Οι ύπουλες client-side attacks!
Επίθεση clientside: Όταν ο επιτιθέμενος χρησιμοποιεί κάποιο καθόλα νόμιμο πρόγραμμα που βρίσκεται εγκατεστημένο στο PC του θύματος για να πετύχει το σκοπό του. Συχνά, ένα τέτοιο πρόγραμμα είναι ο webbrowser που χρησιμοποιεί το θύμα (InternetExplorer, Firefox κ.ά.) και ο τρόπος για να πετύχει ο επιτιθέμενος είναι η εκμετάλλευση κάποιας αδυναμίας είτε του webbrowser είτε του ίδιου …του θύματος!
Οι επιθέσεις client side δεν είναι κάτι καινούριο. Εδώ και αρκετό καιρό όμως είναι της μόδας τόσο σε ερασιτεχνικό, όσο και σε επαγγελματικό επίπεδο. Η βάση τους συνήθως βρίσκεται σε μια αδυναμία του web browser που χρησιμοποιεί το θύμα. Κάνοντας χρήση αδυναμίας ο επιτιθέμενος μπορεί να κάνει πάρα πολύ επικίνδυνα πράγματα: από το να εξαπολύσει ένα DOS attack μέχρι να πάρει πλήρη πρόσβαση στο box του θύματος.
Το θετικό της υπόθεσης είναι ότι τέτοιες αδυναμίες συνήθως δεν “επιβιώνουν” για πολύ καιρό, αφού αργά ή γρήγορα το πρόβλημα αποκαλύπτεται και αντιμετωπίζεται με κάποιο patch. Επίσης, αυτές οι αδυναμίες μπορούν να λειτουργήσουν μόνο σε συγκεκριμένες εκδόσεις, συγκεκριμένου web browser. Υπάρχει όμως και μια άλλη προσέγγιση: Η επίθεση να γίνει απόλυτα νόμιμα και να μην εκμεταλλεύεται καμιά αδυναμία κανενός web browser, παρά μόνο την εμπιστοσύνη (ή την αφέλεια) του θύματος!
Στο παρόν κείμενο ξεκινάμε περιγράφοντας μια τέτοια επίθεση. Αμέσως μετά αναφέρουμε τα εργαλεία τα οποία θα μπορούσε να χρησιμοποιήσει ο επιτιθέμενος. Τέλος, δείχνουμε την επίθεση στην πράξη.
Διαβάστε ολόκληρο το άρθρο στο deltaHacker Ιανουαρίου (τεύχος 004).
Για αγορές τευχών ή συνδρομών στο περιοδικό deltaHacker, απλά συμπληρώστε τη φόρμα.
Σημείωση: Οι συνδρομές μπορούν ν’ αρχίζουν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.
Το deltaHacker είναι το μοναδικό, μηνιαίο συνδρομητικό περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα. Αν δεν το διαβάζετε ακόμα, κάτι μας λέει ότι σύντομα θ’ αρχίσετε. Εκτός δηλαδή κι αν δεν αγαπάτε πολύ-πολύ-πολύ τον υπολογιστή σας, ούτε την τεχνολογία :S
