Chinas DDoS-Attacken verwendet nicht verschlüsselte Webseiten, um Browser Hijack

In den letzten paar Wochen nutzt China ihres Landes Internet-Infrastruktur, um politische Gegner anzugreifen, indem normale Benutzer Web-Browsern zu Denial-of-Service-Tools.

Diese Angriffe waren eine tiefe Verletzung das Urvertrauen, das das Internet reibungslos funktionieren kann, und eine beunruhigende und beispiellose Entwicklung in der Geschichte des Staates orchestriert Denial-of-Service Angriffe. Sie nutzen die Tatsache, dass viele große Websites immer noch unsichere HTTP als HTTPS, ermöglicht die große Firewall, diese Websites zu ändern und die Tatsache, dass unsere Web-Browser JavaScript-Code auf eine extrem liberale Grundlage laufen wollen. Diese Tatsachen erlaubt China eine unglaubliche Anzahl von "Zombie"-Systeme, sowohl innerhalb als auch außerhalb Chinas, Marshallen machen Milliarden von Anfragen in einem Versuch, die Ziele Servern zu überwältigen.

Der Angriff richtet sich an Code-Hosting-Plattform GitHub und URLs in der Angriff auf zwei Repositories, Greatfire und Cn-Nytimes, die GreatFire.org und der chinesischen New York Times Spiegel verwendet. Wie eine Analyse von Forschern Netressec veröffentlichte erklärt, ändert dieser Mann auf der Seite Angriff der Baidu Analytics JavaScript enthalten von vielen Seiten um eine böswillige Kopie zu injizieren. Die bösartige Version der JavaScript weist Browsern häufige Anfragen an die beiden GitHub URLs vornehmen. Solange ein Browser auf der Website Baidu Analytics-einschließlich blieb, würde es weiter, Generierung von Traffic in regelmäßigen Abständen. Es ist wichtig zu beachten, dass obwohl China seinen privilegierten Zugang zum Backbone-Routern innerhalb seiner Grenzen benutzt, um die Baidu Ressourcen ändern, ist es letztlich Ende Benutzer überall auf der Welt, die den bösartigen Code ausführen, die mit ihren Browsern entführt.

GitHub hat angekündigt, dass dies die größte DDoS, die sie jemals behandelt haben. Trotz des Umfangs des Angriffs wurden weder auf GitHub als auch auf die verschiedenen Repositories offline gezwungen. Aufgrund GitHubs breiten Einsatzes von HTTPS wäre es in der Tat ziemlich hart für China, diese bestimmten Endgeräten ohne Zensur die Gesamtheit der GitHub zu zensieren. Einer der Vorteile, die HTTPS bietet ist, dass es nicht nur den Inhalt einer Webseite, sondern auch die spezifischen URL der angeforderten Seite verschlüsselt. Es sei denn, Sie Zugriff auf die privaten Schlüssel für eine bestimmte Website haben, es ist schwierig für einen Angreifer zu bestimmen, genau die URL innerhalb eines Standorts wird in einer sicheren Browser-Sitzung zugegriffen. Und wenn der Angreifer feststellen kann, welche Anforderungen für Seiten sind, die sie blockieren möchten, sind sie gezwungen, die gesamte Website zu sperren, wenn sie Zugriff auf bestimmte Seiten zu verhindern wollen.

Dies ist ein großer Vorteil für die Bürger, die Informationen innerhalb einer Zensur-Regime frei zugreifen möchten. Um das Risiko von kritischen Informationen zensiert können Content-Ersteller ihre Daten in einer sicheren Domäne spiegeln, die die Zensoren möglicherweise ungern aus Angst vor politischer oder finanzieller Konsequenzen zu blockieren. Es scheint, dass das genau ist, was in dieser Situation passiert ist. Bevor der GitHub-Angriff am 26. März begann, berichtete GreatFire.org einen Angriff auf ihren eigenen Servern ab 17. März. Und in der Tat blockieren GitHub hätte schädigenden Auswirkungen auf chinesischen Programmierer und damit der chinesischen Wirtschaft. Wenn China die Website zuvor tagelang zu einem Zeitpunkt im Januar 2013 gesperrt, dem ehemaligen Leiter der Google China Operations Kai-Fu Lee auf der Mikro-Blogging Website veröffentlicht Sina Weibo, die das Gesetz war "nicht zu rechtfertigen", und das es "wird nur entgleisen der Nation Programmierer aus der ganzen Welt, während über einen Verlust für die Wettbewerbsfähigkeit und Einsicht bringen." Dieses Mal haben sie einen Schritt weiter gegangen und tatsächlich bewaffnet chinesischen Internet-Unternehmen zu zensieren kritische Stimmen.

