Tag Archives: javascript

LulzSec dödar Murdoch i The Sun

I går kväll möttes besökare på brittiska The Suns hemsida av nyheten att tidningens ägare, Rupert Murdoch, är död. Murdoch, som även äger den skandaldrabbade och numera nedlagda News of The world, hade enligt artikeln begått självmord genom att ta en överdos. Nyheten var dock påhittad och ditplanterad av det anonyma hackernätverket LulzSec. Nätverket läckte också både mailadresser och lösenord tillhörande flera anställda på the Sun. Lulzsec kallar attacken ”Murdoch meltdown monday” och rapporterar nu via Twitter att de planerar fler attacker.

De la till en redirect via javascript på The Sun’s hemsida, som skickade besökaren till den hackade sidan ”new-times.co.uk” där de lagt upp den falska nyheten.

Den troliga vägen in är via ett säkerhetshål som hittades redan 2009 på ”new-times.co.uk” i samband med att de gjorde om sin hemsida. Guardian har mer information om hacket.

De pekade sedan om javascript-redirecten till sitt eget Twitterkonto där The Sun’s besökare möttes av följande:

Via Twitter meddelades även att de ”vet att de har slutat”, men inte kunde låta bli ge Murdoch en känga:


Kuriosa: Den katt som LulzSec har på sin sida kallas ”Nyan Cat”, som för ett tag sedan blev en känd meme. Vill man, så finns det ett program för Windows som byter ut alla ”förloppsindikatorer” (progress bars..) i alla program (t.ex. när man kopierar filer) mot just Nyan Cat.

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Tunisien övervakar Facebook

Via Slashdot.org hittade jag en artikel på Fastcompany.com om att den Tunisiska regeringen övervakar sina medborgare på Facebook. Varför misstänker man övervakning? Jo, tunisiska ISP:er visade sig köra ett Javaskript som stjäl användaruppgifter till olika konton ibland annat sociala medier.

Det här ska vara ett led i myndigheternas kamp för att stävja de kravaller som uppstått på grund av arbetslöshet och hunger.

Tabnapping – ny form av nätfiske

Det är cirka tio år sedan den första webbläsaren med tabs, alltså flikar, dök upp. Nu har gränssnittsexperten Aza Raskin på Firefox upptäckt ett nytt sätt att utnyttja dem för nya äventyr inom den sociala ingenjörskonsten.

Enkelt utryckt fungerar det så att du lämnar en infekterad sida öppen i en flik medan du gör annat i andra flikar. Då tar den tillfället i akt och byter innehåll på den inaktiva fliken – förslagsvis till något som ser väldigt mycket ut som en inloggningssida till Facebook eller Gmail eller liknande. Minnet är som bekant kort och risken stor att man antar att man helt enkelt blivit utloggad från en sajt och snällt försöker logga in igen.

Det här är ett mycket smart men enkelt och troligen effektivt sätt att komma över inloggningsuppgifter och därmed mängder av känslig information. Det är även som många skrivit tidigare svårt att göra något åt problemet med mindre än att Javaskript stängs av i webbläsaren, vilket gör att de sidor som använder javaskript slutar fungera – och det är många. Däremot så rekommenderar jag tillägget NoScript om man använder sig av Firefox. Då kan man enkelt välja per webbsida när javaskript ska tillåtas.

Om tekniken har använts i verkligheten än, det låter jag vara osagt, men Raskin har släppt ut anden ur flaskan med sitt avslöjande. Nu får vi hoppas att webbläsarföretagen gör något åt svagheten innan nätfiskeflottan börjar använda metoden på allvar.

Ett sätt att skydda sig nämns i kommentarfältet till PC för allas artikel – att använda ett program för lösenordshantering som håller koll på att du verkligen befinner dig på rätt adress innan den matar in några uppgifter.

Läs mer på Scam detectives, The Register och PC För Alla.