Quando se fala sobre segurança informática na rede social mais popular do mundo, a ideia que se tem é que a plataforma tem as melhores soluções ao nível de segurança e que é gerida por recursos humanos altamente qualificados.
No entanto, segundo informações recentes, o Facebook tem uma falha grave, que permite a qualquer utilizador realizar ataques de negação de serviço distribuídos (DDoS), usando os próprios servidores do Facebook, para atacar sites.
A informação relativamente a esta falha grave na plataforma do Facebook que reside na secção das notas surgiu ontem, depois de um investigador da área da segurança, com o nickname chr13, ter publicado Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... várias informações sobre esta vulnerabilidade.
De acordo com o investigador, qualquer utilizador pode facilmente iniciar um ataques de negação de serviço distribuído, com picos de largura de banda elevados.
chr13 explica que os utilizadores podem incluir nos posts tags (como por exemplo, <img>), com “imagens bonitas” de qualquer fontes. A plataforma faz simplesmente o downloads dessas imagens, de fonte original, colocando essa informação em cache. No entanto, se o URL da imagem tiver parâmetros dinâmicos, o mecanismo de cache do Facebook pode ser facilmente contornado e forçar que sejam descarregadas todas as imagens incluídas, sempre que um utilizador abra uma nota.
Cenário de ataque
Vamos considerar que que o utilizador pretende fazer um ataque ao site target.com que possui uma imagem com 1 MB. Então, o atacante cria uma nota no Facebook, com algum texto, e inclui também alguns paramentos dinâmicos:
O código anterior irá forçar com que os servidores do Facebook carreguem a imagem de 1 MB, 1000 vezes. No entanto, se 100 utilizadores fizerem a mesma acção, então 1 x 1000 x 100 = 100.000 Mb ou seja, 97,65 Gb de largura de banda, em poucos segundos.
400 Mbps Ataque DDoS – DEMO
Como prova de conceito, o investigar demonstrou um ataque com picos na ordem dos 400 Mbps. Segundo reporta, para este ataque foram usados 127 servidores do próprio serviço do Facebook.
Esta é sem duvida uma falha gravíssima, naquela que é considerada a principal rede social e a maior do mundo. De referir que já em Março, o investigador tinha mostrado esta técnica para usar o Google como “Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...”.
Conteúdo retirado de: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Simplificando para quem ainda não entendeu como ocorre o ataque, crie uma conta fake no Facebook, em pesquisa procura por Minhas Notas, e clique em Adicionar uma nova nota, coloque um título qualquer e abaixo você deve seguir a seguinte ordem.
Isso é apenas um exemplo, um amigo meu chamado D4kWeaver criou uma ferramenta para mim para facilitar e gerar automaticamente um número infinito, isso depende de quanto você vai por, mas lembrando que não pode passar de 65mil letras ^^
Quanto mais pessoas visualizar sua nota criada, mais o servidor do facebook ira enviar os pacotes para carregar sua imagem em massa, sendo que r=1,r=2 é o número de vezes ao qual o servidor do facebook vai carregar a imagem, fazendo que com isso envie um número X e faça cair o servidor ao qual está hospedado a imagem existem alguns métodos que você podem usar para fazer pessoas visitarem sua nota criada automaticamente, ou pedindo para amigos ou simplesmente colocando um <iframe> nos sites ao qual você "invadiu"
Aqui vai o download da ferramenta criada por meu amigo D4kWeaver
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Scan: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Para usar é simples basta abrir como Administrador se for windows7/8 na primeira caixa você deve colocar o link da imagem hospedada o site ex: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... na caixa de baixo é quantas linhas ele ira criar já vem padronizada para 5000 mas é muito grande, deixe como 500 ou 800, isso vai depender do tamanho do link da sua imagem, use o site Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... para contar quantas linhas tem, não pode passar de 65mil pois o facebook impede que crie notas acima de 65mil
Espero que tenham gostado um forte abraço a todos.
No entanto, segundo informações recentes, o Facebook tem uma falha grave, que permite a qualquer utilizador realizar ataques de negação de serviço distribuídos (DDoS), usando os próprios servidores do Facebook, para atacar sites.
A informação relativamente a esta falha grave na plataforma do Facebook que reside na secção das notas surgiu ontem, depois de um investigador da área da segurança, com o nickname chr13, ter publicado Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... várias informações sobre esta vulnerabilidade.
De acordo com o investigador, qualquer utilizador pode facilmente iniciar um ataques de negação de serviço distribuído, com picos de largura de banda elevados.
chr13 explica que os utilizadores podem incluir nos posts tags (como por exemplo, <img>), com “imagens bonitas” de qualquer fontes. A plataforma faz simplesmente o downloads dessas imagens, de fonte original, colocando essa informação em cache. No entanto, se o URL da imagem tiver parâmetros dinâmicos, o mecanismo de cache do Facebook pode ser facilmente contornado e forçar que sejam descarregadas todas as imagens incluídas, sempre que um utilizador abra uma nota.
Código:
Facebook will only cache the image once however using random get parameters the cache can be by-passed and the feature can be abused to cause a huge HTTP GET flood.
Vamos considerar que que o utilizador pretende fazer um ataque ao site target.com que possui uma imagem com 1 MB. Então, o atacante cria uma nota no Facebook, com algum texto, e inclui também alguns paramentos dinâmicos:
Código:
<img src=http://targetname/file?r=1></img> <img src=http://targetname/file?r=1></img> .. <img src=http://targetname/file?r=1000></img>
400 Mbps Ataque DDoS – DEMO
Como prova de conceito, o investigar demonstrou um ataque com picos na ordem dos 400 Mbps. Segundo reporta, para este ataque foram usados 127 servidores do próprio serviço do Facebook.
Esta é sem duvida uma falha gravíssima, naquela que é considerada a principal rede social e a maior do mundo. De referir que já em Março, o investigador tinha mostrado esta técnica para usar o Google como “Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...”.
Conteúdo retirado de: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Simplificando para quem ainda não entendeu como ocorre o ataque, crie uma conta fake no Facebook, em pesquisa procura por Minhas Notas, e clique em Adicionar uma nova nota, coloque um título qualquer e abaixo você deve seguir a seguinte ordem.
Código:
<img src=http://www.alvo.com.br/imagem.jpg?r=1></img> <img src=http://www.alvo.com.br/imagem.jpg?r=2></img> <img src=http://www.alvo.com.br/imagem.jpg?r=3></img>
Quanto mais pessoas visualizar sua nota criada, mais o servidor do facebook ira enviar os pacotes para carregar sua imagem em massa, sendo que r=1,r=2 é o número de vezes ao qual o servidor do facebook vai carregar a imagem, fazendo que com isso envie um número X e faça cair o servidor ao qual está hospedado a imagem existem alguns métodos que você podem usar para fazer pessoas visitarem sua nota criada automaticamente, ou pedindo para amigos ou simplesmente colocando um <iframe> nos sites ao qual você "invadiu"
Aqui vai o download da ferramenta criada por meu amigo D4kWeaver
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Scan: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Para usar é simples basta abrir como Administrador se for windows7/8 na primeira caixa você deve colocar o link da imagem hospedada o site ex: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... na caixa de baixo é quantas linhas ele ira criar já vem padronizada para 5000 mas é muito grande, deixe como 500 ou 800, isso vai depender do tamanho do link da sua imagem, use o site Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... para contar quantas linhas tem, não pode passar de 65mil pois o facebook impede que crie notas acima de 65mil
Espero que tenham gostado um forte abraço a todos.
Comment