Haittaohjelmien levitys web -sivuilla ?!

On ollut jo pidempään mielessä kirjoittaa ns. framework, jota voisi hyödyntää ns. aktiivisten web -sivustojen suunnittelussa. Kuten esim: web-kaupat, keskustelupalstat, deittipalvelut jne.

Suunnittelussa täytyy ottaa huomioon tietoturvanäkökohdat, jottei tulevaisuudessa frameworkkini avulla tehdyistä web -sivustoista tule haittaohjelmien levityskanavia sivuston omistajan tietämättä.

Uskon web -turvallisuuden suunnittelussa siihen periaatteeseen, että täytyy osata ajatella kuten verkkorikollinen, jotta osaisi torjua rikollisten aiheuttaman tietoturvariskin.

Kun sitten sattumalta webbiä selatessani tuli vastaan tällainen sivusto:

www.nhadat24.com

niin tuonne firefoxilla mentäessä tuleekin vastaan:

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=fi&site=http://www.nhadat24.com/?language=fi

... eli ilmeisesti ko. sivustolla on (tai ainakin google -robotin siellä vierailun ajankohtana on ollut) haittaohjelmia.

Googlen varoitussivu kertoo mm. seuraavaa:

[Lainaus Googlen varoitussivulta alkaa]
-------------------------------------------------------------------------

"Mikä on sivuston www.nhadat24.com tila on tällä hetkellä?

Sivusto on merkitty epäilyttäväksi, ja verkkosivustossa käynti saattaa vahingoittaa tietokonettasi.

Sivuston osasta ilmoitettiin epäilyttävän toiminnan takia 2 kertaa viimeisten 90 päivän aikana.

Mitä tapahtui, kun Google...?

Viimeisten 90 päivän aikana sivustossa testaamistamme 4 sivusta 3 sivulta ladattiin ja asennettiin haittaohjelmia ilman käyttäjän lupaa. Google kävi sivustossa viimeksi 2013-10-04 ja sivustosta löydettiin epäilyttävää sisältöä viimeksi 2013-09-12.

Haittaohjelmia ylläpidetään 1 verkkotunnuksessa, esimerkiksi verkkotunnuksissa myfilestore.com/.

Tätä sivustoa ylläpidettiin 1 verkossa, esimerkiksi AS18403 (FPT-AS-AP) -verkoissa.

Onko tämä sivusto toiminut välittäjänä...

www.nhadat24.com ei näytä toimineen välittäjänä sivustojen tartuttamisessa viimeisten 90 päivän aikana.
"

-------------------------------------------------------------------------
[Lainaus Googlen varoitussivulta päättyy]

Olisi hyvä tutkia, mitä keinoja rikolliset käyttävät pyrkiessään asentamaan nettisurfailijoiden tietokoneisiin haittaohjelmia koneen omistajan tietämättä ja luvattomasti.

Imuroin ko. sivun html -koodin seuraavalla komennolla linuxin komentoriviltä:

wget www.nhadat24.com

lopuksi toki uudelleennimesin imuroidun index.html -tiedoston näin (jotten vahingossa itse saastuttaisi tietokonettani haittaohjelmalla):

mv index.html index_haittaohj_htm.txt

jos teet saman windows -komentoriviltä linuxin sijaan, niin:

REN index.html index_haittaohj_htm.txt

Nyt, kun tiedoston pääte onkin txt eikä html, niin käyttöjärjestelmä avaa sen oletuksena tekstieditorilla
(windowsissa oletuksena notepad, linuxissa useissa jakeluissa leafpad, tai sitten kwrite) web -selaimen sijaan.

Seuraavaksi yritin hakea ko. html -koodista merkkijonoa "myfilestore.com".

Vaan ei löytynyt.

Eli joko ko. sivulla ei ENÄÄ ole haittaohjelmia tai sitten haittaohjelmat ladataan javascript -koodilla, ja ko. domain -nimi ei ole html -koodissa selväkielisenä, vaan on jollain tavalla koodattuna datana javascript -koodissa.

Mitä työvälineitä tällaisten tutkimiseen on olemassa?

Selaimessa tuon lataaminen ei ole fiksu ajatus, koska jos sivulla on edelleen haittaohjelma, tällöin haittaohjelma tarttuu omaan koneeseen (olettaen, että selaimen tietoturva ei ole ihan sitä mitä sen pitäisi olla, mutta siihenhän on totuttu, että selainten tietoturva ei valitettavasti ole täydellinen, ja juuri tätä selainten tietoturvan puutteellisuutta rikolliset käyttävät hyväkseen).

Mutta jos tuota tutkii vain tekstieditorilla, niin silloin ei ole itsestään selvää, mihin ja miten tuon haittaohjelmien varastopaikkana googlen mukaan toimivan domain -nimen "myfilestore.com" piilotus koodiin on tehty.

Löytyykö javascriptille mitään debuggeria, jolla voisi askeltaa javascriptiä rivi kerrallaan ja mielellään turvallisessa ympäristössä, jottei oma tietokone saastu haittaohjelmalla ?

Paras ajoympäristö taitaisi olla esim. Knoppix -linux ja ku ei mounttaa kiintolevypartitioita niin mahdollinen haittaohjelma pahimmillaankin tarttuu knoppixin RAM -levylle, josta se tuhoutuu kun koneen buuttaa uudelleen.

Toinen vaihtoehto voisi olla esim. Hiren's boot CD:n mukana oleva "boot from CD" -versio Windows XP:stä.

Miksi muuten ei ole (vai onko?, ja jos, niin mikä ja mistä?) olemassa ohjelmaa, jonka voisi ladata netistä, syöttää windows XP -asennusCD cd-asemaan, ja käynnistää ko. ohjelman, jolloin ko. ohjelma rakentaisi lennossa joko buuttavan CD:n tai buuttaavan USB -tikun, joka kykenisi buuttaamaan windows XP:n ?

Tuolla periaatteella toimivia muita ohjelmia on olemassa, esim. tämä:

http://crosskylix.untergrund.net/

Miksei samaa periaatetta voisi käyttää Windowsiin kun kerran Kylixiinkin ?