This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Facebook confiesa - red admite violada, culpa a "Java en el navegador"

Filed Under: Facebook, Featured, Privacy, Vulnerability

Hay una escena en la película La Red Social donde Mark Zuckerberg está discutiendo con Eduardo, su director financiero.

Eduardo acaba de congelar cuenta de Facebook banco.

El plan es para llamar la atención de Zuckerberg y tratar de conseguir Zuck espalda a lo que Eduardo piensa que es el buen camino.

Pero Zuckerberg está furioso.

Él piensa que podría terminar con una cuenta sin pagar y por lo tanto una caída de la red, y eso no puede ser!

Zuck diatribas:

Déjame que te diga la diferencia entre Facebook y todos los demás: NO CRASH EVER!

No es más que una película, por supuesto.

En la vida real no es cierto que nunca Facebook se cae, pero si tenemos en cuenta su tamaño y la actividad en línea que da soporte, uptime de Facebook y la disponibilidad es asombrosa. Stellar. Intergaláctico, incluso.

La versión cinematográfica de Zuckerberg sigue explicando:

Si los servidores están inactivos, incluso para un día, toda nuestra reputación está irreversiblemente destruida. Los usuarios son volubles ... Incluso algunas personas que salen repercutiría a través de la base de usuarios.

Pero, ¿qué acerca de cómo obtener propiedad de los hackers?

¿Qué efecto cree que podría tener?

Si usted es el más importante del mundo de la red social, y si la recolección, almacenamiento y uso de la información personal de otras personas es su pan de cada día?

Para el carro, porque estamos a punto de averiguarlo.

Facebook acaba de publicar un artículo titulado Protección de las personas en Facebook , y no cubre lo que se podría esperar en un principio cuando se ve el título.

Claro, que comienza optimista suficiente:

Facebook, al igual que todos los servicios de internet significativa, con frecuencia dirigidos por aquellos que quieren perturbar o acceder a nuestros datos y la infraestructura. Como tal, estamos invirtiendo mucho en la prevención, detección y respuesta a las amenazas que se dirigen a nuestra infraestructura, y nunca dejar de trabajar para proteger a las personas que utilizan nuestro servicio.

Pero eso es seguido por una pista de lo que está por venir:

La gran mayoría de las veces tenemos éxito en la prevención de daño antes de que ocurra, y nuestro equipo de seguridad trabaja para investigar de manera rápida y efectiva y detener el abuso.

Y entonces la bomba. OK, no es realmente una bomba. Vamos a ser justos y decir que es en realidad una admisión bastante sincero para que la empresa merece al menos un gesto de respeto:

El mes pasado, Facebook Seguridad descubrimos que nuestros sistemas habían sido blanco de un ataque sofisticado. Este ataque se produjo cuando un puñado de empleados visitado un sitio web de desarrolladores móviles que se ha visto comprometida. El sitio web comprometido organizó una hazaña que luego se dejó de software malicioso para ser instalado en estas computadoras portátiles de los empleados.

Más adelante en el artículo, Facebook afirma que "ha encontrado evidencia de que los datos de Facebook los usuarios se vio comprometida", y como por lo que vale la pena, estoy dispuesto a aceptar esa afirmación.

Los ladrones tenían un Java de día cero a su disposición, y esta hazaña dejó infiltrar la red de Facebook e inyectar malware.

Pero la empresa dice que fue con todos los parches y anti-virused, y suena como si el malware que siguió a la hazaña fue descubierto de forma rápida y limpia, sin daño permanente.

Sólo una sugerencia para los desarrolladores de Facebook: ¿por qué no leer Seguridad desnudo?

Les hemos dado un montón de buenas razones para desactivar Java en su navegador , a partir de mediados del año pasado.

Eso por sí solo podría tener eludió este problema.

Aunque sólo sea utilizando un navegador con click-to-play (para que los applets de Java y Flash, entre otros, no pueden lanzar silenciosamente en el fondo de las páginas web comprometidas) seguramente habría sido suficiente.

Supongo que ahora, pero yo estaría muy sorprendido si el sitio web de desarrolladores móviles aludido más arriba en realidad requiere Java, por lo que no habría habido ningún motivo para tener Java activado para ese sitio.

Del mismo modo, el sitio web de desarrolladores móviles podría haber considerado el uso de Internet saliente o el filtrado de paquetes para bloquear la salida de los applets de Java si, de hecho, su sitio nunca se suponía que ellos sirven en el primer lugar.

→ tecnología IPS se lo suele considerar como una forma de mantener a los malos a cabo, entre otras cosas porque es sinónimo de sistema de prevención de intrusiones. Pero IPSes más decentes trabajar bidireccionalmente, y puede actuar como EPSes efectivos, o preventores exfiltración, también. Usted filtro de correo electrónico en busca de spam en ambos sentidos (¿no?), Porque usted puede, y porque tiene sentido. Lo mismo se aplica con el tráfico de red en general. Si los chicos malos han conseguido ya, usted puede también evitar que volver a estar tan bien!

Habiendo dicho todo eso, me queda preguntar. Has desactivado Java en su navegador, ¿no?

Si no, aquí está: Cómo desactivar Java en su navegador .

Y no temo que se rompa JavaScript: Java no es JavaScript .

PS Si alguien de Facebook está leyendo esto:. Protección del Pueblo sobre el artículo Facebook está lleno de spam en los comentarios de un tipo más bien odioso y vituperios. (Por lo menos, fue la última vez que miré.) Podría ser una buena idea para eliminar, ver lo popular que el artículo es probable que sea, y que al menos algunos de los visitantes se preocupaba incluso antes de llegar allí.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog