Las Vegas’ta düzenlenen bir Black Hat sunumunda, SPI Dynamics Güvenlik Mühendisi Robert Auger, RSS ve ATOM bilgi akışı sağlayan kaynağın istismarı hakkındaki tüm gerçekleri açıkça ortaya koydu.
Auger, Web tabanlı ve yerel RSS okuyucuların her ikisini de denediğini ve her iki platformun da kötü niyetli kullanıcıların kod enjeksiyonu ile diğer kullanıcıların kişisel bilgilerine, ekran çıktılarına, şifrelerine ve diğer bilgilerine ulaşmak için kullanabilecekleri uygunlukta olduğunu belirtti.
Internet korsanlarının RSS’nin avantajlarını kullanabilecekleri iki ana yöntem var. İlkinde, bilgi akışını sağlayan kaynağın sahibi kötü niyetlidir ve kodu kendi kaynağına direk olarak ekleyerek istediği verilere ulaşmaktadır. Auger’e göre, bu en çok tercih edilen yöntem değil.
Auger, Internet korsanının bir Web sitesinin görünümünü bozmaktansa, veri kaynağına bir saldırıda bulunabileceğini belirtti. Bu senaryoya göre, saldırgan bu sayede siteye üye olan “tüm” kişileri de ele geçirmektedir.
RSS’yi potansiyel olarak bu kadar zararlı yapan şey taşınım imkanıdır. RSS aslında kötü amaçlı kullanılan kaynağın popülerliğine bağlı olarak bir anda binlerce kişiyi etkileme potansiyeline sahip bir saldırı yöntemidir.
Web-tabanlı okuyucular özellikle aralarında SQL Enjeksiyonu, komut yürütüm ve hizmeti engelleme’nin de bulunduğu çeşitli saldırılara açık durumda.
Pek çok yerel RSS okuyucu, dosya sistemlerine kolay erişim sağlıyor, potansiyel olarak yerel networkte port taraması yapabiliyor ve iletim atakları için kullanılabiliyor.
Auger, özellikle Web-tabanlı RSS okuyucular arasında Blogline’ların (kişisel, haber içerikli Web günceleri) kod enjeksiyonuna elverişli olduklarını belirtti.
Auger Yerel RSS olarak, RSS Reader, RSS Owl, Feed Demon ve Sharp Reader’ın isimlerini verdi. Auger’in halen birlikte çalıştığı veya henüz temasa geçmediği sağlayıcılar ile ilgili yorum yapmak istemediğini belirtmesi sebebiyle, istismara açık okuyucuların listesi ise henüz tamamlanmamış durumda.
Auger “Böyle şeyler herkesin başına gelmektedir,” diyor. “İnsanlar, kullanmadan önce verilerin nereden gelmiş olduklarını hesaba katmıyorlar.”
Kaynak okuyucuların kötü amaçlı metinlere karşı güvenli hale getirilmesi konusunda çeşitli çözümler mevcut. Pek çok vakada bu çözümler, bir kullanılabilirlik özelliğini sınırlamayı içeriyor.
Örnek olarak Auger kaynak okuyucuların betikleri, uygulamacıkları ve takılabilir programları hizmet dışı bırakmalarını tavsiye ediyor.
“Her veri alışınızda, bu verilerin iyi niyetli olduklarını farz etmemelisiniz,” diyor Auger. Ve ekliyor, “Nereden geliyor olursa olsunlar, birlikte getirdikleri riskleri de hesaba katmalısınız.”
Kaynak : 