Video: Black Hat USA 2013 - Million Browser Botnet (Oktober 2024)
For at oprette et botnet skal du finde en måde at tage kontrol over tusinder af computere og bøje dem til din vilje. Det er et hårdt job, ikke? Altså nej. I en præsentation på Black Hat i Las Vegas afslørede Jeremiah Grossman, grundlægger og CTO for WhiteHat Security, og Matt Johansen, leder af WhiteHat's Threat Research Center, en ekstraordinær enkel måde, enhver kan kontrollere over tusinder eller endda millioner af browsere.
Grossman ledte med begejstring og sagde "Vi har arbejdet med dette i seks måneder, og vi er ivrige efter at præsentere. Dette vil gå hurtigt, og vi skal have det sjovt. Vi knækker browsere og bruger dem til at knække websteder."
Kraft på nettet
Grossman fortsatte med at bemærke, "Internettet har næsten fuld kontrol over din browser, så længe du er tilsluttet. Alt, hvad vi gør i vores demo, hacker vi ikke noget. Vi bruger internettet, som det var beregnet til bruges. " Johansen tilføjede, "Mine undskyldninger, vi har ikke en løsning."
Præsentationen gennemgik et stort antal måder et websted kan undergrave din browser ved blot at bruge en linje eller to af Javascript eller endda en simpel (men justeret) HTML-anmodning. "Vi kontrollerer browseren uden nul-dages angreb, " sagde Grossman, "og vi har fuld kontrol."
Illustrerende med et lysbillede, der viser den involverede enkle kode, sagde han, ”Vi kan tvinge din browser til at hacke et andet websted, downloade ulovlige filer fra torrenter, foretage pinlige søgninger, sende anstødelige beskeder, endda stemme på Ed Snowden som årets person på året."
Million Browser Botnet
Alt dette var bare introduktion til den forskning, der blev præsenteret. Johansen og Grossman udtænkte et meget simpelt benægtelse af serviceangreb og testede det på deres egen server. De demonstrerede endda det i realtid under Black Hat. Dette særlige angreb gjorde ikke andet end at overbelaste serveren med forbindelsesanmodninger, men den anvendte teknik kunne gøre mere, meget mere. Og alt hvad de skulle gøre var at bruge et par dollars for at placere en annonce, der indeholdt angrebet.
"Nogle annoncenetværk tillader vilkårligt Javascript i annoncen, " sagde Grossman, "og nogle gør det ikke." Holdet havde ingen problemer med at opsætte deres angreb Javascript. "Anmeldere af annoncenetværket var ikke gode til at læse eller endda pleje Javascript, " sagde Johansen. "Det virkelige problem var at lave et annoncebillede, der så smukt ud og lignede en annonce."
Først blev teamet bremset af behovet for at få godkendelse fra annoncenetværket hver gang de ændrede Javascript-koden. De løste det ved at flytte koden til deres egen vært og blot kalde den fra annoncekoden. Dette trin forlod annoncenetværket fuldstændigt ude af stand til at se, hvad koden kan gøre de syntes ikke at være ligeglad.
Så snart de aktiverede angrebskoden, startede den eksekvering i browsere overalt. Hver gang nogen surfede til en side, der indeholder annoncen, begyndte den at oprette forbindelser til offerserveren. Serveren kunne ikke modstå belastningen; det mislykkedes.
Alle browsere indfører en grænse for antallet af samtidige forbindelser. Johansen og Grossman fandt en måde at hæve Firefox's grænse fra seks til hundreder. Det viste sig, at deres enkle angreb var fuldstændig effektiv, selv uden denne power-up, så de brugte det ikke.
Hvilket problem skal rettes?
"Dette angreb er ikke vedvarende, " sagde Grossman. "Der er ingen spor af det. Det gør sin annoncevisning og forsvinder. Koden er ikke vanvittig fantastisk, den bruger bare Internettet, som den skal fungere. Så hvis problem er det at løse?"
Den samme teknik kunne bruges til at køre distribuerede beregninger via Javascript, for eksempel til brute-force crack-adgangskode og hash. ”Vi vil prøve den hashkrakning til næste sorte hat, ” sagde Grossman. "Hvor meget kan du knække for hver 50 cents værdi af betalte sidevisninger?"
Præsentationen lod deltagere med den foruroligende tanke om, at det beskrevne angreb bruger Internettet nøjagtigt som det er beregnet til at blive brugt, og vi ved ikke rigtig, hvem der er et ansvar. Grossman har sagt tidligere, at vi skal bryde Internettet for at ordne det. Kunne han have ret? Kunne vi endda overleve en genstart af hele Internettet?
Sørg for at følge SecurityWatch for at få flere nyheder fra Black Hat 2013.
