Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/08/2011
En concret, s'està utilitzant la infraestructura de servidors dedicats a la seua xarxa social Google+, que són utilitzats com Proxy per a descarregar fitxers. La utilització d'aquests servidors Proxy es pot realitzar mitjançant dos URLs diferents:
* https://plus.google.com/_/sharebox/linkpreview/?c=<URL>&t=1&_reqid=<NUMEROS_ALEATORIOS>&rt=j
*https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=<URL>&container=focus
Canviant-los certs paràmetres ("c" per a la primera URL i "url" per a la segona), es pot aconseguir que, en realitat, siga Google el que realitze la petició a la URL indicada per paràmetres. D'aquesta manera, automatitzant la petició paral·lela de diverses d'aquestes URLs mitjançant un script, com el que està disponible en la pàgina dels autors, es podria aconseguir generar un gran trànsit cap al servidor que es desitja atacar. Açò, sumat amb la gran amplada de banda que posseeix Google, facilitaria provocar atacs de denegació de servei distribuïts, sense necessitat d’una gran infraestructura.
Segons les proves realitzades per aquest equipament, un ordinador atacant, amb un amplada de banda de 6 Mbps, ha aconseguit, mitjançant aquestes peticions, que Google genere un trànsit en el servidor atacat de fins a 96 Mbps.
Un altre avantatge d'utilitzar aquest mètode, és que realitzant les peticions a través de la primera URL, les adreces IP dels equipaments que estan atacant, que apareixeran en els arxius del registre (log) de la màquina objectiu, seran les de les màquines de Google.
Segons IHTeam, ells mateixos es van posar en contacte amb el centre de seguretat de Google el dia 10 d'agost, i pel que sembla en el seu bloc, encara no han rebut cap resposta.