Proprio Facebook è la
rete presa in esame dai ricercatori greci e
singaporegni nel lavoro Antisocial Networks:
Turning a Social Network into a Botnet. Lo studio
sostiene che tutto quello che serve per trasformare
i PC degli utenti di Facebook in sistemi controllati
da remoto è installare un'applicazione
che si interfacci direttamente con il portale,
qualcosa come ad esempio il proof-of-concept
Photo of the Day sviluppato dagli stessi studiosi.
Se lo si scarica, l'applicativo consente
di visualizzare ogni giorno una diversa immagine
del National Geographic sulla propria pagina
personale. Non visto, però, il software
tira giù da un server bersaglio anche
tre foto di grandi dimensioni per un totale
di 600 Kbyte di download. Il sito preso di
mira da Photo of the Day è naturalmente
gestito dai ricercatori, ma in teoria il principio
si potrebbe applicare per dirottare le pagine
di Facebook verso qualsiasi sito web, generando
un attacco DDoS di scala potenzialmente vastissima.
Vista la popolarità delle applicazioni
che arricchiscono l'esperienza di Facebook
e alle quali il portale deve molto del proprio
successo, Photo of the Day è riuscito
a catturare le attenzioni di mille diversi
facebooker. Scaricato il "trojan",
hanno generato un traffico totale verso il
server di test di 300 richieste l'ora e 6
Megabit di banda, e questo nonostante si sia
volutamente evitato di fare pubblicità
all'iniziativa.
L'attacco studiato è tra quelli più
semplici che possono essere realizzati, sostengono
i ricercatori, ed effetti ancora più
devastanti si potrebbero avere con un pizzico
di JavaScript e magari sfruttando la popolarità
di applicativi quali Super Wall, che è
adoperato quotidianamente da milioni di netizen.
Dal canto suo Facebook risponde alla ricerca
minimizzando i possibili rischi: "È
una questione meramente pratica, non è
così facile avere un'applicazione con
milioni di utenti. E perché mai con
quella dovresti rinunciare a investitori o
ricavi con la pubblicità pur di buttare
giù un sito?" sostiene il portavoce
della società Barry Schnitt.
Sia come sia, lo studio avverte che "un
gestore di un network sociale dovrebbe fornire
agli sviluppatori API rigorose, in grado di
dare accesso solo alle risorse collegate al
sistema. Inoltre, ogni applicazione dovrebbe
girare in un ambiente isolato che imponga
costrizioni per prevenire l'interazione con
altri host di Internet, che non partecipano
al network. Infine, gli operatori dovrebbero
investire risorse nella verifica delle applicazioni
che ospitano".
Occorre controllo, e una politica di sicurezza
degna di tale nome, soprattutto in virtù
del fatto che il social networking fa oramai
proseliti persino tra il Department of Homeland
Security (DHS) e la Federal Emergency Management
Agency (FEMA) statunitensi. Le due agenzie
governative hanno sviluppato uno strumento
in grado di utilizzare MySpace come vettore
della distribuzione di allarmi sulle conseguenze
di disastri naturali.
Originariamente sviluppato per mitigare i
danni alle persone apportati dall'uragano
Gustaf attivo nei giorni scorsi, il tool si
occupa di distribuire le comunicazioni federali
riguardo lo stato delle emergenze, e di tenere
traccia delle persone colpite da tempeste,
inondazioni e simili. "MySpace mi sta
permettendo di tenere aggiornati i miei amici
e la mia famiglia sulla nostra situazione",
dice del nuovo tool tal "Becca"
di Jefferson Parish, Louisiana, ringraziando
"di cuore" il co-fondatore di MySpace
Tom Anderson per l'iniziativa.
Alfonso Maruccia
