ボットネットを作成するには、数千台のコンピューターを制御し、意のままに曲げる方法を見つける必要があります。 大変な仕事ですね。 うーん、ダメ。 ラスベガスのBlack Hatでのプレゼンテーションで、WhiteHat Securityの創設者兼CTOであるJeremiah GrossmanとWhiteHatのThreat Research CenterのマネージャーであるMatt Johansenは、誰でも何千または何百万ものブラウザーを制御できる非常に簡単な方法を明らかにしました。
グロスマンは熱意をもって「6か月間これに取り組んでおり、発表することを切望しています。これは速くなり、楽しみになります。ブラウザをクラックし、ウェブサイトをクラックするために使用します」と述べました。 」
ウェブの力
グロスマンは続けて、「あなたが接続している限り、ウェブはブラウザをほぼ完全に制御している。デモで行うことはすべて、ハッキングすることではない。ウェブを本来の方法で使用している」利用される。" ヨハンセンは、「申し訳ありませんが、解決策はありません。」と付け加えました。
このプレゼンテーションでは、1行または2行のJavascript、または単純な(ただし微調整された)HTML要求を使用して、Webサイトがブラウザーを破壊する膨大な方法をレビューしました。 「ゼロデイ攻撃なしでブラウザを制御します」とグロスマン氏は言います。
関係する簡単なコードを示すスライドを使って説明すると、「ブラウザに別のWebサイトをハックさせ、トレントから違法ファイルをダウンロードさせ、恥ずかしい検索をさせ、不快なメッセージを投稿し、エドスノーデンにタイムオブザイヤーに投票することさえできます。 」
ミリオンブラウザボットネット
これはすべて、提示されている研究の紹介にすぎません。 JohansenとGrossmanは、非常に単純なサービス拒否攻撃を考案し、独自のサーバーでテストしました。 彼らは、Black Hatでそれをリアルタイムで実証しました。 この特定の攻撃は、接続要求でサーバーを過負荷にするだけでしたが、使用された手法ではさらに多くのことができました。 そして、彼らがしなければならなかったのは、攻撃を含む広告を出すために数ドルを費やすことだけでした。
「一部の広告ネットワークでは、広告に任意のJavascriptを使用できます」とGrossman氏は言います。 チームは攻撃Javascriptの設定に問題はありませんでした。 「広告ネットワークのレビュー担当者は、Javascriptを読んだり、気遣うことすら苦手でした」とJohansen氏は述べています。 「本当の問題は、きれいに見えて広告のように見える広告画像を作成することでした。」
最初は、JavaScriptコードを変更するたびに広告ネットワークから再承認を得る必要があるため、チームは遅くなりました。 コードを独自のホストに移動し、広告のコードから単純に呼び出すことでそれを解決しました。 このステップにより、広告ネットワークはコードが何をするかを完全に見ることができなくなりました。 彼らは気にしなかったようです。
攻撃コードを有効にするとすぐに、ブラウザ上で実行が開始されました。 誰もが広告を含むページにアクセスするたびに、被害者サーバーへの接続を開始しました。 サーバーは負荷に耐えることができませんでした。 失敗しました。
すべてのブラウザは、同時接続の数に制限を課しています。 JohansenとGrossmanは、Firefoxの制限を6から数百に引き上げる方法を見つけました。 彼らの単純な攻撃は、このパワーアップなしでも完全に効果的であることが判明したため、彼らはそれを使用しませんでした。
誰の問題を修正しますか?
「この攻撃は持続的ではありません」とグロスマンは言いました。 「その痕跡はありません。広告表示を行って消えます。コードは素晴らしいものではなく、Webを本来の動作方法で使用しているだけです。だから、誰が問題を修正するのですか?」
同じ手法を使用して、Javascriptを介して分散計算を実行することもできます。たとえば、パスワードとハッシュをブルートフォースクラックするためです。 「次のBlack Hatのハッシュクラッキングを試してみます」とグロスマンは言いました。 「有料ページビューの50セント相当ごとにどれくらいクラックできますか?」
プレゼンテーションは出席者に、説明されている攻撃がWebを使用することを意図したとおりに使用しているという不安を感じさせ、誰が責任を修正するのか本当にわかりません。 グロスマンは過去に、それを修正するためにウェブを壊さなければならないと言ってきました。 彼は正しいだろうか? インターネット全体の再起動でも生き残ることができますか?
BlackWatch 2013の詳細については、SecurityWatchを参照してください。