Chinese overheid toverde webbrowsers van normale gebruikers om tot DDoS-tool

  1. 2 apr 2015
  2. 0 reacties

De Chinese overheid heeft afgelopen weken de Chinese internetinfrastructuur ingezet om politieke tegenstanders aan te vallen. Hiervoor heeft China de webbrowser van ‘normale’ gebruikers omgetoverd tot Denial of Service-tools om grootschalige cyberaanvallen op te zetten. Dit had voorkomen kunnen worden als meer websites het veilige HTTPS-protocol gebruiken.

Dit schrijft Bill Budington van de Electronic Frontier Foundation (EFF) in een blogpost waarin hij de aanvallen analyseert. “Ze hebben het feit dat veel grote websites nog steeds het onveilige HTTP inplaats van HTTPS gebruiken misbruikt, wat de Great Firewall in staat stelt deze websites aan te passen. Ook hebben zij ingespeeld op het feit dat onze webbrowsers bereid zijn JavaScript-code op een extreem liberale basis te draaien. Deze feiten hebben China de mogelijkheid gegeven een ongelofelijke hoeveelheid ‘zombie’ systemen binnen en buiten China op te zetten, waarmee miljarden verzoeken zijn verstuurd om servers te overspoelen”, meldt Budington.

Man-in-the-middle aanval

De Chinese overheid zou een man-in-the-middle aanval hebben opgezet gericht op Baidu Analytics JavaScript. Baidu is de grootste zoekmachine in China en kan worden vergeleken met Google in Europa. Baidu Analytics, een concurrent van Google Analytics, wordt door een groot aantal Chinese websites gebruikt. Via deze tool zou de Chines overheid malafide code hebben geïnjecteerd in een enorm aantal websites. Deze malafide code gaf de webbrowser van bezoekers de opdracht met grote regelmaat verzoeken te versturen naar twee URL’s van GitHub: een spiegel van GreatFire.org en de Chinese New York Times. Budington merkt op dat China hiervoor zijn toegang tot backbone routers binnen haar landsgrenzen heeft misbruikt.

De aanval die hierdoor is opgezet is volgens GitHub de grootste DDoS-aanval waar het bedrijf ooit mee te maken heeft gehad. Ondanks de omvang van de aanval zijn zowel GitHub als de twee aangevallen URL’s gedurende de gehele aanval beschikbaar gebleven. Budington stelt dat het grootschalige gebruik van HTTPS op GitHub het voor de Chinese overheid nagenoeg onmogelijk maakt bepaalde pagina’s onbereikbaar te maken zonder geheel GitHub te censureren. Zonder de private sleutels voor een specifieke website is het voor een aanvaller namelijk erg moeilijk exact te achterhalen welke URL binnen een website tijdens een beveiligde sessie wordt bezocht. Hierdoor kunnen specifieke verzoeken niet worden geblokkeerd en is dus de enige optie het blokkeren van de gehele website.