Un Mashup amenazante de Facebook y Google

Los científicos informáticos han demostrado que la funcionalidad que muchos sitios web exponen a los desarrolladores, para permitirles crear aplicaciones web potentes, también se puede combinar de formas potencialmente nefastas.





Un equipo de la Universidad de California en San Diego utilizó interfaces de programación de aplicaciones (API) de Google y Facebook para crear un sistema que permitiera a una persona navegar por la Web en el anonimato. Los investigadores, que presentarán el trabajo en la Conferencia de seguridad de Usenix en Bellevue, Washington, dicen que un servicio de este tipo podría permitir que los delincuentes cibernéticos cubran sus huellas.

Nuestra intención es hacer que los servicios reconozcan este problema, dice Jiaqi Zhang , estudiante de doctorado en ciencias de la computación en UCSD y miembro del equipo. Esperamos que cuando vean nuestro trabajo, intenten hacer algo para defender sus servicios para que no sufran por esto y otros no sufran por esto.

Otros investigadores han demostrado cómo se puede usar una API de formas no deseadas, por ejemplo, para convertir una cuenta de Gmail en un disco duro en línea. Pero los investigadores de UCSD son los primeros en combinar múltiples servicios de esta manera.

El servicio de anonimización de los investigadores, llamado CloudProxy, utiliza los servicios de Google para almacenar contenido web; se utilizaron cuatro cuentas de Google Docs que contienen cada una 10 hojas de cálculo para almacenar en caché los datos ASCII de los sitios web. El contenido que no es ASCII se almacenó mediante otro servicio de Google. También utilizaron un servicio web de Facebook para formatear correctamente sus solicitudes web y el servicio de acortamiento de URL de Google para crear solicitudes que podrían introducirse fácilmente en otros servicios web.

Los investigadores probaron el servicio cargando una variedad de contenido de varios sitios web y luego usando un programa de captura de red, WireShark, para confirmar que no se pudo obtener información de identificación de las solicitudes.

Mike Geide, investigador senior de seguridad para proveedor de seguridad web Zscaler , dice que la técnica podría ser particularmente perniciosa porque muchas tecnologías de seguridad web dependen de identificar sitios web maliciosos y bloquearlos. Nadie bloquearía el tráfico de Google o Facebook, señala.

Lo que está pidiendo al final del día es determinar la intención de la actividad, dice. Google tiene que hablar con Facebook, porque así funciona la Web. Entonces, ¿cómo se determina la intención de esas solicitudes?

Otorgar el anonimato a los usuarios de Internet es solo un escenario posible. Zhang de UCSD agrega que Google, Facebook y otros servicios web podrían amplificar en gran medida el impacto de un ataque, tal vez ayudando a dejar fuera de línea un sitio web o servidor de computadora objetivo en un ataque de denegación de servicio. Google tiene muchos recursos y ancho de banda, por lo que si un pirata informático puede usar un servicio de Google, no tiene que construir una red zombi, solo puede usar Google para realizar un ataque de denegación de servicio, dice Zhang.

Sin embargo, Mark O'Neill, director de tecnología del proveedor de seguridad en la nube Ventaja , dice que los proveedores de servicios web deberían poder implementar defensas para hacer que sus API sean más difíciles de abusar. Al observar los patrones de uso, dice, un servicio podría detectar a los usuarios que intentan explotar las API de nuevas formas.

esconder