Lücken-Scanner schleicht heimlich auf PCs herum

Mit Hilfe eines neuen JavaScript-Tools können Hacker den PC eines beliebigen Benutzers missbrauchen, um Schwachstellen in Webseiten aufzuspüren.

‘Jikto’ hat sein Erfinder Billy Hoffman das Programm genannt. Hoffmann arbeitet eigentlich als Forscher bei einem Sicherheitsspezialisten, und Jikto ist auch nur dafür gedacht, die Sicherheit im Web zu erhöhen, sagt er.

Im Klaren ist er sich aber auch darüber, dass das Programm für Hacker wie gemacht ist. “Diese Erfindung gibt einen völlig neuen Blick darauf, wie böse JavaScript sein kann”, sagte Hoffmann. “Jikto macht jeden PC zu meiner kleinen Drone. Dein Rechner macht, was ich will und liefert mir dann auch noch Ergebnisse.”

Jikto ist ein Scanner, der Lücken in Web-Anwendungen identifiziert. Er wühlt sich heimlich, still und leise durch Webseiten und schickt die Ergebnisse an eine dritte Person, die nicht den Rechner bedient, auf dem das Programm läuft. Das Tool kann in einer Hacker-Webseite versteckt sein und von dort auf den PC eines ahnungslosen Nutzers gelangen oder über Lücken auf seriöse Webseiten geimpft und dann weitergeleitet werden.

Gelangt ein Benutzer nun auf eine dieser Seiten fängt er sich unter Umständen Jikto ein. Schwachstellen-Scanner sind nicht neu, das besondere an Jikto ist aber, dass das Programm in einem Webbrowser läuft und mit ihm ohne vorherige Warnung gestartet wird. Das Tool arbeitet, so lange der Browser geöffnet ist und verschwindet wieder, ohne eine Spur zu hinterlassen oder Schaden auf dem jeweiligen Computer angerichtet zu haben. Unter ‘arbeiten’ versteht das Programm das Sammeln von Lücken und die Rückmeldung an den Hacker mit der Frage, welche Webseiten worauf analysiert werden sollen, erklärte Hoffmann.

Beispielsweise kann es so programmiert werden, dass es Webseiten von Banken scannt und dabei nach Möglichkeiten für eine SQL-Injection-Attacke sucht. Solche Schwachstellen können unter anderem Datenbanken für das Auslesen von Informationen offen legen.

Jikto sei zwar interessant, komme aber wohl nicht an traditionelle Lücken-Scanner heran, glaubt dagegen Fyodor Vaskovich, Erfinder des Nmap Security Scanner, einem weit verbreiteten Tool zum Auffinden von Schwachstellen. “Diese JavaScript-Angriffe sind meistens ziemlich langsam, verglichen mit einem Hacker-Scan einer bereits gekaperten Maschine.” Darüber hinaus könnten Angreifer das gleiche Ziel, die Scans zu verteilen, mit einer Kette von Proxys erreichen, so Vaskovich. 

Hoffmann will Jikto kommende Woche auf einer Hacker-Veranstaltung in Washington präsentieren. Außerdem plant er, Jikto auszubauen, damit das JavaScript nicht nur nach Lücken sucht, sondern diese auch noch mit entsprechenden Exploits bombadiert. Möglicherweise könnte das neue Jikto auf der Black-Hat-Konferenz im Sommer in Las Vegas vorgestellt werden.