Dlaczego jest niebezpiecznie? Wyobraź sobie babkę z rodzynkami. System operacyjny np. Windows to ciasto, programy na nim uruchamiane to rodzynki. Analogicznie ciastem jest też Facebook, a Facebook Apps, czyli skrypty na nim uruchamiane to rodzynki. Facebook Apps siedzą w Facebook’u tak jak programy w Twoim Windows. Subtelną różnicą jest to, że Facebook nie jest wyposażony w system antywirusowy, a Twój Windows najprawdopodobniej tak.

Obiecałem kiedyś, że napiszę coś więcej o wielkim Facebook’owym “Boom!” jakie ma właśnie miejsce od niedawna w Polsce, ale również na całym świecie. Przepraszam, że rozczarowuję może co niektórych, bo nie piszę o tym jak Facebook wpływa na rozwój psychiczny młodego człowieka, jak straszliwie pożera jego wolny czas i jaki to jest zły i demoralizujący. Nie o tym.

Bezpieczeństwo za czasów NK

Jeszcze za czasów kiedy Nasza Klasa raczkowała w Polsce i ludzie powoli poznawali o co tak na prawdę chodzi z tymi portalami społecznościowymi, strony z tech-nowinkami zasypywały nas artykułami o niebezpieczeństwie naszych danych osobowych i o tym w jaki sposób nieprzyjaźni nam ludzie mogą ich użyć. Słyszeliśmy o tym, że podawanie do wglądu wszystkim takich danych jak szkoły, miejsca pracy, miejsca zamieszkania umożliwiają na szybkie zlokalizowanie delikwenta w realnym świecie przez pierwszego lepszego internautę. Nie trzeba też do nikogo dzwonić na telefon domowy, aby sprawdzić czy jest w domu. Naszoklasowicz sam pochwali się w eterze, że wyjeżdża z całą rodziną na Majorkę, wysyłając nieświadomie sygnał, że chata stoi pusta. Potrzeba było czasu, aby Ci mądrzejsi i ostrożniejsi dostrzegli podatność własnego bezpieczeństwa i ją załatali stosując zasadę ograniczonego zaufania. Dla niepohamowanych, internetowych ekshibicjonistów stworzono także profile prywatności, tak aby ostrożny o swoje bezpieczeństwo jegomość mógł kontrolować do jakiej granicy mogą jego zdjęcia i dane osobowe docierać, zakładając, że portal społecznościowy dba o bezpieczeństwo danych zgromadzonych na serwerach systemu teleinformatycznego. Świadomość jest, zrobiło się bezpieczniej, ale znów do czasu.

Era Facebook’a erą nowych zagrożeń

Facebook poczęstował swoich użytkowników aplikacjami, głównie dzięki którym ten serwis społecznościowy odniósł tak wielki sukces. Są to niewielkie skrypty, dzięki którym użytkownicy tej społeczności mogą brać udział w grach, quizach itp. Sęk w tym, że aplikację podobną do FarmVille, Phrases czy CheckYourBMI może napisać każdy. Zarówno Ty jak i cyberprzestępca, który widzi w Facebook’u nie tylko zabawę. Twórca tego portalu stworzył maszynę, która dzięki milionom ludzi zaczęła sama się rozbudowywać o kolejne klocki w postaci aplikacji. Na początku tego artykułu porównałem Facebook do systemu operacyjnego bez antywirusa. Jest to analogiczne z dwóch przyczyn. Po pierwsze Twój program antywirusowy zainstalowany w systemie w 99% nie wykrywa złośliwości kodu aplikacji facebook’owych. Dzieje się tak dlatego, że te aplikacje nie mają zamiaru wykraść danych z Twojego komputera, ani uszkodzić Twojej przeglądarki internetowej, a tego przede wszystkim strzegą antywirusy. Po drugie, aplikacje działają w Facebook’u tak jakby w wyższej warstwie dzięki FBML i FBJS, udostępnionemu API do programowania tych aplikacji. Skryptom tym zależy wyłącznie na pełnym dostępie do Twojego profilu, a w szczególności chcą pobierać dane o Twoich zdjęciach, albumach, ścianie informacyjnej, znajomych, aktualnym statusie. To nie wszystko. Chcą mieć możliwość publikowania postów na Twojej tablicy, wysyłać wiadomości do znajomych, dodawać Cię do grup itd. To zespół Facebook’a powinien kontrolować zamiary tych aplikacji, czyli być tym antywirusem. Rzeczywistość jednak pokazuje, że kontrola tych aplikacji przez Facebook’a jest bardzo pobieżna. Działa już prawie pół miliona różnych aplikacji i codziennie pojawiają się nowe. Niestarannie sprawdzone aplikacje lub w ogóle nie zweryfikowane otwierają bramę do ataku. Nie zostaną oszczędzone Twoje prywatne galerie zdjęć udostępnione tylko znajomym, lista Twoich znajomych, miejsce zamieszkania, czy facebookow’y mechanizm wymiany wiadomości.

