10:16
22/9/2015

Odkryto dziwne zachowanie popularnego hostingu obrazków imgur.com. Podczas ładowania niektórych plików graficznych, oprócz obrazków użytkownikom serwowane były dodatkowe skrypty, które powodowały ciekawe anomalie.

Botnet Imgur i atak na 4/8 chany

Sam incydent wciąż jest analizowany — póki co odkryto próby wykorzystania imgur do “DDoS-owania” 4chana i 8chana poprzez ładowanie setek zasobów z ich serwerów.

requests

Ale ładowany z serwerów imgur kod JavaScript ma większe możliwości. Tworzy iframe oraz serwuje plik flash z 8chana. Ponieważ użytkownicy imgur są przyzywczajeni do obecności flasha na stronie (uploader plików) prośba o zgodę na uruchomienie flasha nie wydaje się podejrzana. Załadowany flash z kolei serwuje kolejne skrypty JavaScript, które przechowywane są w localstorage przeglądarki. Dzięki temu, przeglądarka dopinana jest do “botnetu” i periodycznie odpytuje serwer 8chan.pw o instrukcje. Niestety, kiedy o ataku zrobiło się głośno, ruch ustał i nie da się określić do czego dokładnie botnet mógł być wykorzystywany (poza DDoS-em).

codewithexplanation

Sprawa jest jednak poważniejsza…

Sprawa jest jednak poważniejsza i nie dotyczy tylko internautów wchodzących na 4/8chany. Ponieważ do przeglądarek internautów poprzez imgur wstrzykiwać można złośliwy kod JavaScript, to w zasadzie na użytkowniku każdej strony, z której ładowane są obrazki z imgur (która odsyła na imgur), można wykonać atak XSS (w domenie imgur), a w konsekwencji podpiąć do “botnetu” (przeglądarka będzie periodycznie pobierała instrukcje i wykonywała np. ataki DDoS). Inne skutki ataku XSS to m.in. kradzież informacji poprzez wyświetlenie fałszywego okna z prośbą o podanie danych albo załadowanie exploita na przeglądarkę lub jej wtyczkę (zwłaszcza Flasha) i w konsekwencji przejęcie całkowitej kontroli nad komputerem użytkownika.

Incydent jest o tyle ciekawy, że złośliwy kod nie pojawia się na wszystkich podstronach imgur. Powodem takiego zachowania może być znalezienie błędu w imgur pozwalającego na umieszczanie na stronie z obrazkiem także kodu JavaScript. Inne możliwe hipotezy to włamanie na serwery imgur lub złośliwe działanie jednego z pracowników tej firmy.

Oglądałem koty na imgur — co robić, jak żyć?

Mocno polecamy wyłączenie JavaScriptu i Flasha dla domeny imgur. Warto też wyczyścić localstorage przeglądarki. Warto też powstrzymać się od wchodzenia na Imgur do czasu wyjaśnienia problemu. Administracja serwisu już wie o problemie i przyglądają się sprawie.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

50 komentarzy

Dodaj komentarz
  1. Jak mogę wyłączyć skrypty dla strony imgur jeśli używam Chrome?

    • Klikasz prawym przyciskiem na stronie imgura, Wyświetl informacje o stronie -> Ustawienia witryny -> Javascript -> Zarządzaj wyjątkami

    • Ustawienia -> Zaawansowane -> Prywatność -> Ustawienia treści

    • chrome://settings/contentExceptions#javascript

    • Settings > Show advanced settings > Privacy > Content settings > JavaScript > Manage Exceptions

    • Standardowe akceptowanie JS i flasha i dodawanie wpisów do listy stron zablokowanych to rozwiązanie od d… strony, bo przed niczym nie zabezpieczy jeśli wejdziemy na jakąkolwiek niezablokowaną wcześniej stronę. Prawidłowe rozwiązanie to blokowanie wszystkiego by default i dopisywanie whitelisty.

    • Jak masz coś oparte o chromium to zainstaluj uMatrix. Wygrywa nawet z noscriptem pod względem wygody blokowania. W przeciwieństwie do noscripta nie chroni natomiast przed clickjackingiem itd.

    • Wejdź przez Internet Explorera.

      PS to protip.

  2. Ale wyczyścić wystarczy cookie imgur, czy wszystkie cookie?

  3. Tutaj masz instrukcję jak http://a/%%30%30

    • 10/10

    • Nie wiem, co mnie naszło, żeby akurat dziś niebezpiecznika przeglądać na Chromie (FF rozumie), ale dzięki temu wiem za co jest 10/10 :D

      Jedynie nie wiem DLACZEGO?

      (googling…)

    • Bo Google. Ot, dlaczego.

