BOTHUNTERS.PL bezpieczeństwo, trojan, botnet, wirus i łamanie haseł z serwisu nasza-klasa, hacking i cracking. Ciemna Strona Mocy u nas w świetle reflektorów.

Jeżeli ktoś uruchomi jakiś program na Twoim komputerze, to ten komputer przestaje być już Twój.

Konto:

Niezalogowany
Zaloguj się

Menu główne:


Blog

2 komentarze do Bloger blogerowi wilkiem czyli puknie 10 milionów czy nie puknie?

  1. Gynvael Coldwind

    25 września, 2008 o godzinie 10:44

    Hmmm przyszła mi do głowy jeszcze jedna rzecz (to co napiszę to czyste niepoparte niczym rozważania). Piszesz o IFrame i 'obejrzeniu Video z udziałem blogera', czyli jeśli dobrze wywnioskowałem pijesz do 'instalowania codeców pozwalających być częścią botnetu'.
    Tak myślę czy by tego nie można tego wysokiego ruchu wykorzystać bez 'instalowania codeców'.
    Na potrzeby rozważań załóżmy że mamy 10mln przekierowań dziennie (co przy 32mln blogach super dużą ilością nie jest).
    A teraz rozważmy możliwość wysyłania spamu z przeglądarki.
    Jest trochę serwisów e-mailowych podatnych mniej lub bardziej na CSRF, czyli głupi javascript w iframe umie utworzyć konto mejlowe (lub zalogować się na istniejące; pominę problem captcha na chwile), a następnie dalej korzystając z CSRF wysyłać mejle (owszem będzie to wysyłanie na ślepo, ale to nie powoduje że jest to mniej skuteczne).
    Czyli wchodząc na oryginalnego bloga, user zostałby przekierowany na stronę ZUA, w której mniej lub bardziej zmyślny JS powodował by wysyłanie spamu.

    A teraz drugie potencjalne użycie takiego botnetu – DDoS. Owszem, żaden CTCP/UDP flood nie przejdzie z oczywistego powodu. Natomiast z poziomu javascript można wysyłać zapytania HTTP czy łączyć się TCP (chodzi mi o połączenie HTTP na inny port, sam fakt połączenia przy tej ilości połączeń można traktować podobnie jak Syn Flood (tak wiem, to temat do dyskusji)).
    User wchodzi więc na stronę bloga, zostaje przekierowany na stronę ZUA, która w 10 iframe per user otwiera stronę http://www.mampecha.pl. I teraz ofc 3 scenariusze. Pierwszym jest slashdot-effect, czyli serwery nieprzystosowane do 10mln połączeń dziennie robią 'dobranoc'. Drugi scenariusz – stronie kończy się bandwidth i użytkownik dopłaca za niego lub strona jest blokowana. I scenariusz trzeci – strona całkiem OK sobie radzi mimo ruchu.

    Do „klikania” co głupszych reklam takie coś też by przeszło.

    Czyli w sumie mając 10mln odwiedziń dziennie można i tak niezłe kuku zrobić niekorzystając nawet z 'botnetowych kodeków'.

    Ot, takie rozważania ;>

  2. Borys Łącki [LogicalTrust.net]

    25 września, 2008 o godzinie 22:51

    Dokładnie TAK!

    Mój przykład jedynie i wyłącznie jest uproszczeniem ukazującym problem. Najczęściej mamy do czynienia z takim wykorzystaniem użytkownika do instalacji złośliwego oprogramowania – niech sam kliknie w nibylinkvideo.

    Ale oczywiście idąc dalej tak jak piszesz, prosty IFrame x 10 a jeszcze zapętlony JavaScriptem może spowodować wystarczająco masakryczne dla ofiary i opłakane skutki…

    Jednak wiadomo – lepiej jest zmusić użytkownika (fakt, wtedy musi kliknąć, trzeba obejść antywirusa ;) – i zdobywamy jego komputer i kontrolę na dłuższą metę a o to tak na prawdę chodzi prawda? :]

    Luuuubię takie rozważania, zapraszamy częściej…

Napisz komentarz

(*)
Pole wymagane