Llegamos a ustedes gracias a:



Noticias

Investigadores muestran exploit de servidor web que usa navegadores móviles

[03/12/2012] Investigadores universitarios han encontrado una forma de explotar los navegadores de nube, permitiéndoles usar el cluster de servidores que hay detrás para realizar tareas de cómputo de gran escala.
El exploit puede permitir que un cibercriminal corra de manera anónima pesadas tareas computaciones como el cracking de contraseñas o certificados digitales, sostuvo William Enck, profesor asistente de Ciencias de la Computación de la North Carolina State University (NCSU). Enck trabajó en la investigación con científicos de la NCSU y la Universidad de Oregon.
Ya que el que paga la factura de ese proceso de cómputo es en realidad el proveedor del navegador de nube, le da a aquellos que usan el recurso de manera anónima para otros propósitos una ventaja adicional, sostuvo el académico.
Los navegadores de nube corren en clusters de servidores y actúan como interfase para los smartphones y otros dispositivos móviles con limitado poder de cómputo. El navegador permite que el cómputo se realice en los servidores, entregando solo la página web al dispositivo.
Lo que Enck y otros investigadores hicieron fue aprovechar una debilidad del diseño que no limita el número de solicitudes que se realizan al navegador. Para la prueba de concepto, los investigadores hicieron ingeniería inversa del navegador Puffin para determinar el protocolo que usa. Luego crearon su propia interfase para realizar las solicitudes de página web.
Los científicos realizaron funciones estándares de cómputo usando paquetes de datos que eran de 1, 10 y 100MB. Los paquetes podrían haber sido más grandes. El cómputo fue realizado a través del uso de MapReduce, un modelo de programación desarrollado por Google para procesar grandes conjuntos de datos.
Lo que podíamos hacer fue unir un conjunto de solicitudes para realizar un procesamiento de cómputo más grande, sostuvo Enck.
Hay formas de arreglar el problema. En lugar de permitir que cualquiera realice solicitudes ilimitadas al cluster de servidores que hay por debajo, los proveedores del navegador deberían solicitar una autenticación.
En lugar de permitir que cualquiera en Internet haga solicitudes a sus servidores, los usuarios finales deberían tener cuentas, afirmó Enck. Entonces uno podría notar cuándo una cuenta, por ejemplo, está solicitando muchas más páginas que lo que en realidad solicitaría un ser humano.
El equipo evaluó su trabajo de manera exitosa en varios otros navegadores, incluyendo Opera Mini, Amazon Silk en la tableta Kindle Fire y Cloud Browse.
Los investigadores planean presentar un paper sobre su trabajo el 6 de diciembre en la Annual Computer Security Applications Conference en Orlando, Florida.
La seguridad de nube para los dispositivos móviles sigue siendo un trabajo en desarrollo para los proveedores y los usuarios. En la cumbre de la Cloud Security Alliance de este año, la organización anunció iniciativas que incluían examinar formas para asegurar mejor los dispositivos móviles a través de la computación en la nube y buscar formas de impulsar más innovación en la seguridad.
Antone Gonsalves, CSO (EE.UU.)