Varios investigadores muestran que se pueden combinar diferentes interfaces de programación web para encubrir actividades en línea
Un grupo de científicos informáticos ha demostrado que la funcionalidad que muchos sitios web ofrecen a los desarrolladores para que construyan potentes aplicaciones también se puede combinar de maneras potencialmente nefastas.
Un equipo de la Universidad de California en San Diego (UCSD, en Estados Unidos) ha utilizado las interfaces de programación de aplicaciones (API) de Google y Facebook para crear un sistema que permitiría a una persona navegar por Internet en forma anónima.
Los investigadores, que presentarán el trabajo esta semana en la Conferencia de Seguridad Usenix en Bellevue, Washington (EE.UU.), señalan que este tipo de servicio permitiría que los cibercriminales cubran sus huellas.
«Nuestra intención es hacer que los servicios reconozcan este problema», señala Jiaqi Zhang, estudiante de doctorado en ciencias informáticas en la UCSD y miembro del equipo. «Esperamos que cuando vean nuestro trabajo, traten de hacer algo para defender a sus servicios frente a los problemas», añade.
Otros investigadores han demostrado cómo puede utilizarse una API de forma no intencionada, por ejemplo para convertir una cuenta de Gmail en un disco duro en línea. Sin embargo, los investigadores de la UCSD son los primeros en combinar múltiples servicios de esta manera.
El servicio de anonimato de los investigadores, llamado CloudProxy, utiliza los servicios de Google para el almacenamiento de contenidos. Cuatro cuentas de Google Docs, cada una con 10 hojas de cálculo, se utilizaron para almacenar en caché datos ASCII de las páginas web. El contenido no ASCII se almacenó utilizando otro servicio de Google. También utilizaron un servicio web de Facebook para dar formato a sus peticiones web correctamente, y el de acortamiento de URL de Google para crear peticiones que pudieran incorporarse fácilmente en los servicios web.
Los investigadores probaron el servicio mediante la carga de contenido diverso de varios sitios, y después usaron un programa de captura de red (WireShark) para confirmar que ninguna información de identificación pudiera ser recogida de las solicitudes.
Mike Geide, investigador senior de seguridad para el proveedor web de seguridad Zscaler, señala que la técnica podría ser particularmente perniciosa porque muchas tecnologías de seguridad web dependen de la identificación y bloqueo de sitios web maliciosos. Nadie bloquearía el tráfico procedente de Google o Facebook, señala.
«Lo que estamos pidiendo es determinar la intención de la actividad», indica. «Google tiene que hablar con Facebook, porque así es como funciona Internet. Entonces, ¿cómo determinar la intención de estas solicitudes?», se pregunta Geide.
La concesión de anonimato a los usuarios de Internet es una opción. Zhang, desde la UCSD, añade que Google, Facebook y otros servicios web podrían amplificar en gran medida el impacto de un ataque, tal vez ayudando a derribar un sitio web o un servidor en un ataque de denegación de servicio. «Google tiene una gran cantidad de recursos y ancho de banda, así que si un pirata logra utilizar un servicio suyo no tiene que construir una red zombi, solo tiene que usar Google para hacer un ataque de denegación de servicio», asegura Zhang.
Sin embargo, Mark O’Neill, director de tecnología del proveedor de seguridad en nube Vordel, señala que los proveedores de servicios de Internet deberían ser capaces de colocar defensas para hacer que sus API sean menos fáciles de manipular. Al observar los patrones de uso, señala, un servicio podría detectar a aquellos usuarios que traten de sacar provecho de las API de nuevas maneras.
Fuente: Technology Review. Aportado por Eduardo J. Carletti
Más información:
- El ojo del Estado en internet: Información en línea que se redacta sola
- Estadísticas develan opiniones falsas en Internet
- Las hormigas inspiran un buscador para redes sociales
- Michael Wolff: Facebook es una falacia
- Telempatía: Un futuro con neuronas conectadas en red social
- Científicos europeos trabajan en una «wikipedia» para robots
- Fantasmas en Facebook: un nuevo dilema ¿qué hacer con los usuarios que mueren?
- El millonario auge de los objetos virtuales en Internet