skodlivy kod je...
Odpovedať Hodnotiť:
 

sanca samozrejme je, ale ta detekcia vacsinou funguje, len ked sa utocny kod uz "rozvinie" a "utoci". len tam sa vie, co sa ma detekovat.

zatial co ked si tento javascript, ktory samotny asi nie je moc ako detekovat, stiahne skodlivy kod napriklad rovno gz enkodovany alebo nejak kodovany a za behu ho odkoduje alebo rovno gz posle inam, na tom samotnom PC sa sanca na jeho detekciu znizuje, kedze sa tam o nic nepokusi
Odpovedať Hodnotiť:
 

cool :)
Odpovedať Hodnotiť:
 

a ja si pamatam na ten clanok co popsoval o tom spame co si si akoze poslal z vlastnej mail adresy sebe.... a obsahoval iba akesi divne cisla.... vtedy sa tam rozoberalo ze to moze byt nejaky signal na nejaku apokalypsu virusovu........ no a uz je to tu nezistitelny kod a neucinna ochrana...


Odpovedať Hodnotiť:
 

Kua...ma to už sere....to už ozaj pomôže len nožnice zobrať a strihnúť ??
Ved sme tu bežné lamičky, nie IT kúzelníci, čo si to máme hodiť ??
Java script....nech žije !!!!

Odpovedať Hodnotiť:
 

pokial myslis odstrihnut snuru(net), tak co mam robit ja co mam wifi? ;)
Odpovedať Hodnotiť:
 

Zabal si dom do olova. To Ta ochrani este aj ked buchne korejska bomba :) Prezijes ako jediny Slovak a to vsetko vdaka JavaScriptu.
Odpovedať Hodnotiť:

Pridať komentár