Niewielu z nas naprawdę chce zagłębić się w najdrobniejsze szczegóły tego, jak to wszystko działa — odwiedzić przysłowiową „fabryka kiełbasy”, która robi nasze ulubione potrawy, składa nasze samochody, czy umieszcza tanie gadżety na półkach w Best Buy i Cel.
Tak samo jest w sieci. W ciągu ostatnich dwóch lat wszyscy byliśmy zachwyceni nowymi aplikacjami internetowymi, takimi jak Mapy Google i Internet techniki tworzenia aplikacji, takie jak AJAX (asynchroniczny JavaScript i XML), które je umożliwiają. Ilu z nas naprawdę chce myśleć o możliwych lukach w zabezpieczeniach, które wprowadzają fajne nowe narzędzia, takie jak AJAX, podczas gdy robią one całą tę magię za kulisami?
Ale nowy robak pocztowy Javascript może być oznaką, że nasz romans z czymś, co zostało nazwane „Web 2.0” i narzędziami takimi jak AJAX, które to umożliwiają, może nagle dobiec końca.
Yamanner pojawił się po raz pierwszy 12 czerwca i atakuje użytkowników internetowego programu pocztowego Yahoo. Wykorzystuje nieznaną wcześniej lukę w skryptach krzyżowych i używa AJAX do atakowania kontaktów Yahoo Mail ofiary. Pojawienie się robaka jest dowodem na to, że twórcy szkodliwego kodu wykorzystują do tworzenia AJAX i inne techniki dynamicznego tworzenia stron internetowych ukradkowe ataki internetowe — powiedział Billy Hoffman, główny inżynier ds. badań i rozwoju w firmie SPI Dynamics, zajmującej się bezpieczeństwem aplikacji firma.
Autor lub autorzy Yamannera wymyślili, jak dołączyć złośliwy JavaScript do standardowego znacznika obrazu HTML w sposób, który oszukał filtry złośliwego kodu Yahoo. Po otwarciu wiadomości Yamannera i załadowaniu obrazu złośliwy kod został uruchomiony, a AJAX został do tego przyzwyczajony po cichu połączyć się z serwerem internetowym Yahoo i wysłać kopie wirusa przez konto ofiary, Hoffman powiedział.
W październiku 2005 r. robak o nazwie Spacehero oparty na języku Javascript krążył szeroko w sieci MySpace i użył AJAX, aby dodać autora robaka, „Samy”, do listy „przyjaciół” milionów użytkowników MySpace. Yamanner to wariacja na ten sam temat i pierwszy dowód na to, że zagrożenie AJAX uderzyło w jednego z „wielkiej trójki” dostawców poczty internetowej, powiedział Hoffman.
Robak powinien być alarmem dla twórców oprogramowania i webmasterów, że pojawi się więcej exploitów Java i AJAX zgodnie z postem na blogu Michaela Haisleya, osoby odpowiedzialnej za obsługę incydentów w SANS Internet Storm Centrum.
Hoffman powiedział, że twórcy stron internetowych muszą zwracać szczególną uwagę na sprawdzanie poprawności danych wejściowych i poważniej traktować zgłoszenia o dziurach w skryptach krzyżowych. Powiedział, że firmy zakochane w aplikacjach internetowych typu „gee-whiz” firmy Google powinny dokładnie przemyśleć i zaplanować, zanim przeniosą aplikacje biznesowe do sieci.
„Kiedy przenosisz logikę biznesową na stronę klienta, pozwalasz atakującym zobaczyć typy danych i zakresy danych wejściowych, do których zobaczenia hakerzy normalnie potrzebowaliby skomplikowanego dezasemblera” — powiedział Hoffman.