octobre 27th, 2011

Ton serveur Web dans les pommes pour (presque) rien

Posté on 27 Oct 2011 at 9:34

Le THC a publié la semaine passée un outil répondant au nom transparent de THC SSL DOS, en téléchargement gratuit sur le site du groupe. Son utilisation (bien entendu réservée aux seuls webmestres à des fins de test) peut très simplement écrouler un site Web par surconsommation de ressources CPU en exploitant une faiblesse SSL connue et décrite par le THC. La principale élégance de cette attaque est qu’elle ne nécessite aucun botnet important (une seule machine peut conduire l’attaque). Une grande ferme de serveurs, précise le communiqué, n’exige la mobilisation que d’une vingtaine d’ordinateurs portables tout à fait conventionnels et une bande passante de 120 Kb/s. Le but de cette publication est de dénoncer la confiance aveugle des administrateurs de sites envers ce que le THC considère comme un « modèle de sécurité dépassé et inadéquat ». L’outil d’attaque exploite un défaut de conception dit « de renégociation SSL » (fonction qui n’est pas systématiquement utilisée par tous les serveurs). Cette renégociation sert à générer une nouvelle clef immédiatement après l’établissement de la communication chiffrée entre le poste client et le serveur. Cette opération consomme, précise le THC, 15 fois plus de ressources CPU sur le serveur que sur le poste client.

Publicité

MORE_POSTS

Archives

octobre 2011
lun mar mer jeu ven sam dim
« Sep   Nov »
 12
3456789
10111213141516
17181920212223
24252627282930
31