Ciekawość jest silniejsza

Starannie skonfigurujesz politykę prywatności w swoim profilu, zaznaczysz co ludzie i znajomi mogą, a czego nie mogą na Twoim internetowym kawałku podłogi, mam na myśli Twój profil. Z przykrością muszę stwierdzić, że statystycznie rzecz ujmując, z prawdopodobieństwem większym niż połowa złapiesz się w pułapkę, bo kto oprze się takiemu wyzwaniu jak filmik pod tytułem “Nie wytrzymasz do 25 sekundy!” i nie kliknie w link, aby mu sprostać. Po uruchomieniu aplikacja najprawdopodobniej roześle do wszystkich Twoich znajomych wiadomość o Twoim wspaniałym odkryciu, opublikuje na Twojej tablicy informację jak bardzo wstrząsnął Tobą ten 25 sekundowy filmik, być może zapisze Twój e-mail w swojej bazie na przyszłość, a przy okazji wyświetli Ci dużą reklamę środka na potencję. Reakcją łańcuchową skrypt zdobędzie popularność bez Twojego większego wkładu własnego. Hackerzy już dawno zauważyli, że internautom znudziło się rozsyłanie spamerskich łańcuszków na GG, a Facebook ze swoją potężną bazą aktywnych użytkowników stał się idealnym podłożem do rozwoju tego typu bakterii. Czy zwrócisz choć chwilę uwagi na to, na co zezwalasz? To nie kolejny regulamin, na który zgadzasz się zakładając sobie e-mail na Onecie. Tu powierzasz swoje dane np. mojej skromnej osobie. Czy aż tak mi ufasz?

Programiści pracujący nad bezpieczeństwem przeglądarek internetowych dwoją się i troją, aby zapewnić najwyższy poziom bezpieczeństwa w Internecie nawet na tych stronach ze złośliwymi skryptami. Internauci jednak pokazują, że to jednak za mało. Stopień determinacji w uzyskaniu dostępu do nadzwyczajnego znaleziska jak na przykład właśnie taki 25 sekundowy filmik sięga daleko. Ostatnio na ścianie aktualności w Facebook spotkałem się z linkami “Lubię to” do aplikacji, która kazała wykonywać dziwne zabiegi z przeglądarką. Już samo uruchomienie aplikacji otwierało hackerom drogę do różnych danych, ale to jeszcze za mało. Użytkownik przed obejrzeniem filmu musiał skopiować i wkleić do paska adresu odpowiednio spreparowany link, wyraźnie zaznaczony na stronie aplikacji. Jak łatwo się domyśleć zawierał on złośliwy kod JavaScript, który był już zagrożeniem nie tylko dla naszego profilu na Facebook, ale także dla naszej przeglądarki i danych zgromadzonych na naszym komputerze. Spotkałem również strony aplikacji, które zawierały krótki kurs kiedy nacisnąć CTRL+C, kiedy CTRL+V i ENTER, aby wyświetlić upragniony film, co także wstrzykiwało do przeglądarki złośliwy JavaScript. Hackerzy stosują też różnego typu ankiety zanim i tak nie udostępnią Wam tego na co czekacie. To niesamowite jak trudno się zorientować, że w coś nas tu wrabiają, ale o tym poniżej.

Bezmyślność nie ma granic

“Only two things are infinite, the universe and human stupidity, and I’m not sure about the former.” Albert Einstein.

