Video: Black Hat USA 2013 - Million Browser Botnet (Oktober 2024)
Untuk membuat botnet, Anda harus menemukan cara untuk mengendalikan ribuan komputer dan membengkokkannya sesuai keinginan Anda. Itu pekerjaan yang sulit, bukan? Ya tidak. Dalam sebuah presentasi di Black Hat di Las Vegas, Jeremiah Grossman, pendiri dan CTO WhiteHat Security, dan Matt Johansen, manajer WhiteHat's Threat Research Center, mengungkapkan cara luar biasa sederhana yang dapat dikontrol siapa pun dari ribuan atau bahkan jutaan browser.
Grossman memimpin dengan antusias, mengatakan, "Kami telah mengerjakan ini selama enam bulan, dan kami ingin menyajikannya. Ini akan berjalan cepat, dan kami akan bersenang-senang. Kami akan memecahkan peramban dan menggunakannya untuk memecahkan situs web."
Kekuatan Web
Grossman melanjutkan untuk mencatat, "Web memiliki kontrol penuh terhadap browser Anda selama Anda terhubung. Semua yang kami lakukan dalam demo kami, kami tidak meretas apa pun. Kami menggunakan web seperti yang dimaksudkan untuk digunakan." Johansen menambahkan, "Maaf, kami tidak punya solusi."
Presentasi tersebut meninjau sejumlah besar cara situs web dapat menumbangkan browser Anda hanya dengan menggunakan satu atau dua baris Javascript, atau bahkan permintaan HTML sederhana (tetapi tweak). "Kami mengontrol browser tanpa serangan zero-day, " kata Grossman, "dan kami memiliki kontrol penuh."
Mengilustrasikan dengan slide yang menunjukkan kode sederhana yang terlibat, dia berkata, "Kami dapat memaksa browser Anda untuk meretas situs web lain, mengunduh file ilegal dari torrent, melakukan pencarian yang memalukan, mengirim pesan ofensif, bahkan memilih Ed Snowden sebagai orang terbaik tahun ini."
Juta Botnet Peramban
Semua ini hanyalah pengantar penelitian yang disajikan. Johansen dan Grossman merancang penolakan serangan layanan yang sangat sederhana dan mengujinya di server mereka sendiri. Mereka bahkan menunjukkannya secara real time selama Black Hat. Serangan khusus ini tidak lebih dari membebani server dengan permintaan koneksi, tetapi teknik yang digunakan bisa melakukan lebih banyak, lebih banyak lagi. Dan yang harus mereka lakukan adalah menghabiskan beberapa dolar untuk memasang iklan yang berisi serangan itu.
"Beberapa jaringan iklan memungkinkan Javascript sewenang-wenang dalam iklan, " kata Grossman, "dan beberapa tidak." Tim tidak kesulitan mengatur serangan Javascript mereka. "Peninjau jaringan iklan tidak pandai membaca atau bahkan peduli tentang Javascript, " kata Johansen. "Masalah sebenarnya adalah membuat gambar iklan yang tampak cantik dan tampak seperti iklan."
Pada awalnya tim diperlambat oleh kebutuhan untuk mendapatkan persetujuan ulang dari jaringan iklan setiap kali mereka mengubah kode Javascript. Mereka memecahkannya dengan memindahkan kode ke host mereka sendiri dan cukup memanggilnya dari kode iklan. Langkah ini membuat jaringan iklan benar-benar tidak dapat melihat apa yang mungkin dilakukan kode; mereka tampaknya tidak peduli.
Segera setelah mereka mengaktifkan kode serangan, kode itu mulai dieksekusi di browser. Setiap kali ada yang berselancar ke halaman yang berisi iklan, itu mulai membuat koneksi ke server korban. Server tidak bisa menahan beban; gagal
Semua browser memberikan batasan jumlah koneksi simultan. Johansen dan Grossman menemukan cara untuk meningkatkan batas Firefox dari enam menjadi ratusan. Ternyata serangan sederhana mereka benar-benar efektif bahkan tanpa power-up ini, jadi mereka tidak menggunakannya.
Masalah siapa yang harus diperbaiki?
"Serangan ini tidak gigih, " kata Grossman. "Tidak ada jejaknya. Itu menampilkan iklannya dan hilang. Kode itu tidak fantastis, hanya menggunakan Web dengan cara yang seharusnya berfungsi. Jadi masalah siapa yang harus diperbaiki?"
Teknik yang sama dapat digunakan untuk menjalankan perhitungan terdistribusi melalui Javascript, misalnya, untuk memaksa kata sandi dan hash crack. "Kami akan mencoba hash-cracking untuk Black Hat berikutnya, " kata Grossman. "Berapa banyak yang bisa kamu hancurkan untuk setiap 50 sen tampilan halaman berbayar?"
Presentasi membuat peserta merasa tidak tenang bahwa serangan yang digambarkan menggunakan Web persis seperti yang seharusnya digunakan, dan kami tidak benar-benar tahu tanggung jawab siapa yang akan diperbaiki. Grossman telah mengatakan di masa lalu bahwa kita harus menghancurkan Web untuk memperbaikinya. Mungkinkah dia benar? Mungkinkah kita selamat dari reboot seluruh Internet?
Pastikan untuk mengikuti SecurityWatch untuk berita lebih lanjut dari Black Hat 2013.
