Одним из интересных событий конференции по безопасности Black Hat, завершившейся в Лас-Вегасе, стало выступление главы White Hat Labs Джеремии Гроссмана. Гроссман обнаружил, что рекламные баннеры могут использоваться злоумышленниками для DDoS-атак.
Как утверждает Гроссман, страница, которая отображается в браузере, получает почти полный контроль над ним. Это значит, что код на странице может, например, использовать компьютер пользователя для DDoS-атак без ведома такого пользователя. Для того, чтобы проверить такую возможность на практике, в White Hat Labs создали рекламный баннер и через одну из рекламных сетей разместили его в интернете. Баннер содержал внедренный JavaScript-код, исполняя который, браузеры всех попавших на рекламную страницу пользователей отправляли серию запросов на сервер, выбранный в качестве жертвы (для этого эксперты White Hat Labs использовали собственный сервер в облачном сервисе Amazon).
За 18 часов существования рекламного баннера исследователям удалось сгенерировать более 8 миллионов запросов на свой сервер, что достаточно быстро вывело его из строя. Стоимость размещения и продвижения баннера составила при этом 150 долларов США.
Гроссман отмечает, что такой способ проведения DDoS-атак может оказаться привлекательным для хакеров. Обычно подобные атаки организуются с помощью ботнетов — сетей компьютеров, инфицированных вредоносным ПО. Но и заражение огромного числа компьютеров, и покупка готовых ботнетов на «черном рынке» обойдутся существенно дороже 150 долларов — тогда как рекламные сети, судя по всему, не слишком тщательно проверяют баннеры на наличие вредоносных кодов.
Другим преимуществом в глазах хакеров наверняка станет то, что подобная схема не требует наличия командного сервера, с которого осуществляется руководство и который может быть обнаружен в ходе борьбы с атакой. Впрочем, Гроссман не исключает, что при расследовании таких атак можно выяснить, что первопричиной послужил рекламный баннер, а затем установить через рекламную сеть, кто оплатил его размещение.
Еще одно отличие новой схемы, которое может оказаться важным для пользователей — длительность эксплуатации пользовательского компьютера в качестве части ботнета. В традиционной ботнет-схеме инфицированный компьютер может выполнять роль «ноды» довольно долго, тогда как «рекламная схема» DDoS-атак создает своего рода «летучие ботнеты». Как только пользователь покидает рекламную страницу, его компьютер не принимает участия в атаке и остается невредимым. Однако едва ли это очень утешит владельцев сайтов, которые могут быть атакованы с помощью подобной техники.