Sam korzystam z Facebook’a i wiem jak potężny potencjał ma ten serwis. Być może wykorzystam go kiedyś do własnych celów zarobkowych, napiszę wspaniałą aplikację i sprzedam ją za miliony. A może reklama w tym serwisie przyniesie mi kokosy. Ale nie do tego zmierzam. Obserwuję zachowanie internautów, w tym w większości moim znajomych. Zatrważająca większość z nich, studentów, osób wykształconych, bez względu na wyznanie i średnią ocen na studiach, z wielkim zapałem publikowała na NK magiczne wpisy mające usunąć Śledzika, więc i tutaj na Facebook’u nie spodziewałem się po nich zbytniej dojrzałości w zabawie z tym portalem. Ostatnio na Wykop.pl znalazłem coś takiego: hasło nie wyświetla się na facebooku :). Zrobiłem podobny test w swoim profilu i nie musiałem długo czekać na podsyłane mi w komentarzach hasła mające magicznie zmienić się w gwiazdki. Znajomi szybko je usuwali, a potem zmieniali swoje hasło nie wierząc w swoją głupotę. Wszystkie hasła oczywiście pomimo ich usunięcia z Facebook’a zostawały w powiadomieniach mail wysyłanych do mnie na skrzynkę. Aż kusi, żeby sprawdzić czy znajomy nie był na tyle leniwy, żeby ustawić identyczne hasło do innych usług  w Internecie.

Facebook niebezpieczny nie tylko dla początkujących

Jeśli jeszcze czytasz ten artykuł to znaczy, że jeszcze się na mnie nie obraziłeś/aś, albo czekasz na przepraszam. Masz rację, nie wszyscy są lekkomyślni i nie mały odsetek z nas zastanawia się co robi, w tym zapewne Ty. Jednak powiem Ci z autopsji, że nawet wzmożona czujność może nie wystarczyć. Przed Tobą atak typu “clickjacking”. W skrócie polega on na wykorzystaniu luk w przeglądarkach internetowych i witrynach, polegający stworzeniu niewidocznego lub widocznego bardzo krótko odnośnika i podsuwaniu go użytkownikowi zamiast prawidłowego łącza. Kliknięcie go może zostać wykorzystane na przykład do rozpropagowania nielegalnych treści na Facebook’u bez Twojej zgody, pod Twoim nazwiskiem. Atak ma podobny cel do ataku typu Cross-site request forgery. Aby zrozumieć jak dokładnie może działać taki atak obejrzyj poniższy film.

Oprócz tego, że możesz być narażony na atak typu “ClickJacking”, dobrze jest zdawać sobie sprawę z tego, że będąc zalogowanym na Facebook’u jesteś śledzony nie tylko przez Facebook’a. Śledzi Cię ponad 100 tysięcy stron internetowych, które korzystają z wtyczek udostępnianych przez Facebook’a. Witryny takie mają dostęp do wszystkich informacji, które udostępniłeś w profilu z zerowym poziomem prywatności (dla wszystkich). Pozostaje nam się tylko domyślać ile z nich służy przestępcom do agregowania ludzi zainteresowanych daną dziedziną, którzy odwiedzają niepozorną witrynę np. z informacjami sportowymi. Wtyczki społecznościowe działające w setkach tysięcy stron internetowych szukają na naszym dysku pliku Cookie z identyfikatorem sesji utrzymywanej z Facebook’iem. Samo zamknięcie okna z Facebook’iem więc nie wystarcza, a najpewniejszą metodą jest wylogowanie się z tego serwisu na czas surfowania po innych zakamarkach Internetu.

Człowiek najsłabszym ogniwem bezpieczeństwa SI

Zdaję sobie sprawę, że nie wyczerpałem na pewno tematu bezpieczeństwa związanego z aplikacjami i pluginami Facebook’a. Człowiek zawsze był i będzie najsłabszym ogniwem w mechanizmie bezpieczeństwa systemu informatycznego i tego problemu nie wyeliminują całkowicie nawet największe starania programistów. Zacznij więc od siebie, a unikniesz przykrych niespodzianek.