211service.com
En hotfull Facebook-Google Mashup
Datavetare har visat att den funktionalitet som många webbplatser utsätter för utvecklare – att låta dem bygga kraftfulla webbapplikationer – också kan kombineras på potentiellt skändliga sätt.
Ett team från University of California, San Diego, använde applikationsprogrammeringsgränssnitt (API) från Google och Facebook för att skapa ett system som skulle låta en person surfa på webben i anonymitet. Forskarna, som kommer att presentera arbetet denna vecka Usenix säkerhetskonferens i Bellevue, Washington, säger att en sådan tjänst potentiellt kan tillåta cyberskurkar att täcka sina spår.
Vår avsikt är att få tjänsterna att erkänna detta problem, säger vi Jiaqi Zhang , en doktorand i datavetenskap vid UCSD och en medlem i teamet. Vi hoppas att när de ser vårt arbete kommer de att försöka göra något för att försvara sina tjänster så att de inte kommer att drabbas av detta och att andra inte kommer att drabbas av detta.
Andra forskare har visat hur ett API kan användas på oavsiktliga sätt, till exempel för att förvandla ett Gmail-konto till en hårddisk online. Men UCSD-forskarna är de första som kombinerar flera tjänster på detta sätt.
Forskarnas anonymiseringstjänst, kallad CloudProxy, använder Googles tjänster för att lagra webbinnehåll – fyra Google Docs-konton som vart och ett innehåller 10 kalkylblad användes för att cachelagra ASCII-data från webbplatser. Icke-ASCII-innehåll lagrades med en annan Google-tjänst. De använde också en Facebook-webbtjänst för att formatera sina webbförfrågningar korrekt, och Googles URL-förkortningstjänst för att skapa förfrågningar som enkelt kunde matas in i de andra webbtjänsterna.
Forskarna testade tjänsten genom att ladda en mängd innehåll från olika webbplatser och sedan använda ett nätverksfångningsprogram, WireShark, för att bekräfta att ingen identifierande information kunde hämtas från förfrågningarna.
Mike Geide, senior säkerhetsforskare för webbsäkerhetsleverantör Zscaler , säger att tekniken kan vara särskilt skadlig eftersom många webbsäkerhetstekniker är beroende av att identifiera dåliga webbplatser och blockera dem. Ingen skulle blockera trafik från Google eller Facebook, konstaterar han.
Det man efterfrågar i slutet av dagen är att fastställa syftet med aktiviteten, säger han. Google måste prata med Facebook, för det är så webben fungerar. Så hur bestämmer du avsikten med dessa förfrågningar?
Att ge Internetanvändare anonymitet är bara ett möjligt scenario. UCSD:s Zhang tillägger att Google, Facebook och andra webbtjänster avsevärt skulle kunna förstärka effekten av en attack, kanske hjälpa till att slå en målwebbplats eller datorserver offline i en denial-of-service-attack. Google har mycket resurser och bandbredd, så om en hackare kan använda en Google-tjänst behöver de inte bygga ett zombienätverk, de kan bara använda Google för att göra en överbelastningsattack, säger Zhang.
Men Mark O'Neill, teknikchef för molnsäkerhetsleverantören Fördel , säger att webbtjänstleverantörer borde kunna sätta försvar på plats för att göra sina API:er svårare att missbruka. Genom att titta på användningsmönster, säger han, kan en tjänst upptäcka användare som försöker utnyttja API:er på nya sätt.