إحاطة قبعة سوداء: بناء الروبوتات متصفح مليون لرخيصة

لإنشاء الروبوتات ، عليك أن تجد طريقة للسيطرة على الآلاف من أجهزة الكمبيوتر وثنيها حسب رغبتك. هذه مهمة صعبة ، أليس كذلك؟ حسننا، لا. في عرض تقديمي في Black Hat في لاس فيجاس ، كشف كل من Jeremiah Grossman ، مؤسس ومدير CTO لـ WhiteHat Security ، ومات يوهانسن ، مدير مركز أبحاث تهديدات WhiteHat ، عن طريقة بسيطة للغاية يمكن لأي شخص التحكم في الآلاف أو حتى ملايين المتصفحات.

انطلق غروسمان بحماس ، قائلاً: "نحن نعمل على هذا لمدة ستة أشهر ، ونحن حريصون على تقديمه. سوف يسير هذا بسرعة ، وسنكون ممتعين. سنقوم بإيقاف المتصفحات ونستخدمها للقضاء على المواقع الإلكترونية ".

قوة الويب

تابع غروسمان ملاحظة: "تتمتع الويب بالتحكم الكامل في متصفحك طالما كنت متصلاً. كل ما نقوم به في العرض التوضيحي الخاص بنا ، نحن لا نخرق أي شيء. نحن نستخدم الويب بالطريقة التي كان يُقصد بها يستخدم." وأضاف يوهانسن: "اعتذاري ، ليس لدينا حل".

راجع العرض التقديمي عددًا كبيرًا من الطرق التي يمكن لموقع ويب من خلالها تخريب متصفحك ببساطة باستخدام سطر أو اثنين من جافا سكريبت ، أو حتى طلب HTML بسيط (لكن تم تعديله). وقال جروسمان "نحن نتحكم في المتصفح دون هجمات في يوم الصفر ، ولدينا سيطرة كاملة."

وقال مع توضيح شريحة توضح الكود البسيط المعني: "يمكننا إجبار متصفحك على اختراق موقع ويب آخر ، وتنزيل ملفات غير قانونية من السيول ، وإجراء عمليات بحث محرجة ، ونشر رسائل مسيئة ، أو حتى التصويت لصالح إيد سنودن بصفته شخصية التايم لهذا العام."

مليون متصفح Botnet

كل هذا كان مجرد مقدمة للبحث الذي يتم تقديمه. ابتكر يوهانسن وغروسمان هجومًا بسيطًا على رفض الخدمة واختبروه على الخادم الخاص بهم. حتى أنها أثبتت ذلك في الوقت الحقيقي خلال القبعة السوداء. لم يؤد هذا الهجوم بعينه إلى زيادة تحميل الخادم لطلبات الاتصال ، لكن التقنية المستخدمة يمكنها فعل المزيد والمزيد. وكل ما كان عليهم فعله هو إنفاق بضعة دولارات لوضع إعلان يحتوي على الهجوم.

وقال غروسمان "بعض شبكات الإعلانات تسمح لجافا سكريبت التعسفي في الإعلان ، والبعض الآخر لا يسمح بذلك". لم يجد الفريق أي صعوبة في إعداد هجوم Javascript. وقال يوهانسن: "لم يكن المراجعون في شبكة الإعلانات يجيدون القراءة أو حتى الاهتمام بجافا سكريبت". "كانت المشكلة الحقيقية هي جعل صورة الإعلان تبدو جميلة وتبدو وكأنها إعلان".

في البداية ، تباطأ الفريق بسبب الحاجة إلى الحصول على موافقة من الشبكة الإعلانية في كل مرة قاموا فيها بتغيير شفرة جافا سكريبت. لقد قاموا بحل ذلك عن طريق نقل الشفرة إلى مضيفهم الخاص واستدعاءها ببساطة من شفرة الإعلان. تركت هذه الخطوة شبكة الإعلانات غير قادرة تمامًا على رؤية ما يمكن أن تفعله الشفرة ؛ لا يبدو أنهم يهتمون.

بمجرد تمكين رمز الهجوم ، بدأ التنفيذ على المتصفحات في كل مكان. في كل مرة يتصفح فيها أي شخص صفحة تحتوي على الإعلان ، بدأ في إجراء اتصالات بالخادم الضحية. لم يستطع الخادم تحمل الحمل ؛ فشلت.

جميع المتصفحات تفرض حدًا على عدد الاتصالات المتزامنة. وجد يوهانسن وغروسمان طريقة لرفع حد فايرفوكس من ستة إلى مئات. اتضح أن هجومهم البسيط كان فعالًا تمامًا حتى بدون هذه القوة ، لذلك لم يستخدموها.

الذي مشكلة لإصلاح؟

وقال جروسمان "هذا الهجوم ليس مستمرا." "لا يوجد أي أثر لذلك. إنه يعرض إعلانه ويختفي. الكود ليس رائعًا ، إنه يستخدم الويب فقط بالطريقة التي من المفترض أن يعمل بها. إذن من الذي يكمن في حلها؟"

يمكن استخدام نفس الأسلوب لتشغيل الحسابات الموزعة عبر Javascript ، على سبيل المثال ، لإلغاء كلمة مرور الكراك والتجزئة. وقال جروسمان: "سنحاول تكسير البعثرة للقبعة السوداء القادمة". "ما المبلغ الذي يمكنك كسره مقابل كل 50 سنتًا من مشاهدات الصفحة المدفوعة؟"

غادر العرض التقديمي الحاضرين مع الفكر المقلق بأن الهجوم الموصوف يستخدم الويب كما هو المقصود ليتم استخدامه ، ونحن لا نعرف حقًا من المسؤول عن الإصلاح. لقد قال Grossman في الماضي أنه يجب علينا كسر الويب من أجل إصلاحه. هل يمكن أن يكون على حق؟ هل يمكننا البقاء حتى إعادة تشغيل الإنترنت بالكامل؟

تأكد من متابعة SecurityWatch لمزيد من الأخبار من Black Hat 2013.