Zweischneidiges Schwert in Javascript
Auf einer Hacker-Konferenz hat ein Sicherheitsforscher einen von ihm entwickelten Scanner für Sicherheitslücken in Websites vorgestellt, der komplett in Javascript realisiert ist und sich fremder PCs bedienen kann.
Javascript ist eine für Web-Maßstäbe recht alte Technik, die sich jedoch im Rahmen des Web-2.0-Hypes großer Beliebtheit erfreut. Darauf basierende Techniken wie AJAX (Asynchronous Javascript and XML) eröffnen durch ihre Datenbankanbindung neue Möglichkeiten für Angriffe auf Datenbanken. Um solche Schwachstellen in Web-Anwendungen aufzuspüren, hat Billy Hoffmann vom Sicherheitsunternehmen SPI Dynamics ein Werkzeug auf Basis von Javascript entwickelt.
Wie im Blog seines Arbeitgebers angekündigt, hat Hoffman sein Tool namens "Jikto" am letzten Wochenende auf der Hacker-Konferenz Shmoocon vorgestellt. Jikto kann in einer unauffälligen Web-Seite eingebaut und in den Browser von Besuchern geladen werden. Dort verbleibt es und sucht bis zum Beenden des Browsers in vom Benutzer besuchten Websites nach Sicherheitslücken. Diese kann es dann an seinen Herrn und Meister melden.
Bislang kann Jikto nur nach Schwachstellen wie XSS (Cross-Site Scripting) suchen. Zukünftige Versionen sollen auch direkt Exploit-Code einbinden und anwenden können. Ziel ist es laut Hoffman, die Web-Programmierer zu mehr Code-Pflege und sorgfältigerem Programmieren zu erziehen. Jikto soll also für so genannte Penetrationstests eingesetzt werden, wie sie SPI anbietet.
Hoffman betont allerdings, er werde den Quelltext von Jikto nicht veröffentlichen. Das ist einerseits eine gute, andererseits aber auch eine schlechte Nachricht. Gut ist daran, dass dieses Werkzeug nicht so ohne Weiteres in die Hände von Malware-Autoren gelangen kann. Schlecht ist hingegen, dass ohne genauere Kenntnis dieses Tools auch kaum Abwehrmöglichkeiten entwickelt werden können, die das Laden von Jikto in den Browser ahnungsloser Internet-Nutzer verhindern könnten.
Der Name "Jikto" ist von einer ähnlichen Software namens "Nikto" abgeleitet, die jedoch nicht in Javascript sondern in Perl realisiert ist. Nikto kann somit nicht in einen Browser geladen werden. Jikto ist allerdings keineswegs das erste Tool seiner Art. So ist etwa mit "AttackAPI" ein Javascript-Framework schon länger öffentlich verfügbar, auf dem bereits verschiedene Angriffswerkzeuge basieren.
Das generelle Abschalten von Javascript, mit der Firefox-Erweiterung Noscript immerhin differenziert möglich, ist derzeit der einzig wirksame Schutz vor solchen zweischneidigen Tools. Die noch in einem frühen Entwicklungsstadium befindliche Firefox-Erweiterung Firekeeper, eine Art IDS/IPS auf Snort-Basis, könnte einen brauchbaren Ansatz liefern.
