Киберпрестъпниците, които създават уеб сайтове, за да проникнат в компютъра на потребителите, стават все по-добри в криенето на своя злонамерен код, казват експертите. Това се отнася най-вече за актуалния код, най-често JavaScript, който се крие във флаш анимации така, че когато прегледа източника на страницата, потребителят да не може лесно да го открие.
Според експертите, инструментите на киберпрестъпниците за объркване са примитивни, но много ефективни. И тъй като добре познават техниките за сигурност, базирани на сигнатури, престъпниците използват объркване, за да избегнат прости сигнатури на познати атаки.
Според StopBadware.org, сайтовете, които се опитват да инсталират вреден код, са десетки хиляди. По-голямата част от тях най-често пускат троянски кон или друг вирус през дупка в сигурността на уеб браузъра на потребителския компютър.
Много атаки използват JavaScript. Първоначално престъпниците са разчитали на обикновен JavaScript, но това се е променило. Експертите са открили кодирана скрипт функция, наречена „накарай ме да се смея”, която даунлоудва троянски кон за събиране на обща информация.
Друго откритие на експертите е флаш анимация с Парис Хилтън – при нея се инсталира инструмент, който прави компютъра част от бот мрежа.
Нападателите също така се опитват да надхитрят специалистите по сигурността като програмират злонамерените сайтове да записват своя код само веднъж на един и същ компютър. Нещо повече, съществува нов пакет с инструменти, наречен NeoSploits, който идентифицира браузъра и включва кодове за преодоляване на защити. По този начин NeoSploits атакува по най-подходящия начин съответния браузър.
Има обаче и неща, които специалистите могат да приложат с успех, за да изследват атаките. Престъпниците са ограничени от факта, че JavaScript трябва да бъде разкодиран, за да се използва от браузъра. И анализирайки го извън браузъра, специалистът може да разбере какво ще направи злонамерения код.
Обърканият код може да бъде направен четлив, тъй като той обикновено използва просто Base64 кодиране. Експертите предлагат NJS, Rhino и SpiderMonkey като инструменти за изследване на криптиран код. Флаш файловете пък се анализират чрез програмата Flasm.
Злонамереният JavaScript може да бъде поставен в една уеб страница и обикновено той се пуска без предупреждение, когато страницата се види с обикновен браузър. Нападателите най-често се опитат да съблазнят потребителите да посетят техен уеб сайт. Но атаки могат да бъдат направени и от легален сайт, като се използва някой негов дефект, което е известно като “cross-site scripting”.
За да се предпазят от злонамерения JavaScript, потребителите могат да изключат JavaScript, но това ще навреди сериозно на функционалността на много уеб сайтове. Друга алтернатива е да се използват инструменти, които разполагат с черни списъци на познати злонамерени сайтове. Примери за такива инструменти са SiteAdvisor на McAfee и Toolbar или Desktop софтуера на Google. Вариант за защита е и инструментът LinkScanner на Exploit Prevention Labs, който следи трафика към компютъра и блокира познатите атаки.
Аз затова си бачкам с Firefox + NoScript. Давам позволение за java script само на определени сайтове които аз си искам 😉