Encurtador de URLs usa HTML5 para criar ataques DDoS
O propósito de encurtadores de URL é permitir que mensagens gastem menos caracteres ao serem publicadas. No Twitter, por exemplo, eles são bastante úteis já que o limite por tweet é de 140 caracteres. Mas um encurtador de URLs específico está sendo usado com um propósito além desse. Criado pelo programador Ben Schmidt, ele usa o navegador do usuário que clicar no link como uma ferramenta de ataque DDoS.
O D0z.me funciona de uma forma interessante, apesar do seu objetivo potencialmente ilegítimo. Ao clicar num link encurtado com esse serviço, o usuário abria a página que foi encurtada em um iframe, enquanto que um código JavaScript ficava ao fundo rodando. Esse código é baseado em recursos específicos do HTML5 (web workers e cross origin requests), que faz com que várias requisições (por volta de 3 a 4 mil por minuto) sejam enviadas para para um site. Quem controla qual endereço vai ser atacado é o criador do link, por isso o seu potencial ilegítimo: ele pode servir tanto como uma ferramenta de testes quanto para ataques planejados.
Ben Schmidt deixa um disclaimer na página inicial do D0z.me dizendo que ele não se responsabiliza pelo mal uso da ferramenta e que ela foi criada “apenas como uma demonstração das séries consequências de confiar em encurtadores de URL trazem para a Internet”. Ele também avisa em um post no seu blog pessoal de que não o criou com o propósito de fazer parte dos ataques pró-WikiLeaks e sim como “prova de conceito para algo que ele achou interessante e resolveu desenvolver”.
Com informações: Slashdot.
