Facebook i ataki

Serwisy społecznościowe cieszą się dużą popularnością wśród włamywaczy. Oto zagadnienia związane z atakami kierowanymi przeciw użytkownikom Facebooka.

Bezpieczne hasło

"Wykorzystywanie tego samego hasła między różnymi serwisami internetowymi nie jest dobrym pomysłem. Należy posiadać różne hasła do każdego serwisu, przy czym powinny być one możliwie skomplikowane, zawierające znaki specjalne, takie jak $%&!. Jednym ze sposobów jest wstawienie pierwszej i ostatniej litery nazwy strony na początku hasła i uzupełnienie go uprzednio wymyślonym i zapamiętanym zestawem liter. W ten sposób powstanie unikatowe i złożone hasło, które jednak łatwo zapamiętać".

Fragment blogu Rika Fergusona, dyrektora działu badawczego bezpieczeństwa i komunikacji w firmie Trend Micro.

Podobnie do serwisów mikroblogowych, takich jak Twitter, może posłużyć do rozpowszechniania złośliwego oprogramowania za pomocą wiadomości wysyłanych wewnątrz serwisu.

Początkowo najprostszym sposobem było wysyłanie linków prowadzących do stron hostujących eksploity. Kolejnym etapem było umieszczanie obcego kodu na stronach Facebooka. Jest to skuteczny mechanizm, w którym cyberprzestępcy mogą posłużyć się dowolną podstawioną firmą emitującą reklamy lub umieszczającą aplikacje. Luka ta jest często wykorzystywana, gdyż Facebook nie ma kontroli nad umieszczanym przez zewnętrznych deweloperów kodem, ponadto każdy z deweloperów może korzystać z dowolnego dostawcy reklam. O ile jednak aplikacje umieszczane na Facebooku nie trafiają bezpośrednio do użytkowników, o tyle nie można tego powiedzieć o wiadomościach.

Mechanizm wiadomości Facebooka nadaje się do rozsiewania złośliwego oprogramowania, gdyż umożliwia wysłanie treści do dowolnej osoby, która wcale nie musi być znajomym. Oczywiście, system zawiera parser, który ma zapobiegać przesyłaniu załączników, ale prosta modyfikacja żądania POST (dodanie spacji na końcu wartości przesyłanej w parametrze "filename") umożliwia ominięcie tego zabezpieczenia. W ten sposób można przesłać dowolny załącznik, włącznie z programem wykonywalnym, który służy do infekcji złośliwym oprogramowaniem. Facebook początkowo lekceważył zgłoszenia o błędzie w kodzie aplikacji, ale kilka dni temu po cichu zaktualizował swoje oprogramowanie, by uniemożliwić ominięcie parsera. Menedżer bezpieczeństwa Facebooka Ryan McGeehan twierdzi, że atak wykorzystujący taką podatność wymagałby użycia socjotechniki i umożliwiałby wysłanie pliku tylko do jednej osoby za każdym razem.

Niebezpieczeństwo związane z atakami korzystającymi z podobnych mechanizmów polega na tym, że napastnik może przeprowadzić precyzyjny atak, kierowany przeciw konkretnej osobie. Mechanizm ten mógłby być podobny do skomplikowanego ataku przeciw RSA w marcu bieżącego roku.

Fałszywy znajomy wysysa informacje

Największym bogactwem serwisów społecznościowych są użytkownicy. Umieszczają oni bardzo wiele informacji, przy czym nadal przejawiają zbyt duże zaufanie do osób, którym wszystko ujawniają. W ciągu ostatnich kilku lat nastąpiła znacząca poprawa, polegająca na możliwości ograniczenia dostępu wyłącznie dla grupy znajomych. Nadal jednak takie informacje można łatwo pozyskać, podając się za znajomego.

Aby efekt skali był odpowiednio duży, operacje musi wykonywać automat zwany botem. Badacze z uniwersytetu w Brytyjskiej Kolumbii zorganizowali hordę 102 fałszywych znajomych, by udowodnić, że sieci społecznościowe nadal są podatne na infiltracje na szeroką skalę. Podczas trwającego osiem tygodni eksperymentu wysłano zgłoszenia do 5035 losowo wybranych użytkowników, pozyskano 250 GB informacji od tysięcy użytkowników, profile generowane przez boty zostały dodane do grupy znajomych przez ponad 3 tys. ludzi, ogólna sieć uzyskała zasięg rzędu miliona profili. Współczynnik akceptacji zgłoszeń dodania do znajomych wynosił około 20%, przy czym profile żeńskie wykazały się większą skutecznością niż męskie. Skuteczność ta trzykrotnie wzrastała, gdy boty wysyłały zgłoszenia znajomym znajdującym się już w kręgu znajomych osób, które wcześniej zaakceptowały tę wirtualną znajomość.

Aby utworzyć taką sieć botów, badacze Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov oraz Matei Ripeanu, wykorzystali oprogramowanie, które podaje się za człowieka. Gdy ofiara dodała profil do grupy znajomych, bot uzyskiwał dostęp do informacji, które nie były dostępne w inny sposób. Sieć botów pozyskała adresy poczty elektronicznej, numery telefonów, daty urodzenia, płeć, miejsce pracy, szkoły, do których dana osoba uczęszczała, stan cywilny, adres pocztowy, kontakt na komunikatorze internetowym oraz inne informacje osobiste o wartości rynkowej, mogące posłużyć do profilowania i wielkoskalowych kampanii spamowych, jak również phishingowych. Badacze informują także, że podobne boty podające się za człowieka (nazywane socialbot) można kupić na podziemnej giełdzie za około 29 USD sztuka.

