Защита Интернета, хоть немного смахивающая на Эла Банди (герой сериала «Married… with Children» и прототип Гены Букина из российского ремейка «Счастливы вместе». — Прим. ред.), особенно в отношении детей, сейчас бы пришлась как раз кстати. Конечно, доклады на Black Hat еще свежи в нашей памяти, и вы традиционно покидаете конференцию с желанием как можно реже пользоваться Интернетом, но этот год, похоже, стал особенно урожайным на новые виды атак или новые версии старых уловок, которые вызывают одну-единственную ассоциацию со словом «Интернет» — «сломался!».

Нельзя сказать, что резкие выступления на Black Hat о состоянии Интернета были неожиданными, но они стали, пожалуй, самыми пугающими за последние годы. Большая часть докладов хакеров в Лас-Вегасе касалась проблем целевой архитектуры браузеров или протоколов, а не уязвимостей, которые можно исправить. Другими словами, нет никакой возможности решить эти вопросы без глобального демонтажа всей системы. Это очень дорого, сложно и требует массу времени, в то время как хакеры бесплатно вкалывают над совершенствованием технологий взлома сайтов, кражи аккаунтов, перехвата контроля над трафиком и др.

Эти атаки также показали всю красоту научного сообщества, равно как и его способность решать проблемы радикальными и простыми способами. В какой еще отрасли вы сможете сделать столь же простую вещь, как купить онлайн-рекламу через рекламную сеть и собрать целую армию браузеров для размещения своего предложения?

Иеремия Гроссман (Jeremiah Grossman) и Мэтт Йохансен (Matt Johansen) из WhiteHat Security в ходе онлайн-презентации продемонстрировали свои лучшие попытки взлома Интернета на примере использования рекламных сетей для распространения «левых» JavaScript. Этот метод позволяет взламывать веб-серверы или использовать их в качестве своего рода коммунальных ресурсов для вычислений, вмешательства в цикл CPU на протяжении всего времени, пока работает браузер, и размещения своих сообщений в JavaScript для взлома паролей, например.

Благодаря своей простоте предложенная технология атаки дает возможность не только влиять на архитектуру рекламных онлайн-сетей, но и вводить в игру собственную бизнес-модель.

«Мы вводим определенный набор кодов и добиваемся его одобрения, утверждая, что так оно и было, — объяснил Йохансен. — У них нет никаких реальных способов успеть за нашими изменениями кода. Эта бизнес-модель становится для них единственной». «Их технические возможности довольно сильно ограничены, потому что мы в любое время можем изменить код без его проверки, и делаем это по всем законам работы Интернета», — добавил Гроссман.

Используя рекламную сеть как способ коммуникации, Гроссман и Йохансен могут задействовать свои Java-скрипты для превращения браузеров в точку входа на сайт, например. Не существует программ для взлома браузеров или вредоносного ПО для проникновения в рекламную сеть — ничего, что бы могло выглядеть опасным. И никто не может починить взломанный браузер, потому что никто не виноват в его взломе.

«Это наша общая проблема, — заявил Гроссман. — Производители браузеров ничего не могут сделать, не ломая существующий Интернет. Рекламодатели тоже бессильны, потому что этому препятствует бизнес-модель, которой они пользуются. А пользователи не являются жертвами, так как мы используем браузер для временной атаки на кого-то другого и не причиняем им вреда».

JavaScript является связующим звеном для многих из этих проблем. Британский исследователь Пол Стоун (Paul Stone) обнаружил возможность кражи конфиденциальных данных из браузера при помощи комбинации из тайминг-атак с применением JavaScript и с использованием некоторых, ранее неизвестных проблем браузеров. Его метод позволяет не только получить информацию с помощью браузера, но и менять исходный код сайта, открывая доступ к ID пользователей и многому другому. Технология Стоуна применима ко всем основным браузерам, и исследователи полагают, что она может оказаться еще одной «черной дырой», с которой продавцы браузеров мало что могут сделать.

Сломанные алгоритмы и протоколы шифрования также являются частью заговора, направленного на взлом Интернета. В конце прошлой недели был представлен доклад об атаке BREACH — младшей сестре атаки CRIME. Обе они были направлены на извлечение секретной информации из ответной реакции HTTPS-трафика, которая измерялась по изменениям в степени сжатия. Консультанты из CERT всем коллективом удрученно пожимают плечами: «В настоящее время мы не знаем практического решения данной проблемы».

Еще одной «бомбой» конференции стало сообщение криптоэкспертов о грядущем конце эпохи почтенного алгоритма шифрования RSA и первом звоночке для производителей браузеров, сертификационных органов и криптокомпаний, говорящем о необходимости, пока не поздно, переходить на криптографию на основе эллиптических кривых. Прошедшие в последние пару лет криптоатаки, такие как CRIME, BEAST и теперь BREACH, пролили свет на тот нерадостный факт, что криптотехнологии, на которых базируется безопасность электронной коммерции, находятся на зыбкой почве.

Очевидно, что проблема лежит за пределами рассуждений об устаревших алгоритмах шифрования или крутизне хакеров. Интернет может быть сломан, и он был сломан несколько раз всего лишь за одну прошлую неделю. Истинный вопрос заключается в том, что действительно можно сделать по этому поводу.

Категории: Кибероборона