Интернет: новые возможности и перспективы – людям!

Всероссийский Фестиваль интернет-проектов

«Новая Реальность»
 
 
 
 
 
 
 

График проведения Фестиваля

25 ноября 2008
Москва
Церемония вручения Премии Рунета 2008
23 декабря 2008
Москва
Итоги 2008 года
1-4 апреля 2009
Москва
Российский интернет-форум

Как с помощью Facebook делаются хакерские подлости

О чем я писал в последнем посте? О вопросе безопасности в социальных сетях. И о чем я прочитал сегодня? О том, какую капость, оказывается, можно делать на Фейсбуке…

 

Исследователи из Института компьютерных наук ICS создали на базе предоставленной социальной сетью Facebook платформы для разработчиков концептуальное приложение, теоретически способное сделать из пользователей этой сети участников огромной хакерской бот-сети.

Разработчики написали демо-приложение под названием Photo of the Day, которое доставляет пользователям разнообразные изображения из фотобанка издательства National Geographic, однако в фоновом режиме работает специально сгенерированный злонамеренный код, который создает из пользователей Facebook ботов, используемых для проведения DoS-атак на различные серверы.

“Мы поместили специальный код в исходники приложения, поэтому каждый раз, когда пользователи просматривают фото, HTTP-запрос генерируется и отсылается на сервер-жертву. Более того, в приложении штатными средствами Facebook был размещен скрытый фрейм, который запрашивает данные с сервера-жертвы. Каждый раз, когда пользователь щелкает по картинке серверу-жертве приходится обработать данные в размере 600 кб, однако пользователи совершенно не в курсе этого”, – говорят исследователи.

 

По словам авторов метода, созданный ими метод довольно прост и вряд ли злоумышленники будут его использовать, однако сам тот факт, что штатными средствами и API Facebook можно сделать такое настораживает.

“Наверняка, злоумышленники создали бы более сложную и многоходовую комбинацию с использованием JavaScript и возможностей Facebook”, – отмечают в ICS.

Еще более настораживающим выглядит тот факт, что ни администрация сервиса, ни пользователи подвоха не заметили и за пару дней без какой-либо рекламы приложение запускали более тысячи раз.

“Такими темпами нагрузить сервер-жертву гигабайтами мусорного трафика в день не составит никакого труда”, – отмечают исследователи.

В ICS говорят, что уже предоставили свой отчет компании Facebook.

“Провайдеры социальных сетей должны быть очень осторожны, когда проектируют их платформы для разработчиков. Особенно осторожными нужно быть, когда клиенту позволяется встраивать такие технологии, как JavaScript. Оператор социальной сети должен предоставить разработчикам очень строгий API, который позволяет использовать только те ресурсы, которые непосредственно относятся к сети”, – отмечается в докладе ICS.

 

Раз уж с фейсбуком, мировым лидером, такое возможно, то не стоит обольщаться, будто у сетей, которые стартовали позже на несколько лет, может быть лучшая защита. Имхо.

Источник: http://vseseti.wordpress.com/

 

Организаторы:

Информационные партнеры:

Обратная связь © 2010 - РА "Позитив". При использовании материалов ссылка на www.novreal.ru обязательна.