09 Сен 2008, 09:48

DDoS-атаки

Компьютер каждого, зарегистрированного в Facebook человека может стать участником хакерской бот-сети – такой вывод сделали исследователи из Института компьютерных наук ICS, которые сумели создать на базе предоставленной социальной сетью Facebook платформы

DDoS-атаки

Компьютер каждого, зарегистрированного в Facebook человека может стать участником хакерской бот-сети – такой вывод сделали исследователи из Института компьютерных наук ICS, которые сумели создать на базе предоставленной социальной сетью Facebook платформы концептуально приложение, доказывающее это.

Исследователи смогли разработать демо-версию приложения под названием Photo of The Day, показывающее пользователям социальной сети различные фотоснимки из банка изображений издательства National Geographic, во время исполнения которого в фоновом режиме действует заранее запрограммированный злонамерный код, создающий из пользователей социальной сети Facebook ботом, используемых для DDoS-атак на разнообразные серверы.

Исследователи заявляют, что им удалось поместить заранее подготовленный код в приложение и при запуске последнего, когда пользователи видят фото из банга National Geographic. Зловредный код генерирует HTTP-запрос, отсылаемый на сервер-жертву. Но это еще не все – с помощью штатных средств социальной сети Facebook разработчикам удалось поместить скрытый фрейм, который запрашивает данный с сервера-жертвы. По словам сотрудников института, каждый раз, когда жертва кликает по картинке серверу-жертве приходится обработать данные в размере более полумегабайта, но сами пользователи не в курсе этого.

Сами исследователи считают, что их метод через чур прост и, скорее всего, злоумышленники не будут использовать его в своих целях, но сам факт того, что с помощью штатных средств самой известной в мире социальной сети можно создать нечто подобное настораживает.

В ICS отмечают, что на месте злоумышленников гораздо более логичным казалось бы использование многоходовой комбинации с использованием JavaScript и штатных возможностей Facebook.

Но, самое интересное еще впереди. Оказывается, за несколько дней работы приложения, ни администрация сервиса, ни сами пользователи не заметили подвоха и приложения без какой-либо рекламы было просмотрено более трех тысяч раз. Таким образом, использую возможности API в социальных сетях, загрузить сервер-жертву мусорным трафиком не составит труда.

Исследователи ICS уже предоставили отчет о своем исследовании администрации Facebook.



Расскажите друзьям про новость

Новое видео