211service.com
Draudošs Facebook un Google sajaukums
Datorzinātnieki ir parādījuši, ka funkcionalitāti, ko daudzas vietnes piedāvā izstrādātājiem, lai ļautu viņiem izveidot jaudīgas tīmekļa lietojumprogrammas, var apvienot arī potenciāli nelāgos veidos.
Komanda no Kalifornijas Universitātes Sandjego izmantoja Google un Facebook lietojumprogrammu saskarnes (API), lai izveidotu sistēmu, kas ļautu personai pārlūkot tīmekli anonīmi. Pētnieki, kuri šonedēļ prezentēs darbu Usenix drošības konference Beljū, Vašingtonas štatā, apgalvo, ka šāds pakalpojums potenciāli ļautu kiberkrāpniekiem aizsegt savas pēdas.
Mūsu mērķis ir likt dienestiem atzīt šo problēmu, saka Dzjači Džans , UCSD datorzinātņu doktorants un komandas loceklis. Mēs ceram, ka, redzot mūsu darbu, viņi mēģinās kaut ko darīt, lai aizstāvētu savus pakalpojumus, lai viņi no tā neciestu un citi neciestu.
Citi pētnieki ir parādījuši, kā API var izmantot neparedzētā veidā, piemēram, lai pārvērstu Gmail kontu par tiešsaistes cieto disku. Bet UCSD pētnieki ir pirmie, kas šādā veidā apvieno vairākus pakalpojumus.
Pētnieku anonimizācijas pakalpojums, ko sauc par CloudProxy, izmanto Google pakalpojumus tīmekļa satura glabāšanai — četri Google dokumentu konti, kuros katrā bija 10 izklājlapas, tika izmantoti, lai kešatmiņā saglabātu ASCII datus no vietnēm. Saturs, kas nav ASCII, tika saglabāts, izmantojot citu Google pakalpojumu. Viņi arī izmantoja Facebook tīmekļa pakalpojumu, lai pareizi formatētu savus tīmekļa pieprasījumus, un Google URL saīsināšanas pakalpojumu, lai izveidotu pieprasījumus, kurus varētu viegli ievadīt citos tīmekļa pakalpojumos.
Pētnieki pārbaudīja pakalpojumu, ielādējot dažādu saturu no dažādām vietnēm un pēc tam izmantojot tīkla uztveršanas programmu WireShark, lai apstiprinātu, ka no pieprasījumiem nevar iegūt identificējošu informāciju.
Maiks Geide, tīmekļa drošības nodrošinātāja vecākais drošības pētnieks Zscaler , saka, ka šī tehnika varētu būt īpaši kaitīga, jo daudzas tīmekļa drošības tehnoloģijas ir atkarīgas no sliktu vietņu identificēšanas un to bloķēšanas. Viņš atzīmē, ka neviens nebloķēs trafiku no Google vai Facebook.
Viņš saka, ka dienas beigās jūs lūdzat noteikt darbības nolūku. Google ir jārunā ar Facebook, jo tā darbojas tīmeklis. Tātad, kā noteikt šo pieprasījumu nolūku?
Interneta lietotāju anonimitātes nodrošināšana ir tikai viens iespējamais scenārijs. UCSD Džans piebilst, ka Google, Facebook un citi tīmekļa pakalpojumi varētu ievērojami pastiprināt uzbrukuma ietekmi, iespējams, palīdzot izsist mērķa vietni vai datora serveri bezsaistē pakalpojuma atteikuma uzbrukumā. Google ir daudz resursu un joslas platuma, tāpēc, ja hakeris var izmantot Google pakalpojumu, viņam nav jāveido zombiju tīkls, viņi var vienkārši izmantot Google, lai veiktu pakalpojuma atteikuma uzbrukumu, saka Džans.
Tomēr Marks O'Nīls, mākoņdrošības nodrošinātāja galvenais tehnoloģiju speciālists Priekšrocība , teikts, ka tīmekļa pakalpojumu sniedzējiem jāspēj ieviest aizsardzību, lai padarītu viņu API grūtāk ļaunprātīgi izmantot. Viņš saka, ka, aplūkojot lietošanas modeļus, pakalpojums varētu atklāt lietotājus, kuri mēģina izmantot API jaunos veidos.