Computerworld News Service: På Black Hat-sikkerhedskonferencen i Las Vegas i denne uge vil udviklere fra blandt andet Ernst & Youngs Advanced Security Center og NGS Software fremvise et stykke software, der potentielt kan stjæle online-brugerdata fra populære websider som Facebook, eBay og Google.
Software-angrebet er baseret på en ny type af hybrid-fil, der minder om forskellige ting i forskellige programmer. Ved at lægge disse filer ud på websider, der lader brugerne uploade egne billeder, kan man omgå sikkerhedssystemerne og overtage brugernes konti på disse sider.
"Vi har været i stand til at udvikle en Java-applikation, der er et billede," siger John Heasman, vice president for research hos NGS Software.
Filtypen kaldes GIFAR, en sammentrækning af de to benyttede filtyper, GIF (graphics interchange format) og JAR (Java Archive).
På Black Hat-konferencen vil udviklerne vise, hvordan man kan lave en GIFAR-fil, et par nøgleelementer udelades dog så filtypen ikke kan bruges umiddelbart i et stort angreb.
For en web-server vil GIFAR-filen ligne en .gif-fil på en prik, men browserens Java virtual machine vil åbne den som JAR-fil og køre den som en applikation. Det giver angriberen en mulighed for at køre Java-kode i offerets browser, der behandler den skadelige applikation, som om den var skrevet af websidens udviklere.
Sådan foregår angrebet
Angrebet vil se sådan her ud: Hackeren laver en profil på en af de populære websider som for eksempel Facebook. Dernæst uploades en GIFAR som et billede på websiden.
Derefter vil offeret blive snydt til at besøge en skadelig webside, der kan give offerets browser besked om at åbne GIFAR-filen.
Når det er sket, kører den skadelig applikation i browseren, og hackeren har adgang til offerets Facebook-konto.
Den type angreb vil kunne lade sig gøre på enhver hjemmeside, der tillader brugerne at uploade billeder, og måske endda også på sider der bruges til at uploade "banking card photos" eller amazon.com, fortæller udviklerne.
Eftersom GIFAR-filen bliver åbnet af Java, kan de blive åbnet i mange forskellige typer browsere.
Der er dog et men. Offeret skal nemlig være logget ind på den webside, der hoster billedet, for at angrebet skal have nogen effekt.
"Angrebet vil virke bedst der, hvor du logger ind i en længere periode," siger John Heasman fra NGS Software.
Sådan undgås angrebet
Der er dog et par måder at modvirke GIFAR-angreb.
Websider kan forstærke deres filterværktøjer, så de kan spotte hybrid-filerne. Alternativt kan Sun stramme Java runtime-miljøet op for at forhindre GIFAR-angreb.
Udviklerne forventer da også, at Sun vil komme med en opdatering kort efter demonstrationen på Black Hat-konferencen.
Men udviklerne mener dog ikke, at en Java-opdatering vil lukke for lignende angreb, men derimod at problemet med skadeligt indhold placeret i web-applikationer vil bestå.
"Der vil være andre måder at gøre det på, med andre teknologier," siger GIFAR-udvikler Nathan McFeters fra Ernst & Youngs Advanced Security Center.
"På lang sigt vil web-applikationer komme til at tage kontrol over indholdet," siger han.
"Det er et web-applikationsspørgsmål. Java-angrebet, som vi bruger nu, er blot en måde."
Udviklerne kalder indlægget på Black Hat-konferencen for The Internet is Broken.
"I sidste ende vil browser-producenterne også blive nødt til at lave nogle fundamentale ændringer i deres software," siger Jeremiah Grossman, chief technology officer hos WhiteHat Security.
"Det er ikke internettet, der er noget galt med," siger han med henvisning til titlen på Black Hat-indlægget.
"Det er browser-sikkerheden, der er noget i vejen med. Browser-sikkerhed er i virkeligheden et oxymoron (stilistisk figur bestående af to modsatte begreber, for eksempel det hvide mørke, red.)."
Oversat af Thomas Jensen
