Video: Wimix F02 Joyn&Senderliste (November 2024)
Če želite ustvariti botnet, morate najti način, kako prevzeti nadzor nad tisočimi računalniki in jih upogniti po svoji volji. To je težko delo, kajne? No, ne. V predstavitvi na Black Hat v Las Vegasu sta Jeremiah Grossman, ustanovitelj in CTO varnostne organizacije WhiteHat, ter Matt Johansen, vodja raziskovalnega centra WhiteHat's Threat, razkrila izjemno preprost način, kako lahko vsakdo nadzoruje več tisoč ali celo milijonov brskalnikov.
Grossman je z navdušenjem odnesel besedo: "Na tem smo delali že šest mesecev in se nestrpno predstavljamo. To bo šlo hitro in zabavali se bomo. Razbijali bomo brskalnike in jih uporabljali za krekanje spletnih strani."
Moč spleta
Grossman je nadaljeval z besedami: "Splet ima skoraj popoln nadzor nad vašim brskalnikom, dokler ste povezani. Vse, kar počnemo v našem demo programu, ničesar ne hektiramo. Splet uporabljamo tako, kot je bilo mišljeno se uporablja. " Johansen je dodal: "Oprostite, nimamo rešitve."
V predstavitvi je bilo pregledano ogromno načinov, kako lahko spletno mesto podre brskalniku preprosto z vrstico ali dvema Javascript ali celo preprosto (vendar prepleteno) zahtevo HTML. "Brskalnik nadzorujemo brez napadov brez dnevnega napada, " je dejal Grossman, "in imamo popoln nadzor."
Kot je prikazal s diapozitivom, ki prikazuje preprosto vključeno kodo, je dejal: "Vaš brskalnik lahko prisili, da vdre na drugo spletno mesto, naloži nezakonite datoteke iz hudournikov, neprijetno išče, objavlja žaljiva sporočila in celo glasuje za Ed Snowden kot Timeovo osebo leta."
Milijon brskalniškega botneta
Vse to je bil le uvod v predstavljeno raziskavo. Johansen in Grossman sta zasnovala zelo preprost napad za zavrnitev storitve in ga preizkusila na svojem strežniku. To so celo dokazali v realnem času v času Black Hat. Ta poseben napad ni nič drugega kot preobremenil strežnik s prošnjami za povezavo, a uporabljena tehnika bi lahko naredila več, veliko več. Vse kar so morali storiti je bilo porabiti nekaj dolarjev za postavitev oglasa, ki vsebuje napad.
"Nekatere oglaševalske mreže omogočajo poljuben Javascript v oglasu, " je dejal Grossman, "nekateri pa ne." Ekipa ni imela težav z nastavitvijo napada JavaScript. "Pregledovalci oglaševalskih omrežij niso dobro brali ali skrbeli niti za Javascript, " je dejal Johansen. "Prava težava je bila izdelava slike oglasa, ki je bila videti lepa in videti kot oglas."
Sprva je ekipo upočasnilo potrebo po ponovni odobritvi oglasnega omrežja vsakič, ko so spremenili kodo Javascript. To so rešili tako, da so kodo premaknili do lastnega gostitelja in jo preprosto poklicali iz kode oglasa. Zaradi tega koraka oglaševalsko omrežje ni bilo povsem vidno, kaj lahko počne koda; zdi se, da jim ni vseeno.
Takoj, ko so omogočili kodo napada, se je začela izvajati v brskalnikih po vsem. Vsakič, ko je kdo brskal po strani, ki vsebuje oglas, se je začel povezovati s strežnikom žrtve. Strežnik ni mogel prenesti obremenitve; ni uspelo.
Vsi brskalniki nalagajo omejitev števila sočasnih povezav. Johansen in Grossman sta našla način za zvišanje meje Firefoxa s šest na stotine. Izkazalo se je, da je bil njihov preprost napad popolnoma učinkovit tudi brez tega vklopa, zato ga niso uporabili.
Čigavo težavo odpraviti?
"Ta napad ni vztrajen, " je dejal Grossman. "O tem ni nobenega sledu. Oglas se prikaže in odide. Koda ni noro fantastična, ampak samo uporabo spleta, kot naj deluje. Torej, čigavo težavo je odpraviti?"
Enako tehniko bi lahko uporabili za izvajanje porazdeljenih izračunov prek Javascript, na primer za krpanje gesla in hešev. "Preizkusili bomo razpršitev za naslednji Črni klobuk, " je dejal Grossman. "Koliko lahko zlomite za vsakih 50 centov vrednih plačljivih ogledov strani?"
Predstavitev je pustila udeležence z vznemirjajočo mislijo, da opisani napad uporablja splet natanko tako, kot je bil namenjen uporabi, in v resnici ne vemo, čigava odgovornost bi bila določena. Grossman je v preteklosti rekel, da moramo razbiti splet, da ga popravimo. Je morda imel prav? Bi sploh lahko preživeli ponovni zagon celotnega interneta?
Za dodatne novice iz Black Hat 2013 spremljajte SecurityWatch.