Le botnet più potenti? Quelle del social networking

I ricercatori dimostrano come trasformare i più noti network sociali in generatori di PC zombie e in vettori di attacco alla rete
I ricercatori dimostrano come trasformare i più noti network sociali in generatori di PC zombie e in vettori di attacco alla rete

Ogni medaglia ha il suo rovescio e anche portali quali Facebook e MySpace, tra le più popolari piattaforme di social networking , possono rivelarsi anti-social e alimentare la piaga delle macchine zombificate in rete, con una magnitudo da Big One . Il confine del lato oscuro, avverte uno studio appena pubblicato, si può varcare con estrema semplicità o persino senza accorgersene.

Proprio Facebook è la rete presa in esame dai ricercatori greci e singaporegni nel lavoro Antisocial Networks: Turning a Social Network into a Botnet . Lo studio sostiene che tutto quello che serve per trasformare i PC degli utenti di Facebook in sistemi controllati da remoto è installare un’applicazione che si interfacci direttamente con il portale, qualcosa come ad esempio il proof-of-concept Photo of the Day sviluppato dagli stessi studiosi.

Se lo si scarica, l’applicativo consente di visualizzare ogni giorno una diversa immagine del National Geographic sulla propria pagina personale. Non visto, però, il software tira giù da un server bersaglio anche tre foto di grandi dimensioni per un totale di 600 Kbyte di download. Il sito preso di mira da Photo of the Day è naturalmente gestito dai ricercatori, ma in teoria il principio si potrebbe applicare per dirottare le pagine di Facebook verso qualsiasi sito web, generando un attacco DDoS di scala potenzialmente vastissima.

Vista la popolarità delle applicazioni che arricchiscono l’esperienza di Facebook e alle quali il portale deve molto del proprio successo, Photo of the Day è riuscito a catturare le attenzioni di mille diversi facebooker . Scaricato il “trojan”, hanno generato un traffico totale verso il server di test di 300 richieste l’ora e 6 Megabit di banda, e questo nonostante si sia volutamente evitato di fare pubblicità all’iniziativa.

L’attacco studiato è tra quelli più semplici che possono essere realizzati, sostengono i ricercatori, ed effetti ancora più devastanti si potrebbero avere con un pizzico di JavaScript e magari sfruttando la popolarità di applicativi quali Super Wall , che è adoperato quotidianamente da milioni di netizen .

Dal canto suo Facebook risponde alla ricerca minimizzando i possibili rischi : “È una questione meramente pratica, non è così facile avere un’applicazione con milioni di utenti. E perché mai con quella dovresti rinunciare a investitori o ricavi con la pubblicità pur di buttare giù un sito?” sostiene il portavoce della società Barry Schnitt.

Sia come sia, lo studio avverte che “un gestore di un network sociale dovrebbe fornire agli sviluppatori API rigorose, in grado di dare accesso solo alle risorse collegate al sistema. Inoltre, ogni applicazione dovrebbe girare in un ambiente isolato che imponga costrizioni per prevenire l’interazione con altri host di Internet, che non partecipano al network. Infine, gli operatori dovrebbero investire risorse nella verifica delle applicazioni che ospitano”.

Occorre controllo, e una politica di sicurezza degna di tale nome, soprattutto in virtù del fatto che il social networking fa oramai proseliti persino tra il Department of Homeland Security (DHS) e la Federal Emergency Management Agency (FEMA) statunitensi. Le due agenzie governative hanno sviluppato uno strumento in grado di utilizzare MySpace come vettore della distribuzione di allarmi sulle conseguenze di disastri naturali .

Originariamente sviluppato per mitigare i danni alle persone apportati dall’uragano Gustaf attivo nei giorni scorsi, il tool si occupa di distribuire le comunicazioni federali riguardo lo stato delle emergenze, e di tenere traccia delle persone colpite da tempeste, inondazioni e simili. “MySpace mi sta permettendo di tenere aggiornati i miei amici e la mia famiglia sulla nostra situazione”, dice del nuovo tool tal “Becca” di Jefferson Parish, Louisiana, ringraziando “di cuore” il co-fondatore di MySpace Tom Anderson per l’iniziativa.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

07 09 2008
Link copiato negli appunti