A Black Hat biztonsági konferencián minden évben előrukkol érdekességekkel. Az idei, július 27. és augusztus 1. között Las Vegasban megtartott rendezvény egyik izgalmas bemutatója az internetes hirdetésekkel mint támadási lehetőségekkel foglalkozott.

Ebben még nem sok újdonság van, hiszen azt már a szakértők körében régtől tudott, hogy az online reklámok kiszolgálására felépített hálózatok alkalmasak kibertámadások lebonyolítására. A rendezvényen azonban két kutató azt mutatta be, hogy néhány dolláros befektetéssel hogyan lehet ezekből a hálózatokból olyan kiterjedt botneteket felépíteni, melyeket elosztott szolgáltatásmegtagadási támadásokhoz (DDoS), spameléshez, jelszavak (hash-ek) visszafejtéséhez vagy akár vírusterjesztéshez felhasználni.

500 dollárért 1 millió PC

A White Hat Security két szakembere, Jeremiah Grossman műszaki igazgató és Matt Johansen kutató a bemutatóhoz regisztráltak egy reklámkiszolgáló hálózatba, melyen keresztül speciálisan összeállított hirdetéseket publikáltak. Első körben egy olyan scriptet terjesztettek, amely a saját szerverüket "pingelte". Ebből pontos képet kaptak arról, hogy a reklámkiszolgálón keresztül hány kliens számítógépet tudnak elérni. Az eredmény meghökkentő: mindőssze 0,5 dollárért hozzájutottak 1000 rendszerhez, és állításuk szerint 500 dollárból elérnék az egymillió PC-t.

Innen már csak egy kis lépés az előadók szerint, hogy ezeket a gépeket a reklámkiszolgálón keresztül DDoS támadásokra használják. Ráadásul a hagyományos DDoS módszerektől eltérően ez esetben nem a nagy adatmennyiség bénítja meg a támadás célpontját, hanem a több százezer vagy akár több millió kapcsolatfelvétel, amik megfelelő intézkedések hiányában felemészthetik az áldozatul esett szerver erőforrásait.

A hirdetési hálózatokat lényegükből adódóan további segítséget is nyújtanak a támadóknak. Az ilyen rendszerek üzemeltetői ugyanis arra törekszenek, hogy az általuk megjelenített reklámok minél inkább megtalálják a célközönségüket. Ebből következik, hogy az elkövetők meghatározhatják, hogy a nemkívánatos kódjaikat mely felhasználói csoportokhoz jusson el, például milyen földrajzi régióban.

Grossman és Johansen arra is felhívta a figyelmet, hogy az ilyen típusú webes botnetek másként működnek, mint azok a hálózatok, melyek felépítésében PC-kre telepített trójai programok vesznek részt. A reklámalapú csalások esetében ugyanis kizárólag addig van lehetőség  károkozásra, amíg a felhasználó az adott weboldalt vagy böngészőt be nem zárja, illetve amíg látható a kompromittált hirdetés.

A védekezés gyerekcipőben jár

A védekezés azonban nehéz. Bár a reklámszolgáltatók letiltják a scriptfuttatási lehetőségeket, ám akkor sérül az üzleti modelljük. Ha pedig a felhasználói oldal, azaz a böngészőfejlesztők vezetnek be korlátozásokat, akkor esetleg a felhasználó nem juthat hozzá számára hasznos/fontos tartalomhoz. Grossmanék szerint bizonyos esetekben a NoScript és a hozzá hasonló kiegészítők sem segítenek, mivel a fentebb vázolt DDoS-módszer kizárólag HTML-tartalmakra épít.

Bár több nagy internetes szolgáltatást nyújtó cég keresi fektetett olyan cégekbe, amelyek kártékony tartalmak kiszűrését segítő technológiákat fejlesztenek, a White Hat Security szakemberei szerint egyelőre nincs átfogó megoldás erre a problémára.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}