Исследователи из Proactive Risk объявили, что обнаружили системную ошибку в протоколе HTTP. Уязвимость позволяет взять под контроль компьютеры, на которых играют в онлайне, а затем организовать DDOS-атаку. При этом мусорный трафик практически невозможно отличить от обычного, что крайне затрудняет выявление и предотвращение атаку.
Демонстрация будет организована 8 ноября на конференции OWASP 2010 в Вашингтоне. Ее проведет Вонг Он-Чи, человек впервые обнаруживший такую возможность год назад в Сингапуре. С помощью данной техники можно положить серверы IIS и Apache, использующие как обычный, так и HTTPS-протокол. Кроме того, предположительно эти приемы будут эффективны и по отношению к более защищенным соединениям - с использованием SSL, VPN и других.
Чтобы продемонстрировать, как может быть организована подобная атака, Он-Чи и создатель фирмы Proactive Risk Том Бреннан покажут Java-аплет, который интегрируется в игру и рекрутирует компьютеры в бот-сеть. При этом атака ведется пока владелец компьютера играет.
Кроме того, исследователи планируют предложить ряд возможных решений проблемы, в том числе изменения, которые необходимо внести в HTTP-протокол.