Wir wissen, dass China injiziert die Nutzlast irgendwann zwischen Baidu Servern und wenn der Verkehr das Land verlassen. Dies war nur möglich, da die Baidu Analytics-Skript auf Websites enthalten keine Verschlüsselung standardmäßig verwendet. Ohne HTTPS kann jeder Benutzer sitzt zwischen dem Webserver und dem Endbenutzer Inhalte beliebig ändern. Dies ist Teil der Grund, warum brauchen wir 100 % Einsatz von HTTPS für das gesamte Web. Zur gleichen Zeit ist es wichtig zu beachten, dass HTTPS ist keine vollständige Impfung gegen bösartige staatliches Handeln. Die chinesische Regierung könnte leicht auf Baidu, den Zensoren in ihren Mann auf der Seite Angriff integrieren ihre Verschlüsselungsschlüssel anzubieten gelehnt haben. Alternativ könnten sie Baidu, die bösartige Code direkt von ihren Servern liefern gezwungen. Und wie wir dargelegt haben, bevor, wenn Regierungen Web-Services zwingen können, Gabel über ihre kryptografischen Schlüssel oder leiden unter den Folgen, eine enorme Menge an Informationen über die Aktivitäten der Endbenutzer weitergegeben wird. In diesem Fall ist es noch schlimmer: Regierungen können Menschen auf der ganzen Welt in ahnungslose Partner bei der Unterstützung der Zensur Regime, freie Meinungsäußerung unterdrücken verwandeln.

China ist nicht nur in seiner technischen Fähigkeit, Verkehr zu injizieren. Die meisten nationalen Regierungen konnte diese gleiche Technik anwenden, wenn sie Gastgeber der beliebten JavaScript innerhalb ihrer Grenzen und die Tools für Internet-Traffic, die ihr Land verlassen zu ändern. Es ist immer häufiger für Websites nutzen Bibliotheken und Ad-Networks gehostet auf einer Diaspora von Servern auf der ganzen Welt geworden. Einer der diese Ressourcen von Drittanbietern kann Seiteninhalt ändern, Surfgewohnheiten preisgeben oder initiieren einen Angriff wie diejenige, die wir beschrieben haben.

Die Lösung ist ein zweifaches: technisch und politisch. Als ein Website-Betreuer können Sie Dienstprogramm Bibliotheken lokal hosten. Auf diese Weise ein Kompromiss eine Remoteressource nicht bösartigen JavaScript ausgeführt wird von Ihren Nutzern führen. In diesem Fall würde mit open-Alternativen für Analytik Benutzer laden Remoteangriff Codes abgewendet haben. Systemadministratoren können HTTPS, macht es schwieriger für bösartige Agenten, Verkehr zu ändern in Transit bereitstellen. Und Bürger unterstützen Initiativen wie z.B. die Manila-Grundsätze, die darauf abzielt, einen klaren rechtlichen Rahmen um Inhaltsbeschränkung, einer zu etablieren, das die Menschenrechte achtet und geerdet in ein ordnungsgemäßes Verfahren und unterstützt durch das Völkerrecht. Nur eine Kombination aus vernünftiger Politik und technische Maßnahmen kann Schränken Regierungen macht unsere Browser hijack und nutzen sie das Internet weltweit zu zensieren.

Dieser Artikel erschien auf der Electronic Frontier Foundation und hier unter Creative Commons Lizenz veröffentlicht. Bild von Shutterstock / Andersphoto