Испанский специалист по безопасности Чема Алонсо (Chema Alonso) из компании Informatica64 использовал весьма сомнительный метод, с юридической точки зрения, для изучения киберпреступности. Он запустил «анонимный прокси» и опубликовал его адрес на подпольных форумах. На сервере Алонсо разместил троянскую программу в JavaScript-файле, которая подменяла легальный JS-файл в кэше браузера поражённого компьютера. Троян изучал содержимое кэша, в том числе куки браузера и учётные записи с разных сайтов — вся собранная информация отсылалась исследователю. В течение одного дня своеобразный ботнет вырос до 4000 ботов, так что Алонсо получил обширную выборку для исследования — чем же на самом деле занимаются люди, которые скрывают свою активность в интернете через «анонимные прокси»? Результаты работы специалист озвучил на хакерской конференции Black Hat в рамках доклада Owning bad guys {and mafia} with javascript botnets. Через ловушку испанца прошло много интересного: например, мошенники, которые рассылали «нигерийские письма», приглашения на работу, притворяясь британскими чиновниками. Был один мужчина, который выдавал себя за симпатичную девушку на сайте знакомств, пробуя выманить у ухажёров деньги на авиабилет. И ещё один гражданин, который продавал несуществующих йоркширских терьеров. Алонсо предположил, что правоохранительные органы и разведывательные службы уже используют данный метод (прокси-сервер + троян в кэше) для слежки за пользователями. Дата: 30.07.2012 http://www.xakep.ru/post/59073/
Интересно, а такой метод работает на машины под никсами? Насколько велика вероятность? Или она стремиться к нулю?
Трижды прочитал... Фигня какая-то написана. разместил трой в яваскрипте? о_О приватный сплойт что ли? Не ) кто-нибудь понял фишку сего написанного?
Что-то я тоже не понял как так. Т.е. не важно через какую цепочку прокси\сокс+ВПН, например, идет подключение к прокси Алонсо? Он все равно получает доступ к кешу браузера? А вообще, рассказывать об этом на хакерской конференции... По-моему, это очевидно. Интереснее было бы посмотреть на реализацию
Единственный пришедший в голову вариант - это был некий анонимайзер. Те. скриптик с веб интерфейсом, делающий запросы через курл или что нибудь подобное.
нет. написали же, что это прокси-сервер. никогда не видели что-ли, как на некоторых проксиках топлайном баннеры вешали? тут тоже самое, скорее всего. Js инжектится в страницу на уровне прокси и отображается в браузере в исправленном виде и получаешь доступ к кукам. а запросы сниффером обрабатываются
вобще все просто, прокси следит за GET и как внутри появляется .JS он закачивает этот файл, дописывает в конце свой инжект и отдает клиенту. запущенный таким образом .JS выполняет анализ в пределах контекста сайта (куки, браузер, перемещение мышкой, нажатия клавиш, плагины, хистори etc.).