​Do Admina

@admin, nie ma za co, z przyjemnością pomagam znajomym blogerom. Zwracam jednak uwagę, że problemy w Internecie gęstnieją. Niedawno pojawiły się doniesienia, że publicznie dostępne, darmowe skrypty, m.in. te, których używają CMS-y i portale są faszerowane dziwną treścią. Dzieje się to np. na GitHubie. Oto lista ostatnich "dziwnych" ataków na GitHub: https://www.bleepingcomp… Co chcą osiągnąć atakujący? Oczywiście jakieś exploits do podczepiania się pod nie w odpowiednim momencie np. w tzw. ataku "supply chain". Jak to tam działa? Zna Pan Gradle albo inne systemy zarządzania wersjami, patchami, pracą grupową i autouzupełnianiem kodu rozproszonego pomiędzy kilka grup programistów? Tak się składa, że najprostszy do zrozumienia jest system używany przez społeczność tworzącą mody do gier (przypominam zagrożenie Log4j). Teraz bardzo dużo ludzi używa Visual Studio Code, a tam jest wszystko: od JS, przez Pythona, po Rust. Żeby taka menażeria mogła działać w przeglądarkach i się nie pogubić potrzebna była odpowiednia technologia: Bubbles (bąbelkowanie). Nie chodzi tu jednak o te defaultowe bzdety wykładane na studiach, że JS potrafi dynamicznie podczepiać handlery do elementów DOM (np. JQuery). Chodzi raczej o stworzenie środowiska do uruchamiania WASM-ów (Web Assembly): https://sekurak.pl/wasm-… Na przykład tutaj jest strona fanatyka faktoryzacji dużych liczb :) https://www.alpertron.co… Żeby to było możliwe trzeba obliczenie podzielić na dwie części: A. część lokalną, która najczęściej zajmuje się obsługa interfejsu, przesyłaniem do i z serwera pakietów "dżejsona" .json (np. na Ajaxie, XML RPC, powiedzmy XMLHttpRequest i setki innych wymyślonych niedawno); B. Część zdalną np. opartą o PHP, która realizuje dostęp do baz danych i zasobów, których nie ma sensu pchać przez sieć, np. tablic liczb pierwszych itp. Proszę przyjrzeć się uważnie strukturze tej strony (źródło), bo jest tam zarówno zakodowany Base64 obiekt WASM, jak i wrapper w JS. W takim zapakowanym za pomocą Base64 obszarze może być zarówno obrazek jak i kod, albo zamiennie w zależności od planów jakiegoś gościa po drugiej stronie. Na tej stronie w poprzedniej wersji było właśnie tak, że kod WASM-a ściągał się do bąbelka w pamięci podręcznej przeglądarki i tak naprawdę nie było wiadomo co to jest. Teraz jest OK, bo zostało to wymuszone z powodu dużej liczby ataków. Ale nadal znajdą się gdzieś wrogie strony, dlatego warto mieć zainstalowany blocker skryptów. Kanał Johna Hammonda pokazuje to w szczegółach: https://www.youtube.com/… Co ciekawsze portale typu Onet przenoszą do naszych komputerów całe oprzyrządowanie skryptowe, które ktoś może wykorzystać do zaszyfrowania dysku jak ransomware. Była to zewnętrzna biblioteka OCDN i folder "crypto-js" z plikami: hmac-sha1.js (obecnie słabizna), md5.js (kiedyś militarny USA), Base64, Pack.js (?) i wiele innych. Zapisałem to sobie, bo to rzadki widok i przestroga 8]