Таинственный программист объяснил, как легко «положить» чужой сайт с помощью Google Docs

Интернет Безопасность Стратегия безопасности Пользователю
мобильная версия
Неизвестный автор «Блога программиста» описал способ создания DDoS-атаки без навыков программирования с применением только электронных таблиц Google Docs. По его словам, Google пока не планирует ликвидировать этот «баг».

Автор сайта «Блог программиста» (A Programmer's Blog), скрывающийся под ником chr13, описал способ организации DDoS-атаки на произвольный сайт с помощью штатной функциональности редактора электронных таблиц сервиса Google Docs.

Интересно, что это описание - первая и к нынешнему моменту единственная запись в его блоге.

Как сообщает автор блога, для организации DDoS-атак можно применять функцию =image("link"), которая добавляет в редактируемую ячейку таблицы изображение или файл по ссылке. Интересное свойство этой функции состоит в том, что для ее обработки Google использует свой краулер FeedFetcher, с чьей помощью изображение скачивается из источника и кэшируется для отображения в соответствующих ячейках таблиц.

Однако, если в создаваемой таблице применить эту функцию многократно, добавляя к URL каждый раз случайный параметр, то краулер будет всякий раз заново обращаться к источнику и по отдельности скачивать изображение для каждой из измененных ссылок. Таким образом, множественными запросами из электронной таблицы будет создаваться нагрузка на целевой сайт, и непродуктивно расходоваться трафик жертвы. Chr13 классифицирует этот способ атаки как HTTP GET FLOOD.

Автор блога описывает ситуацию, когда в запросе таблицы указан адрес не изображения, а, например, большого PDF-файла. В этом случае сайт-жертва будет отдавать весь запрошенный трафик, но, поскольку вставить PDF-файл в ячейку таблицы нельзя, в нее будет возвращаться сообщение об ошибке. Таким образом, атакующему компьютеру не требуется ни широкий канал, ни высокая производительность.


Пример запросов, расширенных случайным параметром

Как сообщает автор, при использовании одного ноутбука с несколькими открытыми вкладками браузера, копируя и вставляя списки ссылок на файлы размером 10 МБ, краулер Google обеспечивал скачивание файла со скоростью более 700 Мбит/c, и, за 30-45 минут заставил целевой сервер израсходовать примерно 240 ГБ трафика: «Могу себе представить, что произойдет, если этот метод применят несколько атакующих», - пишет он.


Chr13 проводит тестовую атаку

Удивительно, что никто не попробовал добавлять к таким запросам случайные параметры, говорит chr13: даже если на сайте есть лишь один файл, с помощью добавления случайных параметров к нему можно сделать тысячи запросов.

Автор блога пишет, что накануне (9 марта 2014 г.) он написал письмо с описанием бага в Google, и успел получить ответ поисковика о том, что найденная особенность работы электронных таблиц Google не является уязвимостью, а потому не премируется по программе Bug Bounty. Chr13 надеется, что в Google решат проблему, однако, вечером 11 марта способ описанный им способ атаки обращения к сайтам из таблиц Google успешно воспроизводился.