Kaspersky Lab o najnowszym ataku na serwis YouTube

Kaspersky Lab opublikowaÅ‚ informacjÄ™ o ataku na serwis YouTube.com, w wyniku którego komputery wielu jego użytkowników zostaÅ‚y zainfekowane szkodliwymi programami. AutorkÄ… tekstu jest Marta Janus, analityk zagrożeÅ„ z Kaspersky Lab Polska, czÅ‚onek GReAT (Global Research and Analysis Team).

Jak to bywa w niespokojnych czasach, ataku można spodziewać się zewsząd. Nawet oglądając filmy na YouTube w domowym zaciszu nie możemy czuć się bezpieczni.

W niedzielÄ™, 4 lipca, wielu fanów pewnej popowej gwiazdki o nazwisku Justin Bieber spotkaÅ‚a przykra niespodzianka: oglÄ…dajÄ…c na youtube.com teledyski swojego idola, byli oni bombardowani wyskakujÄ…cymi komunikatami o jego Å›mierci, bÄ…dź przekierowywani na strony typu „tylko dla dorosÅ‚ych”. Fakt ten dosyć szybko wzbudziÅ‚ zainteresowanie specjalistów z dziedziny bezpieczeÅ„stwa IT i okazaÅ‚o siÄ™, iż serwis YouTube padÅ‚ ofiarÄ… klasycznego ataku XSS (Cross-Site Scripting).

Ataki tego typu polegajÄ… na umieszczeniu w kodzie strony internetowej szkodliwego skryptu, który nastÄ™pnie jest przetwarzany przez przeglÄ…darkÄ™ użytkownika tak, jak peÅ‚noprawny element tej strony. Szkodliwy kod jest „wstrzykiwany” z wykorzystaniem luki w mechanizmie pobierania danych od użytkownika. Wiele stron - przede wszystkim forów i portali internetowych - bazuje na tym, że przetwarza i wyÅ›wietla tekst, który wczeÅ›niej użytkownik wpisuje w odpowiednim formularzu. JeÅ›li nie ma stosownych zabezpieczeÅ„, chroniÄ…cych stronÄ™ przed przetwarzaniem niepoprawnych bÄ…dź niedozwolonych danych, atakujÄ…cy może z Å‚atwoÅ›ciÄ… dopisać do jej kodu wszystko, co mu siÄ™ żywnie podoba - na przykÅ‚ad skrypt przekierowujÄ…cy do innej witryny lub pobierajÄ…cy szkodliwe oprogramowanie. Każdy kolejny użytkownik przeglÄ…dajÄ…cy danÄ… stronÄ™ zostanie narażony na dziaÅ‚anie tego skryptu.

W przypadku serwisu YouTube dziurawy okazaÅ‚ siÄ™ być mechanizm dodawania komentarzy. Odpowiednio spreparowany tekst komentarza pozwalaÅ‚ na wstrzykniÄ™cie dowolnego kodu HTML, który nastÄ™pnie byÅ‚ prawidÅ‚owo interpretowany przez przeglÄ…darkÄ™. Co za tym idzie, używajÄ…c znaczników HTML można byÅ‚o również wstrzykiwać do kodu strony skrypty Javascript czy VBS.

Reakcja ze strony Google byÅ‚a szybka i efektywna - krytyczna luka, która pozwoliÅ‚a na ten atak, zostaÅ‚a naprawiona jeszcze w dniu opublikowania, a niebezpieczne komentarze usuniÄ™te z serwisu.

Jednak caÅ‚a ta afera powinna dać do myÅ›lenia: YouTube to jeden z najwiÄ™kszych i najczęściej odwiedzanych serwisów internetowych. Jak to możliwe, by tak poważny bÅ‚Ä…d uszedÅ‚ uwadze programistów? Jak wielu użytkowników zostaÅ‚o zainfekowanych wÅ‚aÅ›nie w ten sposób? Jak wiele innych znanych portali cierpi na podobnÄ… przypadÅ‚ość? Na te pytania nie da siÄ™ jednoznacznie odpowiedzieć, nie oznacza to jednak, że nic nie da siÄ™ zrobić.

„Nie ulega wÄ…tpliwoÅ›ci, że każdy wÅ‚aÅ›ciciel witryny internetowej - niezależnie czy jest to osoba prywatna, firma, czy też ogromny koncern - powinien z wiÄ™kszÄ… niż dotychczas starannoÅ›ciÄ… sprawdzać poziom bezpieczeÅ„stwa swojej strony i, w razie potrzeby, korygować wszystkie znalezione luki oraz niedociÄ…gniÄ™cia”, mówi Marta Janus, analityk zagrożeÅ„ z Kaspersky Lab Polska, czÅ‚onek Global Research and Analysis Team (GReAT). „Nie możemy cofnąć czasu i naprawić szkód, które zostaÅ‚y już wyrzÄ…dzone. Możemy jednak uczyć siÄ™ na cudzych bÅ‚Ä™dach i podejmować kroki, aby zapobiec przyszÅ‚ym incydentom."