Under hacker-konferansen ShmooCon i slutten av mai, demonstrerte sikkerhetsforskeren Billy Hoffman, som er ansatt i SPI Dynamics, en måte å skrive en sårbarhetsskanner i JavaScript. Teknikken gjorde det mulig å omgå sikkerhetsrestriksjoner i JavaScript-implementeringene og å oppnå tilgang til blant annet nettleserbrukerens filsystem.
Nettopp av den grunn valgte Hoffman bare å vise fram koden, ikke å publisere den. Men for å demonstrere bruken av Jikto, som verktøyet kalles, var Hoffman nødt til å legge koden ut på nettet. URL-en til koden skal ha blitt vist fram for publikum et øyeblikk, noe som skal ha vært nok til at Mike Schroll, en sikkerhetskonsulent i Security Management Partners, fanget den opp og publiserte den på nettstedet Digg.com allerede den 25. mars.
Der ble den liggende i noen få timer inntil han ble bedt av Hoffman om å fjerne den igjen. I mellomtiden var programvaren blitt lastet ned omtrent hundre ganger. I helgen dukket koden opp igjen i ulike diskusjonsfora.
Ifølge IDG News Service advarer sikkerhetseksperter nå om at Jikto kan misbrukes av kriminelle til å skanne interne nettverk for sensitiv informasjon eller til å bygge kode for et ondsinnet botnet.
- Dette verktøyet er designet for å ta kontroll over nettleseren. Det vil også gjennomsøke andre websider for å se etter sårbarheter, sier Jeremiah Grossman, teknologisjef i WhiteHat Security, til IDG News Service.
Hoffman er på sin side ikke så veldig opprørt over utgivelsen.
- Det er en tragedie at den endte opp med å bli utgitt, men i virkeligheten visste nok de slemme folkene allerede om denne metoden. Og selv om de ikke gjorde det, var de sannsynligvis bare et par måneder unna å få det til, mener Hoffman. Hele koden skal være på omtrent 800 linjer.
Hoffman skriver i dette blogginnleggetom utgivelsen og hans tanker rundt dette.
Schroll, også kjent under kallenavnet LogicX, har publisert sin versjon av historien på denne siden.
