Haittaohjelmien levitys web -sivuilla ?!

framework_websivut

On ollut jo pidempään mielessä kirjoittaa ns. framework, jota voisi hyödyntää ns. aktiivisten web -sivustojen suunnittelussa. Kuten esim: web-kaupat, keskustelupalstat, deittipalvelut jne.

Suunnittelussa täytyy ottaa huomioon tietoturvanäkökohdat, jottei tulevaisuudessa frameworkkini avulla tehdyistä web -sivustoista tule haittaohjelmien levityskanavia sivuston omistajan tietämättä.

Uskon web -turvallisuuden suunnittelussa siihen periaatteeseen, että täytyy osata ajatella kuten verkkorikollinen, jotta osaisi torjua rikollisten aiheuttaman tietoturvariskin.

Kun sitten sattumalta webbiä selatessani tuli vastaan tällainen sivusto:

www.nhadat24.com

niin tuonne firefoxilla mentäessä tuleekin vastaan:

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=fi&site=http://www.nhadat24.com/?language=fi

... eli ilmeisesti ko. sivustolla on (tai ainakin google -robotin siellä vierailun ajankohtana on ollut) haittaohjelmia.

Googlen varoitussivu kertoo mm. seuraavaa:

[Lainaus Googlen varoitussivulta alkaa]
-------------------------------------------------------------------------

"Mikä on sivuston www.nhadat24.com tila on tällä hetkellä?

Sivusto on merkitty epäilyttäväksi, ja verkkosivustossa käynti saattaa vahingoittaa tietokonettasi.

Sivuston osasta ilmoitettiin epäilyttävän toiminnan takia 2 kertaa viimeisten 90 päivän aikana.

Mitä tapahtui, kun Google...?

Viimeisten 90 päivän aikana sivustossa testaamistamme 4 sivusta 3 sivulta ladattiin ja asennettiin haittaohjelmia ilman käyttäjän lupaa. Google kävi sivustossa viimeksi 2013-10-04 ja sivustosta löydettiin epäilyttävää sisältöä viimeksi 2013-09-12.

Haittaohjelmia ylläpidetään 1 verkkotunnuksessa, esimerkiksi verkkotunnuksissa myfilestore.com/.

Tätä sivustoa ylläpidettiin 1 verkossa, esimerkiksi AS18403 (FPT-AS-AP) -verkoissa.

Onko tämä sivusto toiminut välittäjänä...

www.nhadat24.com ei näytä toimineen välittäjänä sivustojen tartuttamisessa viimeisten 90 päivän aikana.
"

-------------------------------------------------------------------------
[Lainaus Googlen varoitussivulta päättyy]

Olisi hyvä tutkia, mitä keinoja rikolliset käyttävät pyrkiessään asentamaan nettisurfailijoiden tietokoneisiin haittaohjelmia koneen omistajan tietämättä ja luvattomasti.

Imuroin ko. sivun html -koodin seuraavalla komennolla linuxin komentoriviltä:

wget www.nhadat24.com

lopuksi toki uudelleennimesin imuroidun index.html -tiedoston näin (jotten vahingossa itse saastuttaisi tietokonettani haittaohjelmalla):

mv index.html index_haittaohj_htm.txt

jos teet saman windows -komentoriviltä linuxin sijaan, niin:

REN index.html index_haittaohj_htm.txt

Nyt, kun tiedoston pääte onkin txt eikä html, niin käyttöjärjestelmä avaa sen oletuksena tekstieditorilla
(windowsissa oletuksena notepad, linuxissa useissa jakeluissa leafpad, tai sitten kwrite) web -selaimen sijaan.

Seuraavaksi yritin hakea ko. html -koodista merkkijonoa "myfilestore.com".

Vaan ei löytynyt.

Eli joko ko. sivulla ei ENÄÄ ole haittaohjelmia tai sitten haittaohjelmat ladataan javascript -koodilla, ja ko. domain -nimi ei ole html -koodissa selväkielisenä, vaan on jollain tavalla koodattuna datana javascript -koodissa.

Mitä työvälineitä tällaisten tutkimiseen on olemassa?

Selaimessa tuon lataaminen ei ole fiksu ajatus, koska jos sivulla on edelleen haittaohjelma, tällöin haittaohjelma tarttuu omaan koneeseen (olettaen, että selaimen tietoturva ei ole ihan sitä mitä sen pitäisi olla, mutta siihenhän on totuttu, että selainten tietoturva ei valitettavasti ole täydellinen, ja juuri tätä selainten tietoturvan puutteellisuutta rikolliset käyttävät hyväkseen).

