Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

FaceBot, avagy az antiszociális hálózatok

2008.09.07. 20:36 | buherator | 5 komment

A görög FORTH (Foundation for Research and Technology Hellas) intézet kutatói egy kísérlet során azt vizsgálták, hogy milyen hatásfokkal lehet egy közösségi hálózatot támadásra alkalmas, DDoS puppetneteket létrehozni. A puppetnetek lényege, hogy velük a web lehetőségeivel élve, egy weboldal népszerűségét kihasználva lehet túlterheléses támadást intézni különböző célpontok ellen. Az elv lényegében hasonló a Slashdot-hatáséhoz, aminek lényege, hogy a Slashdoton linkelt oldalak sokszor akkora forgalmat kénytelenek hirtelen elszenvedni, amit már nem képesek kiszolgálni.

A FORTH kutatói egy kísérleti Facebook alkalmazást (Picture of the Day, vagy más néven a FaceBot) kreáltak, amely amellett, hogy képeket töltött le a National Geographic weboldaláról, észrevétlenül kéréseket intézett egy direkt erre a célra felállított géphez is, ami az áldozat szerepét töltötte be. A kutatók mindevégig tartották magukat a "legkisebb erőfeszítés" elvéhez, azaz a lehető legegyszerűbben igyekeztek megoldani a feladatot. Ennek alapján alkalmazásuk mindössze megjelenítésenként 4 kérést intézett a célponthoz, összesen 600kb forgalmat generálva (képletöltések), valamint a terjesztést is a lehető legegyszerűbb módon odlaották meg: szóltak a kollégáknak, hogy installálják az alkalmazást, és alánlják azt ismerőseiknek is.

Ilyen módszerrel összesen 400-500 felhasználóhoz jutott el a FaceBot, a puppetnet maximális teljesítménye pedig 300 kérés/óra illetve 6 Mbit/s volt. Ez persze nem túlzottan sok, főleg ha egy rendes botnet lehetőségeihez viszonyítunk, azonban a kísérlet célja nem a kimeneti sávszélesség maximalizálása volt. Számos módszer rendelkezésre állhat egy ilyen jellegű rendszer felhízlalására:

A Facebook pl. lehetőséget kínál az alkalmazásfejlesztőknek, hogy kiegészítéseiket csak úgy lehessen telepíteni, ha előtte néhány ismerősünknek ajánljuk azt. Némi JavaScripttel könnyen megoldható, hogy a konstans 4 helyett annyi kérdést intézzünk a célponthoz, amennyi belefér abba az időbe, ameddig a felhasználó nyitva tartja a FaceBot-ot.

A legnépszerűbb Facebook alkalmazások jelenleg több (tíz)milliós felhasználói táborral büszkélkedhetnek, ami napi 1-2 millió aktív felhasználót jelent. Amennyiben egy ilyen kiegészítést vérteznénk fel DoS képességgel, az akár 248 Gbyte* napi adatfogalmat is eredményezhetne a célpont hálókártyáján, ami főleg akkor fájdalmas, ha az áldozat forgalomarányosan fizet a vonalért.

A védekezés alapvetően a közösségi oldalakon kellene hogy megtörténjen: a feltöltött kiegészítőket folyamatosan ellenőrizni kell, a fejlesztőknek pedig olyan API-t kell biztosítani, ami nem ad lehetőséget az ilyen jellegű visszaélésekre (ennek persze vannak megvalósítási problémái).

Az áldozat oldalán a beérkező kéréseket a legegyszerűbben a referer alapján szűrhetjük, de ez is egyrészt egy viszonylag számításigényes feladat (az alkalmazási rétegben kell elemezni a csomagokat), másrészt egy támadó szerver beiktatásával a bábok rávehetők, hogy ne küldjenek referer információt.

* A forgalom börsztössége miatt nem számolhatunk álladndó csúcsérték környéki tűzerővel, mindazonáltal én még így is kissé keveslem ezt a számot, de a papírban ez szerepel.

Címkék: facebook facebot puppetnet

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

udi · http://blog.udi.hu 2008.09.08. 09:40:58

Hasonlóan szociális alapokon működik a régi Anonymous is. A board talál egy megfelelően szimpatikus célpontot, és a sok btard már gyilkolja is.

A szci oldalait, ha jól tudom végtelenítet img lekérésekkel nyomták le.

Másik divatos oldalgyilok a baud raep. Nem az a cél, hogy DOS-ba juttasák a célt, hanem egyszerűen felzabálják a rendelkezésre álló forgalom mennyiséget, és az ISP tíltja le az oldalt.

.Andrei (törölt) · http://www.andreiground.com/ 2008.09.08. 12:53:02

Hát igen. Ez egy egyszerű ötlet, ámde annál jobban működik. A legtöbben nem nézik, hogy mi van egy dolog mögött, amennyiben az mutatós és talán még hasznosnak is tűnik.

Régen egy weboldal összerittyentésekor 1% védelem és 99% normál kódolás volt. A nagybetűs webkettő pedig elviszi majd a 99%:1%-ig.

udi: mostmár legalább tudom, hogy ezt a sávszél zabálós mókát baud-rapenek hívják :)

udi · http://blog.udi.hu 2008.09.08. 17:42:14

bandwith raep to be exact.

Rohadt egy szemét dolog...

.Andrei (törölt) · http://www.andreiground.com/ 2008.09.08. 23:06:57

<off>raep akart az lenni, csak be voltam nyomva :) De rape-nek sem rossz. Ha jól emlékszem valami rablásos erőszakolós jelentése van :DDD Végülis erről van szó. Minden esetre köszi. Remélem nem sokszor lesz szerencsém hozzá. </off>

A poszthoz visszatérve ma gondolkoztam a dolgon és tényleg mókás. Amennyiben csak pár tizezren kedvelik meg, mert pofás a felszíne az alkalmazásnak, akkor az már azért tűzerő. Ha 10000 aktív facebot szállal számolunk állandóra, akkor az már elég durva tud lenni.

A védelemnek nem sok értelme van egy milliós becsapódásnál, mert hiába szűrsz, ha a kérést először kielemzi a vas. Erre védelem szerintem egy előtét vas lenne max. Akkor azt valszeg agyonvágnák már csak a kérések feldolgozási kényszerével is.

A facebooknak nem ez lesz amúgy az első esete. Már többször felkerültek problémás állományok. De hát kérem, ez a nagy szabadság ára. Bármi megtörténhet.

alpi 2008.09.18. 02:47:13

'A Facebook pl. lehetőséget kínál az alkalmazásfejlesztőknek, hogy kiegészítéseiket csak úgy lehessen telepíteni, ha előtte néhány ismerősünknek ajánljuk azt.'

Így volt, már nincs így.