Vidéo: Black Hat USA 2013 - Million Browser Botnet (Novembre 2024)
Pour créer un botnet, vous devez trouver un moyen de prendre le contrôle de milliers d’ordinateurs et de les plier à votre guise. C'est un travail difficile, non? Et bien non. Lors d'une présentation à Black Hat à Las Vegas, Jeremiah Grossman, fondateur et CTO de WhiteHat Security, et Matt Johansen, responsable du centre de recherche sur les menaces de WhiteHat, ont révélé une manière extrêmement simple de contrôler des milliers, voire des millions de navigateurs.
Grossman a lancé avec enthousiasme: "Nous travaillons dans ce domaine depuis six mois et nous avons hâte de vous présenter. Cela ira vite, et nous nous amuserons. Nous allons casser les navigateurs et les utiliser pour casser des sites Web"
Le pouvoir du web
Grossman a ajouté: "Le Web contrôle presque entièrement votre navigateur aussi longtemps que vous êtes connecté. Tout ce que nous faisons dans notre démo, nous ne piratons rien. Nous utilisons le Web comme il était censé être utilisé." Johansen a ajouté: "Toutes mes excuses, nous n'avons pas de solution."
La présentation a passé en revue un grand nombre de façons dont un site Web peut subvertir votre navigateur en utilisant simplement une ligne ou deux de Javascript, voire une simple requête HTML (mais légèrement modifiée). "Nous contrôlons le navigateur sans attaques du jour zéro", a déclaré Grossman, "et nous avons un contrôle total".
Illustrant avec une diapositive montrant le code simple impliqué, il a déclaré: "Nous pouvons forcer votre navigateur à pirater un autre site Web, télécharger des fichiers illégaux de torrents, faire des recherches embarrassantes, publier des messages offensants, et même voter pour Ed Snowden en tant que personne de l'année."
Million Browser Botnet
Tout ceci n'était qu'une introduction à la recherche présentée. Johansen et Grossman ont mis au point une attaque par déni de service très simple et l’ont testée sur leur propre serveur. Ils l'ont même démontré en temps réel pendant Black Hat. Cette attaque particulière n'a fait que surcharger le serveur avec des demandes de connexion, mais la technique utilisée pouvait en faire plus, beaucoup plus. Et tout ce qu'ils avaient à faire était de dépenser quelques dollars pour placer une annonce contenant l'attaque.
"Certains réseaux publicitaires permettent l'utilisation de Javascript arbitraire dans la publicité", a déclaré Grossman, "et d'autres non." L’équipe n’a eu aucun mal à configurer son attaque Javascript. "Les critiques de la régie publicitaire n'étaient pas doués pour la lecture ni pour le Javascript", a déclaré Johansen. "Le vrai problème, c'était de créer une image publicitaire qui soit jolie et qui ressemble à une publicité."
Au début, l'équipe a été ralentie par la nécessité d'obtenir une nouvelle approbation du réseau publicitaire chaque fois qu'elle modifiait le code Javascript. Ils ont résolu ce problème en déplaçant le code sur leur propre hôte et en l'appelant simplement à partir du code de l'annonce. Cette étape a complètement empêché la régie publicitaire de voir ce que le code pourrait faire; ils ne semblaient pas s'en soucier.
Dès qu’ils ont activé le code d’attaque, celui-ci a commencé à s’exécuter sur tous les navigateurs. Chaque fois que quelqu'un accédait à une page contenant l'annonce, il commençait à établir des connexions avec le serveur victime. Le serveur ne pouvait pas supporter la charge; ça a échoué.
Tous les navigateurs imposent une limite au nombre de connexions simultanées. Johansen et Grossman ont trouvé un moyen d'augmenter la limite de Firefox de six à cent. Il s'est avéré que leur attaque simple était complètement efficace même sans cette mise sous tension, ils ne l'ont donc pas utilisée.
Quel problème résoudre?
"Cette attaque n'est pas persistante", a déclaré Grossman. "Il n'y en a aucune trace. Il fait son affichage publicitaire et s'en va. Le code n'est pas fantastique, il utilise simplement le Web de la façon dont il est censé fonctionner. Alors, à qui est le problème à résoudre?"
La même technique pourrait être utilisée pour exécuter des calculs distribués via Javascript, par exemple, pour brack-force crack et mot de passe. "Nous allons essayer cette solution de hachage pour le prochain Black Hat", a déclaré Grossman. "Combien pouvez-vous craquer pour 50 cents de pages vues payées?"
La présentation a laissé aux participants avec la pensée troublante que l'attaque décrite utilise le Web exactement comme il est censé être utilisé, et nous ne savons pas vraiment à qui incomberait la responsabilité. Grossman a dit dans le passé qu'il fallait casser le Web pour le réparer. Pourrait-il avoir raison? Pouvons-nous même survivre à un redémarrage de tout Internet?
Assurez-vous de suivre SecurityWatch pour en savoir plus sur Black Hat 2013.
