septiembre 19, 2008

Advertencia sobre la vulnerabilidad de las redes sociales

Desde que Facebook abrió sus puertas a las aplicaciones de terceros hace un año y medio, millones de usuarios han utilizado las miniaplicaciones para jugar a juegos, compartir recomendaciones sobre cine y música, etc. Pero, con el aumento de popularidad de estas aplicaciones desarrolladas por terceros, los investigadores en seguridad informática han empezado a preocuparse por cómo se podrían utilizar para malos fines estas aplicaciones de las redes sociales. Lo mismo que hace de las redes sociales un modo eficaz de distribuir aplicaciones --un profundo acceso a las redes de amigos y conocidos de un usuario—podría hacer que fuese también un modo ideal de distribuir código malicioso.

Varios proyectos de investigación han indicado una creciente inquietud. En la Information Security Conference que se celebra en Taiwan este mes, investigadores de la Foundation for Research and Technology Hellas (FORTH) de Greece presentarán los detalles de un experimento en el que se implicaron usuarios de Facebook en un tipo de ataque, posiblemente devastador, a través de Internet. Los investigadores crearon una aplicación que muestra fotografías de National Geographic en la página del perfil del usuario. Sin embargo, en modo invisible para el usuario, la aplicación también solicitaba pesados archivos de imágenes de un servidor, en este caso, una máquina de prueba de la FORTH. En el momento que los suficientes usuarios añaden la aplicación a sus páginas, el flujo de peticiones resultante puede colapsar el servidor o hacer que se vuelva inaccesible para sus legítimos usuarios.

Según Elias Athanasopoulos, ayudante de investigación de la FORTH que participó en el proyecto, los investigadores no hicieron ningún esfuerzo por promocionar su aplicación y, aún así, 1.000 usuarios de Facebook la instalaron en unos cuantos días. El ataque resultante no fue especialmente grave, pero según Athanasopoulos podría interrumpir el funcionamiento de un sitio Web pequeño, e incluso sería posible incrementar su intensidad realizando unos pequeños ajustes en la aplicación. El ataque se basa en el acceso libre a Facebook.

Un análisis más detallado de varios sitios de redes sociales sugiere que el potencial de daño podría ser, realmente, mucho más profundo. Dos asesores de seguridad informática --Nathan Hamiel de Hexagon Security Group y Shawn Moyer, de Agura Digital Security—crearon recientemente algunos ejemplos de aplicaciones maliciosas en OpenSocial, una plataforma libre de aplicaciones utilizada por redes sociales como MySpace, hi5, Orkut y mi-web, entre otras. Una de sus aplicaciones demo, llamada DoSer, saca del sistema a los usuarios que visualizan durante siete segundos una página de perfil comprometida. Otra, llamada CSRFer, envía peticiones de amistad en nombre de un usuario sin su autorización. Pero según Hamiel, hay muchas otras formas de ataque en las redes sociales y a penas se puede hacer nada a modo de defensa.

Fuente: Technology Review

posted by Euroresidentes at 10:46 AM