Proponha uma correção, faça uma sugestão
Facebook permite criar ataques de DDoS
Recorrendo simplesmente à funcionalidades das notas
Quando se fala sobre segurança informática na rede social mais popular do mundo, a ideia que se tem é que a plataforma tem as melhores soluções ao nível de segurança e que é gerida por recursos humanos altamente qualificados.
No entanto, segundo informações recentes, o Facebook tem uma falha grave, que permite a qualquer utilizador realizar ataques de negação de serviço distribuídos (DDoS), usando os próprios servidores do Facebook, para atacar sites.
A informação relativamente a esta falha grave na plataforma do Facebook que reside na secção das notas surgiu ontem, depois de um investigador da área da segurança, com o nickname chr13, ter publicado no seu site várias informações sobre esta vulnerabilidade.
De acordo com o investigador, qualquer utilizador pode facilmente iniciar um ataques de negação de serviço distribuído, com picos de largura de banda elevados.
chr13 explica que os utilizadores podem incluir nos posts tags (como por exemplo, <img>), com “imagens bonitas” de qualquer fontes. A plataforma faz simplesmente o downloads dessas imagens, de fonte original, colocando essa informação em cache. No entanto, se o URL da imagem tiver parâmetros dinâmicos, o mecanismo de cache do Facebook pode ser facilmente contornado e forçar que sejam descarregadas todas as imagens incluídas, sempre que um utilizador abra uma nota.
Facebook will only cache the image once however using random get parameters the cache can be by-passed and the feature can be abused to cause a huge HTTP GET flood.
Cenário de ataque
Vamos considerar que que o utilizador pretende fazer um ataque ao site target.com que possui uma imagem com 1 MB. Então, o atacante cria uma nota no Facebook, com algum texto, e inclui também alguns paramentos dinâmicos:
<img src=http://targetname/file?r=1></img> <img src=http://targetname/file?r=1></img> .. <img src=http://targetname/file?r=1000></img>
O código anterior irá forçar com que os servidores do Facebook carreguem a imagem de 1 MB, 1000 vezes. No entanto, se 100 utilizadores fizerem a mesma acção, então 1 x 1000 x 100 = 100.000 Mb ou seja, 97,65 Gb de largura de banda, em poucos segundos.
400 Mbps Ataque DDoS - DEMO
Como prova de conceito, o investigar demonstrou um ataque com picos na ordem dos 400 Mbps. Segundo reporta, para este ataque foram usados 127 servidores do próprio serviço do Facebook. 
Esta é sem duvida uma falha gravíssima, naquela que é considerada a principal rede social e a maior do mundo. De referir que já em Março, o investigador tinha mostrado esta técnica para usar o Google como “plataforma para realizar ataques de DDoS”.
Este artigo tem mais de um ano
Loading ...
DDOS … Por acaso uma cena que gostava de saber fazer.
É melhor sequer nem tentares par não teres problemas.
Ele pode querer aprender (como eu gostava) por motivos educacionais, porque nunca saberemos proteger-nos deles sem primeiro ver como funcionam.
Antonio, boa sorte na aprendizagem 🙂
Mas um DDoS até podes simular…nao convém é por em prática
e porque não ? se for para testar em coisas minhas.
ah, isso sim…em coisas tuas 🙂
Que bela educação se promove neste site. Já agora ensinem a fazer bombas, mas alertem que é feio fazê-lo.
uii..temos santinho 😀
… por acaso até tenho conhecimento e não é por isso que ponho em prática… o mesmo se passa com este post, apenas serve para informar / alertar.
Pois era bom que se demonstrassem mais situações deste género, para ver se alguns sysadmin abrem os olhos e começam a acordar para a segurança dos seus sites e redes. Depois qnd os skiddies fazem um deface/DDoS com base em bugs antigos é que se queixam. bah.
Pela mesma lógica de racíocinio, quando o Malic X tiver filhos, também vai esconder os maços de tabaco e vai evitar que os miúdos entrem numa tabacaria, para evitar que mais tarde fumem. LOL
boas Filipe.
pois eu percebo e concordo, mas acho que teria que ser criada uma entidade para “atacar” os sites e depois enviar um email aos donos a informar que os sites estão vulneráveis…
Teria que ser uma entidade creditada…
@lmx
Boas, mas já temos empresas de auditoria e consultadoria de segurança. Acredito é que se paguem bem, e nem todos os sysadmin/CEO estão para se “chatear” com isso.
Recordo-me de pelo menos duas nacionais, e têm grandes clientes como banca, EDP, e afins 🙂
Era um bom negócio, se alguém quiser alinhar 🙂 Da minha parte seria mais análise de software e engenharia reversa, mas tenho 2 pessoas de extrema confiança que dão cartas em matéria de vulns web.
podemos crir um forum de bombas. O que não falta é portugueses com experiencia militar a saber faze-las e até a serem aliciados por organizações terroristas. 🙂
Oh Pedro, talvez tenha sido má ideia publicar este post… lol
ui que medo
desde quando há problema neste post? é impressionante esta gente, so sabe, criticar o trabalho dos outros, abram voces um blog e metam lá a merd* toda ao vosso gosto! e por isto que realmente este pais nao sai da m*rda, que gente tao burra
o que eu acho piada, é que a noticia é sobre uma falha de segurança que permite as pessoas fazer ataques DDos através dos servidores do facebook, e ha aqui gajos que já tao a falar que o site promove a criação de hackers xD
A nível académico em áreas especificas não vejo o problema, da mesma forma que ensinam a “fazer” vírus ou a metodologia para os fazer, não vejo o problema.
