Video: // Злокодинг #2 // Botnet на основе HiddenLake // (Novembre 2024)
Per creare una botnet, devi trovare un modo per prendere il controllo di migliaia di computer e piegarli alla tua volontà. È un lavoro duro, vero? Beh no. In una presentazione al Black Hat di Las Vegas, Jeremiah Grossman, fondatore e CTO di WhiteHat Security, e Matt Johansen, responsabile del Centro di ricerca sulle minacce di WhiteHat, hanno rivelato un modo straordinariamente semplice in cui chiunque può controllare migliaia o addirittura milioni di browser.
Grossman è partito con entusiasmo, dicendo "Ci stiamo lavorando da sei mesi e siamo ansiosi di presentare. Questo andrà veloce e ci divertiremo. Creeremo i browser e li useremo per crackare i siti Web ".
Il potere del web
Grossman ha continuato a notare: "Il Web ha quasi il controllo completo del tuo browser fintanto che sei connesso. Tutto ciò che facciamo nella nostra demo, non stiamo hackerando nulla. Stiamo usando il web nel modo in cui doveva essere utilizzato." Johansen ha aggiunto: "Le mie scuse, non abbiamo una soluzione."
La presentazione ha esaminato un numero enorme di modi in cui un sito Web può sovvertire il tuo browser semplicemente usando una o due righe di Javascript, o anche una semplice (ma ottimizzata) richiesta HTML. "Controlliamo il browser senza attacchi zero-day", ha dichiarato Grossman, "e abbiamo il controllo completo".
Illustrando con una diapositiva che mostra il semplice codice in questione, ha detto: "Possiamo forzare il tuo browser a violare un altro sito Web, scaricare file illegali dai torrent, effettuare ricerche imbarazzanti, pubblicare messaggi offensivi, persino votare per Ed Snowden come persona dell'anno di Time."
Million Browser Botnet
Tutto ciò era solo un'introduzione alla ricerca presentata. Johansen e Grossman hanno ideato un attacco denial of service molto semplice e lo hanno testato sul proprio server. Lo hanno persino dimostrato in tempo reale durante Black Hat. Questo particolare attacco non ha fatto altro che sovraccaricare il server con richieste di connessione, ma la tecnica utilizzata potrebbe fare di più, molto di più. E tutto ciò che dovevano fare era spendere qualche dollaro per inserire un annuncio contenente l'attacco.
"Alcune reti pubblicitarie consentono Javascript arbitrario nell'annuncio", ha dichiarato Grossman, "e altri no." La squadra non ha avuto problemi a impostare il loro attacco Javascript. "I revisori della rete pubblicitaria non erano bravi a leggere o a prendersi cura di Javascript", ha dichiarato Johansen. "Il vero problema era creare un'immagine pubblicitaria che sembrava carina e sembrava una pubblicità".
Inizialmente il team è stato rallentato dalla necessità di ottenere nuovamente l'approvazione dalla rete pubblicitaria ogni volta che hanno cambiato il codice Javascript. Lo hanno risolto spostando il codice sul proprio host e semplicemente chiamandolo dal codice dell'annuncio. Questo passaggio ha lasciato la rete pubblicitaria completamente incapace di vedere cosa potrebbe fare il codice; non sembravano preoccuparsene.
Non appena hanno abilitato il codice di attacco, ha iniziato l'esecuzione sui browser dappertutto. Ogni volta che qualcuno accedeva a una pagina contenente l'annuncio, iniziava a connettersi al server della vittima. Il server non è stato in grado di sopportare il carico; E 'fallito.
Tutti i browser impongono un limite al numero di connessioni simultanee. Johansen e Grossman hanno trovato un modo per aumentare il limite di Firefox da sei a centinaia. Si è scoperto che il loro semplice attacco era completamente efficace anche senza questo potenziamento, quindi non lo hanno usato.
Di chi è il problema da risolvere?
"Questo attacco non è persistente", ha detto Grossman. "Non ne ha traccia. Fa la sua pubblicità e scompare. Il codice non è pazzo fantastico, sta solo usando il Web nel modo in cui dovrebbe funzionare. Quindi, di chi è il problema?"
La stessa tecnica potrebbe essere utilizzata per eseguire calcoli distribuiti tramite Javascript, ad esempio per crackare password e hash con forza bruta. "Proveremo quell'hash-cracking per il prossimo Black Hat", ha detto Grossman. "Quanto puoi spaccare per ogni 50 centesimi di visualizzazioni di pagina a pagamento?"
La presentazione ha lasciato i partecipanti con il pensiero inquietante che l'attacco descritto utilizza il Web esattamente come dovrebbe essere utilizzato, e non sappiamo davvero di chi sia la responsabilità di una correzione. Grossman ha affermato in passato che dobbiamo rompere il Web per risolverlo. Potrebbe avere ragione? Potremmo anche sopravvivere a un riavvio dell'intera Internet?
Segui SecurityWatch per ulteriori notizie da Black Hat 2013.