Hvorfor er ikke XSS i nyhetsbildet?
XSS er noe som sikkerhetseksperter har advart mot i et par år nå, og grensene for hva man kan gjøre ved hjelp av XSS blir stadig sprengt. Når noen først kan kjøre javascript i nettleseren din kan de (tillegg til å gjøre enkle ting som å stjele cookies, resette passord etc) lese hvilke nettsider du har besøkt, avgjøre hvilket kjønn du har, stjele hele kontaktlisten din eller rett og slett bruke PC-en din som del av et botnet. Jeremiah Grossman samler i disse dager sammen de forskjellige hendelsene som har skjedd det siste året for å kåre de viktigste.
Men selv om XSS er utpekt som en av de største sikkerhetsutfordringene IT-bransjen står ovenfor for tiden, er XSS nesten totalt fraværende i nyhetsbildet. Ormer og virus dominerer totalt i nettavisene, selv om dette nå ser ut til å endre seg litt. For å ta digi.no som eksempel, gir et søk på XSS kun 12 treff. Virus gir over 1000 treff.
Grunnen til dette er nok ikke at XSS-angrep er mindre utbredt, men at mørketallene er så store. Et XSS-angrep er (som regel) nemlig direkte tilsikted et mål, skreddersydd for å angripe en bestemt person eller nettside. Dette gjør det svært vanskelig å analysere volumet av angrep, mens man med virus har sofistikerte overvåkningsløsninger, honeynets og svært nøyaktige og detaljerte analyser.
Et XSS-angrep som blir oppdaget blir ikke rapportert til noen, kanskje med unntak av bedriftens IT-avdeling eller lignende. Et vellykket XSS-angrep trenger man ikke nødvendigvis legge merke til engang. Om noen stjeler cookie-en din og leser eposten din, så betyr ikke det at du legger noe merke til det.
Og at XSS-angrep er direkte rettet mot deg gjør også at sikkerhetsproblemet er desto større. Å bli infiltrert av en bevisst hacker som er ute etter konkret informasjon om deg eller din bedrift er verre en en “blind” orm som kun er ute etter å spre seg å innlemme maskinen din i et botnet.
Men også virus og ormer er mulige å utføre i javascript, og det kommer til å bli et langt større problem i fremtiden. Se for deg et virus som istedet for å spre seg via e-post benytter meldingssystemet til eksempelvis Facebook eller Twitter. En slik orm vil spre seg langt raskere enn de tradisjonelle ormene som scanner etter IP-er de kan prøve å infiserer, noe som allerede er demonstrert på blandt annet MySpace.
Og først da tror jeg vi vil se XSS tre tydlig frem i nyhetsbildet.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
4 Responses to “Hvorfor er ikke XSS i nyhetsbildet?”
Yep, gode poenger her. Xss angrep er vanskelig å se med mindre man har god teknisk kunnskap om datasikkerhet. Det er trist, men tror ikke xss/csrf er noe som kommer til å dø ut før mange mange år.
Kanskje på 2020 tallet en gang?
http://skogtrollet.com/2009/01/30/hvordan-hacke-e...
Det jeg tror er mye av grunnen til at XXS ikke har nådd nyhetsbildet, som du viser til, er nok at det blir "for teknisk" for folk flest og da gidder ikke en del publikasjoner å skrive om det. Samme saken som at alle som gjør noe ulovlig på en pc enten er pirat eller hacker.
Tja, det kan hende, men virus/ormer og det meste sikkerhetsrelaterte innen data er også rimlig teknisk. Men kanskje litt lettere å forstå, og definitivt mer eksotisk enn XSS.
Folk flest er dumme
Vel, jeg tror det er flere grunner. Som nevnt er XSS angrep ofte veldig målrettet. Veldig mange vet om mange sårbarheter i nettsider, men det krever arbeid å utnytte. Jeg tror phishing og virus er for effektivt til at det er bryet verdt å engasjere seg i XSS sårbarheter. Fordelene med phishing og virus er rett og slett for mange og for store til at XSS er av interesse for cyber kriminelle.
Leave a Reply