Video: Black Hat USA 2010: Jackpotting Automated Teller Machines Redux 4/5 (November 2024)
Om een botnet te maken, moet je een manier vinden om de controle over duizenden computers over te nemen en ze naar je wil te buigen. Dat is een zware klus, toch? Welnee. In een presentatie in Black Hat in Las Vegas onthulden Jeremiah Grossman, oprichter en CTO van WhiteHat Security, en Matt Johansen, manager van het Threat Research Center van WhiteHat, een buitengewoon eenvoudige manier waarop iedereen duizenden of zelfs miljoenen browsers kan bedienen.
Grossman begon met enthousiasme en zei: "We werken hier al zes maanden aan en we willen graag presenteren. Dit gaat snel en we zullen plezier hebben. We zullen browsers kraken en ze gebruiken om websites te kraken."."
De kracht van het web
Grossman merkte verder op: "Het web heeft vrijwel volledige controle over uw browser zolang u verbonden bent. Alles wat we in onze demo doen, hacken niets. We gebruiken het web zoals het bedoeld was worden gebruikt. " Johansen voegde eraan toe: "Mijn excuses, we hebben geen oplossing."
De presentatie heeft een groot aantal manieren bekeken waarop een website uw browser kan ondermijnen door simpelweg een paar regels Javascript te gebruiken, of zelfs een eenvoudig (maar getweakt) HTML-verzoek. "We besturen de browser zonder zero-day-aanvallen, " zei Grossman, "en we hebben volledige controle."
Hij illustreerde met een dia met de eenvoudige code en zei: "We kunnen uw browser dwingen een andere website te hacken, illegale bestanden van torrents downloaden, gênante zoekopdrachten uitvoeren, aanstootgevende berichten plaatsen, en zelfs stemmen op Ed Snowden als Time's persoon van het jaar."
Miljoen browser Botnet
Dit alles was slechts een inleiding tot het gepresenteerde onderzoek. Johansen en Grossman bedachten een zeer eenvoudige denial of service-aanval en testten deze op hun eigen server. Ze hebben het zelfs in realtime gedemonstreerd tijdens Black Hat. Deze specifieke aanval deed niets meer dan de server overbelasten met verbindingsverzoeken, maar de gebruikte techniek kon meer, veel meer doen. En alles wat ze moesten doen was een paar dollar uitgeven om een advertentie te plaatsen met de aanval.
"Sommige advertentienetwerken staan willekeurige Javascript toe in de advertentie, " zei Grossman, "en sommige niet." Het team had geen problemen met het opzetten van hun aanval Javascript. "De recensenten van het advertentienetwerk waren niet goed in het lezen of geven om Javascript, " zei Johansen. "Het echte probleem was om een advertentie-afbeelding te maken die er mooi uitzag en eruit zag als een advertentie."
Aanvankelijk werd het team vertraagd door de noodzaak om opnieuw goedkeuring te krijgen van het advertentienetwerk telkens wanneer de JavaScript-code werd gewijzigd. Ze hebben dat opgelost door de code naar hun eigen host te verplaatsen en eenvoudigweg vanuit de advertentiecode te bellen. Door deze stap kon het advertentienetwerk niet meer zien wat de code zou kunnen doen; het leek ze niet te kunnen schelen.
Zodra ze de aanvalscode hadden ingeschakeld, werd deze overal in browsers uitgevoerd. Telkens wanneer iemand naar een pagina met de advertentie surft, begon het verbindingen te maken met de slachtoffer-server. De server kon de belasting niet weerstaan; het is mislukt.
Alle browsers leggen een limiet op voor het aantal gelijktijdige verbindingen. Johansen en Grossman hebben een manier gevonden om de limiet van Firefox te verhogen van zes naar honderden. Het bleek dat hun simpele aanval volledig effectief was, zelfs zonder deze power-up, dus gebruikten ze hem niet.
Wiens probleem op te lossen?
"Deze aanval is niet persistent, " zei Grossman. "Er is geen spoor van. Het doet zijn advertentieweergave en verdwijnt. De code is niet fantastisch, het gebruikt alleen het internet zoals het zou moeten werken. Dus wiens probleem is het om het op te lossen?"
Dezelfde techniek kan worden gebruikt om gedistribueerde berekeningen via Javascript uit te voeren, bijvoorbeeld om het wachtwoord en de hashes bruut te forceren. "We zullen dat hash-kraken proberen voor de volgende Black Hat, " zei Grossman. "Hoeveel kun je kraken voor elke 50 cent aan betaalde paginaweergaven?"
De presentatie liet de aanwezigen achter met de verontrustende gedachte dat de beschreven aanval het internet precies gebruikt zoals het bedoeld is, en we weten niet echt wiens verantwoordelijkheid een oplossing zou zijn. Grossman heeft in het verleden gezegd dat we het web moeten breken om het te repareren. Zou hij gelijk kunnen hebben? Kunnen we zelfs een herstart van het hele internet overleven?
Volg SecurityWatch voor meer nieuws van Black Hat 2013.
