211service.com
Kartläggning av den skadliga webben
Under de senaste åren har cyberkriminella alltmer fokuserat på att hitta sätt att injicera skadlig kod på legitima webbplatser. Vanligtvis har de gjort detta genom att bädda in kod i en redigerbar del av en sida och använda denna kod för att visa upp skadligt innehåll från en annan del av webben. Men den här aktiviteten kan vara svår att upptäcka eftersom webbplatser också i allt högre grad hämtar in legitimt innehåll, såsom annonser, videor eller kodavsnitt, från externa webbplatser.

Onda webben: FireShark hittar potentiellt skadliga servrar genom att avgöra vilka som visar innehåll till flera webbplatser.
Nu forskare vid Websense , ett säkerhetsföretag baserat i San Diego, har utvecklat ett sätt att övervaka sådan skadlig aktivitet automatiskt.
Talar på RSA Säkerhetskonferens i San Francisco förra veckan beskrev Stephan Chenette, en ledande säkerhetsforskare på Websense, ett experimentellt system som genomsöker webben, identifierar källan till innehåll inbäddat på webbsidor och avgör om någon kod på en webbplats agerar skadligt.
Chenettes programvara, kallad FireShark, skapar en karta över sammankopplade webbplatser och lyfter fram potentiellt skadligt innehåll. Varje dag kartlägger programvaran kopplingarna mellan nästan en miljon webbplatser och servrarna som tillhandahåller innehåll till dessa webbplatser.
När du ritar flera webbplatser kan du se deras innehållsgemenskaper, säger Chenette. Även om vissa av innehållshubbarna som kopplar samman olika gemenskaper kan vara legitima – som servrarna som tillhandahåller annonser till många olika webbplatser – kan andra innehållskällor indikera att en angripare tillhandahåller skadlig kod, säger han. Enligt en studie publicerad av Websense har onlineangripares användning av legitima webbplatser för att sprida skadlig programvara ökat med 225 procent under det senaste året.
Även legitima hubbar kan dock utgöra ett hot. I september, till exempel New York Times erkände att onlinebrottslingar, som maskerade sig som legitima annonsörer, hade placerat innehåll på sin webbplats via ett annonsnätverk.
Att attackera ett nätverk av detta slag kan vara mycket mer lukrativt än att attackera någon enskild webbplats. Låt oss anta att webbplatsens säkerhet är förstklassig. Hur kan en illvillig angripare komma till användaren? säger Chenette. Ett annonsnätverk skulle vara ett bra val.

Fjärrkontroll: FireShark upptäckte att en del innehåll på sajten howtofindmyIP.com kommer från tvivelaktiga sajter i Ukraina.
Forskarna på Websense planerar att släppa en plug-in för webbläsaren Firefox som kommer att avslöja innehållshubbar som en webbplats är länkad till.
Det intressanta med allt detta är när angripare använder, säg, DoubleClick som attackvektor, säger Tom Pinckney, medgrundare av webbsäkerhetsföretaget SiteAdvisor, som köptes av McAfee 2006, och nu vice VD för teknik för rekommendationssajt Hunch. För många attacker köper någon innehållet i annonsnätverket, men killen som faktiskt tillhandahåller innehållet på sidan – Gud vet vem det är.
SiteAdvisor erbjuder ett plugin-program som tillhandahåller en tjänst som liknar vad FireShark erbjuder. McAfee använde ett datacenter fullt av virtuella datorer för att trolla på webben efter skadliga webbplatser, utvärdera länkar och skicka unika e-postadresser som sedan övervakas för skräppost.
FireShark fördjupar sig djupare än SiteAdvisor genom att avkoda HTML, Javascript och annan kod som är inbäddad i varje webbsida som den analyserar, och letar efter den ultimata innehållskällan, även om den har omdirigerats flera gånger. FireShark ger en mer djupgående bild av vad som händer, säger Chenette.
Maxim Weinstein, verkställande direktör för StopBadware , en ideell organisation som hjälper till att skapa listor över skadliga webbplatser, säger att FireShark kan vara ett intressant verktyg för forskare. Förbehållet, säger han, är att anomalt beteende inte alltid är skadligt. Mönstren som ser dåliga ut är ofta bra saker – bara anomala, säger han.
Att spåra hur webbplatser är anslutna över tid kan också hjälpa till att identifiera skadliga ändringar på webbplatser, säger Chenette. Han tillägger att FireShark-webbläsarens plugin så småningom kan låta användare mata information om de webbplatser de besöker tillbaka till Websense.