תדריך כובע שחור: בניית מיליון בוטנט של דפדפן בזול

כדי ליצור botnet עליכם למצוא דרך להשתלט על אלפי מחשבים ולכופף אותם לרצונכם. זו עבודה קשה, נכון? ובכן לא. במצגת שנערכה ב"כובע השחור "בלאס וגאס, חשף ג'רמיה גרוסמן, מייסד CTO של WhiteHat Security, ומאט ג'והנסן, מנהל המרכז לחקר האיומים של WhiteHat, דרך פשוטה במיוחד שכל אחד יכול לשלוט באלפי ואפילו מיליוני דפדפנים.

גרוסמן הוביל בהתלהבות ואמר "אנחנו עובדים על זה כבר חצי שנה ואנחנו חוששים להציג. זה ייקח מהר, ויהיה לנו כיף. אנחנו נפצח דפדפנים ונשתמש בהם כדי לפצח אתרים."

כוח האינטרנט

גרוסמן המשיך וציין כי "האינטרנט כמעט שולט לחלוטין בדפדפן שלך כל עוד אתה מחובר. כל מה שאנחנו עושים בהדגמה שלנו, אנחנו לא פורצים שום דבר. אנחנו משתמשים באינטרנט כמו שהוא נועד לשמש." ג'והנסן הוסיף, "התנצלותיי, אין לנו פיתרון."

במצגת נסקרו מספר עצום של דרכים בהן אתר יכול להטריד את הדפדפן שלכם פשוט באמצעות שורה או שתיים של Javascript, או אפילו בקשת HTML פשוטה (אך לצבוט). "אנו שולטים בדפדפן ללא התקפות של אפס יום", אמר גרוסמן, "ויש לנו שליטה מלאה."

כשהמחיש בשקופית המציגה את הקוד הפשוט המעורב, הוא אמר, "אנחנו יכולים להכריח את הדפדפן שלך לפרוץ אתר אחר, להוריד קבצים לא חוקיים מטורנטים, לבצע חיפושים מביכים, לפרסם הודעות פוגעניות, ואפילו להצביע בעד אד סנודן כאיש השנה."

מיליון דפדפן Botnet

כל זה היה רק ​​מבוא למחקר שהוצג. ג'והנסן וגרוסמן המציאו התקפה של מניעת שירות פשוטה מאוד ובחנו אותה בשרת שלהם. הם אפילו הדגימו זאת בזמן אמת בזמן הכובע השחור. התקפה ספציפית זו לא עשתה יותר מדי מאשר עומס יתר על השרת בבקשות חיבור, אך הטכניקה בה נעשה שימוש יכולה לעשות יותר, הרבה יותר. וכל מה שהם נאלצו לעשות זה להוציא כמה דולרים כדי לפרסם מודעה המכילה את ההתקפה.

"חלק מרשתות המודעות מאפשרות Javascript שרירותי במודעה, " אמר גרוסמן, "וחלקן לא." הקבוצה לא התקשתה להקים את התקפת Javascript. "בודקי רשת המודעות לא היו טובים בקריאה או אפילו בדאגה ל- Javascript, " אמר ג'והנסן. "הבעיה האמיתית הייתה ליצור תמונת מודעה שנראתה יפה ונראתה כמו מודעה."

בהתחלה האטה הצוות מהצורך לקבל אישור מחדש מרשת המודעות בכל פעם שהם שינו את קוד Javascript. הם פתרו זאת על ידי העברת הקוד למארח שלהם ופשוט קראו לו מקוד המודעה. שלב זה הותיר את רשת המודעות לחלוטין לא יכולה לראות מה הקוד עשוי לעשות; נראה שלא היה אכפת להם.

ברגע שהם אפשרו את קוד ההתקפה, זה התחיל להופיע בדפדפנים בכל רחבי העולם. בכל פעם שמישהו גלש לדף שמכיל את המודעה, הוא התחיל ליצור קשרים לשרת הקורבן. השרת לא יכול היה לעמוד בעומס; זה נכשל.

כל הדפדפנים מטילים מגבלה על מספר החיבורים בו זמנית. ג'והנסן וגרוסמן מצאו דרך להעלות את הגבול של Firefox משש למאות. התברר שההתקפה הפשוטה שלהם הייתה יעילה לחלוטין גם בלי ההפעלה הזו, ולכן הם לא השתמשו בה.

של מי הבעיה לתקן?

"ההתקפה הזו אינה מתמשכת", אמר גרוסמן. "אין שום זכר לזה. הוא מציג את הפרסומת שלו ונעלם. הקוד אינו פנטסטי מטורף, הוא פשוט משתמש ברשת כמו שהוא אמור לעבוד. אז מי הבעיה לתקן?"

באותה טכניקה ניתן להשתמש בהפעלת חישובים מבוזרים באמצעות Javascript, למשל, לסיסמת סדק וחיפזון. "ננסה את פיצוח החשיש הזה לכובע השחור הבא, " אמר גרוסמן. "כמה אתה יכול לפצח עבור כל צפיות העמודים בתשלום בשווי 50 סנט?"

במצגת השאירו המשתתפים את המחשבה המטרידה שההתקפה המתוארת משתמשת ברשת בדיוק כפי שהיא אמורה לשמש, ואנחנו לא באמת יודעים למי תהיה האחריות לתקן. גרוסמן אמר בעבר כי עלינו לשבור את הרשת כדי לתקן זאת. האם יכול להיות שהוא צודק? האם נוכל אפילו לשרוד אתחול מחדש של האינטרנט כולו?

הקפד לעקוב אחר SecurityWatch לקבלת חדשות נוספות מ- Black Hat 2013.