Hálózati átvilágítás JavaScripttel

Internetes biztonsági szakértők felfedezték, hogyan lehet JavaScript használatával feltérképezni egy otthoni vagy céges hálózatot, és támadást indítani az ott található eszközök ellen.

Az ártó szándékú JavaScipt kód beágyazható egy weboldalba anélkül, hogy egy szokványos böngésző bármi figyelmeztetést is adna annak megtekintésekor. A SPI Dynamics szakemberei szerint a tűzfalak és más biztonsági óvintézkedések is hatástalanok maradnak, mivel a program a böngészőn belül fut.

"Felfedeztünk egy olyan technikát, amellyel átvilágíthatóvá és támadható válik a kiszemelt hálózat, illetve a benne megtalálható összes webre kötött eszköz. Ráadásul így akár a tűzfalak mögötti céges hálózatok is elérhetőek" - tájékoztatott Billy Hoffmann, az SPI Dynamics webbiztonsági cég vezető-mérnöke a ZDNet oldalán. Hoffmann szerint egy ilyen jellegű támadással a behatoló feltérképezheti az áldozat routerét, majd az elküldött utasítások segítségével akár a felhasználó vezetéknélküli internethozzáférését is engedélyezheti, és kikapcsolhat minden védelmet, de belső támadásnak látszó külső behatolások is indíthatóak egy vállalat szervei ellen.

"A felhasználó böngészője révén belső hálózatokba is be lehet törni" - nyilatkozta Jeremiah Grossmann, a webes biztonsági alkalmazásokat fejlesztő WhiteHat Security technológiai vezetője. A két vállalat szinte egyszerre fedezte fel a JavaScript alapú "hálózat-röntgent", így a héten Las Vegas-ban megrendezésre kerülő, Black Hat elnevezésű, netbiztonság-technikai eseményen megosztják egymással tapasztalataikat.

Habár a JavaScript már jóideje alkalmas ilyen jellegű támadásokra, Fyodor Vaskovich, a népszerű Nmap port scanner alkotója szerint, a biztonsági szakemberek elsősorban a webböngészők hiányosságaira koncentrálnak, mivel ezekre gyorsabban és egyszerűbben írhatók különböző ártalmas programok.