20 марта, 2007 год.

Компьютерные аналитики нашли путь, которым хакеры могут заставить компьютер выполнять их грязную работу,
без ведома самих хозяев ПК.

Это стало возможным с появлением новой программы под названием Jikto. Программа написана на
JavaScript и она позволяет заставить компьютер жертвы искать дыры на вебсайтах, рассказывает создатель
Jikto - Билли Хоффман (Billy Hoffman), аналитик компьютерной фирмы SPI Dynamics. Хоффман собирается
представить своё творение публике на ShmooCon hacker event (что-то на подобии собрания андеграунда,
подробнее можно почитать здесь - _http://shmoocon.org/) в Вашингтоне.

"Этот релиз решительно меняет представление о том, какие вещи можно вытворять при помощи JavaScript",
говорит Хоффман. "Jikto превращает любой ПК в небольшой робот, который начнет атаковать сайты и отправлять
результаты мне."

К такого вида уязвимости хакеры проявили особый интерес. Хотя такие уязвимости как XSS и SQL-injection
известны в течении многих лет и до сих пор они эксплуатируются.

Jikto представляет из себя сканер уязвимостей. Он может незаметно для пользователя проверять вебсайты
на наличие уязвимостей и отправлять результаты третьим лицам (т.е. хакерам - прим.). Код Jikto может
быть встроен в сайт хакера или взломанный сайт и использовать уязвимость XSS.

Сканеры уязвимостей сами по себе - не новость. Хакеры часто используют подобные инструменты для
нахождения "дыр" в системах и получения таким образом доступа к ним. Jikto очень похожа на Nikto,
программу-сканер, очень популярную среди хакеров. Разница в том, что Nikto - стандартная программа
для ПК, в то время как Jikto запускается в веб браузере и исполняет задачи по поиску дыр на
многих компьютерах одновременно.

Jikto может искать стандартные уязвимости и может соединяться с хозяином для получения инструкций
о том какой сайт сканировать и на какую уязвимость. Например Jikto может быть запрограммирована
на поиск SQL-injection уязвимостей на вебсайтах банков.

"Половина взлома - это процесс собирания информации о жертве и сортирование её. Хакер теперь может
распределить эту задачу между несколькими людьми (зараженными компьютерами - прим.).", заявил Хоффман.
Также вебсайт не сможет определить личность самого хакера, т.к. атака будет вестись с разных компьютеров
и соответственно и с разных адресов.

Jikto - интересный пример того, как можно использовать JavaScript, но традиционные сканеры уязвимостей более
эффективны, говорит Фёдор Васкович, создатель сканера уязвимостей Nmap, программа широко
используемая для нахождения "дыр".

"Этот JavaScript слишком медленен для выполнения такого рода задач", говорит Фёдор. "Для сокрытия нападения
и нападавшего использование Jikto может быть и действенно, но если смотреть правде в глаза, то
хакеры могут просканировать вебсайт намного быстрее и также незаметно используя цепь из прокси-серверов."

Т.к. Jikto написана на JavaScript, язык широко распотраненный, она будет запускаться в большинстве
веб браузеров без единой ошибки и предостережения. Пользователь, натолкнувшийся на страницу, со встроенным
Jikto, скорее всего даже не поймет что случилось. Программа будет работать ровно столько, сколько открыт
браузер и перестанет, когда браузер закроют без каких-либо следов или ущерба.

Этим Jikto и отличается от ботнетов. Компьютер попадает в ботнет через троян или бэкдор.
Пользователи с обновленным браузером, хорошим анти-спамом и обновленным антивирусом и фаерволом
защищены от попадания в ботнет.

"Как пользователь вы мало что можете сделать против Jikto или других JavaScript уязвимостей.", говорит Хоффман.
"Я сейчас не говорю о трояне или обычном бэкдоре. И что самое страшное - антивирус вам не поможет."

JavaScript играет главную роль в Web 2.0. Но и много уязвимостей связано с ним (с JavaScript - прим.),
и это может привести к резкому росту веб аттак такого рода, заявляют специалисты по безопасности.

Сейчас Jikto только находит уязвимости. В настоящее время Хоффман работает над новой версией, которая
будет ещё и использовать уязвимости и красть информацию. Эта версия, возможно, будет представлена
на конференции Black Hat в Лас Вегасе этим летом.

(с) _http://news.zdnet.com/