Aplicación demo de Facebook crea una botnet DoS
Nota: este artículo ha sido traducido exclusivamente para Segu-Info por Raul Batista desde ZDNET.
¿Sabe lo que está haciendo realmente esa aplicación de Facebook que parece inocente?
Investigadores del Instituto de Ciencias de la Computación han creado
una aplicación "prueba de concepto" capaz de arrear como ganado, en
forma encubierta, a los usuarios de la popular red social dentro de una
potente y maliciosa botnet.
La aplicación de demostración, llamada Photo of the Day (Foto del día),
muestra imágenes diferentes cada día de National Geographic pero, tras
bambalinas, un código embebido en la aplicación crea una botnet de
usuarios de Facebook lanzando ataques de denegación de servicio.
En un documento de investigación (.pdf) que será presentado este año en
la Conferencia de Seguridad de la Información, el grupo de investigación
da los detalles técnicos de su "Facebot"
*Hemos puesto un código de programa especial en el fuente de la
aplicación, de modo que cada vez que un usuario vea una foto, se genere
un requerimiento HTTP hacia el equipo de la víctima. Mas precisamente,
la aplicación tiene cuatro marcos (frames) ocultos incrustados con
imágenes alojadas en el equipo de la víctima. Cada vez que el usuario
hace clic dentro de la aplicación, se traen las imágenes desde el equipo
de la víctima, provocando que la víctima sirva un requerimiento de 600
Kbytes, pero el usuario no está consciente de esto (las imágenes nunca
son visualizadas).
[VEA: Facebook rehúsa reparar una falla de seguridad obvia] Mientras la
aplicación "prueba de concepto" fue usada para demostrar un escenario de
denegación de servicio, el grupo emitió una seca advertencia:
* [Un] adversario podría emplear técnicas más sofisticadas y crear un
snippet de JavaScript, que solicite continuamente documentos del equipo
de la víctima sin parar. De esta forma el ataque sería amplificado
considerablemente.
Interesante, lso investigadores no hicieron ningun esfuerzo para
promocionar o distribuir su aplicación Facebook, pero fuero capaces de
atraer más de 1000 usuarios en los primeros días. Con un poquito de
esfuerzo de manipular la naturaleza viral de la aplicaciones en Facebook
(la confianza inherente del modelo de red social), una Facebot maliciosa
de decena de miles de usuarios podría causar serios daños.
[VER: los gusanos web se retuercen a través de Facebook, Myspace]
"Hemos mostrado que la víctima de un ataque Facebot puede ser sometido a
un ataque que podría causarle servir datos de una magnitud de varios
Gigabytes por día", advierte el grupo.
En el documento, los investigadores llamaron a Facebook y otras redes
sociales a re-pensar la forma en que las APIs son diseñadas y
desarrolladas.
*Los proveedores de redes sociales deben ser cuidadosos cuando diseñan
sus plataformas y APIs para poder tener baja interacción entre las
utilidades sociales que ellos operan y el resto de Internet. Más
precisamente, los proveedores de redes sociales deben ser cuidadosos con
el uso de las tecnologías del lado del cliente, tal como JavaScript,
etc. Un operador de red social debe proveer a los desarrolladores de una
API estricta, que es capaz de dar acceso a los recursos relacionados
únicamente con el sistema. También, cada aplicación debe correr en un
entorno aislado imponiéndole restricciones para impedir que la
aplicación interactúe con otros equipos en Internet, que no son
participantes de la red social. Finalmente, los operadores de redes
sociales deben invertir recursos en verificar las aplicaciones que ellos
hospedan.
Gracias Raul!
Fuente: http://blogs.zdnet.com/security/?p=1854
¿Sabe lo que está haciendo realmente esa aplicación de Facebook que parece inocente?
Investigadores del Instituto de Ciencias de la Computación han creado
una aplicación "prueba de concepto" capaz de arrear como ganado, en
forma encubierta, a los usuarios de la popular red social dentro de una
potente y maliciosa botnet.
La aplicación de demostración, llamada Photo of the Day (Foto del día),
muestra imágenes diferentes cada día de National Geographic pero, tras
bambalinas, un código embebido en la aplicación crea una botnet de
usuarios de Facebook lanzando ataques de denegación de servicio.
En un documento de investigación (.pdf) que será presentado este año en
la Conferencia de Seguridad de la Información, el grupo de investigación
da los detalles técnicos de su "Facebot"
*Hemos puesto un código de programa especial en el fuente de la
aplicación, de modo que cada vez que un usuario vea una foto, se genere
un requerimiento HTTP hacia el equipo de la víctima. Mas precisamente,
la aplicación tiene cuatro marcos (frames) ocultos incrustados con
imágenes alojadas en el equipo de la víctima. Cada vez que el usuario
hace clic dentro de la aplicación, se traen las imágenes desde el equipo
de la víctima, provocando que la víctima sirva un requerimiento de 600
Kbytes, pero el usuario no está consciente de esto (las imágenes nunca
son visualizadas).
[VEA: Facebook rehúsa reparar una falla de seguridad obvia] Mientras la
aplicación "prueba de concepto" fue usada para demostrar un escenario de
denegación de servicio, el grupo emitió una seca advertencia:
* [Un] adversario podría emplear técnicas más sofisticadas y crear un
snippet de JavaScript, que solicite continuamente documentos del equipo
de la víctima sin parar. De esta forma el ataque sería amplificado
considerablemente.
Interesante, lso investigadores no hicieron ningun esfuerzo para
promocionar o distribuir su aplicación Facebook, pero fuero capaces de
atraer más de 1000 usuarios en los primeros días. Con un poquito de
esfuerzo de manipular la naturaleza viral de la aplicaciones en Facebook
(la confianza inherente del modelo de red social), una Facebot maliciosa
de decena de miles de usuarios podría causar serios daños.
[VER: los gusanos web se retuercen a través de Facebook, Myspace]
"Hemos mostrado que la víctima de un ataque Facebot puede ser sometido a
un ataque que podría causarle servir datos de una magnitud de varios
Gigabytes por día", advierte el grupo.
En el documento, los investigadores llamaron a Facebook y otras redes
sociales a re-pensar la forma en que las APIs son diseñadas y
desarrolladas.
*Los proveedores de redes sociales deben ser cuidadosos cuando diseñan
sus plataformas y APIs para poder tener baja interacción entre las
utilidades sociales que ellos operan y el resto de Internet. Más
precisamente, los proveedores de redes sociales deben ser cuidadosos con
el uso de las tecnologías del lado del cliente, tal como JavaScript,
etc. Un operador de red social debe proveer a los desarrolladores de una
API estricta, que es capaz de dar acceso a los recursos relacionados
únicamente con el sistema. También, cada aplicación debe correr en un
entorno aislado imponiéndole restricciones para impedir que la
aplicación interactúe con otros equipos en Internet, que no son
participantes de la red social. Finalmente, los operadores de redes
sociales deben invertir recursos en verificar las aplicaciones que ellos
hospedan.
Gracias Raul!
Fuente: http://blogs.zdnet.com/security/?p=1854
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!