Beveiligingsonderzoekers zullen op de Black Hat-bijeenkomst software tonen die kan worden ingezet om persoonlijke gegevens van websitebezoekers te verzamelen. Ze vermomden een java-bestand als afbeelding.
De onderzoekers van beveiligingsbedrijf Ngssoftware en de beveiligingsafdeling van Ernst & Young zullen hun zogenoemde 'Gifar'-bestand tonen op de laatste dag van de Black Hat-beveiligingsconferentie, die van 2 tot 7 augustus in Las Vegas wordt gehouden. De naam 'Gifar' is gebaseerd op het duale karakter van het bestand: de webserver behandelt de malware als een afbeeldingsbestand in gif-formaat, terwijl de Java-virtual machine van de gebruiker het bestand als een uitvoerbare java-applicatie of .jar-bestand herkent. De gebruiker ziet alleen een afbeelding.
Wanneer kwaadwillenden een gifar-bestand op een site plaatsen, kunnen zij bezoekers van andere sites, bijvoorbeeld een sociale netwerksite waar gebruikers moeten inloggen, middels fictieve profielen naar de gifar-malware lokken. De Java-vm van de bezoeker zal het archiefbestand openen en de code uitvoeren. Met die code kunnen vervolgens de inloggevens van bijvoorbeeld Hyves, Myspace of Facebook gestolen worden, omdat de .jar-code met de rechten van de bezoeker kan communiceren met de website waar die vandaan kwam. Het filteren van hybride bestanden zou een goede beveiliging kunnen vormen; daarom zou alleen een lokkertje op de netwerksite geplaatst worden, terwijl het kwaadaardige bestand op een server zonder contentfiltering wordt gehost.
Een meer algemene oplossing zou een update van Suns Java-software kunnen zijn, en de beide Blackhat-deelnemers hopen dan ook op een snelle oplossing voor dit specifieke probleem. Volgens Nathan McFeters en John Heasman, de makers van het hybride bestand, is een patch voor Java echter niet voldoende: de 'gifar-methode' is slechts een van de manieren om van de kwetsbaarheid van webtoepassingen gebruik te maken. Volgens Jeremiah Grossman, de cto van White Hat Security, moeten browsers op een fundamenteel andere wijze met beveiliging omgaan. Overigens zullen McFeters en Heasman, om misbruik te voorkomen, de details van hun gifar-software niet openbaar maken.