O grupo de hackers alemão, The Hacker’s Choice, acaba de liberar uma interessante ferramenta que irá tirar o sono de muito administrador Web. É o THC-SSL-DOS que tem como objetivo realizar ataques DDoS via SSL. Essa ferramenta explora uma fraqueza no protocolo SSL e tem como foco os servidores WEB que o utilizam, quer dizer, mais de 50% do que rola na Internet.

Você poderá fazer o download da ferramenta, tanto para Unix como para o mundo M$ nos seguintes links abaixo:

Windows binary: thc-ssl-dos-1.4-win-bin.zip
Unix Source : thc-ssl-dos-1.4.tar.gz

Algumas dicas estão sendo liberadas para quem deseja testar a ferramenta e até mesmo, proteger o seu ambiente:

1. The average server can do 300 handshakes per second. This would require 10-25% of your laptops CPU.
2. Use multiple hosts (SSL-DOS) if an SSL Accelerator is used.
3. Be smart in target acquisition: The HTTPS Port (443) is not always the best choice. Other SSL enabled ports are more unlikely to use an SSL Accelerator (like the POP3S, SMTPS, … or the secure database port).

Uma coisa que me chamou a atenção foi o fato de você ter mais poder de fogo de acordo com a capacidade de processamento e da banda do atacante, um verdadeiro DDoS, diga-se de passagem.  Eu irei iniciar os testes ainda hoje.. 😉

Mais detalhes em breve.

P.S.: Acabei de compilar e testar no Mac e a ferramenta funcionou de boa. Já estou vendo uma possível assinatura para configurar no mod_security

P.S.S.: Ela funciona e muito bem. 🙂

P.S.S.S.: O interessante da vulnerabilidade que está sendo explorada com a ferramenta acima é que ela é discutida desde 2003, mas só agora, algo foi liberado para explorá-la, publicamente. Uma das soluções mais discutidas para mitigar a exploração desta vulnerabilidade é desabilitar o SSL-Renegotiation nos servidores Web, mas isso gera outras vulnerabilidades. O correto seria implementar um Web application Firewall, como é o caso do mod_security. O parâmetro para desabilitar o SSL-Renegotation no Apache é o SSLVerifyClient Directive –  eu ainda estou estudando o caso.. 🙂