image

Thuisrouters eenvoudig via JavaScript te hacken

vrijdag 16 februari 2007, 10:12 door Redactie, 16 reacties

Beveiligingsonderzoekers van de universiteit van Indiana en Symantec hebben ontdekt dat het via JavaScript mogelijk is om thuisrouters te hacken. De beveiliger omschrijft de aanval als "Drive-By Pharming", en laat een aanvaller de DNS instellingen wijzigen zonder dat de gebruiker dit door heeft. Op deze manier denkt de gebruiker dat hij bijvoorbeeld met zijn banksite verbinding maakt, terwijl het in werkelijkheid om een nepsite gaat.

De aanval werkt als de gebruiker een pagina met kwaadaardige JavaScript code bezoekt. Als de pagina bekeken wordt, draait de code in de context van de browser via een techniek genaamd ‘Cross Site Request Forgery’ en logt in op de lokale breedbandrouter. Voor de meeste routers is een wachtwoord benodigd om in te loggen, maar de meeste mensen wijzigen nooit het standaard wachtwoord. Eenmaal ingelogd wijzigt de JavaScript code de router instellingen, waaronder die van de DNS.

De aanval lijkt misschien wat vergezocht, maar feit is dat 50 procent van de mensen hun standaard wachtwoord niet wijzigen. Daarnaast gebruikt 95% van alle internetgebruikers JavaScript, aangezien dit voor de meeste sites vereist is. De beste bescherming is dan ook het wijzigen van het standaard wachtwoord, zo waarschuwt Symantec.

Reacties (16)
16-02-2007, 11:00 door Anoniem
De beste bescherming is dan ook het wijzigen van het
standaard wachtwoord, zo waarschuwt Symantec.

en met FF natuurlijk NoScript gebruiken...
16-02-2007, 11:41 door sjonniev
Ik zou haast zeggen: maak twee categorieên:

Lullig: Doet zich voor op onvoldoende beschermde systemen
Kritisch: treedt ook op wanneer NoScript gebruikt wordt.
16-02-2007, 13:19 door G-Force
Voor de meeste routers is een wachtwoord benodigd om
in te loggen, maar de meeste mensen wijzigen nooit het
standaard wachtwoord.

Tja, en dat terwijl bij de configuratieinstellingen van de
Router altijd via het inlogscherm wordt geadviseerd om
direct het standaard wachtwoord te wijzigen...
16-02-2007, 13:23 door G-Force
Door sjonniev
Kritisch: treedt ook op wanneer NoScript gebruikt wordt.

Leg eens uit: Als er een NoScript extensie wordt gebruikt en
je kunt gewoon een Java-script uitvoeren in de browser? Bij
mij werkt ie wel hoor!
16-02-2007, 13:32 door Anoniem
Al dat gedoe hier om NoScript, ik wordt er niet goed van. JavaScript kan
toch wel nodig of handig zijn. Als je toch allerlei hedendaagse technieken
wilt uitschakelen vanwege het potentiele gevaar, gebruik dan lekker Lynx
ofzo. En ja....ook Lynx moet je weleens updaten.
16-02-2007, 14:02 door G-Force
Door Anoniem
Al dat gedoe hier om NoScript, ik wordt er niet goed van.
JavaScript kan toch wel nodig of handig zijn. Als je toch allerlei
hedendaagse technieken wilt uitschakelen vanwege het potentiele gevaar, gebruik dan lekker Lynx ofzo. En ja....ook Lynx moet je weleens updaten.

Open deur intrappen hoor. Er is inderdaad geen systeem
bomproof....ook Lynx niet. Trouwens het is ik word en
niet ik wordt...
16-02-2007, 14:08 door http___www.sjaaklaan.nl
Hwt zou met routers net zo geregeld kunnen worden als met bijvoorbeeld
het installeren van Windows, UNIX of Linux: Als je de router installeert, lukt
dat alleen als je eerst het wachtwoord wijzigt.

Sjaak
16-02-2007, 15:46 door Bitwiper
Door Redactie op vrijdag 16 februari 2007 10:12
Beveiligingsonderzoekers van de universiteit van Indiana en Symantec hebben ontdekt dat het via JavaScript mogelijk is om thuisrouters te hacken.
Dat is waarschijnlijk onjuist, credit where credit is due. Die eer komt, voor zover ik weet, ten goede aan SPI Dynamics (en de eerste exploit code aan Petko d. Petkov aka PDP Architect aka GnuCitizen, iemand die al veel Javascript security onderzoek gedaan heeft).