Mutta jos tuota tutkii vain tekstieditorilla, niin silloin ei ole itsestään selvää, mihin ja miten tuon haittaohjelmien varastopaikkana googlen mukaan toimivan domain -nimen "myfilestore.com" piilotus koodiin on tehty.

Löytyykö javascriptille mitään debuggeria, jolla voisi askeltaa javascriptiä rivi kerrallaan ja mielellään turvallisessa ympäristössä, jottei oma tietokone saastu haittaohjelmalla ?

Paras ajoympäristö taitaisi olla esim. Knoppix -linux ja ku ei mounttaa kiintolevypartitioita niin mahdollinen haittaohjelma pahimmillaankin tarttuu knoppixin RAM -levylle, josta se tuhoutuu kun koneen buuttaa uudelleen.

Toinen vaihtoehto voisi olla esim. Hiren's boot CD:n mukana oleva "boot from CD" -versio Windows XP:stä.

Miksi muuten ei ole (vai onko?, ja jos, niin mikä ja mistä?) olemassa ohjelmaa, jonka voisi ladata netistä, syöttää windows XP -asennusCD cd-asemaan, ja käynnistää ko. ohjelman, jolloin ko. ohjelma rakentaisi lennossa joko buuttavan CD:n tai buuttaavan USB -tikun, joka kykenisi buuttaamaan windows XP:n ?

Tuolla periaatteella toimivia muita ohjelmia on olemassa, esim. tämä:

http://crosskylix.untergrund.net/

Miksei samaa periaatetta voisi käyttää Windowsiin kun kerran Kylixiinkin ?

2

165

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • ehehehheehheheeeeeee

      what's the point?

      • Pointteri-setteri

        Pointti oli kai se, että kirjoittaja on ihan pihalla ja halusi kertoa sen julkisesti. Toivotaan kuitenkin menestystä ”frameworkin” teossa, eihän vastaavia ole vielä edes miljoonaa, vai onko?

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Kannattaako suomalaisen duunarin enää äänestää vasemmistopuolueita

      sillä eivät ne tunnu kovasti ajavan suomi-duunarin etuja. Jos katsotaan Vasemmistoliittoa, niin sehän on ihan feministi
      Maailman menoa
      175
      5635

    2. Jaaha, sitä on vasemmistoryhmä käynyt häiriköimässä Purran kodin vieressä

      On näköjään iso lakana levitetty puiden väliin, jossa lukee mm. "Haista vi*** Riikka Purra". Tunkekaa leikkaukset pers..
      Maailman menoa
      103
      5584

    3. Professori: Maahanmuuttajien rikollisuutta hyssytellään - hävytöntä

      Kriminologi Jukka Savolaisen mukaan ikä ja vaikeat olosuhteet eivät riitä selitykseksi. – Tutkitun tiedon valossa sanoi
      Maailman menoa
      180
      4548

    4. Mistä kummasta voi johtua se, että vasemmistolaiset usein häpeää itseään

      voiko se johtua esim. köyhyydestä? Ja tästä on siis ihan suomalainen tutkimus olemassa. "Suomalainen tutkimus osoittaa
      Maailman menoa
      51
      4013

    5. Sanna-kulttilaiset hehkuttaa edelleen Marinia, vaikka esim. Sote oli susi jo syntyessään

      mutta kulttilaiset eivät ole järjen jättiläisiä, ja sanoihin Lasse Lehtinenkin, että Suomessa on pohjoismaiden tyhmimmät
      Maailman menoa
      61
      3900

    6. Marin teki sen mihin muut eivät pystyneet, vei susi-Soten maaliin

      ja sitten hävittyjen vaalien jälkeen lähtikin vastuuta pakoon...... "Professori: sote-uudistus on täysi susi. Sosiaali
      Maailman menoa
      30
      3548

    7. Saatoin tehdä elämäni isoimman virheen

      Otsikko kertoo kaiken. Miksei kaikki voi olla yksinkertaisempaa?
      Ikävä
      127
      1274

    8. Kova ikävä parittelukumppania täällä korvessa

      Mutta muuten kyllä on rauhallista.
      Ikävä
      17
      948

    9. Jotenkin tämä

      tilanne taas eskaloitui ja saat mut roikkumaan täällä palstalla. Turhaan. Ei nämä tekstit sua koskaan tavoita. 😭
      Ikävä
      33
      940

    10. En koskaan tule sinulle tätä kertomaan

      Kun kirjoitin sinulle viimeisintä viestiä, huomasin kyynelten valuvan poskiani pitkin.
      Ikävä
      16
      920
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt