Skip to main content

Researcher baut mit Hilfe von JavaScript

Die neuesten Webtechnologien können verwendet werden, um ein sicheres und verteiltes Dateispeichersystem aufzubauen Laden eines Stückes JavaScript-Code in die Webbrowser der Benutzer, ohne dass sie es wussten, demonstrierte ein Forscher am Sonntag auf der Defcon-Sicherheitskonferenz in Las Vegas.

Das Botnet-System heißt HiveMind und wurde von Sean T. Malone, einem Schulleiter, gebaut Sicherheitsberater bei Penetration Testing Firma FusionX.

HiveMind verwendet Technologien wie HTML5 WebSockets und Web Storage, die auch von legitimen Webanwendungen verwendet werden.

[Weiter lesen ing: So entfernen Sie Malware von Ihrem Windows-PC]

Ein grauer Bereich

Es werden keine schädlichen Exploits verwendet, daher kann nichts gepatcht werden, um dies zu verhindern, sagte Malone. "Das war ein Forschungsprojekt, keine Produktionssoftware", sagte er. "Aber das Botnetz aufzubauen, indem die Browser anderer Leute dazu gebracht werden, einen Teil JavaScript-Code zu laden und Daten auf ihren Computern zu speichern, fällt in eine legale Grauzone." "Ich bin kein Anwalt, deshalb beabsichtige ich niemandem Rechtsbeistand zu geben", sagte er und fügte hinzu, dass jeder dafür verantwortlich sei, was er mit der Software, die er später in dieser Woche veröffentlichen will, tun werde.

Der HiveMind-JavaScript-Code kann auf verschiedene Arten an Browser verteilt werden, einschließlich des Hostens des JavaScript-Codes auf legitimen oder kompromittierten Websites oder durch Verteilen des Codes über ein Werbenetzwerk, das ihn auf mehrere Websites stellt.

Für seine Recherchen setzt Malone einen anonymen Web-Proxy-Server, der später zu Proxy-Listen hinzugefügt wurde und von Benutzern verwendet wurde. Jedes Mal, wenn jemand den Proxy-Server zum Navigieren zu einer Webseite verwendete, injizierte der Server den HiveMind-JavaScript-Code auf diese Seite.

Laut dem Forscher erhielt sein Proxy-Server Verbindungen von 20.000 eindeutigen Internet Protocol (IP) -Adressen zehn Minuten, die dann Knoten im Botnet wurden.

HiveMind verfügt über einen Befehls- und Kontrollserver (C & C), der eine SQL-Datenbank verwendet, um alle Dateien und die Knoten - Browser, die den JavaScript-Code ausführen - aufzuzeichnen on.

Wenn eine Datei auf den Server hochgeladen wird, wird sie mit dem Advanced Encryption Standard (AES) mit einem vom Uploader bereitgestellten Kennwort verschlüsselt. Die verschlüsselte Datei wird dann in mehrere Blöcke aufgeteilt und diese Blöcke werden über verschiedene Knoten verteilt.

Jede Datei kann ein anderes Passwort haben, sagte Malone.

Da das Botnetz sehr dynamisch ist, verschwinden Knoten immer, wenn Benutzer sie schließen In Browsern wird jeder Dateiblock über mehrere Knoten verteilt, um Redundanz zu erreichen.

Die Knoten melden ständig ihre Anwesenheit und die Liste der Blöcke, die sie zurück an den Server haben, sodass ein bestimmter Block an neue Knoten verteilt werden kann, wenn die Anzahl von Knoten, die ihn speichern, fallen unter einen bestimmten Schwellenwert.

Nachdem eine Datei hochgeladen, verschlüsselt und an die Knoten verteilt wurde, wird sie nicht mehr auf dem Server gespeichert. Nur eine Aufzeichnung der Knoten, die ihre verschiedenen Blöcke enthalten, wird gespeichert, weil dies notwendig ist, um die Datei neu zu erstellen, sagte Malone.

Ein weitläufiges sprudelndes System

Wenn eine Regierungsbehörde den Server ergreifen und wegnehmen würde, Der Blockreplikationsprozess würde fehlschlagen, weil die Knoten offline gehen würden, wodurch die Datei nicht mehr wiederhergestellt werden könnte, so Malone. Es gibt einige Möglichkeiten, die Daten wiederherzustellen, aber es ist sehr schwierig, eine große Anzahl von Knoten zu beschlagnahmen oder den Server zu kompromittieren, solange dieser online ist und den Besitzer dazu zwingt, die zum Entschlüsseln der Dateien erforderlichen Kennwörter anzugeben.

Dort ist eine Möglichkeit, dem Eigentümer "plausible Bestreitbarkeit" zu bieten, und dabei wird zunächst der Server mit einer großen Anzahl von Dummy-Dateien mit zufälligen Daten versehen, aber diese Funktionalität ist noch nicht in das System integriert, sagte Malone.

Der Benutzer kann sagen, dass er das System erstellt hat, aber keine echten Daten darin abgelegt hat, obwohl er auch einige echte Dateien zusammen mit den Dummy-Dateien hochgeladen hat.

Weil die Zufallsdaten in den Dummy-Dateien gleich aussehen die zufälligen Daten in verschlüsselten Dateien, beim Versuch, eine Datei wiederherzustellen, gibt es keine Möglichkeit zu sagen, ob das vom Benutzer angegebene Passwort korrekt war und ein Dummy entschlüsselt wurde oder ob das Passwort falsch war, sagte der Forscher.

In diesem So kann der Benutzer das falsche Passwort für die Dateien angeben, von denen er weiß, dass sie real sind, und die andere Partei hätte keine Möglichkeit zu beweisen, dass das Passwort korrekt oder falsch war.

Während die Legalität des Aufbaus eines solchen Botnetzes fragwürdig ist, ist dieses System fragwürdig Englisch: www.mjfriendship.de/en/index.php?op...39&Itemid=32 Es könnte sich auch um eine gemeinschaftliche Anstrengung handeln, bei der die Benutzer ihre Browser selbst zur Verfügung stellen und Dateien auf das System hochladen können, sagte Malone.