Op 1 augustus 2006 publiceerde PDP Architect de volgende webpage: http://www.gnucitizen.org/projects/javascript-port-scanner/ waarop hij verwijst naar een PDF paper van SPI Dynamics: http://www.spidynamics.com/assets/documents/JSportscan.pdf

Reference nr. 15 in de door Zafir Ramzan (Symantec) en Sid Stamm (Indiana University) gepubliceerde PDF file verwijst naar een webpage van SPI Dynamics, namelijk:
Detecting, Analyzing, and Exploiting Intranet Applications using JavaScript, SPI Labs Research Brief. Accessed October 17, 2006. http://www.spidynamics.com/spilabs/education/articles/JS-portscan.html
Op die pagina staat: [url=http://www.spidynamics.com/assets/documents/JSportscan.pdf]# Click here to view the entire article[/url] en die URL verwijst weer naar de PDF file waar PDP Architect ook al naar verwees.
16-02-2007, 20:55 door [Account Verwijderd]
[Verwijderd]
17-02-2007, 06:59 door Anoniem
Door Anoniem
JavaScript kan toch wel nodig of handig zijn.
Kan je
daar voorbeelden van geven?
17-02-2007, 11:04 door Anoniem
Door Anoniem
Door Anoniem
JavaScript kan toch wel nodig of handig zijn.
Kan je
daar voorbeelden van geven?
Vaak worden grote forumulieren op sites al gecheckt voordat
het wordt verzonden. Zodat je hem niet helemaal opnieuw
hoeft in te voeren waneer er een veld leeg is. Ik weet dat
dit ook met andere script talen kan zoals PHP maar
javascript is in dit geval sneller en makkelijker. Ook kan
je erg veel info van de gebruiker/browser krijgen waardoor
je erg goede en specefieke login systemen kan bouwen met PHP.

Om mijn verhaal kort te maken (want ik kan nog wel effe door
gaan).

Javascript is een taal waar je goed over na moet denken of
je het wil gebruiken. Sommige mensen hebben het uit staan en
veel hebben het gewoon aan staan. Maar het blijft een
gevaarlijke taal voornamelijk door dit soort acties. Maar
dat houd niet in dat je het dus maar uitzet want veel sites
maken er wel goed gebruik van.

Dus zet javascript alleen uit waneer er in het nieuws staat
dat er een script is die code op je pc kan uitvoeren. Dan
komt er leuk een update van je browser en kan hij weer aan.
17-02-2007, 12:24 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
JavaScript kan toch wel nodig of handig zijn.
Kan je
daar voorbeelden van geven?
Vaak worden grote forumulieren op sites al gecheckt voordat
het wordt verzonden. Zodat je hem niet helemaal opnieuw
hoeft in te voeren waneer er een veld leeg is. Ik weet dat
dit ook met andere script talen kan zoals PHP maar
javascript is in dit geval sneller en makkelijker.
Je
kunt beter de invoer op de server checken. Dat gaat minstens
zo makkelijk dan wel veel makkelijker.
Ook kan je erg veel info van de gebruiker/browser
krijgen waardoor je erg goede en specefieke login systemen
kan bouwen met PHP.
Geen JavaScript nodig.
Javascript is een taal waar je goed over na moet
denken of je het wil gebruiken.
Nee, je moet er goed
over nadenken of het per se noodzakelijk is om te gebruiken
en of mensen je site nog kunnen gebruiken zonder.
Sommige mensen hebben het uit staan en veel hebben
het gewoon aan staan. Maar het blijft een gevaarlijke taal
voornamelijk door dit soort acties. Maar dat houd niet in
dat je het dus maar uitzet want veel sites maken er wel goed
gebruik van.
Site's die Javascript foutief gebruiken
zijn site's die alleen werken met Javascript en onbegaanbaar
zijn zonder.
Dus zet javascript alleen uit waneer er in het nieuws
staat dat er een script is die code op je pc kan uitvoeren. Dan
komt er leuk een update van je browser en kan hij weer
aan.
Dit is onzin. Javascript moet altijd uit kunnen
staan. Wanneer iemand een site bouwt die daardoor geheel
niet werkt dan is dat een signaal dat de bouwer geen idee
heeft over hoe dingen normaal kunnen werken. Bij dergelijke
webbouwers ontbreekt basale kennis van HTML/XHTML, CSS, XML
en HTTP.
17-02-2007, 13:11 door Anoniem
Het grootste probleem hiermee is denk ik dat er veel
verschillende soorten routertjes zijn met allemaal hun eigen
web interface, en je weet niet van te voren welke je gaat
aantreffen.

Dit laat inderdaad het gevaar van javascript weer eens zien.
18-02-2007, 13:54 door [Account Verwijderd]
[Verwijderd]
19-02-2007, 11:09 door Anoniem
@Peter V.

Ik had niet alleen over JavaScript...

Wat mij betreft zijn Firefox kwetsbaarheden alleen van
belang als ze ook kwaad kunnen als NoScript actief is. Of
dat er veel zullen zijn...
19-02-2007, 13:21 door Arno Nimus
Door Peter V.
Tja, en dat terwijl bij de configuratieinstellingen van de
Router altijd via het inlogscherm wordt geadviseerd om
direct het standaard wachtwoord te wijzigen...
Ik heb nog niet zo heel lang geleden een routertje
geinstalleerd die me dwong het password te veranderen. Dat
ie met 0000 akkoord ging was dan wel weer jammer, maar toch,
het idee is goed. :)

Door rookie
In de beveiligingswereld is niks vergezocht!
In de beveiligingswereld is het volgens mij constant een
kwestie van risico analyse. (risico = kans * impact) Maar
goed, neemt niet weg dat er wel naar gekeken moet worden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.