Mellékleteink: HUP | Gamekapocs
Keres

A böngészőn keresztül feltérképezhető és támadható a vállalati hálózat

Bodnár Ádám, 2006. július 31. 13:34
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Biztonsági szakértők olyan módszert fedeztek fel, amely a böngészőben futó JavaScriptek által képes feltérképezni egy otthoni vagy vállalati hálózatot és megtámadni a hálózati eszközöket. Az ártó szándékú JavaScriptet tetszőleges weboldalba be lehet ágyazni és amikor a felhasználó megnyitja az oldalt, a kód mindenféle figyelmeztetés nélkül lefut a böngészőben.

[HWSW] Biztonsági szakértők olyan módszert fedeztek fel, amely a böngészőben futó JavaScriptek által képes feltérképezni egy otthoni vagy vállalati hálózatot és megtámadni a hálózati eszközöket. Az ártó szándékú JavaScriptet tetszőleges weboldalba be lehet ágyazni és amikor a felhasználó megnyitja az oldalt, a kód mindenféle figyelmeztetés nélkül lefut a böngészőben.

Feltérképezés és támadás!

"Olyan technikát fedeztünk fel, amely feltérképezi a hálózatot, megvizsgálja az összes kapcsolódó eszközt és támadást intéz ellenük" -- mondta Billy Hoffman, az SPI Dynamics webes biztonsági cég rendszermérnöke. "Ez a technika lehetővé teszi a védett, például vállalati tűzfal mögött található hálózatok feltérképezését is." A támadók elméletileg képesek egyenként azonosítani az összekapcsolt hálózati eszközökat és aztán parancsokat küldeni nekik, vagy egy hálózat feltérképezése után támadást indítani a szerverek ellen.

"A böngészőn keresztül támadható a teljes belső hálózat" -- mondta Jeremiah Grossman, a WhiteHat Security műszaki igazgatója. A két cég egymástól függetlenül talált rá a sérülékenységre, amelyről bővebb beszámolót a héten Las Vegasban zajló Black Hat biztonsági konferencián tartanak. Szakértők szerint a módszer ellen szinte lehetetlen védekezni, illetve a rés befoltozása után számos webes alkalmazás sem működne.

A program először kiolvassa a PC belső hálózati címét, majd szabványos JavaScript parancsokkal és függvényekkel feltérképezi a belső hálózatot, beleértve az összes, hozzá kapcsolódó készüléket, mint amilyenek a nyomtatók, a routerek vagy akár az IP-telefonok. A BlackHat konferencián az SPI Dynamics be fog mutatni egy teljes támadást, amelynek során feltérképezik a hálózatot és behatolnak egy DSL-routerbe is, majd módosítják a beállításokat, végül átveszik az uralmat az egész hálózat fölött.

JavaScript-támadások hajnala

Bár már korábban is léteztek ártó szándékú JavaScriptek, a bűnözők nem igazán foglalkoztak velük, inkább a böngészők sérülékenységeire koncentráltak. Az elmúlt években készültek a hálózatot feltérképező JavaScriptek, de egyik sem volt olyan fejlett mint az SPI Dynamics által bemutatott megoldás. Az ilyen támadások ellen a PC-tulajdonosok nem is nagyon tudnak védekezni, a webszerverek üzemeltetőinek kell gondoskodnia arról, nehogy bűnözők feltörjék az oldalakat és az ártó szándékú kódot elhelyezzék benne.

Biztonsági szakértők szerint a JavaScript-alapú támadások még gyerekcipőben járnak, azonban az elkövetkező évek során egyre több és fejlettebb ártó kód megjelenése várható.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.