»нструмент дл€ поиска дыр "утек" в интернет

image

ѕрограмма Jikto может получать инструкции от своего автора, не оставл€€ никаких следов пребывани€ на компьютере жертвы.

’акерский инструмент Jikto, предназначенный дл€ поиска у€звимостей на веб-сайтах и в веб-приложени€х, попал в интернет.

»нстуремент Jikto, написанный специалистом компании SPI Dynamics Ѕилли ’оффмэном на €зыке JavaScript, может быть внедрен во вредоносную веб-страницу. ѕри посещении такой страницы Jikto автоматически загрузитс€ в браузер и начнет сканировать онлайновые ресурсы на предмет наличи€ дыр. ѕрограмма Jikto может получать инструкции от своего автора, не оставл€€ никаких следов пребывани€ на компьютере жертвы. ѕричем установить истинную личность нападающего крайне сложно, поскольку сканирование веб-сайтов Jikto осуществл€ет от имени р€довых пользователей интернета.

¬озможности Jikto были продемонстрированы ’оффмэном в рамках конференции ShmooCon в ¬ашингтоне в конце прошлого мес€ца. ѕри этом сам ’оффмэн не стал ни открывать код инструментари€, ни выкладывать программу в —еть. “ем не менее, хакерский инструментарий все же "утек" в интернет.

ћайку Ўролу, одному из посетителей ShmooCon, удалось подсмотреть адрес, с которого Jikto загружалс€ в ходе демонстрации, и скачать копию инструментари€ на свой компьютер. 25 марта копи€ Jikto по€вилась на сайте Ўрола, кроме того, ссылка на инструментарий была размещена на страницах попул€рного сервиса Digg.com. „ерез несколько часов по просьбе ’оффмэна инструментарий был удален, однако к тому моменту его уже скачали пор€дка ста человек.

¬ результате, сейчас копии Jikto при желании можно найти на некоторых сайтах, в частности, Sla.ckers.org. Ўрол, выложив программу на своем сайте, рассчитывал привлечь внимание специалистов по вопросам сетевой безопасности и разработчиков программного обеспечени€. ќднако можно предположить, что в не меньшей степени инструментарий заинтересует хакеров и киберпреступников.


или введите им€

CAPTCHA