Varios investigadores muestran que se pueden combinar diferentes interfaces de programación web para encubrir actividades en línea.
Un grupo de científicos informáticos ha demostrado que la funcionalidad que muchos sitios web ofrecen a los desarrolladores para que construyan potentes aplicaciones también puede ser combinada de maneras potencialmente nefastas.
Un equipo de la Universidad de California en San Diego (UCSD, en Estados Unidos) ha utilizado las interfaces de programación de aplicaciones (API) de Google y Facebook para crear un sistema que permitiría a una persona navegar por Internet en el anonimato. Los investigadores, que presentarán el trabajo esta semana en la Conferencia de Seguridad Usenix en Bellevue, Washington (EE.UU.), señalan que este tipo de servicio permitiría a los cibercriminales cubrir sus huellas.
"Nuestra intención es hacer que los servicios reconozcan este problema", señala Jiaqi Zhang, estudiante de doctorado en ciencias informáticas en la UCSD y miembro del equipo. "Esperamos que cuando vean nuestro trabajo, traten de hacer algo para defender a sus servicios frente a los problemas", añade.
Otros investigadores han demostrado cómo puede utilizarse una API de forma no intencionada, por ejemplo para convertir una cuenta de Gmail en un disco duro en línea. Sin embargo, los investigadores de la UCSD son los primeros en combinar múltiples servicios de esta manera.
El servicio de anonimato de los investigadores, llamado CloudProxy, utiliza los servicios de Google para el almacenamiento de contenidos. Cuatro cuentas de Google Docs, cada una con 10 hojas de cálculo, se utilizaron para almacenar en caché datos ASCII de las páginas web. El contenido no ASCII se almacenó utilizando otro servicio de Google. También utilizaron un servicio web de Facebook para dar formato a sus peticiones web correctamente, y el de acortamiento de URL de Google para crear peticiones que pudieran incorporarse fácilmente en los servicios web.
Los investigadores probaron el servicio mediante la carga de contenido diverso de varios sitios, y después usaron un programa de captura de red (WireShark) para confirmar que ninguna información de identificación pudiera ser recogida de las solicitudes.
Mike Geide, investigador sénior de seguridad para el proveedor web de seguridad Zscaler, señala que la técnica podría ser particularmente perniciosa porque muchas tecnologías de seguridad web dependen de la identificación y bloqueo de sitios web maliciosos. Nadie bloquearía el tráfico procedente de Google o Facebook, señala.
"Lo que estamos pidiendo es determinar la intención de la actividad", indica. "Google tiene que hablar con Facebook, porque así es como funciona Internet. Entonces, ¿cómo determinar la intención de estas solicitudes?", se pregunta Geide.
La concesión de anonimato a los usuarios de Internet es una opción. Zhang, desde la UCSD, añade que Google, Facebook y otros servicios web podrían amplificar en gran medida el impacto de un ataque, tal vez ayudando a derribar un sitio web o un servidor en un ataque de denegación de servicio. "Google tiene una gran cantidad de recursos y ancho de banda, así que si un pirata logra utilizar un servicio suyo no tiene que construir una red zombi, solo tiene que usar Google para hacer un ataque de denegación de servicio", asegura Zhang.
Sin embargo, Mark O'Neill, director de tecnología del proveedor de seguridad en nube Vordel, señala que los proveedores de servicios de Internet deberían ser capaces de colocar defensas para hacer que sus API sean menos fáciles de manipular. Al observar los patrones de uso, señala, un servicio podría detectar a aquellos usuarios que traten de sacar provecho de las API de nuevas maneras.
Copyright Technology Review 2012.
No hay comentarios:
Publicar un comentario