CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

JavaScript kode siver ud på nettet

Software, der kan vende din browser mod dig, er lagt ud på nettet, efter den blev kopieret af en deltager, der var hurtig på aftrækkeren ved sidste måneds Shmoocon hacker-konference.

3. april 2007 kl. 16.01
Robert McMillan Robert McMillan

Computerworld News Service: Et farligt program er kommet i omløb på nettet, efter den i en vældig fart blev kopieret fornylig.

Softwaren hedder Jikto og er skrevet af Billy Hoffman, ledende forsker hos Spy Dynamics.

Han demonstrerede koden 24. marts som en del af en præsentation om farerne ved JavaScript-malware.

Virker som en scanner

Billy Hoffmans software virker som en slags scanner, der finder sårbarheder i JavaScript – et programmeringssprog der kan køre på alle browsere.

Teknikken lister sig uden om JavaScripts sikkerhedsrestriktioner, og fordi han var bekymret for at koden skulle blive misbrugt, tog Billy Hoffman også ekstra forholdsregler for at beskytte den fra at slippe ud.

Men for at demonstrationen skulle virke var han nødt til at bruge Jikto-koden.

"I få sekunder kunne vi se den originale URL til Jikto-koden,” siger Billy Hoffman.

Og det var nok for konferencedeltager Mike Schroll, som snuppede en kopi.

"Jeg sad ret tæt på scenen og havde allerede min laptop fremme,” siger Mike Schroll, der er sikkerhedskonsulent for Security Management Partners.

"I det øjeblik jeg så den, gik jeg bare i gang med at taste løs.”

Link på Digg.com[
Mike Schroll offentliggjorde koden på sin hjemmeside den 25. marts og lagde desuden et link til koden ud på Digg.com.

Han fjernede softwaren flere timer senere, fordi Billy Hoffman bad ham om det.

Mike Schroll siger, at han lagde koden ud, fordi han mener, at den er nyttig for andre sikkerheds-medarbejdere, der leder efter måder, hvorpå man kan illustrere, hvor farligt et script-angreb kan være.

"Jeg er selv ret interesseret i den, fordi vi nogle gange har at gøre med kunder, hvor vi laver falske phishing sider,” siger han. ”Jeg prøvede ikke på at være forbryderisk eller ondsindet.”

Hentet 100 gange

Softwaren blev hentet fra hans hjemmeside cirka hundrede gange, fortæller Mike Schroll.

Hen over weekenden er koden dukket op igen, denne gang på diskussionsforumet på Sla.ckers.org.

Nu hvor Jikto er offentligt tilgængelig, frygter sikkerhedseksperter, at koden bliver misbrugt af kriminelle.

"Lige præcis denne her kode er designet til at overtage en browser,” siger Jeremiah Grossman, teknisk direktør hos WhiteHat Security.

"Den vil kravle fra side til side og skanne dem og finde svagheder.”

Billy Hoffman er vred over udgivelsen af hans kode, men siger samtidig, at kriminelle kodere sikkert selv er i stand til at skrive noge,t der ligner hans korte 800-liniers applikation.

Han er dog ikke sur på Mike Schroll.

”Han gjorde det, som ethvert nysgerrigt menneske ville have gjort,” siger han.

”Jeg kan ikke rigtig bebrejde nogen for at være nysgerrige – det er jo det jeg selv lever af.”

Oversat af Ditte Thøgersen




Navnenyt fra it-danmarkVis alle »
Asger Lehmann Høj
Asger Lehmann Høj
Jonas Malmkjær Rosengren
Jonas Malmkjær Rosengren
Camilla Gyldendal Hildebrandt
Camilla Gyldendal Hildebrandt
Emil Kjeldgaard
Emil Kjeldgaard

Magnus Diamant
Magnus Diamant
Michael Brøgger Andersen
Michael Brøgger Andersen
John Henriksen
John Henriksen
Mikkel Lars Nikolajsen
Mikkel Lars Nikolajsen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Sådan vil AI-assistenten Microsoft Copilot transformere processer og dit arbejdsliv

Med Microsoft Copilot får du for første gang en intelligent, personlig assistent ved hånden, som kan løse opgaver og lette hverdagen. Få inspiration til, hvordan Copilot kan automatisere rutineopgaver og transformere din hverdag.

