Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Facebook-DDoS: functionaliteit is nooit belangrijker dan veiligheid op internet

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 29 april 2014 08:06 uur

Door handig gebruik te maken van een feature binnen Facebook – het gebruik van image tags – is het mogelijk om een DDoS-aanval op te zetten richting elke website. Iemand ontdekte het lek al in maart en rapporteerde het aan Facebook. Daarop kwam een onverwachte reactie terug. Niet zo mooi, maar we gaan het niet repareren. ‘Image tags’ is namelijk een service die Facebook niet wil aantasten. Qua security zijn we nu echt lichtjaren teruggeworpen. Functionaliteit van social media gaan dus boven de veiligheid én privacy van internetgebruikers.

Voor de volledigheid: ook Google kent een lek waarmee het kinderlijk eenvoudig is om DDoS-aanvallen op te zetten. Ook Google heeft dit lek niet gerepareerd. Vorige week ontdekte een ‘onderzoeker’ dat <img> tags een simpele bron van DDoS kan zijn, door de caching van Facebook zelf te omzeilen. Facebook gaf in een reactie vervolgens aan dat het kennis heeft genomen van dit lek, maar er niets aan zal doen omdat een patch de service zelf onacceptabel zou aantasten. En dat terwijl nu echt iedereen een DDoS-aanval kan opzetten via deze route.

De reactie van Facebook is kwalijk. Schandelijk bijna. Terwijl de rapporten ons om de oren vliegen waarin jaar op jaar de groei van DDoS wordt vastgesteld en de methodes om dergelijke aanvallen op te zetten steeds complexer worden en daarmee lastiger te vervolgen, kan een massamedium op het internet zich aan al deze feiten onttrekken. Daarmee is security per acuut een lachertje geworden.  Waarom zou je als bedrijf – vooral als webhosters – nog kapitalen investeren in allerlei maatregelen om DDoS-verkeer te filteren? Waarom jezelf druk maken om SQL-injecties als het opzetten van aanvallen echt kinderspel via social media is geworden? En diezelfde social media hun functionaliteit stellen boven de veiligheid op het internet?

DDoS is vaak al geen doel op zich: daar kwam het vandaan – het neerhalen van websites. Tegenwoordig is DDoS steeds vaker een ‘rookgordijn’. Terwijl IT-specialisten, hosters en netwerkproviders zich druk maken over de DDoS-aanval zelf, maken hackers handig gebruik van de paniek om gegevens te ontvreemden. Dat fenomeen zal volgens partijen als Arbor en Akamai toenemen. Daarmee wordt DDoS echt gevaarlijk. Grote internetpartijen zijn moreel verplicht alles in het werk te stellen om te voorkomen dat ze als DDoS-vehikel kunnen worden misbruikt. Functionaliteit is dan absoluut ondergeschikt.

Inmiddels neemt de druk op Facebook wel toe om het lek alsnog te dichten. Kwestie van tijd?

Vraag van de dag

Moet Facebook het image tags DDoS-lek dichten?
Bekijk resultaten

Wim ten Brink, 29 april 2014 11:05 am

Het lijkt mij dat Facebook gewoon voor de schade mag gaan opdraaien als ze het lek niet repareren en er worden vervolgens DDOS aanvallen via het lek uitgevoerd. Je zou Facebook dan als medeplichtige kunnen beschouwen omdat ze deze mogelijkheid faciliteren.
En als ze blijven weigeren het lek te dichten dan gewoon Facebook offline halen, lijkt mij. Het IP adres blokkeren, domeinnamen in beslag nemen en hun kantoren sluiten. Dan maar geen Facebook. Hangt er natuurlijk wel van af hoe hardnekkig ze blijven weigeren om het lek te repareren.

Wouter, 29 april 2014 11:41 am

Inderdaad, zodra een paar grote ISP's hier hinder van gaan ondervinden en bij Facebook te horen krijgen dat ze pech hebben en Facebook er niks aan gaat doen, is het snel slikken of stikken voor Facebook. Het is in dat geval alleen een kwestie van tijd tot de eerste grote ISP het aandurft om al het verkeer van/naar het Facebook netwerk te blokkeren totdat ze dit probleem hebben opgelost.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.