Facebook permetterebbe di sferrare attacchi DDoS (Distributed Denial of Service) verso qualunque sito web, senza particolari sforzi. A sostenerlo è un ricercatore autonomo, Chaman Thapa, che ha spiegato come qualunque aggressore sia in grado di rendere irraggiungibile praticamente qualunque sito web.
Gli attacchi DDoS mirano ad esaurire deliberatamente le risorse di un sistema informatico (banda, processore e memoria della macchina server) in modo tale da non renderlo più in grado di erogare il servizio (ad esempio un sito web). Quando l’aggressione è compiuta utilizzando una batteria di sistemi remoti, l’attacco viene definito “distributed“.
Secondo Thapa, sarebbe possibile utilizzare le “Note” di Facebook per bersagliare qualunque sito. Il social network di Mark Zuckerberg, infatti, ogniqualvolta venga inserito il link facente riferimento, ad esempio, ad un’immagine pubblicata su un server remoto, provvedere a scaricarla un’unica volta ed a memorizzarla nella sua cache.
Tuttavia, spiega il ricercatore, se il link che punta all’immagine contiene dei parametri generati dinamicamente dall’aggressore, Facebook provvederà a riscaricare più volte la medesima immagine dallo stesso server.
Un malintenzionato potrebbe quindi generare una singola nota contenente fino a 1.000 link facenti riferimento alla stessa immagine e generati in maniera automatizzata inserendovi, in calce, parametri arbitrari. Se la nota venisse pubblicata su una pagina Facebook e fosse vista contemporaneamente da 100 persone, nel caso di un’immagine da 1 MB, sul server remoto verrebbero impegnati, in appena pochi secondi, ben 100 GB di banda.
Facebook ha commentato l’analisi tecnica di Thapa sostenendo che al momento è impossibile prevedere una soluzione al problema senza intaccare le funzionalità di base del social network.
Gli amministratori di server web che dovessero sperimentare attacchi simili a quello descritto, possono valutare il blocco – almeno temporaneo – degli IP utilizzati dal crawler di Facebook (sono elencati in questa pagina).
Un attacco similare era stato illustrato, di recente, nel caso della piattaforma WordPress: 162.000 blog WordPress usati in un pesante attacco DDoS.