Néhány művelet révén az Internet jelentős része irányíthatóvá válik

Az olyan közösségi hálózatok, mint amilyen a magyar Iwiw vagy az amerikai Myspace, rengeteg embert vonzanak. Sokan azonban nincsenek tisztában ezek veszélyeivel, amint arra nemrég készült felmérés is rámutatott. A minap pedig kiderült, hogy egy klasszikus online támadási forma is kibontakozik egyikükön: a Facebookon lehetséges botnet létrehozása, vagyis olyan hálózat megalkotása, melyet az óvatlanul kattintó felhasználók számítógépeiből szervez egységbe a támadó.

„Antisocial Networks: Turning a Social Network into a Botnet” címmel jelent meg az a kutatás, melyet öt görög, a helyi Számítástechnikai Tudomány Intézet kutatóinak és egy szingapúri, az ottani Infocomm Kutatási Intézet tudósának köszönhetünk. A szakemberek olyan elképzelést bizonyító (angol terminológiában proof-of-concept) Facebook alkalmazást hoztak létre, mely képes volt az ezt saját profiljukhoz hozzáadó felhasználók számítógépeiből zombit csinálni. Ezzel a botnettel aztán szolgáltatásmegtagadásra irányuló támadást (denial of service, DoS) hajtottak végre egy szerver ellen.

A „Photo of the Day” névre keresztelt demóalkalmazás külsőre ártalmatlannak tűnik: a National Geographic fotóalbumának fényképei közül egy (új) példányt jelenít meg. Mindeközben azonban a háttérben „gonosz erők munkálkodnak”: minden alkalommal, amikor valaki megtekint egy képet, a gazdaszámítógépet arra kényszerítik a távolból, hogy intézzen egy 600 kilobyte-os kérelmet egy kijelölt komputerhez. A felhasználónak fel sem tűnik, mi történik, hiszen egy kép letöltése a mai szélessávú kapcsolatokon gyorsan lezajlik, ez a kicsivel több mint fél megabyte-nyi plusz adatforgalom egy PC-n nem jelent érezhető fennakadást. Viszont számoljunk azzal, hogy a célpont számítógéphez nem egy, hanem akár 100 ezer zombi is küldhet kérelmet, amitől pedig már könnyen megfeküdhet a megtámadott masina.

Természetesen nem csak DoS (DDoS) támadásra lehet felhasználni egy ilyen botnetet, hanem akár malware terjesztésre, nyitott portokkal rendelkező más PC-k keresésére, sütikben alkalmazott hitelesítési eljárások felülírására is, figyelmeztet a hat kutató összefoglalója. Éppen ezért azt javasolják a tudósok, hogy a Facebook (de más, nagymértékben testreszabható, pluginekkel, alkalmazásokkal egyénileg bővíthető közösségi hálózat esetében is) nagy figyelemmel kell megalkotni az alkalmazásprogramozói felületet (API). Mert – ahogy az a leírásban is áll – „közösségi eszközökkel néhány művelet révén az Internet jelentős része irányíthatóvá válik.”