Java脚本傀儡网络代码从黑客大会外泄

　　北京时间4月3日消息，在上个月召开的ShmooCon黑客大会上，一位思维敏捷的与会者下载了一款特殊的软件，那款软件可以在不知不觉中将网络浏览器转变成一款黑客工具。日前，那款软件被公开在互联网上。

　　那款软件的名称是Jikto。是由Spy Dynamics公司首席研究员比利霍夫曼开发出来的。霍夫曼在3月24日将它作为Java脚本恶意软件隐患造成的威胁的一部分进行了公开展示。

　　霍夫曼找到了一种用Java脚本编写网络漏洞扫描工具的方法。那种技术破解了Java脚本的安全限制，霍夫曼担心他的Jikto代码可能会被不法分子利用，他表示他之前曾经采取了多项措施来防止代码泄露。

　　然而，为了在展示顺利进行，他不得不将Jikto代码贴到了因特网上。霍夫曼说：“你可以看见Jikto代码被提取的原始地址。”

　　那已经足以说明与会者迈克施罗尔偷偷复制了一份代码。

　　施罗尔在3月25日将代码贴到他的网站上并提供了到Digg.com网站的超级链接。几个小时后，他按照霍夫曼的要求撤掉了那款软件。

　　施罗尔说，他是因为考虑到那款软件可能会对其他安全专家有用才将它公开贴在网络上的，他认为它可以帮助安全专家们找到说明脚本攻击的危险程度的好办法。他说：“我对它很感兴趣，因为我们与客户进行了测试伪造钓鱼式攻击网站的约定。 我并不是想做坏事。”

　　施罗尔说，那款软件在他的网站上被下载了100多次。

　　在上周末，那款软件再次出现在网络上，它这次是出现在了Sla.ckers.org网站论坛中。

　　随着Jikto软件的公开，安全研究员们担心它可能会被不法分子滥用，网络罪犯们可能会利用它来扫描内部网络以查找敏感信息或者制作一款恶意傀儡网络代码。WhiteHat security公司的首席技术官耶利米格罗斯曼说：“这款特殊的软件是专门用来控制网络浏览器的。 它可以慢慢爬到其他网站上并对它们进行扫描，查找可能存在的漏洞。”

　　对于这款软件的外泄，霍夫曼比较乐观，他说，网络罪犯们可能早就已经能够开发出类似的软件了。

　　霍夫曼说：“最终这款软件外泄可能有点不幸，但实际上网络罪犯们可能早就已经能够做到这一点了，即便他们现在不能，但是他们可能也能够在几个月内开发出类似的软件。”

　　他说，他并不因为施罗尔偷偷拷贝并外泄了那款软件而对他感到愤怒。他说：“他与大多数人一样，只是因为好奇才那么做的。 我不能因为别人好奇就怪罪他们，因为我的工作本来就令人感到好奇。”