sábado, abril 28, 2012

Google FeedFetcher como arma de destrucción masiva

Ya hace tiempo que le dedicamos Enrique Rando, algunos alumnos del Master de Seguridad de la UEM y yo un tiempo a jugar usando los Buscadores como arma de destrucción masiva, así que cuando he leído la entrada de hackplayers sobre cómo hacer un D.O.S. utilizando Google, me he ido a leerme la historia completa de cabeza.

El resumen de la historia es bastante peculiar e interesante. Resulta que Google tiene un agente, que no es el famoso bot de indexación GoogleBot, que se utiliza para la recolección de feeds XML en servicios como Google Reader, al que se ha denominado Google FeedFetcher.

Este bot está pensado para recolectar el contenido de URLs y mostrárselas al usuario a través de un lector XML. Sin embargo, el comportamiento es que lo que se obtiene a través de este bot no se incluye directamente en los índices del buscador, por lo que no tiene que preocuparse y por lo tanto no lo hace, del incomprendido funcionamiento de los robots.txt.

Esto quiere decir que si un usuario hiciera una lista de todas las URLs de un sitio y las metiera en un feed XML al que se suscribiera, haría descargarse todo el sitio a Google FeedFetcher. Una vez descargado todo el sitio, Google Reader cachea los contenidos, como vimos en el artículo de Puedes borrar tu blog, pero Google Reader guarda el feed.

Sin embargo, como descubrió este profesor de universidad, Google FeedFetcher también se utiliza para descargar contenido público enlazado desde servicios privados de usuarios, es decir, por ejemplo una hoja de cálculo en Google Docs que cargue un imagen desde una URL. Como este contenido no se cachea, Google FeedFetcher cada cierto tiempo va a volver a solicitar esa imagen al servidor.

De esta sencilla forma, creando una hoja de cálculo manipulada en Google Docs con carga de contenido remoto de un sitio, Google FeedFetcher estará descargando las URLs generando grandes cantidades de tráfico y costes en servicios de pago por uso de ancho de banda.

Figura 1: La factura de Amazon del profesor que se hizo su ataque vía Google DOCs

Lo curioso de este comportamiento es que los feeds XML manipulados, pueden convertirse en una buena arma de destrucción masiva si los bots no tienen límites adecuados o cacheo de contenido, ya que haciendo uso de Servicios de publicación masiva de Feeds, como por ejemplo Total Ping, un atacante podría crear un feed XML que cargase las URLs más pesadas de un sitio. Después lo publica en una URL de Internet y lo da de alta en Total Ping, generando que muchos bots automáticamente descarguen el contenido. 

Figura 2: Agregadores en los que Total Ping da de alta el feed XML

Para conseguir que aún sea más divertido, podría dar de alta varios feeds XML maliciosos apuntando a contenido del mismo objetivo, e ir rotando continuamente las URLs para que el bot que hace el crawling siempre lo perciba actualizado. Si el objetivo tiene una web de pago por uso de ancho de banda, seguro que no le hace mucha gracia.

Saludos Malignos!

Aprende más sobre esto en el libro: Hacking con Buscadores: Google, Bing & Shodan

Entradas populares