Badacze wybrali przeprowadzenie takich testów właśnie na Facebooku, gdyż uważali, że jest to jeden z trudniejszych celów. Praktyka pokazała jednak, że obecne zabezpieczenia są niedostateczne, gdyż Facebook Immune System (FIS), który ma za zadanie chronić przed niepożądaną aktywnością, zablokował jedynie 20 profili (20%), przy czym jedynym powodem reakcji było zgłoszenie spamu przez prawdziwych użytkowników. Badacze uważają, że "brak dowodów wykrycia fałszywych profili samodzielnie przez FIS, a jedynie poleganie na zgłoszeniach użytkowników świadczy, że FIS polega głównie na użytkownikach serwisu. Może być to potencjalna luka w bezpieczeństwie Facebooka".

Dokumenty opisujące atak zostaną przedstawione na 27 konferencji Annual Computer Security Applications Conference jeszcze w tym roku.

Rzecznik Facebooka w informacji prasowej podaje w wątpliwość metodologię stosowaną przez badaczy i wskazuje, że zablokowaniu podległoby o wiele więcej profili, ale połączenia pochodziły z zaufanego adresu IP związanego z uniwersytetem. Z kolei badacze twierdzą, że przerwali eksperyment, dlatego że generował zbyt duży ruch internetowy.

Facebook i Anonimowi

Chociaż w mediach od kilku miesięcy pojawiały się informacje o planowanym na 5 grudnia ataku Anonimowych na portal Facebooka, nic takiego nie nastąpiło. Grupa sieciowych aktywistów odcięła się od tych informacji, podając, że zachęcanie do ataku nie ma nic wspólnego z działaniem Anonimowych, ale jest jedynie samodzielnym działaniem pojedynczej osoby. Na profilu AnonOps prowadzonym w serwisie Twitter poinformowano, że nie powinno do tego dojść - "nie «zabijamy» posłańca, to nie jest w naszym stylu". Jak podaje Cnet, człowiek, który stał za promowaniem ataku, odmawiał zaprzestania tego procederu, zatem w akcie zemsty Anonimowi opublikowali jego nazwisko oraz dane kontaktowe, w tym numer telefonu.

Nie znaczy to jednak, że Anonimowi nie prowadzą działalności związanej pośrednio z Facebookiem. Jedną z takich akcji było opublikowanie skradzionych wiadomości e-mail z firmy HBGary Federal, która współpracuje z resortem obrony USA. W tych wiadomościach znalazły się plany infiltracji Facebooka za pomocą fałszywych profili, by pozyskać informację, w celu aresztowania działających anonimowo w Internecie dysydentów i aktywistów. Informacje te się potwierdziły, gdy sztab generalny amerykańskiego wojska udzielił kontraktu firmie Ntrepid na utworzenie oprogramowania tworzącego fałszywe profile w serwisach społecznościowych, na których terroryści rekrutują ludzi i zbierają środki na swą działalność. Kontrakt ten jest wart 2,7 mln USD.

Swastyka i skradzione hasła

Grupa hakerów o nazwie "Team Swastika" opublikowała w serwisie Pastebin listę haseł umożliwiających rzekomo przejęcie ponad 10 tys. kont na Facebooku. Krótkie poszukiwania prowadzone przez Rika Fergusona doprowadziły jednak do wcześniejszej publikacji grupy Hp-Hack pochodzącej z Arabii Saudyjskiej. Lista zawierała te same hasła co w publikacji grupy Team Swastika, większość z nich była bardzo prosta, pochodziła wprost z imienia lub pseudonimu danej osoby. Chociaż dział bezpieczeństwa Facebooka twierdzi, że lista ta nie jest związana z żadnym z kont, należy zwrócić uwagę, że istnieje dość duże prawdopodobieństwo, iż dana osoba posiada to samo hasło do różnych serwisów. Jeśli na tej liście znajdowało się hasło do konta poczty elektronicznej, możliwy jest atak polegający na przejęciu konta i resecie hasła do wielu innych usług.

Procedura resetu hasła wymaga podania "pytań bezpieczeństwa". Aby pytania te były rzeczywiście bezpieczne, należy wybierać te, do których odpowiedzi nie można znaleźć w żadnym serwisie społecznościowym. Najlepiej, by jedyną osobą, która zna prawidłową odpowiedź, był użytkownik.

Nie wolno jednak zapominać, że nawet standardowe pytania mają sens. "Jeśli musisz wykorzystać standardowe pytania, takie jak nazwa pierwszej szkoły lub imię domowego zwierzaka, pamiętaj, że odpowiedź wcale nie musi być prawdziwa. Wystarczy, by była łatwa do zapamiętania" - uważa Rik Ferguson, dyrektor działu badawczego bezpieczeństwa i komunikacji w firmie Trend Micro.


TOP 200