211service.com
Een dreigende Facebook-Google Mashup
Computerwetenschappers hebben aangetoond dat de functionaliteit die veel websites aan ontwikkelaars blootstellen - om hen krachtige webapplicaties te laten bouwen - ook op potentieel snode manieren kan worden gecombineerd.
Een team van de Universiteit van Californië, San Diego, gebruikte Application Programming Interfaces (API's) van Google en Facebook om een systeem te maken waarmee iemand anoniem op internet kan surfen. De onderzoekers, die het werk deze week zullen presenteren Usenix-beveiligingsconferentie in Bellevue, Washington, zeggen dat een dergelijke dienst mogelijk cybercriminelen in staat zou kunnen stellen hun sporen uit te wissen.
Het is onze bedoeling om de diensten dit probleem te laten erkennen, zegt Jiaqi Zhang , een PhD-student in computerwetenschappen aan UCSD en een lid van het team. We hopen dat wanneer ze ons werk zien, ze zullen proberen iets te doen om hun diensten te verdedigen, zodat zij hier geen last van hebben en anderen hier geen last van hebben.
Andere onderzoekers hebben laten zien hoe een API op onbedoelde manieren kan worden gebruikt, bijvoorbeeld om van een Gmail-account een online harde schijf te maken. Maar de UCSD-onderzoekers zijn de eersten die op deze manier meerdere diensten combineren.
De anonimiseringsservice van de onderzoekers, CloudProxy genaamd, gebruikt Google-services voor het opslaan van webinhoud: vier Google Docs-accounts met elk 10 spreadsheets werden gebruikt om ASCII-gegevens van websites in de cache op te slaan. Niet-ASCII-inhoud is opgeslagen met een andere Google-service. Ze gebruikten ook een Facebook-webservice om hun webverzoeken correct op te maken, en de URL-verkortingsservice van Google om verzoeken te maken die gemakkelijk in de andere webservices konden worden ingevoerd.
De onderzoekers testten de service door een verscheidenheid aan inhoud van verschillende websites te laden en vervolgens een netwerkopnameprogramma, WireShark, te gebruiken om te bevestigen dat er geen identificerende informatie uit de verzoeken kon worden gehaald.
Mike Geide, senior beveiligingsonderzoeker voor webbeveiligingsprovider Zscaler , zegt dat de techniek bijzonder schadelijk kan zijn omdat veel webbeveiligingstechnologieën afhankelijk zijn van het identificeren van slechte websites en het blokkeren ervan. Niemand zou verkeer van Google of Facebook blokkeren, merkt hij op.
Waar je aan het eind van de dag om vraagt, is om de bedoeling van de activiteit te bepalen, zegt hij. Google moet met Facebook praten, want zo werkt het web. Dus hoe bepaal je de bedoeling van die verzoeken?
Anonimiteit verlenen aan internetgebruikers is slechts één mogelijk scenario. Zhang van UCSD voegt eraan toe dat Google, Facebook en andere webservices de impact van een aanval aanzienlijk kunnen vergroten, en misschien kunnen helpen om een doelwebsite of computerserver offline te halen bij een denial-of-service-aanval. Google heeft veel middelen en bandbreedte, dus als een hacker een Google-service kan gebruiken, hoeven ze geen zombienetwerk te bouwen, maar kunnen ze Google gewoon gebruiken om een denial-of-service-aanval uit te voeren, zegt Zhang.
Echter, Mark O'Neill, chief technology officer van cloud-beveiligingsprovider Voordeel , zegt dat webserviceproviders in staat moeten zijn om verdedigingen op te zetten om misbruik van hun API's moeilijker te maken. Door naar gebruikspatronen te kijken, zegt hij, kan een service gebruikers detecteren die API's op nieuwe manieren proberen te exploiteren.