Alvorlige angreb mod web-giganter bruger ny teknik

I løbet af en uge har der været rettet to alvorlige angreb mod Google Desktop. Angrebene er meget avancerede og er begge nye eksempler på, hvordan lyssky personer udnytter de web-baserede applikationer, vi installerer på vores klienter. Det er blot toppen af isbjerget, siger en sikkerhedsekspert.

I sidste uge blev søgegiganten Google udsat for et angreb på deres populære klientapplikation Google Desktop.

Hullet kunne via et JavaScript, give en ondsindet hjemmeside eller person mulighed for, at læse indhold på ofrets harddisk, herunder dokumenter, mediefiler eller e-mails.

Angriberne udnyttede et Cross Site Scripting-hul (XSS) i Google Desktop, som opstår fordi applikationen ikke forsvarligt kan behandle det output, som efter et angreb indeholder ondsindet kode.

Google fik hurtigt lukket hullet med en opdatering, men i går blev søgeapplikationen igen udsat for et overgreb, der kan give angribere adgang til alle de data, der er indekseret af programmet.

Denne gang er der tale om et anti-DNS pinning-angreb, der ligeledes gør det muligt for en angriber at ændre i den destination, som Google Desktop sender informationer via nettet.

I stedet for at sende informationerne til web-tjenesten, kan en ondsindet person ændre stien således at informationerne sendes til en maskine, der er udvalgt af angriberen.

Derved kan vedkommende tiltvinge sig adgang til alle de data, der er blevet bearbejdet af Google Desktop.

Google er langt fra de eneste

Problemerne opstår på grund af den tætte integration, som programmer bygger mellem klienter og internettet. En applikationstype, der vinder mere og mere frem på verdens computere.

"XSS-baserede angreb kan på grund af den tætte integration mellem desktop-applikationer og web-applikationer, få optimale muligheder for at afvikle kode igennem en sårbar applikation, som i dette tilfælde Google Desktop," siger sikkerhedsekspert Peter Kruse fra firmaet CSIS.

"Denne type angreb vil vi se mange flere af i takt med, at applikationerne bliver mere komplekse," siger han.

Google er således langt fra den eneste virksomhed, der står overfor dette problem.

Husk opdateringerne

Et andet eksempel på et lignende angreb ramte den sociale netværkstjeneste MySpace.com i december. Ved angrebet blev der blandt andet stjålet et hav af MySpace log-in-informationer.

"Det er uhyre svært at beskytte sig mod denne type angreb og for at højne sikkerheden kræves det, at der indbygges mere intelligens i programmerne," siger Peter Kruse.

"Brugerne skal være opmærksomme på, at hvis de vælger at bruge denne type applikationer står de overfor et sikkerhedsproblem, som er svært at beskytte sig i mod."

Anbefalingen lyder på, at man skal tænke sig godt om før man installere en web-baseret applikation og jo mere kompleks applikationen er, jo større er faren for at den bliver udnyttet.

Desuden skal man være opmærksom på nye opdateringer og installere dem så hurtigt som mulig.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere