Atacando a Facebook - Fabian Portantier

Estadísticas

Abajo voy a listar algunos datos estadísticos de Facebook, obtenidos en el año 2010. Es un artículo muy bueno, pero es de 2010, así que es probable que las cifras de cantidades de equipos y tráfico sean un poco más grandes ahora, pero la idea es la misma.

Servidores (total): 60.000
Servidores Bases de Datos (cluster): 2.200
Fotos subidas por mes: 3.000.000
Peticiones a las Bases de Datos: 250.000 por segundo (aproximadamente)
Servidores web: 15.000 (Apache Web Server)
Servidores memcached: 1.000
Base de Datos No Relacional: Apache Cassandra (No puedes ver links Registrate o Login)
Framework PHP: Apache Hadoop (No puedes ver links Registrate o Login)
Datos Almacenados: 50 Petabytes (aproximadamente)

Expuestos estos datos, podemos observar que estamos hablando de una infraestructura verdaderamente grande, y que seguramente existen algunos otros detalles que no conocemos.

Ahora sí, vamos a analizar cuáles podrían llegar a ser los vectores de ataque que se podrían explotar en Facebook.


Denegación de Servicio

La denegación de servicio (DoS) tiene como propósito interrumpir la disponibilidad de servicio, sin que sea necesario robar o destruir datos. Simplemente el objetivo es que los usuarios legítimos no puedan acceder al servicio.

Esto suele lograrse agotando todos los recursos del servidor, ya sea el ancho de banda, el almacenamiento o la capacidad de procesamiento.

Últimamente, se han vuelto muy populares los ataques de denegación de servicio coordinados y distribuídos (DDoS) que se realizan desde varios cientos o miles de dispositivos al mismo tiempo. Pero, aún así, no podríamos agotar los recursos anteriormente presentados.

Como podemos ver en los datos anteriores, es prácticamente imposible que logremos agotar los recursos de una infraestructura taaan grande, así que solamente nos queda la posibilidad de detener el servicio encontrando un fallo en alguna parte de todo el software que se ejecuta, ya sea a nivel aplicación (PHP, C++, etc), a nivel servidor Web (Apache Httpd), Base de Datos (Cassandra) o Sistema Operativo (Supongo que algún Linux u otro Unix).

Además, si nos ponemos a observar los resultados de varias herramientas de reconocimiento (nmap, nikto, telnet, etc), vamos a poder notar que el personal técnico de Facebook ha tenido bastante cuidado en proteger su infraestructura y en no mostrar fácilmente qué software utilizan y en qué versión.


SQL Injection

Al parecer, Facebook no utiliza bases de datos relacionales, así que habría que investigar la posibilidad de algo así como un SQL Injection, pero para la bases de datos Apache Cassandra.


Robo de Información

El objetivo detrás de la mayoría de los ataques realizados a este tipo de sitios, es el de obtener información confidencial, como usuarios y contraseñas, números de tarjeta de crédito, etc, etc.

Así que debemos tener en cuenta que este tipo de ataques suele darse más a través de la aplicación misma (por ejemplo, utilizando la API de Facebook) que a través de un ataque al servidor de correo, DNS o Web.


DNS

Sus servidores DNS son 5, que podrían contar con más servidores detrás de balanceadores de carga o clusters.

Su software está actualizado y, por lo que se puede observar, seguramente son servidores dedicados exclusivamente a servir los dominios de Facebook

Algunos utilizan BIND No puedes ver links Registrate o Login y otros, al parecer, NSD No puedes ver links Registrate o Login

También podemos ver que la configuración, a simple vista, parece correcta. A diferencia de muchos servidores DNS, cumple con todos los requerimientos de los estándares y otras recomendaciones.

Podemos comprobar esto en: No puedes ver links Registrate o Login

(No puedes ver links Registrate o Login es un excelente sitio para comprobar la configuración de los servidores DNS de un dominio)


Correo

Con respecto al servidor de correo, no se muestra fácilmente su versión, y han tenido el cuidado de utilizar las listas negras de spamhaus (No puedes ver links Registrate o Login) para filtrar las conexiones entrantes.

Ejemplo:
========================================================================
fabian@debian:~$ telnet smtpin.mx.facebook.com 25
Trying 69.171.244.17…
Connected to smtpin.mx.facebook.com.
Escape character is ‘^]’.
554 5.7.1 POL-P1 No puedes ver links Registrate o Login
Connection closed by foreign host.
========================================================================

Además, pudiendo haber hecho consultas más específicas al servidor, observamos que se obliga a respetar estrictamente los estándares de correo electrónico para poder enviar un correo a través de ese servidor.


Código HTML / JavaScript

Analizando el código fuente de la página principal (una vez adentro de la aplicación) podemos observar que más del 90% del código que aparece es JavaScript, casi no existe el HTML. Lo cual es algo bastante particular, pero que se encuentra fundamentado principalmente por la gran cantidad de AJAX con la que cuenta Facebook.


Aplicación Principal

Más allá de las técnicas de reconocimiento tradicionales, debemos considerar que Facebook es más una aplicación que un sitio web. Esto quiere decir que, en caso de existir vulnerabilidades, es más probable que las encontremos más en la aplicación misma que en la infraestructura que la soporta.

Para acceder a la interfaz de programación (API) de Facebook, debemos ingresar al siguiente sitio: No puedes ver links Registrate o Login

En este sitio, dedicado a los desarrolladores de aplicaciones para Facebook, podemos encontrar varias herramientas, entre las cuales se encuentran los SDK (Software Development Kit) para PHP y para JavaScript, que podrían ser de mucha utilidad para cualquier persona que desee comprender verdaderamente cómo funciona Facebook


Otros vectores de ataque

Debemos observar que, en estos casos en los que la infraestructura es muy grande y bien construída, debemos considerar vectores de ataque alternativos. Por ejemplo, un ataque a los servidores DNS de los proveedores de servicio de internet (ISP) ya sea locales o internacionales, podría dejar “offline” el servicio, sin necesidad de tener éxito en un ataque al propio Facebook. Después de todo, a las personas lo único que les interesa es si pueden acceder o no, sin importarles la causa del problema.

Por otro lado, es el modelo que más se viene utilizando, por ejemplo, al realizar ataques de Phishing, intentando engañar a los usuarios para que le provean al atacante con sus datos de acceso a las cuentas


Atacar o No-Atacar, esa es la cuestión

Para cerrar este artículo, me gustaría hacer una opinión personal acerca del tema.

Con respecto a atacar Facebook, no nos engañemos, si alguna persona busca hacerlo, independientemente de si tiene éxito o no, los motivos no van a ser otros que ganar dinero, popularidad o una mezcla de ambos.

Si queremos aprender, lo único que tenemos que hacer es leer la documentación oficial y empezar a programar nuestra propias aplicaciones de integración con Facebook.

Recuerden que, Hackear es sinónimo de “aprender y crear”, cosa que es exactamente lo opuesto de “atacar y destruir”.



Autor: Fabian Portantier

Fuente:RedUSERS