Es posible lanzar un ataque DDoS usando los servidores de Facebook
Para realizar un ataque de denegación de servicios (DDoS por sus siglas en inglés) se necesitan miles de computadoras conectándose simultáneamente al mismo sitio, hasta que el servidor no puede manejar el tráfico y sucumbe, sin embargo un simple método te permite usar los potentes servidores de Facebook para realizar este tipo de ataque de una forma bien sencilla.
Descubierto por el experto en seguridad de redes Charman Thapas, el ataque utiliza las actualizaciones del muro creada por los usuarios en Facebook para obtener el mismo efecto que un ataque DDoS. Facebook permite incluir etiquetas en cada cosa que escribes en tu muro para poder desplegar fotos y videos en los enlaces y mostrarlas en tu “feed” Sus servidores visitan el sitio del enlace y descargan la foto guardándola en su caché para luego mostrarla sin necesidad de visitar la página nuevamente, sin embargo este mecanismo puede ser burlado para forzar al servidor a que continúe visitando la página repetidamente cada vez que alguien quiera ver la foto (es decir cada vez que alguien vea tus actualizaciones en Facebook)
Para realizar el ataque de DDoS, todo lo que hay que hacer es seleccionar una foto en el sitio que vas a atacar (preferiblemente una foto de más de 1MB), e incluir una etiqueta que despliegue la misma foto múltiple veces de forma dinámica para de esta forma forzar la descarga de las fotos continuamente. El código sería más o menos así:
<img src =”http://www.sitioquevasatacar.com/file?r=1></img>
<img src =”http://www.sitioquevasatacar.com/file?r=2></img>
…
<img src =”http://www.sitioquevasatacar.com/file?r=1000></img>
Este código forzaría a Facebook a descargar una foto de 1MB 1000 veces y si 100 de tus amigos están conectados a Facebook simultáneamente, el factor de conexión al sitio que está hospedando la fotos se multiplicaría de esta forma:
1 MB X 1000 descargas X 100 conexiones simultáneas = 100 000 MB
Como puedes imaginarte este tipo de pedidos de conexión pudiera tumbar a cualquier servidor que no esté los suficientemente preparado. Si 3 o 4 personas se unen para realizar el mismo tipo de ataque, el resultado sería devastador para cualquier sitio.
Aparentemente Facebook no tiene pensado arreglar este problema, ya que como explica Charman en su blog, los técnicos de la red social no pueden cambiar los parámetros sin degradar sus servidores.
Para los que quieran leer más detalles sobre esta vulnerabilidad, visiten el blog de Charman donde explica todo en detalle. (enlace en Inglés)
Trackbacks/Pingbacks
Información Bitacoras.com
Valora en Bitacoras.com: Para realizar un ataque de denegación de servicios (DDoS por sus siglas en inglés) se necesitan miles de computadoras conectándose simultáneamente al mismo sitio, hasta que el servidor no puede manejar el tráfico y sucum…