São Francisco – O Jitko, capaz de rastrear as vulnerabilidades web em JavaScript na rede, foi copiado em uma conferência de hackers.
Um software capaz de transformar o browser em um brinquedo nas mãos de terceiros foi publicado na internet, após ter sido baixado por um participante da conferência de hackers Shmoocon, realizada há pouco mais de uma semana.
O programa, chamado Jitko foi escrito por Billy Hoffman, chefe de pesquisas do Spy Dynamics Inc., que demonstrou o código no dia 24 de março como parte de uma apresentação a respeito dos códigos maliciosos em JavaScript.
Hoffman descobriu uma forma de criar um rastreator de vulnerabilidades na web em JavaScript, linguagem que roda em qualquer navegador. A técnica, que consegue driblar as restrições de segurança do JavaScript, levantou preocupações sobre o uso inadequado do Jitko, afirmou Hoffman que disse ter tomado cuidados extras para garantir que o código não caísse na rede.
No entanto, para colocar a demosntração do Jitko em prática, Hoffman teve de publicar o código do programa em algum lugar na internet. “Era possível ver muito rapidamente a URL original do código do Jitko”, contou.
A rápida exposição foi suficiente para que o participante Mike Schroll fizesse uma cópia do código, durante a palestra.
“No instante que o vi comecei a digitar”, disse Schroll, um consultor de segurança na informação da Security Management Partners, Inc..
Schroll afirma que publicou o código em seu site no dia seguinte à apresentação acreditando ser uma dica útil para outros profissionais de segurança e enviou um link do mesmo para o Digg.com.
Ele removeu o software algumas horas depois, atendendo ao pedido de Hoffman, mas o programa foi baixado de seu site cerca de 100 vezes, disse ele.
No último final de semana, o Jitko apareceu novamente na rede. Desta vez, entretanto, no fórum de discussões Sla.ckers.org.
“É quase uma tragédia ver o software ser divulgado”, declarou Hoffman. “Mas, na realidade, os vilões provavelmente o conheciam e mesmo que não o conhecessem levariam provavalmente alguns meses para descobrí-lo.”
Com informações de IDGNOW.
