Ο Παγκόσμιος Ιστός έχει εξελιχθεί, από μια συλλογή στατικών HTML σελίδων, σε μια συλλογή εφαρμογών τύπου “Web 2.0”. Παραδείγματα εφαρμογών τύπου “Web 2.0” είναι τα wikis, τα blogs, οι σελίδες διαμοιρασμού βίντεο, οι σελίδες κοινωνικής δικτύωσης, κ.τ.λ. Από την σύσταση του πρώτου διαδικτυακού κοινωνικού δικτύου, που ονομαζόταν SixDegrees.com, το 1997, οι σελίδες κοινωνικής δικτύωσης μέρα με τη μέρα γίνονται όλο και πιο δημοφιλείς. Καθημερινά εκατομμύρια άνθρωποι χρησιμοποιούν σελίδες κοινωνικής δικτύωσης, όπως τις σελίδες facebook.com, myspace.com, orkut.com και linkedin.com. Μια παρενέργεια της ταχείας ανάπτυξης των σελίδων κοινωνικής δικτύωσης, είναι η πιθανή μετατροπή τους σε πλατφόρμες διεξαγωγής αντικοινωνικών και παράνομων δραστηριοτήτων, όπως κατανεμημένες επιθέσεις άρνησης υπηρεσιών, παραβίαση προσωπικών δεδομένων, έκθεση σκληρών δίσκων σε κίνδυνο, διάδοση κακόβουλου λογισμικού, κ.τ.λ.
Σε αυτή την εργασία αποδεικνύουμε ότι οι σελίδες κοινωνικής δικτύωσης έχουν ιδανικές ιδιότητες για να μετατραπούν σε πλατφόρμες διεξαγωγής διαδικτυακών επιθέσεων. Εισάγουμε έναν νέο όρο, εν' ονόματι Αντικοινωνικά Δίκτυα. Τα Αντικοινωνικά Δίκτυα είναι κατανεμημένα συστήματα που βασίζονται σε σελίδες κοινωνικής δικτύωσης και είναι δυνατόν να εκμεταλλευτούν από επιτιθέμενους, προκειμένου να διεξαχθούν διαδικτυακές επιθέσεις. Κακόβουλοι χρήστες έχουν την δυνατότητα να ελέγχουν τους επισκέπτες σε σελίδες κοινωνικής δικτύωσης, μέσο της απομακρυσμένης χειραγώγησης των προγραμμάτων που χρησιμοποιούν για την περιήγηση τους στο Διαδίκτυο, χρησιμοποιώντας νόμιμες λειτουργίες για τον δημιουργία σελίδων, όπως HTML ετικέτες για την εισαγωγή εικόνων, εντολές της γλώσσας JavaScript, Java Applets, κ.τ.λ.
Αρχικά, προσδιορίζουμε όλες τις ιδιότητες του Facebook, ενός πραγματικού διαδικτυακού κοινωνικού δικτύου, και στην συνέχεια μελετάμε τους τρόπους με τους οποίους μπορούμε να αξιοποιήσουμε αυτές τις ιδιότητες, προκειμένου να το μετατρέψουμε σε μια πλατφόρμα διεξαγωγής επιθέσεων εναντίον οποιουδήποτε μηχανήματος είναι συνδεδεμένο στο Διαδίκτυο. Προς το σκοπό αυτό, αναπτύξαμε μια εφαρμογή στο Facebook, η οποία, συγκαλυμμένα, είναι ικανή να πραγματοποιεί κακόβουλες ενέργειες. Χρησιμοποιώντας μια πειραματική διαδικασία, εξακριβώσαμε τις επιπτώσεις που έχει η εφαρμογή, μελετώντας τον τρόπο με τον οποίο ανυποψίαστοι χρήστες του Facebook, μπορούν να χειραγωγηθούν με σκοπό την διεξαγωγή μιας επίθεσης άρνησης υπηρεσιών. Στην συνέχεια, εξετάζουμε τους τρόπους με τους οποίους εφαρμογές του Facebook, οι οποίες εμπεριέχουν ένα Java Applet, μπορούν να θέσουν σε κίνδυνο τον σκληρό δίσκο του υπολογιστή ενός χρήστη του Facebook. Σαν τελευταίο κίνδυνο, περιγράφουμε συνοπτικά τον τρόπο με τον οποίο μια εφαρμογή του Facebook είναι δυνατόν να συγκεντρώσει τις ευαίσθητες προσωπικές πληροφορίες που παρέχονται από τους χρήστες του, στο διαδικτυακό τους προφίλ. Εν' τέλει, διερευνούμε άλλες κακόβουλες χρήσεις του Facebook και τους τρόπους με τους οποίους μπορούν να εφαρμοστούν και σε άλλα διαδικτυακά κοινωνικά δίκτυα.
(EL)
World Wide Web has evolved from a collection of static HTML pages to an assortment of “Web 2.0” applications. Examples of “Web 2.0” applications include wikis, blogs, video sharing web sites, social networking web sites, etc. Since the establishment of the first online social network SixDegrees.com, in 1997, these sites are becoming more popular by the day. Millions of people daily use social networking web sites, such as facebook.com, myspace.com, orkut.com, and linkedin.com. As a side-effect of this fast growth, possible exploits can turn them into platforms for antisocial and illegal activities, like DDoS attacks, privacy violations, disk compromising, malware propagation, etc.
In this thesis we show that social networking web sites have the ideal properties to become attack platforms. We introduce a new term, Antisocial Networks. Antisocial Networks are distributed systems based on social networking web sites that can be exploited by attackers, and directed to carry out network attacks. Malicious users are able to take control of the visitors of social web sites by remotely manipulating their browsers through legitimate web control functionality such as image-loading HTML tags, JavaScript instructions, Java applets, etc.
We start by identifying all the properties of Facebook, a real-world online social network, and then study how we can utilize these properties and transform it into an attack platform against any host connected to the Internet. Towards this end, we develop a real-world Facebook application that can perform malicious actions covertly. We experimentally measure its impact by studying how innocent Facebook users can be manipulated into carrying out a Denial-of-Service attack. Then, we examine how Facebook applications that embed a Java applet can compromise the hard disk of a Facebook user. As a last threat, we briefly describe how a Facebook application can harvest the sensitive personal information provided by users in their online profile. Finally, we explore other possible misuses of Facebook and how they can be applied to other online social networks.
(EN)