    • Ja na Edge’u nawet nie mogę wejść na ten link :)

  4. Jeśli używasz Chrome to nie możesz :P
    Firefox ji Opera już posiadajątaką możliwość a

  5. W Firefox można wyłączyć JS globalnie:

    about:config => javascript.enabled => false

    • To chyba jednak zbyt radykalny krok – pewnie nawet komentarza byś tutaj nie dodał bez js ;)

    • @insanebear
      Komentarze bez JS dodają się na niebezpieczniku bez problemów.

  6. Jeśli uzywasz chrome to i tak chyba Ci nie zależy zbytnio na prywatności ;)

  7. Mogli byście zapodać instrukcje jak poblokować bo ja wiem ale jak będe musiał połowie znajomych wytłumaczyć to zwariuję ;) Pozdro.

  8. Uploadowałem pliki na imgur z zewnętrznej aplikacji, otwierałem w przeglądarce tylko “gołe” (bez skojarzeń) zuploadowane pliki graficzne – nie stronę imgur, a tak poza tym, przeglądarkę mam nastawioną na pytanie mnie zanim uruchomi jakiś aplet flasha (pozostałość jeszcze po starym komputerze, gdzie był to mus ze względu na wydajność – na nowym po przeniesieniu configu Firefoxa zostawiłem to z przyzwyczajenia). Rozumiem, że nie jestem zagrożony – zgadza się?

  9. Periodycznie, czy okresowo? Zostawiam tu swoje językowe, periodyczne “ech”.

  10. Dodam, że przy otwieraniu wspomnianych plików JPEG w przeglądarce absolutnie nie pytała mnie ona o zgodę na otwarcie apletu flasha.

  11. Jak wyczyscic to w operze? Pomoze ktos?

  12. Podajcie może bezpieczne alternatywy do imgur, gdzie można wgrywać zdjęcia bez konieczności rejestracji.

    • slimgur na przykład

  13. ładowarka od imgur działa bez flasha jak ładujesz ze schowka ale bez javascriptu jeszcze tam nie próbowałem.

  14. nie do końca to zrozumiałem a na imgur wchodziłem wczoraj:
    czy jeśli skrypty js są włączone, a flash zablokowany, to czy jestem podpięty do botnetu?

  15. Przecież to przez jakieś śmieci od providera reklam na imgurze, nie z samego serwisu. Bo to pierwszy raz?

    Obrazki z imgura ogląda się przez direct linki do jotpegów przecież, napisaliście to tak, jakby co najmniej wstrzykiwali JS do JPEGów ._.

  16. maybe related: https://youtu.be/np0mPy-EHII?t=12m

  17. ‘Hover Zoom’ jako rozszerzenie. Rozwiązuje problem?

  18. Jak to możliwe, że skrypty ze strony, której nie ma się otwartej mogą coś odpytywać, tylko dlatego że kiedyś się na niej było?

  19. “Hi there, thanks for bringing this to our attention, we’re currently working on a solution.” No tak… pracują nad rozwiązaniem bo przecież przez pomyłkę to wdrożyli.

  20. W jaki sposób skrypty mają działać po zamknięciu strony? To że zapiszą sobie coś w localstorage im tego nie umożliwi.

  21. Moglibyście napisać jak wyczyścić local storage w Firefoksie 41, bo localStorage.clear() już nie działa.

  22. Sandbox do przeglądarki + blokada na skrypty mnie uratuje ?

  23. Zastanawia mnie, czy dodatki typu Ghostery które blokują wszelkie dane z zewnętrznych witryn, mogą w jakiś sposób chronić przed tym atakiem ze strony imgur?

    • Ghostery nie blokuje “wszelkich danych”. To zwykły bloker oparty o blacklistę. Jeżeli czegoś na niej nie ma, to nie zablokuje.

      Pytanie co z EFF i ich privacy badgerem, który niby inteligentnie uczy się niepożądanych trackerów (efekt taki, że jak ghostery wykrywa 15 trackerów, badger wykrywa 2 albo 3…). Pewnie i tak by nie pomógł, bo przynajmniej raz musi wszystko przepuścić, żeby to przeanalizować.

  24. Pksdf34 > http://help.opera.com/ tutaj masz opisane, po lewej bezpieczeństwo i prywatność i tam masz napisane

  25. @Niestety, kiedy o ataku zrobiło się głośno, ruch ustał i nie da się określić do czego dokładnie botnet mógł być wykorzystywany (poza DDoS-em).

    >> niestety, albo i nie…

  26. Co to jest ta “Flasha”?

    Myślałam, że mamy 21 wiek ;)

    • Odmiana słowa “Flash” czyli techniki wykonywania obrazów wektorowych w plikach *.swf, widać się przyjęło jego deklinowanie.

  27. Gdyby ktoś dalej był ciekawy, Imgur zrobił coś w powyższej sprawie: http://imgur.com/blog/2015/09/22/imgur-vulnerability-patched/

  28. “przejęcie całkowitej kontroli nad komputerem użytkownika”
    Pozdrawiam niebezpiecznik, któremu flash z uprawnieniami admina bangla..

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: