Het los-vaste hackerscollectief Anonymous brengt in september de tool #RefRef uit. Dat moet de opvolger worden van Low Orbit Ion Cannon (LOIC), een tooltje dat de hackers nu gebruiken op websites te DDoS'en. Een groot nadeel aan LOIC is dat die tool het IP-adres van de aanvaller nauwelijks verbergt, daardoor zijn de anoniemen eenvoudiger op te pakken.

Gebrek aan resources

De nieuwe tool heeft als doel om wel volledig anoniem te zijn. Het gebruikt JavaScript en kwetsbaarheden in SQL-achtigen om een verwoestende impact op het slachtoffer te maken, zo meldt TechEye. Uiteindelijk bezwijkt de aangevallen server onder een gebrek aan resources. Dat is een bekend principe maar wordt door veel aanvallers genegeerd ten faveure van bijvoorbeeld een DDoS-aanval met een botnet.

#RefRef werkt met een simpele interface op een website waar aanvallers de websites die zij willen aanvallen invullen. Naast eenvoudig is de tool ook effectief: Na een testaanval van 17 seconden vorige week vrijdag op de website Pastebin.com lag de website 42 minuten plat. “Het is alsof je een groot beest een eenvoudige wortel geeft en kijkt hoe het daar in stikt", aldus een Anonymous-lid tegen Tech Herald.

Patchen is moeilijk

De website moet voor een succesvolle aanval wel JavaScript bevatten en op de server moet een SQL-achtige geïnstalleerd zijn. Dat is omdat Anonymous kwetsbaarheden in die serversoftware misbruikt. Het tooltje doet een aanvraag op een website maar zet dan direct de exploit voor deze kwetsbaarheid in werking. De server blijft de code van de exploit verwerken, totdat hij crasht. Hoe sneller de server, hoe sneller hij crasht.

Volgens de anonieme programmeur van de software is het mogelijk om de gaten die deze aanval mogelijk maken te patchen. Dat heeft wel wat voeten in de aarde omdat de beheerder dan een grote patch moet installeren die veel services omvat. De tool zelf valt “een van de meestvoorkomende SQL services aan", al wil Anonymous daar verder geen details over geven.

RefRef

Decentraal hosten

Een voordeel voor Anonymous en een nadeel voor rechtshandhavers is dat het tooltje werkt op alle apparaten die een browser met JavaScript hebben. Ook op smartphones of zelfs een Nintendo Wii. Daardoor is het initiëren van een aanval op veel plaatsen mogelijk. Daarnaast zijn er al plannen om het script zo aan te passen dat iedereen het kan hosten.

Dat alles zal de opsporing een stuk moeilijker maken, al zal de initiële aanvraag bij het slachtoffer toch altijd vanaf de locatie moeten komen waar het script gehost staat. Dat kan opsporingsinstanties houvast geven over de bron van een aanval. Bovendien, zo geeft Anonymous toe, zal het scriptje niet blijven werken tegen servers die goed gepatcht worden.