上个月的Shmoocon黑客会议上,一位思维敏捷的与会者下载了某种软件,它能够将网络浏览器变成无意识的黑客工具,之后就有人在网上公布了该软件。 该软件被称为Jikto,是由Spy Dynamics的首席研究员Billy Hoffman编写的。3月24日,Hoffman在一篇关于JavaScript恶意软件威胁的演讲中展示了这些代码。 众所周知JavaScript是一种能够在任何浏览器上运行的语言,Hoffman发现了一种用JavaScript编写的扫描网络漏洞软件的方法。该技术能够规避JavaScript的安全限制,为防止这项技术被滥用,Hoffman说他采取了额外措施来防治代码泄露。 但是,为了进行演示,他不得不将Jikto代码发布到网上。“人们只能简短地看到Jikto代码所在的原始URL地址。” 然而,这些信息已经足够与会者Mike Schroll来获取复件了。 “我坐得很靠前,并且早已准备好了笔记本电脑,”Schroll说,他是安全管理伙伴公司的信息安全顾问。“我一看到那些代码,就开始打字了。” Schroll在3月25日在他的网站上发布了这些代码,并且在Digg.com上发布了一个链接。应Hoffman的要求,他在数小时后就删除了该软件。 Schroll认为该代码对那些想要证明脚本攻击的危险性的安全专业人士很有用,所以才发布了这些代码。“我对这些代码非常感兴趣,因为我们为一些用户提供仿造的钓鱼网站。我并不是想将它用到坏的方面。” Schroll说在他的网站上该软件被下载了大约100次。 上个周末,该代码再次在Sla.ckers.org的线上论坛出现了。 由于Jikto现在被公开了,安全研究者们担心犯罪分子会用它来搜索内网的敏感信息,或者建立恶意的僵尸网络。“这个特殊的工具能够控制网络浏览器,”白帽子安全公司的CTO Jeremiah Grossman说,“它会散布到其他网络站点,并扫描那些站点,寻找安全漏洞。” Hoffman很希望能发表自己的工具,他说,犯罪分子有可能已经能开发跟他那只有短短800行代码的程序类似的东西了。 “很遗憾,我的软件不能发表了,”Hoffman说,“但是,实际上,那些坏家伙很可能已经知道怎么编写这些应用了,即使他们现在不知道,几个月后也会知道的。 ” 他并不怪Schroll泄露Jikto代码。“任何好奇的人都有可能像他那样做的,”Hoffman说。“我并不应该责怪那些好奇的人,满足人们的好奇心正是我该做的事情。” |
