نقصهای پنهان در الگوریتم وبسایتها آنها را در معرض حملات DoS قرار میدهد
این هفته وبسایت بدنام 8chan، بعد از آنکه ارائه دهنده زیرساختهای آن (Cloudflare)، خدمات خود را از محتوای رادیکال و ترویج خشونت آن خارج کرد، از کار افتاد.
Cloudflare سایت را به طور مستقیم تعطیل نکرد اما با از بین بردن حفاظ آن در برابر حملات DoS، سقوط آن را تضمین کرد. در حالی که حملات کلاسیک DDoS، که یک سایت را توسط حجم زیای از ترافیک بیهوده تحت الشعاع خود قرار میدهد در سراسر وب تداوم و تکامل یافته اند، محققان در مورد یک روش جدید هشدار میدهند. حملات دقیقی که ظرفیت سرور را هدف نمیگیرند بلکه الگوریتمها را مورد هدف قرار میدهند.
بسیاری از وبسایتها و خدمات برای تبدیل ورودیهای خام داده به اطلاعات و نتایج از الگوریتمها استفاده میکنند. اما تحقیقات جدید که روز پنجشنبه در کنفرانس امنیت سایبری بلک هات در لاس وگاس انجام شد، نشان میدهد که چگونه یک ورودی کوچک و به ظاهر بیارزش میتواند برای یک الگوریتم باعث بوجود آمدن حجم عظیمی از کارها شود (کند کردن یک سرویس یا خراب کردن آن به طور کامل، فقط توسط چند بایت).
نوع دیگری از آسیب پذیری الگوریتمها که محققان دریافتند میتواند علیه سرورهای VNC لینوکس نیز انجام شود این است که باعث میشود سرور شروع به تولید دادههای ناخواسته و پر کردن فضای هارد دیسک خود کند و نوعی ترافیک در داخل خود ایجاد کند. محققین پنج سرویس VNC را با این آسیب پذیری پیدا کردند که تنها TurboVNC، در گذشته تغییراتی را برای محافظت در برابر این نوع حملات DoS ایجاد کرده است.
محققین همچنین یک قدرت سنج رمز را که توسط Dropbox ساخته شده و توسط بسیاری از سرویسهای وب دیگر استفاده شده است را بررسی کردند. محققین میگویند که این ابزار احتمال این را در نظر نمیگیرد که شخصی رمز عبور بزرگ و پیچیدهای را ارسال کند که برای تحلیل و ارزیابی آن الگوریتم نیاز به زمان زیادی دارد و هرچه تعداد کاراکتر آن بیشتر بشود باعث بوجود آمدن تاخیر و زمان تعلیق بیشتری میشود.
این امر بسیار قابل توجه است چرا که این ابزار در سایر سرویسها نیز تعبیه شده است و میتواند برای قطعیهای بیشتر در جهان مورد سوءاستفاده قرار بگیرد. اگر این ابزار هنگام اجرا در سمت کاربر مورد حمله قرار گیرد، فقط برای آن کاربر از کار میافتد. اما اگر سرویسهای وب این ابزار را در سرورهای خود پیاده سازی کرده باشند، یک حمله میتواند به مراتب تبعات بیشتری داشته باشد. اگر سرور در سمت دیگر باشد با این کار دسترسی هر کسی به آن با مشکل رو به رو میشود و در حالی که پردازندهها در حال کار هستند، هیچکسی نمیتواند ارتباطی را برقرار کند که این همان حمله منع سرویس (DoS) است.
سخنگوی Dropbox در بیانیه ای این وضعیت را تأیید کرد و گفت: “هنگامی که ما این ابزار را راه اندازی کردیم، هدفمان این بود که فقط برای کاربران پیاده سازی شود و محققین ما میدانند که اگر سرویسی قصد پیاده سازی آن را در سرور خود داشته باشد، معماری دیگری لازم است تا از حملات DoS به سرور جلوگیری شود. در بیانیه شرکت نیز آمده است “ما از مشارکت محققین امنیتی قدردانی میکنیم و همچنان به همکاری نزدیک با آنها خواهیم پرداخت تا امنیت کل صنعت بهبود یابد.”
