Az SPI Dynamics kutatója, Billy Hoffman a szombati ShmooCon konferencián mutatta be az általa kifejlesztett hálózati auditáló eszközt, melyet Jikto névre keresztelt. A program teljes egészében JavaScript nyelven íródott, és a különféle webes sebezhetőségek kihasználásával lehetőség nyílik arra, hogy hackerek gyanútlan felhasználók számítógépéről indítsanak támadási kísérleteket.
Az úgynevezett hálózati auditáló eszközök szakemberek körében igen hasznos segédprogramok, hiszen segítségükkel felfedezhetők a hálózatot veszélyeztető esetleges sebezhetőségek. Rossz kezekben azonban kártékony célokra is fel lehet őket használni, egy-egy támadás előtt a hackerek általában ilyen programokkal térképezik fel a terepet.
A most kifejlesztett Jikto különlegessége, hogy a webes sebezhetőségek kihasználásával szinte bárkinek a gépéről indítható egy hálózati szkennelés – csupán a kódot tartalmazó weboldalra való ellátogatásra kell rábírni az áldozatot, majd az egész folyamat a háttérben fut le.
Hoffman eredeti tervével ellentétben nem publikálta a Jikto forráskódját, mivel ezzel komoly veszélynek tenné ki az internetes közösséget. „Egyelőre összpontosítsunk ezen JavaScript sebezhetőségre és a figyelemfelkeltésre. Tudatosítanunk kell az emberekben a veszélyt.”
A segédprogram képes számos biztonsági rés felfedésére, majd a gyűjtött adatok visszaküldésére. Hoffman szerint akár banki weboldalak mögött működő adatbázisok feltörésére is alkalmas lehet a szoftver, habár ehhez természetesen kihasználható hibák egész sorának kell lennie az adott webes alkalmazásban.
A ShmooCon résztvevőit csalódtak a kód nyilvánosságra hozásának elmaradása miatt, az egyik látogató a ZDNet riporterének meg is jegyezte: „Ha egy valaki el tudta készíteni a programot, akkor mások is meg fogják tenni azt. Csak idő kérdése, és meg fog történni.”
Gyorsmentesítés
![[origo] Legfrissebb](i/fejlec_origolegfrissebb.gif){kind=small}
