Facebook-DDoS: functionaliteit is nooit belangrijker dan veiligheid op internet

• Door
• Jeroen Mulder
• geplaatst op
• 29 april 2014 08:06 uur

Door handig gebruik te maken van een feature binnen Facebook – het gebruik van image tags – is het mogelijk om een DDoS-aanval op te zetten richting elke website. Iemand ontdekte het lek al in maart en rapporteerde het aan Facebook. Daarop kwam een onverwachte reactie terug. Niet zo mooi, maar we gaan het niet repareren. ‘Image tags’ is namelijk een service die Facebook niet wil aantasten. Qua security zijn we nu echt lichtjaren teruggeworpen. Functionaliteit van social media gaan dus boven de veiligheid én privacy van internetgebruikers.

Voor de volledigheid: ook Google kent een lek waarmee het kinderlijk eenvoudig is om DDoS-aanvallen op te zetten. Ook Google heeft dit lek niet gerepareerd. Vorige week ontdekte een ‘onderzoeker’ dat <img> tags een simpele bron van DDoS kan zijn, door de caching van Facebook zelf te omzeilen. Facebook gaf in een reactie vervolgens aan dat het kennis heeft genomen van dit lek, maar er niets aan zal doen omdat een patch de service zelf onacceptabel zou aantasten. En dat terwijl nu echt iedereen een DDoS-aanval kan opzetten via deze route.

De reactie van Facebook is kwalijk. Schandelijk bijna. Terwijl de rapporten ons om de oren vliegen waarin jaar op jaar de groei van DDoS wordt vastgesteld en de methodes om dergelijke aanvallen op te zetten steeds complexer worden en daarmee lastiger te vervolgen, kan een massamedium op het internet zich aan al deze feiten onttrekken. Daarmee is security per acuut een lachertje geworden.  Waarom zou je als bedrijf – vooral als webhosters – nog kapitalen investeren in allerlei maatregelen om DDoS-verkeer te filteren? Waarom jezelf druk maken om SQL-injecties als het opzetten van aanvallen echt kinderspel via social media is geworden? En diezelfde social media hun functionaliteit stellen boven de veiligheid op het internet?

DDoS is vaak al geen doel op zich: daar kwam het vandaan – het neerhalen van websites. Tegenwoordig is DDoS steeds vaker een ‘rookgordijn’. Terwijl IT-specialisten, hosters en netwerkproviders zich druk maken over de DDoS-aanval zelf, maken hackers handig gebruik van de paniek om gegevens te ontvreemden. Dat fenomeen zal volgens partijen als Arbor en Akamai toenemen. Daarmee wordt DDoS echt gevaarlijk. Grote internetpartijen zijn moreel verplicht alles in het werk te stellen om te voorkomen dat ze als DDoS-vehikel kunnen worden misbruikt. Functionaliteit is dan absoluut ondergeschikt.

Inmiddels neemt de druk op Facebook wel toe om het lek alsnog te dichten. Kwestie van tijd?

[advpoll id=”21″ title=”Vraag van de dag” width=”100%”]