Kleine aanvallen, grote gevolgen
Op het CCC-event werd getoond hoe kleine boodschappen DDos-aanvallen kunnen uitvoeren.
Op de CCC-conferentie in Berlijn werd toegelicht hoe kleine boodschappen toch ‘denial of service’ aanvallen tegen webwervers kunnen uitvoeren. De erg technische presentatie van twee onderzoekers – Julian Wälde van de TU Darmstadt en Alexander Klink van n.runs AG – toont aan hoe populaire programmeertalen de deur openen voor een overbelasting van webservers. Hierdoor zijn ‘denial od service’-aanvallen (die webservers en hun toepassingen ontoegankelijk maken voor legitieme gebruikers) mogelijk, zonder nood aan veel bandbreedte en/of een groot botnet.
Concreet wordt misbruik gemaakt van de wijze waarop programmeertalen in de webwereld omgaan met hashtabellen en in het bijzonder met problemen als ‘hash collisions’.
Deze laatsten ontstaan als de hash functie onvoldoende ‘randomized’ is, waardoor verschillende data toch een zelfde hash hebben. De webserver moet vervolgens verwerkingsvermogen aanwenden om de conflicten op te lossen en met behulp van aangepaste boodschappen kunnen aanvallers de volledige capaciteit van zelfs moderne processoren consumeren (en dat blijven doen door de boodschap herhaaldelijk door te sturen).
Het probleem bestaat in schier alle talen die worden aangewend voor webapplicaties en wordt aangekaart in een security-advies van de oCERT (de open source CERT).
Vanuit dit advies kunnen ontwikkelaars en bedrijven opvolgen hoe het is gesteld met de door hen aangewende talen. De ernst van het probleem moge overigens blijken uit de beslissing van Microsoft om voor zijn ASP.net een patch buiten de gebruikelijke updates uit te brengen. Microsoft biedt hierover informatie in een securitymededeling.
Fout opgemerkt of meer nieuws? Meld het hier