Java kan misbrukes til bedrageri på web

Utvalget for sikker programmering på Internett ved Princeton University har utgitt en rapport om "web spoofing", en spesiell form for bedrageri på web. Rapporten viser hvordan programmeringsspråket Java kan misbrukes i en ny form for datakriminalitet.

I rapporten beskriver professor Edward Felten følgende scenario: Mens du streifer Internett kommer du tilfeldigvis inn på et websted der alle URL-ene (adressene til pekerne til andre websider) er omskrevet slik at de peker til en annen server enn den "egentlige". Dette merker du ikke, fordi du tilsynelatende kommer fram dit du skal. Men i virkeligheten er du blitt kapret: All videre streifing fra din side går nå gjennom en fiendtlig server, som registrerer og kontrollerer alt du gjør videre på web.

Kapreren skaper en slags falsk web som likner den virkelige på en prikk. Intetanende kommer du i situasjoner hvor du taster inn passord og kontonummer. Kapreren fanger dem opp med tanke på seinere misbruk, og lar dem gå videre. Kapreren står fritt til å endre tilbakemeldingene fra den sikre tjenesten du tror du er inne på. Mulighetene for avansert datakriminalitet er nærmest ubegrensede. Selv om man ikke vil ha problemer med å oppspore den fysiske maskinen kapringen gjennomføres fra, kan det være langt verre å finne fram til selve kapreren.

Felten-rapporten viser hvordan URL-en http://home.netscape.com skrives om til f.eks. http://www.kaprer.org/http://home.netscape.com. Det gjør at data fra deg går til kapreren før den går videre til Netscape, mens informasjon fra Netscape går til kapreren før du får den. Tilsynelatende har du vanlig kontakt med Netscape. I virkeligheten er du underlagt en usynlig mellommann.

Kapreren behøver ikke nødvendigvis hacke seg inn på en populær webside for å fange deg for å fange deg med en omskrevet URL. Den enkleste metoden er å sende deg en e-post-melding i html-format med pekere til informasjon som det er sannsynlig at du vil være interessert i. Meldingen kan kamufleres som e-post fra en av mange populære abonnementstjenester.

En annen kaprer-metode kan være å lure en søketjeneste til å indeksere manipulerte kopier av populære websteder.

Kapringen eller "web spoofing"-en virker på alle populære nettloser, også Navigator og Internet Explorer.

Hvordan greier kapreren å hindre deg fra å legge merke til at URL-ene er endret? Vanligvis oppgis URL-er både i adresselinja (øverst i vinduet) og i statuslinja (nederst).

Det er her Java kommer inn. Professor Felten viser hvordan JavaScript kan brukes til å lage små programmer som manipulerer adresse- og statuslinja slik at de ikke viser kaprerens adresse, men bare den legitime URL-en. Nettlosen oppfører seg med andre ord tilsynelatende normalt.

Felten skriver at det er to egenskaper ved nettlosene som ikke kan endres av programmer i JavaScript. Begge er under "View"-menyen. Klikker du på "Document source" får du se dokumentet i html-kode, og du kan undersøke alle URL-ene. Klikker du på "Document info" får du blant annet dokumentets faktiske URL. Slik kan du altså avsløre en kapring.

Kapreren har taket på deg bare så lenge du følger pekere på websteder du streifer gjennom. Velger du en "ren" peker fra din bokmerkesamling, slipper du fri.

Utvalget for sikker Internett-programmering ved Princeton University anbefaler alle å skru av JavaScript, ActiveX og Java i den daglige bruken av nettlosen, siden disse virkemidlene så lett kan misbrukes til "web spoofing" eller kapring. Det er fort gjort å skru dem på igjen når du kommer over et websted du vet ikke er kapret, og der disse egenskapene forsterker streifeopplevelsen.

Professor Felten og hans utvalg har gjort seg bemerket en rekke ganger ved å avsløre sikkerhetssvakheter i populær programvare. I januar utgir Wiley Computer Publishing hans nyeste bok, Java Security: Hostile Applets, Holes and Antidotes.

Til toppen