Инструмент для поиска дыр "утек" в интернет

image

Программа Jikto может получать инструкции от своего автора, не оставляя никаких следов пребывания на компьютере жертвы.

Хакерский инструмент Jikto, предназначенный для поиска уязвимостей на веб-сайтах и в веб-приложениях, попал в интернет.

Инстуремент Jikto, написанный специалистом компании SPI Dynamics Билли Хоффмэном на языке JavaScript, может быть внедрен во вредоносную веб-страницу. При посещении такой страницы Jikto автоматически загрузится в браузер и начнет сканировать онлайновые ресурсы на предмет наличия дыр. Программа Jikto может получать инструкции от своего автора, не оставляя никаких следов пребывания на компьютере жертвы. Причем установить истинную личность нападающего крайне сложно, поскольку сканирование веб-сайтов Jikto осуществляет от имени рядовых пользователей интернета.

Возможности Jikto были продемонстрированы Хоффмэном в рамках конференции ShmooCon в Вашингтоне в конце прошлого месяца. При этом сам Хоффмэн не стал ни открывать код инструментария, ни выкладывать программу в Сеть. Тем не менее, хакерский инструментарий все же "утек" в интернет.

Майку Шролу, одному из посетителей ShmooCon, удалось подсмотреть адрес, с которого Jikto загружался в ходе демонстрации, и скачать копию инструментария на свой компьютер. 25 марта копия Jikto появилась на сайте Шрола, кроме того, ссылка на инструментарий была размещена на страницах популярного сервиса Digg.com. Через несколько часов по просьбе Хоффмэна инструментарий был удален, однако к тому моменту его уже скачали порядка ста человек.

В результате, сейчас копии Jikto при желании можно найти на некоторых сайтах, в частности, Sla.ckers.org. Шрол, выложив программу на своем сайте, рассчитывал привлечь внимание специалистов по вопросам сетевой безопасности и разработчиков программного обеспечения. Однако можно предположить, что в не меньшей степени инструментарий заинтересует хакеров и киберпреступников.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus