Das im Web-Browser ausführbare JavaScript-Programm kapert die Rechner ahnungsloser Anwender und führt einen Portscan durch. Gefundene Schwachstellen werden als Angriffsziele zurück übermittelt. Billy Hoffman, Forscher bei der Web-Security-Firma SPI Dynamics, hatte das zu reinen Demonstrationszwecken entwickelte Security-Tool vor zwei Wochen auf der "ShmooCon"-Konferenz vorgestellt (Computerwoche.de berichtete). Um die Funktionsweise der Software unter realen Bedingungen präsentieren zu können, musste er sie online verfügbar machen. Während eines Folienwechsels in der "ShmooCon"-Präsentation war der Link zum Programm kurz vollständig lesbar – Hacker Mike Schroll konnte ihn abtippen und veröffentlichte den so zugänglichen Quellcode kurz darauf in einem Blog. Auf Bitten von Hoffmann entfernte er die Informationen nach wenigen Stunden wieder – in der Zwischenzeit wurden sie allerdings mehr als 100 Mal abgefragt. Am Wochenende tauchte der Code dann erneut im Netz auf – im Hacker-Forum Sla.ackers.org. Sicherheitsexperten befürchten nun, dass Kriminelle das erhebliche Schadpotenzial des Tools ausnutzen könnten. "Jikto"-Erfinder Billy Hoffmann nimmt die ungewollte Veröffentlichung in Hacker-Kreisen dagegen gelassen: "Spätestens in ein paar Monaten hätten sie das Programm selbst entwickelt. Ich kann Schroll keinen Vorwurf machen – auch ich verdiene mein Geld mit Neugier." (sh)