Connessioni / Next / Search / Sicurezza / Social
Facebook (e social network) a rischio botnet
Sei ricercatori sviluppano una semplice proof of concept sotto forma di applicazione per Facebook e si lanciano in una circostanziata critica al modello di sicurezza dei social network
Un pool di ricercatori ha creato una proof of concept per Facebook che rende le macchine degli utenti parte di un botnet: è sufficiente aggiungere l’applicazione appositamente realizzata per tramutare i sistemi attaccati in zombie controllati da remoto, e programmati per lanciare attacchi di tipo Ddos (Distributed denial of service).
Il risultato dell’esperimento è un documento intitolato “Reti antisociali: Come trasformare un social network in un botnet“. Gli autori sono cinque ricercatori dell’Institute of Computer Science greco e un loro collega di Infocomm Research, Singapore.
“I social network - si legge - hanno le caratteristiche ideali per diventare piattaforme d’attacco”: la proof of concept, chiamata “Photo of the Day,” visualizza una foto del National Geographic al giorno. O almeno così sembra: in realtà “ogni volta che qualcuno visualizza la foto, l’host è spinto a compiere una richiesta remota da 600 Kbyte“. Sufficiente per passare inosservato, ma anche per fare danno, a patto che le richieste siano eseguite da un numero rilevante di macchine: è proprio questo l’aspetto “distribuito” del denial of service.
Un botnet così configurato può essere utilizzato per vari tipi d’attacco: secondo i ricercatori, il limite è la fantasia dell’attaccante. Diffondere malware, eseguire scansioni di porte o forzare meccanismi di accesso, per fare qualche esempio.
E quindi? “Più in dettaglio - si legge nel documento - chi realizza social network deve stare attento all’uso di tecnologie client side, quali JavaScript e simili […] Le Api per gli sviluppatori dovrebbero consentire accesso alle sole risorse legate al sistema; inoltre, ogni applicazione dovrebbe girare in un ambiente isolato [è il concetto di sandbox, ndR], senza interagire con altri host collegati a Internet, che non fanno parte del social network. Infine, i social network dorebbero investire risorse per verificare le applicazioni che ospitano”.
Non è la prima volta che Facebook è oggetto di critiche in tema di sicurezza e privacy: uno degli episodi più chiacchierati ha portato il social network più grande del mondo a fronteggiare, sul finire di giugno, l’involontaria invadenza di Top Friends (applicazione tra le più popolari), che esponeva più informazioni sensibili del dovuto. Per adesso non c’è stato nessuna risposta alla proof of concept, né alcun riferimento sulla pagina dedicata allo sviluppo.
Ancora nessun commento.