18. juni 2024 | Læs mere

Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

20. juni 2024 | Læs mere

Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Thomas Madsen
Thomas Madsen
Søren Bo Christiansen
Søren Bo Christiansen
Jonathan Løw
Jonathan Løw
Jim Nielsen
Jim Nielsen
Mogens Nørgaard
Mogens Nørgaard
Jens Monrad
Jens Monrad
Petter Glenstrup
Petter Glenstrup
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Det er så torskedumt at læggge ekstra-skatter på de billige el-biler fra Kina
Læs indlæg
Artikel teaser billede

Thomas Madsen

Skal vi satse på komponerbar eller konfigurerbar? Det er et af de store spørgsmål lige nu

Artikel teaser billede

Søren Bo Christiansen

Sådan køber du grøn it-drift uden at smadre hverken konkurrencen eller budgettet

Artikel teaser billede

Jonathan Løw

At bevæge ting med tankens kraft er nu blevet til virkelighed

Artikel teaser billede

Jim Nielsen

Sorte svaner kræver digital oprustning. Her er et bud på noget, der kan hjælpe SMV’erne

Mest læste klummer og blogs
At bevæge ting med tankens kraft er nu blevet til virkelighed
Klumme: Hvis vi som mennesker skulle flyve en helikopter rundt inde i en skov, så ville det også kræve en hel del træning, og på mange måder er det den samme rumlige træning, som AI lige nu er i gang med
Af: Jonathan Løw
Nørgaard: Cybertruslerne truer? Så lad os da holde nogle flere møder
Klumme: Vi trækker alt i langdrag, holder møder uden efterfølgende handling og opfatter en PowerPoint-præsentation som arbejde. Men så længe de leger med PowerPoint, gør DJØF’erne da i det mindste ikke skade udover at spilde andres tid. Og det er jo positivt.
Af: Mogens Nørgaard
Sorte svaner kræver digital oprustning. Her er et bud på noget, der kan hjælpe SMV’erne
Klumme: Hvad gør man, hvis man ikke har storbankens muskler og milliarder til at bekæmpe kriminalitet? Svaret er digitalt, men det kræver permanent fokus.
Af: Jim Nielsen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Det er så torskedumt at læggge ekstra-skatter på de billige el-biler fra Kina
opinion Mogens Nørgaard
Nørgaard: Cybertruslerne truer? Så lad os da holde nogle flere møder
Læs indlæg

Premium
Teaser billede
Virksomheder af en vis størrelse får det svært i AI-ræset: Men bestemte tiltag kan sende dem frem i feltet
Læs mere »
På Bornholm jagter Computerworld bekymret svar på det store spørgsmål
NIS2-implementeringen er nu i gang: Varsler omfattende tilsyn og store bøder
Staten mister i stor stil teknisk kyndige it-folk: Vigtig viden om samfundskritiske systemer overlades til konsulenter
Se alle »
Computerworld
Teaser billede
Prøvekørt: Polestar 3 er en rendyrket designer-bil, som er ude på at forføre dig
Læs mere »
Test af to nye robotplæneklippere: En dyr og en mere overkommelig
Her er de enheder der får det nye Apple AI – vil du have det, skal du nok ud og købe en ny iPhone
Test: Her er den smarte økonomi-robot til din græsplæne
Se alle »
CIO
Teaser billede
OUH's fynske hosting-leverandør på vej mod konkurs efter ransomware-angreb: Kan ikke genoprette ramte systemer
Læs mere »
Microsoft dropper ny funktion i Copilot få måneder efter lanceringen
CIO hos Alm. Brand rydder op i legacy-systemer og skaber en ny it-arkitektur: Stripper alt ned til standardkode for at sikre fremtiden
Vælg it-sikkerhed, hvis du gerne vil tjene mange penge: Disse cheftitler scorer de højeste lønninger i it-branchen
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Google fyrer hele sit Python-team
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Se alle »
White paper
Teaser billede
Guide: Sådan udvikler du en moderne netværksstrategi
Læs mere »
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Sådan høster du forretningsfordelene ved Internet of Things
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »