image

Intranet, printers en routers via JavaScript te hacken

maandag 31 juli 2006, 14:40 door Redactie, 10 reacties

Beveiligingsonderzoekers hebben een manier gevonden om met JavaScript een intern netwerk aan te vallen. Het kwaadaardige JavaScript kan in een normale webpagina verstopt worden en draait als de pagina bekeken wordt.

"We hebben een techniek ontdekt om een netwerk te scannen, en alle webdevices te merken en commando's te geven. Deze techniek kan netwerken scannen die via firewalls beschermd zijn, zoals bedrijfsnetwerken" zegt engineer Billy Hoffman.

De aanval kan vergaande gevolgen hebben. Zo is het mogelijk om een netwerk te scannen en een bepaald model router te vinden. De aanvaller kan dan het commando geven om draadloos netwerken in- en de encryptie uit te schakelen. Ook is het mogelijk om via een interne server verdere aanvallen uit te voeren.

"Je browser kan gebruikt worden om een intern netwerk te hacken" zegt CTO Jeremiah Grossman. De JavaScript netwerkscanner zal volgende week tijdens de Black Hat security conferentie in Las Vegas gedemonstreerd worden. "We laten zien hoe je een internet IP-adres kunt krijgen, hoe je het interne netwerk kunt scannen en hoe je toegang tot DSL routers krijgt. Als we het intranet via de browser aanvallen, nemen we de browser volledig over".

Reacties (10)
31-07-2006, 16:15 door awesselius
Dit was wel te verwachten. De opmars van JavaScript door
gebruik van AJAX methodes, maakt natuurlijk ook dat men meer
gaat zoeken in de mogelijkheden van JavaScript (ECMA-script
om precies te zijn).

AJAX is gebaseerd op meer interactie tussen de browser en de
server terwijl de gebruiker er zo min mogelijk van merkt. Op
deze manier kun je natuurlijk ook meer gegevens via de
browser verkrijgen zonder dat dat opvalt.

Een heel netwerk scannen vind ik dan wel ver gezocht, maar
als het blijkt te kunnen, vind ik het wel interessant.

Om het goed te omschrijven wordt hier dus heftig een
fingerprint sessie gedaan voor alles binnen je netwerk via
JavaScript. Ja, dat is wel gevoelig dan.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
01-08-2006, 00:16 door Anoniem
Vandaar dat M$ in IE7 AJAX als risicofactor zal gaan
aanduiden zoals met ActiveX al jaren het geval is!
Waardoor er meer compatibiliteitsproblemen ontstaan tussen
verschillende besturingsystemen / browsers.

Dit is een niet onafhankelijk en representatief nieuwsbericht /
onderzoek maar een regelrechte 'aanval' van M$ vriendelijke
"onderzoekers" op de OpenSource gemeenschap.
Hiermee wil M$ de compatibiliteit verder ondermijnen om daarmee
ongemerkt (of door irritatie) de massa aan zich te binden.

BB
01-08-2006, 00:17 door Anoniem
Ik vraag me af hoe dit verder moet, hoe dit verder gaat...

Ben net de laatste tijd een beetje aan het rommelen met
FreeBSD en Linux Slackware, omdat ik met Windows niet verder
wil, nu krijgen we dit.

De laatste tijd lees ik steeds vaker over ernstige lekken,
100% veilgheid bestaat niet, natuurlijk, maar ik heb de
indruk dat het steeds onveilger wordt (dat is op zich niks
nieuws), maar dat wel in een steeds rapper tempo.

Ook al begeef je je op Internet met een veilger
besturingssysteem en een veiliger browser, of met een
onveilge Windows 98 waar Internet Explorer helemaal
uitgesloopt is, en meer (daardoor voor een Windows erg veilg
geworden).

Ik zit nu zo'n 10 jaar op Internet, de laatste jaren was het
al een zooitje, ben bang dat het nog veel erger gaat worden,
helaas.

Manuel
01-08-2006, 00:43 door Anoniem
@Unomi:

Attacks aren't widespread, Grossman said. "JavaScript
malware is still cutting-edge,
and nobody really knows what you
can do with it," he said. "Liken it to the early days of an e-mail
virus--that's where we're at now. I think we're going to see (many)
more attacks."

Valt allemaal best mee! (stemming makerij)

B
01-08-2006, 12:26 door awesselius
Door Anoniem
De laatste tijd lees ik steeds vaker over ernstige lekken,
100% veilgheid bestaat niet, natuurlijk, maar ik heb de
indruk dat het steeds onveilger wordt (dat is op zich niks
nieuws), maar dat wel in een steeds rapper tempo.

Ik denk dat de trend te vinden is in het feit dat op een
grotere schaal mensen meer kennis en ervaring opdoen van de
technieken. Zie het als de autotechniek. In het begin wist
men nog niet dat je je auto op een gegeven moment via een
computer kon tunen. Immers een computer was er nog niet.

Er waren ook weinig mensen die wat van auto's afwisten. Nu
zijn er dus meer mensen die van auto's afweten en er de
mooiste uitvindingen tot stand brengen.

Internet is nog niet zo lang mainstream en de mensen hebben
dus ook nog geen jarenlange ervaring van van alles. De
kennis wordt meer en meer gedeeld en men gaat meer en meer
zelf experimenteren met de opgedane ervaring. Die
experimenten uiten zich dan in virussen, aanvallen en weet
ik het niet meer. Dus neemt het gevoel van onveiligheid toe,
omdat er meer en meer aanvallen plaatsvinden.

Het niveau van de aanvallers wordt meer verdeeld en neemt
dus in kennis toe.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
01-08-2006, 21:45 door Anoniem
Door Unomi
Door Anoniem
De laatste tijd lees ik steeds vaker over ernstige lekken,
100% veilgheid bestaat niet, natuurlijk, maar ik heb de
indruk dat het steeds onveilger wordt (dat is op zich niks
nieuws), maar dat wel in een steeds rapper tempo.

Ik denk dat de trend te vinden is in het feit dat op een
grotere schaal mensen meer kennis en ervaring opdoen van de
technieken. Zie het als de autotechniek. In het begin wist
men nog niet dat je je auto op een gegeven moment via een
computer kon tunen. Immers een computer was er nog niet.

Er waren ook weinig mensen die wat van auto's afwisten. Nu
zijn er dus meer mensen die van auto's afweten en er de
mooiste uitvindingen tot stand brengen.

Internet is nog niet zo lang mainstream en de mensen hebben
dus ook nog geen jarenlange ervaring van van alles. De
kennis wordt meer en meer gedeeld en men gaat meer en meer
zelf experimenteren met de opgedane ervaring. Die
experimenten uiten zich dan in virussen, aanvallen en weet
ik het niet meer. Dus neemt het gevoel van onveiligheid toe,
omdat er meer en meer aanvallen plaatsvinden.

Het niveau van de aanvallers wordt meer verdeeld en neemt
dus in kennis toe.

- Unomi -
Dat is begrijpelijk, en ook voorspelbaar. Alleen gaat het de
laatste tijd harder dan ik verwacht had, en dat Linux met
Firefox 1.5.0.4 (+Java) ook kwetsbaar is verontrust me.

Kunnen we over een jaar überhaupt nog wel veilig het
Internet op? Om maar iets te zeggen...

Als Internetten straks, ook al gebruik je veilge(re)
besturingssystemen, en een veilge(re) browser, een extensie
waarmee je plugins aan- en uit kunt schakelen:
[url=http://www.gozer.org/mozilla/extensions/]Plugin
Manager[/url], een extensie om Java/Javascript met 1 klik
aan en uit te zetten:
[url=http://quickjavaplugin.blogspot.com/]QuickJava[/url].
Als ondanks dat surfen straks een potje Russische roulette
wordt, dan wordt het misschien eens tijd voor een andere hobby.
02-08-2006, 11:30 door Anoniem
Deze truken zijn niet nieuwe maar worden al enkele tijd
toegepast;
XSS is een prima truuk hiervoor.
02-08-2006, 15:53 door Anoniem
Ik denk dat de trend te vinden is in het feit dat op een
grotere schaal mensen meer kennis en ervaring opdoen van de
technieken.
Het is maar hoe je dat uitlegt. Ik zie
vooral dat technieken veelvuldiger niet meer juist worden
toegepast. En dat is niet per se door mensen die kwaad
willen. Mensen die iets maken gebruiken vaker verkeerde
technieken voor het verkeerde doel, wat het onveiliger maakt
wanneer toegestaan. Misschien is dat gewoon een rare manier
van interessant doen.

Neem bijvoorbeeld de constructie:
<a
href="javascript:document.forms['zoekForm'].submit();">OK</a>
op vandale.nl
02-08-2006, 16:37 door Anoniem
Mensen die iets maken gebruiken vaker verkeerde
technieken voor het verkeerde doel, wat het onveiliger maakt
wanneer toegestaan.
Dit mag achteraf wel beter:
Mensen die iets maken gebruiken vaker verkeerde
technieken voor het beoogde doel, wat het onveiliger maakt
wanneer toegestaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.