Для того, чтобы показать опасность сокращенных URL, которые у многих не
вызывают подозрений, один студент запустил сервис, который генерирует линки,
отсылающие пользователей в нужное место, но при этом перехватывает их браузеры
для проведения DDoS атак.

Названный d0z.me, сервис был создан Беном Шмидтом, студентом из University of
Tulsa. Сам он себя называет энтузиастом безопасности.

Идея создания сервиса коротких ссылок была навеяна недавними DDoS атаками,
организованными группой Anonymous и в особенности веб-версией созданного группой
инструмента (LOIC).
Недавно созданный с применением JavaScript LOIC позволял людям добровольно
участвовать в DDoS атаках, просто посещая веб-страницы вместо установки
приложения на свой компьютер. Программа изменяет параметр тега изображения для
того, чтобы заставить браузер непрерывно слать HTTP запросы на атакуемый сервер.

Согласно Шмидту, увеличивающееся число малоизвестных сокращетелей ссылок,
доступных пользователям, также вдохновило его на создание проекта.

"Есть о чем беспокоится. Люди доверяют всем сокращенным ссылкам , что им
попадаются, в том числе попавшимся им впервые. При этом у них возникает ложное
чувство безопасности и вера в то, что эти ссылки приведут именно туда, куда
указывает текст",  — отмечает студент.

D0z.me был выпущен в качестве
доказательства верности концепции. Сервис загружает целевую страницу в открытый
iframe; исходный код программы при этом доступен бесплатно по GPL. Для
использования сервиса атакующие должны ввести целевую ссылку. Название страницы
также может быть сконфигурировано. Получившийся сокращенный URL может
распространяться в социальных сайтах для привлечения максимально возможного
числа посетителей. У людей нажавших на ссылку не появится никаких оповещений о
неполадках, кроме разве что URL в адресной строке изменится с d0z.me. Тем
временем, в фоновом режиме, их компьютер будет слать сотни запросов в минуту на
целевой URL. И чем больше времени будет проведено на настоящей, законной
странице, тем эффективней окажется атака.

"Реализация мной подобной атаки – это лишь возможность показать: насколько
легко и просто организоваться DDoS за счет людей, кликающих по ссылкам и как
серьезно их доверие сокращенным URL может подорвать безопасность", — заключил
Шмидт.

Оставить мнение