This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Facebook detém-se - rede admite violado, culpa "Java no navegador"

Filed Under: Facebook, Featured, Privacy, Vulnerability

Há uma cena no filme A Rede Social , onde Mark Zuckerberg está discutindo com Eduardo, seu CFO.

Eduardo acabou congelado conta do Facebook banco.

O plano é para chamar a atenção de Zuckerberg e tentar obter Zuck costas para o que Eduardo acha que é o reto e estreito.

Mas Zuckerberg é irado.

Ele acha que pode acabar com uma factura e, portanto, uma interrupção da rede, e que não vai fazer!

Rants Zuck:

Deixe-me dizer a diferença entre o Facebook e todos os outros: NÓS NÃO CRASH EVER!

É só um filme, é claro.

Na vida real, não é verdade que nunca Facebook vai para baixo, mas quando você considerar o seu tamanho e da atividade online que apoia, o tempo de atividade do Facebook e disponibilidade é espantosa. Estelar. Intergalactic, mesmo.

A versão cinematográfica de Zuckerberg passa a explicar:

Se os servidores estão para baixo, mesmo para um dia, toda a nossa reputação é irreversivelmente destruída. Usuários são inconstantes ... Até mesmo algumas pessoas que deixam que reverberam através da base de usuários.

Mas o que sobre a obtenção de propriedade de hackers?

Qual o efeito que você acha que poderia ter?

Se você é a maior rede social do mundo, e se recolha, armazenamento e uso de informações pessoais de outras pessoas é o seu pão e manteiga?

Segure seus cavalos, porque estamos prestes a descobrir.

Facebook acaba de publicar um artigo intitulado Proteção de pessoas no Facebook , e ele não cobre o que você poderia esperar a princípio, quando você vê o título.

Claro, ele começa otimista o suficiente:

Facebook, como qualquer serviço de internet significativa, é freqüentemente alvo de quem quer perturbar ou acessar nossos dados e infra-estrutura. Como tal, investimos fortemente na prevenção, detecção e resposta às ameaças que visam a nossa infra-estrutura, e nunca parar de trabalhar para proteger as pessoas que usam o nosso serviço.

Mas isso é seguido por uma dica do que está por vir:

A grande maioria das vezes, nós somos bem sucedidos na prevenção de danos antes que aconteça, e nossa equipe de segurança funciona de forma rápida e efetivamente investigar e parar de abuso.

E então a bomba. OK, não é realmente uma bomba. Vamos ser justo e dizer que é na verdade uma admissão muito franca para que a empresa merece pelo menos um aceno de respeito:

No mês passado, o Facebook Security descobriram que os nossos sistemas havia sido alvo de um ataque sofisticado. Este ataque ocorreu quando um punhado de funcionários visitaram um site do desenvolvedor móvel que estava comprometida. O site comprometido hospedado um exploit que depois deixou de malwares para ser instalado nesses laptops de funcionários.

Mais tarde, no artigo, o Facebook afirma que "encontrou nenhuma evidência de que os dados do usuário do Facebook foi comprometida", e e por que vale a pena, eu estou disposto a aceitar essa reivindicação.

Os bandidos tinham um Java zero-day à sua disposição, e esta façanha deixá-los infiltrar rede do Facebook e injetar malware.

Mas a empresa diz que foi totalmente atualizado e anti-virused, e soa como se o malware que se seguiu a façanha foi rapidamente descoberto e limpo, sem nenhum dano duradouro feito.

Apenas uma sugestão para desenvolvedores do Facebook: por que não ler Segurança Nu?

Nós lhe demos um monte de boas razões para desligar o Java em seu navegador , a partir de meados do ano passado.

Isso por si só poderia ter contornou esse problema.

Mesmo usando apenas um navegador com click-to-play (assim que os applets Java e Flash, entre outros, não pode lançar silenciosamente em segundo plano a partir de sites comprometidos) certamente teria sido suficiente.

Estou descobrindo agora, mas eu ficaria muito surpreso se o site do desenvolvedor móvel aludido acima Java realmente necessário, portanto, não teria havido nenhuma razão para ter Java ligado para o site.

Da mesma forma, o site do desenvolvedor móvel poderia ter considerado usando web de saída ou de filtragem de pacotes para bloquear a saída de applets Java se, de fato, o seu site nunca deveria servir-los em primeiro lugar.

→ tecnologia IPS é geralmente considerado como uma forma de manter os bandidos fora, até porque ela representa para o sistema de prevenção de intrusões. Mas IPSes mais decentes trabalhar bidirecionalmente, e pode agir como EPSes eficazes ou preventivos exfiltração, também. Você e-mail filtro de spam para os dois lados (não é?), Porque você pode, e porque faz sentido. O mesmo acontece com o tráfego de rede em geral. Se os bandidos já entrou, assim como você pode impedi-los de voltar para fora também!

Dito tudo isso, resta-me pedir. Você desativou Java em seu navegador, não é?

Se não, você está aqui: Como desativar o Java no seu browser .

E não temem que você vai quebrar JavaScript: Java não é JavaScript .

PS Se alguém do Facebook está lendo isso:. Popular Proteger no artigo Facebook está repleto de spam de comentários de uma espécie bastante odioso e injurioso. (Pelo menos, foi quando última vez que olhei.) Pode ser uma boa idéia para removê-lo, vendo o quão popular o artigo é provável que seja, e que pelo menos alguns dos visitantes vão estar preocupado antes mesmo de chegar lá.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog