Facebook与谷歌的危险结合

zhixun

罗伯特·雷蒙斯（Robert Lemos）    2012-08-15 14:20:51

研究者表明，把不同的网页程序接口结合起来可以掩盖网络活动。
加州大学圣迭戈分校（UCSD）的一个研究团队采用谷歌和facebook的应用程序接口（API）编写了一套系统，可以让人匿名浏览网页。

“我们的目的是让服务商们认识到这个问题，” 研究组成员，UCSD计算机科学博士生Jiaqi Zhang说，“我们希望他们看到我们的研究后能采取措施保护自己提供的服务，这样的话他们本身和其他人都不会因此遭受损失。”

其他研究者也曾发现API有着意想不到的用途，例如把Gmail帐号变成网络硬盘。不过UCSD的研究者们是第一个通过这种方式把多种服务结合起来的。

研究者编写的这种匿名服务叫做CloudProxy，它利用谷歌服务来存储网页内容。他们用了4个谷歌Docs帐号，每个里面放了10个电子表格来存储网站的ASCII数据。非ASCll数据则用其他谷歌服务存储。他们也利用了Facebook的网页服务来正确格式化网页请求，而谷歌的短链接服务可以轻易地让请求提交到其他网页服务中。

研究者通过载入不同网站的各种内容对服务进行了测试，并且使用网络封包分析程序WireShark，确认了的确无法从这些网络请求中收集到身份识别信息。

网络安全服务商Zscaler的高级安全研究员Mike Geide说，这种技术是相当危险的，因为许多网络安全技术依赖于识别和屏蔽危险网站。他指出，没人会屏蔽来自谷歌和Facebook的访问。

“到最后需要的就是确定网络活动的内容，“他说，”谷歌需要与Facebook进行通讯，因为这就是网络的工作方式。那么我们该如何确定那些网络请求的内容呢？“

使互联网用户获得匿名访问能力只是其中的一种可能。UCSD的Zhang补充说，谷歌、Facebook以及其他网络服务可以大大增强网络攻击的威力，可能通过拒绝服务攻击令目标网站或计算机服务离线。Zhang说：“谷歌拥有大量的网络资源和带宽，所以如果黑客能够利用谷歌的服务，他们就不需要构建僵尸网络，只用谷歌就可以实现拒绝服务攻击。”

不过，云安全服务商Vordel的首席技术官Mark O'Neill说，网络服务供应商应该可以构建适当的防护，从而使他们的API难以被滥用。他说，服务商可以通过检查使用模式来发现用户试图通过新方法滥用API。

(翻译 李星）