Hackers demonstreren JavaScript-aanval op LAN

[Blue-Sky]

<img src="http://upload.userbase.be/upload/hack1_kl.jpg" align="left" width="110" height="92">Hackers op de Blackhat Briefings-conferentie hebben een nieuwe aanvalsmethode ontwikkeld die middels JavaScript een webbrowser kaapt om daarmee het interne netwerk van bedrijven bloot te leggen.


Oprichter en technisch directeur Jeremiah Grossman van WhiteHat Security demonstreert op de bijeenkomst de nieuwe methode om intranetten van buitenaf te hacken. Deze is ook ontwikkeld door beveiligingsonderzoekers van SPI Dynamics. De nieuwe aanval vereist slechts het bezoeken van een speciaal opgezette webpagina met het malafide JavaScript.

Lees hierover meer

Bron: Datanews.be van 1 Augustus 2006

[D3bian]

Hmmm, nice to know, goeie post.

Direct ne keer gaan kijken hoe we ons netwerk kunnen beveiligen sé

[deej]

Stevige proxy met goeie (en liefst strenge) webfilter erop, geen admin rechten op de PCs van uw gebruikers en een goed netwerk security schema (waarom moet een gewone pc überhaupt aan de routers kunnen?) en je bent al een stap verder.

Het feit dat het met XSS moet gedaan vereist ook al interactie van de eindgebruiker. De vraag is ook hoe die malware naar buiten wil gaan? Ben je niet zeker dat je proxy alles onderschept zet dan nog een IPS / IDP achter je firewall of in je surf DMZ om heel het verkeer & backdoor connections te gaan analyseren en te blocken indien nodig.

Zo, da's weer een pak free consultancy weggegeven .

[sChutt]

At above - pure gok maar jij laat de bakker het brood tot aan de deur brengen niet...?

- sChutt

[deej]

At above - pure gok maar jij laat de bakker het brood tot aan de deur brengen niet...?

- sChutt

Wel nee want hij is net om de hoek.

[sChutt]

Wel nee want hij is net om de hoek.

THE RISK MAN!!! THE RISK!!!

- sChutt

[deej]

I know, living on the edge! Beroepsmisvorming.

[D3bian]

Haha, gasten, ik weet heus wel hoe ik een netwerk moet configgen en moe beveiligen

[ubremoved_539]

Stevige proxy met goeie (en liefst strenge) webfilter erop, geen admin rechten op de PCs van uw gebruikers

Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.

De vraag is ook hoe die malware naar buiten wil gaan? Ben je niet zeker dat je proxy alles onderschept

Gewoon op dezelfde manier als je normale gebruiker surft... via standaard HTTP verkeer dat je niet kan blokken want dan kan hij ook niet meer surfen !

Dit zijn de meest complexe security problemen omdat ze volledig werken binnen de mogelijkheden van de gebruiker.

[BungaMan]

het hoeft zo geen groot probleem te zijn. maak een aparte internet ruimte voor uw werknemers waar ze wat kunnen surfen. losgekoppeld van het bedrijfsnetwerk et voila

[trobbelke]

het hoeft zo geen groot probleem te zijn. maak een aparte internet ruimte voor uw werknemers waar ze wat kunnen surfen. losgekoppeld van het bedrijfsnetwerk et voila

da's niet echt realistisch: ik gebruik het internet vrij veel in verband met het werk, 't is nogal onpraktisch als ik daarvoor dan een andere computer moet gaan gebruiken...
En probeer maar eens te zeggen aan uw directeur dat hij om z'n aandelenkoersen te bewonderen, een andere pc moet gaan gebruiken...

[Ofloo]

Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.

'k heb een handig tooltje in mijn firefox, dat noscript heet, .. het zorgt ervoor dat alleen sites die ik toevoeg js mogen gebruiken. Zoals met cookies..

https://addons.mozilla.org/firefox/722/

[deej]

Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.

Neen maar wel om de malware zich te laten installeren.

De vraag is ook hoe die malware naar buiten wil gaan? Ben je niet zeker dat je proxy alles onderschept

Gewoon op dezelfde manier als je normale gebruiker surft... via standaard HTTP verkeer dat je niet kan blokken want dan kan hij ook niet meer surfen !

Vandaar dat ik zei: IPS of IDP. Die dingen kijken namelijk in de datastroom om de protocollen te analyseren en filteren er dus uit wat http is, wat skype is, wat P2P is en wat dus ook backdoor traffic is (door client-server respons te analyseren).

Dit zijn de meest complexe security problemen omdat ze volledig werken binnen de mogelijkheden van de gebruiker.

Niet correct. Professionnele proxies (dus geen squid) & IPS doen aan protocol decoding die hun toelaat veel dieper te gaan graven dan wat iedereen aanneemt. Trust me, verkeer op poort 80 kan vandaag voor 99% correct geclassificeerd worden en gestopt. Je moet alleen de juiste investeringen doen met voldoende kennis van zaken. Zelfs een moderne professionele firewall kan daar al heel ver in gaan. Maar uiteraard zal de gemiddelde homerouter gewoon poort 80 openzetten en geen applicatie-inspectie gaan doen.

[crapiecorn]

Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.

Neen maar wel om de malware zich te laten installeren.

Mijn vraag : wordt hier het javascript opzich als malware gezien of dient het als medium voor malware te installeren ? De werking hiervan interreseert me wel, alleen is het artikel niet zo echt uitgebreid

[wem]

Zoals ik het begrijp is het enige dat nodig is een webpagina met javascript in dat een bepaald gedrag vertoond.
Op zich is er dus geen onderscheid te maken tussen deze pagina met javascript, of een andere pagina met javascript, en daardoor kan het ook niet gefilterd worden.
Het "kapen" van de webbrowser is dus niet echt correct, vermits de webbrowser gewoon zijn werk doet, en niets uitvoerd dat niet de bedoeling was. Op de pc zal dus geen malware worden geïnstalleerd en de browser zal blijven functioneren als ervoor.
En eens van die slechte website af, zal het script ook stoppen met uitvoeren.

Dit valt dus niet zomaar te detecteren, maar is ook niet persé slecht voor de computer zelf (wel voor het netwerk, al wat eraan hangt, de permissies die het krijgt omdat het op het netwerk hangt enzo ...)