Pagina 1 van 1
Hackers demonstreren JavaScript-aanval op LAN
Geplaatst: 01 aug 2006, 19:28
door Blue-Sky
<img src="http://upload.userbase.be/upload/hack1_kl.jpg" align="left" width="110" height="92">
Hackers op de Blackhat Briefings-conferentie hebben een nieuwe aanvalsmethode ontwikkeld die middels JavaScript een webbrowser kaapt om daarmee het interne netwerk van bedrijven bloot te leggen.
Oprichter en technisch directeur Jeremiah Grossman van WhiteHat Security demonstreert op de bijeenkomst de nieuwe methode om intranetten van buitenaf te hacken. Deze is ook ontwikkeld door beveiligingsonderzoekers van SPI Dynamics. De nieuwe aanval vereist slechts het bezoeken van een speciaal opgezette webpagina met het malafide JavaScript.
Lees hierover meer
Bron: Datanews.be van 1 Augustus 2006
Geplaatst: 17 aug 2006, 13:25
door D3bian
Hmmm, nice to know, goeie post.
Direct ne keer gaan kijken hoe we ons netwerk kunnen beveiligen sé
Geplaatst: 17 aug 2006, 19:34
door deej
Stevige proxy met goeie (en liefst strenge) webfilter erop, geen admin rechten op de PCs van uw gebruikers en een goed netwerk security schema (waarom moet een gewone pc überhaupt aan de routers kunnen?) en je bent al een stap verder.
Het feit dat het met XSS moet gedaan vereist ook al interactie van de eindgebruiker. De vraag is ook hoe die malware naar buiten wil gaan? Ben je niet zeker dat je proxy alles onderschept zet dan nog een IPS / IDP achter je firewall of in je surf DMZ om heel het verkeer & backdoor connections te gaan analyseren en te blocken indien nodig.
Zo, da's weer een pak free consultancy weggegeven
.
Geplaatst: 17 aug 2006, 19:46
door sChutt
At above - pure gok maar jij laat de bakker het brood tot aan de deur brengen niet...?
- sChutt
Geplaatst: 17 aug 2006, 21:19
door deej
sChutt schreef:At above - pure gok maar jij laat de bakker het brood tot aan de deur brengen niet...?
- sChutt
Wel nee want hij is net om de hoek.
Geplaatst: 17 aug 2006, 21:25
door sChutt
Deej_1977 schreef:Wel nee want hij is net om de hoek.
THE RISK MAN!!! THE RISK!!!
- sChutt
Geplaatst: 17 aug 2006, 21:27
door deej
I know, living on the edge! Beroepsmisvorming.
Geplaatst: 17 aug 2006, 23:14
door D3bian
Haha, gasten, ik weet heus wel hoe ik een netwerk moet configgen en moe beveiligen
Geplaatst: 18 aug 2006, 09:58
door ubremoved_539
Deej_1977 schreef:Stevige proxy met goeie (en liefst strenge) webfilter erop, geen admin rechten op de PCs van uw gebruikers
Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.
Deej_1977 schreef:De vraag is ook hoe die malware naar buiten wil gaan? Ben je niet zeker dat je proxy alles onderschept
Gewoon op dezelfde manier als je normale gebruiker surft... via standaard HTTP verkeer dat je niet kan blokken want dan kan hij ook niet meer surfen !
Dit zijn de meest complexe security problemen omdat ze volledig werken binnen de mogelijkheden van de gebruiker.
Geplaatst: 18 aug 2006, 12:56
door BungaMan
het hoeft zo geen groot probleem te zijn. maak een aparte internet ruimte voor uw werknemers waar ze wat kunnen surfen. losgekoppeld van het bedrijfsnetwerk et voila
Geplaatst: 18 aug 2006, 13:02
door trobbelke
BungaMan schreef:het hoeft zo geen groot probleem te zijn. maak een aparte internet ruimte voor uw werknemers waar ze wat kunnen surfen. losgekoppeld van het bedrijfsnetwerk et voila
da's niet echt realistisch: ik gebruik het internet vrij veel in verband met het werk, 't is nogal onpraktisch als ik daarvoor dan een andere computer moet gaan gebruiken...
En probeer maar eens te zeggen aan uw directeur dat hij om z'n aandelenkoersen te bewonderen, een andere pc moet gaan gebruiken...
Geplaatst: 18 aug 2006, 16:53
door Ofloo
r2504 schreef:Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.
'k heb een handig tooltje in mijn firefox, dat noscript heet, .. het zorgt ervoor dat alleen sites die ik toevoeg js mogen gebruiken. Zoals met cookies..
https://addons.mozilla.org/firefox/722/
Geplaatst: 18 aug 2006, 17:11
door deej
r2504 schreef:Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.
Neen maar wel om de malware zich te laten installeren.
Deej_1977 schreef:De vraag is ook hoe die malware naar buiten wil gaan? Ben je niet zeker dat je proxy alles onderschept
r2504 schreef:Gewoon op dezelfde manier als je normale gebruiker surft... via standaard HTTP verkeer dat je niet kan blokken want dan kan hij ook niet meer surfen !
Vandaar dat ik zei: IPS of IDP. Die dingen kijken namelijk in de datastroom om de protocollen te analyseren en filteren er dus uit wat http is, wat skype is, wat P2P is en wat dus ook backdoor traffic is (door client-server respons te analyseren).
r2504 schreef:Dit zijn de meest complexe security problemen omdat ze volledig werken binnen de mogelijkheden van de gebruiker.
Niet correct. Professionnele proxies (dus geen squid) & IPS doen aan protocol decoding die hun toelaat veel dieper te gaan graven dan wat iedereen aanneemt. Trust me, verkeer op poort 80 kan vandaag voor 99% correct geclassificeerd worden en gestopt. Je moet alleen de juiste investeringen doen met voldoende kennis van zaken. Zelfs een moderne professionele firewall kan daar al heel ver in gaan. Maar uiteraard zal de gemiddelde homerouter gewoon poort 80 openzetten en geen applicatie-inspectie gaan doen.
Geplaatst: 18 aug 2006, 18:43
door crapiecorn
Deej_1977 schreef:r2504 schreef:Je kan moeilijk Java script gaan filteren, of de helft van de websites werken niet meer, en een gebruiker heeft heus geen admin rechten nodig om Java script te draaien in z'n browser, en al evenmin om een intranet server te bezoeken.
Neen maar wel om de malware zich te laten installeren.
Mijn vraag : wordt hier het javascript opzich als malware gezien of dient het als medium voor malware te installeren ? De werking hiervan interreseert me wel, alleen is het artikel niet zo echt uitgebreid
Geplaatst: 18 aug 2006, 19:02
door wem
Zoals ik het begrijp is het enige dat nodig is een webpagina met javascript in dat een bepaald gedrag vertoond.
Op zich is er dus geen onderscheid te maken tussen deze pagina met javascript, of een andere pagina met javascript, en daardoor kan het ook niet gefilterd worden.
Het "kapen" van de webbrowser is dus niet echt correct, vermits de webbrowser gewoon zijn werk doet, en niets uitvoerd dat niet de bedoeling was. Op de pc zal dus geen malware worden geïnstalleerd en de browser zal blijven functioneren als ervoor.
En eens van die slechte website af, zal het script ook stoppen met uitvoeren.
Dit valt dus niet zomaar te detecteren, maar is ook niet persé slecht voor de computer zelf (wel voor het netwerk, al wat eraan hangt, de permissies die het krijgt omdat het op het netwerk hangt enzo ...)