Saber como se faz é a melhor maneira para se poder defender desse mesmo ataque, basta ver empresas de software de segurança as pessoas que contratam, grande parte são hackers/crackers apanhados que passam para o lado do bem…
Basta arranjares um método de criar um excesso de utilização de recursos num servidor e provocas um dos (denial of service).
Para ddos é a mesma coisa, excepto que serão usados vários sistemas em diferentes redes para fazer o ataque.
Esses são os conceitos teóricos, para a prática existe muitaaa informação sobre isso na internet, incluindo vários métodos de defesa também.
E concordo com o facto de que devemos ter conhecimento de como os ataques são feitos (sejam eles quais forem) para os tentar evitar.
um post sobre isso era altamente
para quê?
não te metas nisso… 😀
GNS3 e crias uma rede com um alvo numa maquina virtual.
Crias varias maquinas que vao pertencer à tua bootnet, após teres um programa que te deixam controlar as mesmas podes atacar o teu alvo.
É uma experiência engraça que recomendo para verem as coisas a funcionar mas requer uma maquina um
bocado poderosa para ter tantas maquinas virtuais a trabalhar ao mesmo tempo. Na vida real o mais provável é que sejas caço e que nao faças estragos de maior 😀
vamos lá fazer uma nova onda de ataques, roubar dados aos corruptos 🙂
Mais vale ter os sites numa plataforma google…etc…assim não sofremos de ataques esquisitos.
o que aconteceria se o ultimo parametro ficasse desta forma:
Provavelmente os servidores do face ficariam lentos… e o “alvo” ficaria frito!?
lol… não dá para por o parametro.
É bem provável que o Facebook corrija a entrada de parâmetros da querystring
Pedro, lá vai a malta comprar da Arbor 😀
Esse exemplo do upload da imagem é mesmo assim que funciona? É que estando a escrever essa linha a passar um parametro neste caso o ‘r’, devia ser para o servidor fazer alguma acção com a imagem. Mas o servidor assim vai estar a fazer 1000 acções diferentes caso as tenhas programadas.
Não é assim que funciona a passagem por parâmetros? É que o que me dá a entender é que com ou sem parametro, a linhas escrita 1000 vezes dava na mesma.
Parabéns pelo artigo, fico “admirado” (para não chamar outra coisa) é com certos comentários de utilizadores…
Só para relembrar que Albert Einstein descobriu e partilhou a teoria da relatividade (E=mc2) que foi utilizado para controir bombas atomicas…..
Todos temos direito ao conhecimento, e todos temos o dever de o saber usar!
Errado. Estes artigos só deveriam ser divulgados após a correção da vulnerabilidade. Senão é o mesmo que considerar o crime uma coisa boa. Mas enfim, como estamos rodeados gente boa e sem segundas intenções fica tudo feliz.
M x
Se o facebook não o tivesse definido como “Won’t fix” até faria sentido esperar pelo dito fix.
Percebo perfeitamente o que queres dizer com boa gente e realmente tenho noção disso contudo devido ao fácil acesso há informação tens coisas bem mais graves e fáceis de fazer.
Este artigo está muito bem escrito pois fala do assunto no modo generalista e numa linguagem perfeitamente perceptível a qualquer utilizador.
Na prática este assunto é bem mais complexo e difícil de ser praticado com sucesso e sem ser detectado do que muitos pensam, este tipo de ataque não é novidade nenhuma e já existe muitas soluções (infelizmente nenhuma 100%) aqui trata-se de usar a maior rede social para fazer isso.
E=mc^2 é a teoria da relatividade? .-.
E=mc2 é a fórmula de equivalência massa-energia mas se sabes onde está o erro também devias ter percebido a ideia 😐
Como sei que és o Paulo da relatividade?
Em relação a quem comentou que não se deveria ter feito este post: ESTÃO ERRADOS
É bom saber destas coisas, não é por existir este post que as pessoas vão realizar um DDoS, até porque tal como foi dito, não convém pôr em prática pois pode haver consequências GRAVES para quem o realizou.
Um DDoS não tem utilidade para o utilizador comum, apenas para quem deseja “deitar abaixo” certos servidores é que tem utilidade, mas é preciso pertencer a um grupo criminoso!
Colmatando, este post é igual a outros tantos sobre falhas de segurança no iOS, por exemplo.. é sempre bom estar a par das novidades.
Desculpem pelo post grande.
bora fazer um ataque DDOS ao pplware 😀 (brinca)
Bute la boi, quando e a que horas? 😀 (brinca)
Ficavam admirados com o que é possível fazer com o comando ping..
COnsoante a exporem a notícia, a mesma é exposta em todos os casos para obrigar as empresas que têm as falhas a corrigir as mesmas.
Os criminosos sabem sempre como cometer um crime, as pessoas comuns é que podem não saber. O que acontece quando todos sabem, são duas coisas, ou todos se comportam e as coisas continuam por resolver permitindo ao criminosos continuar a praticar os crimes tirando partido das falhas existentes. Ou toda a gente decide brincar, as falhas provocam problemas graves pontuais, e as entidades responsáveis são obrigadas a corrigir as mesmas sob pena dos seus serviços serem desativados.
As vacinas funcionam da mesma forma, as pessoas são infetadas com um vírus, e são acompanhadas a ver se o sistema imunitário deteta e anula o vírus, que é o que é suposto acontecer neste caso.
Caso as pessoas adoeçam estão a ser vigiadas e o problema é resolvido de outra forma (neste caso o fb ser forçado a resolver a falha.
Quantos de vocês que se queixaram da notícia não vão a correr para os centros de saúde para apanhar as vacinas todas? Resposta 0.
este parece ser um excelente ataque 🙂
O openssl também tem um que por cada pedido danos 64kb(heartbleed)…mas este é brutal 😀
O facebook é mesmo grande, em todos os aspetos lol