Vídeo: Артур Джа: Facebook - это просто. Бесплатный отлив и обход селфи (Setembre 2024)
La reputació de Java va tornar a colpejar, després que Facebook revelés que els atacants s'havien infiltrat en els seus sistemes interns després d'explotar una vulnerabilitat del dia zero.
Com va informar PCMag.com ahir a la tarda, Facebook va dir que els seus sistemes havien estat "objectius en un atac sofisticat" al gener. Alguns empleats de Facebook, presumptament desenvolupadors, van ser infectats després de visitar un lloc de desenvolupadors mòbils de tercers, segons va dir la companyia en una publicació de Facebook Security al lloc. Els atacants havien compromès anteriorment el lloc del desenvolupador i havien injectat codi maliciós que explotava un forat de seguretat al connector Java. Va dir que la explotació de zero dies va superar la caixa de sorra de Java per instal·lar el programari maliciós als ordinadors víctimes.
Facebook va informar de la explotació a Oracle, i es va revisar l'1 de febrer. Oracle en aquell moment va dir que la correcció havia estat programada per al 19 de febrer, però havia accelerat l'alliberament perquè s'estava explotant en estat natural. En aquest moment no està clar quina de les 39 (sobre 50) bugs d'Entorn de temps d'execució de Java solucionats en aquest pegat era la que s'utilitzava en aquesta explotació.
Facebook va assegurar als usuaris que cap de les dades de l'usuari no havia estat compromesa en l'atac, però no va indicar si alguna de les seves dades internes s'havia vist afectada.
Twitter l'altra víctima?
Facebook va notificar a altres companyies que havien estat afectades pel mateix atac i van lliurar la investigació a les forces de la llei federals. Si bé la companyia no va identificar altres víctimes, la sincronització de l’atac coincideix amb l’incompliment de Twitter. Les credencials dels usuaris havien estat exposades en aquell atac. Ara que coneixem alguns dels detalls de l’atac a Facebook, té avís críptic l’advertència de Twitter sobre la desactivació dels complements del navegador Java.
Segons ha informat anteriorment SecurityWatch , el director de Twitter de seguretat de la informació, Bob Lord, va dir: "També ens fem ressò de l'assessorament del departament nord-americà de seguretat interna i experts en seguretat per animar els usuaris a desactivar Java en els seus ordinadors".
Piling on AV Not the Point
Facebook va assenyalar que els ordinadors portàtils compromesos "estaven completament enganxats i tenien actualitzat programari antivirus". Alguns experts en seguretat van opinar sobre el fet de reiterar els seus arguments que l'antivirus era un "tecnòleg fallit". Alguns van dir que Facebook hauria de revelar el nom del venedor d’antivirus per tal que altres clients sabessin si corren risc.
La història per centrar-se aquí no és si l'antivirus hauria d'haver detectat l'explotació Java, sinó que Facebook va utilitzar amb èxit la seva defensa en capes per detectar i aturar l'atac. L'equip de seguretat de l'empresa controla contínuament la infraestructura dels atacs i marca el domini sospitós als registres DNS corporatius, va dir Facebook. L'equip el va localitzar a un ordinador portàtil d'un empleat, va trobar un fitxer maliciós després de realitzar un examen forense i va marcar diversos altres ordinadors portàtils compromesos amb el mateix fitxer.
"Els barrets a Facebook per la seva ràpida reacció a aquest atac, el van fer caure al capoll", va dir Andrew Security , director de les operacions de seguretat de nCircle, a SecurityWatch .
Juntament amb la seguretat en capes, Facebook també realitza periòdicament simulacions i exercicis per posar a prova les defenses i treballar amb els informadors d’incidents. Ars Technica recentment va narrar un relat fascinant d’un exercici d’aquest tipus a Facebook on els equips de seguretat van pensar que es tractaven d’un codi d’explotació i backdoor de zero dies. Aquest tipus de simulacions s’utilitzen en diverses organitzacions, tant del sector públic com del privat.
No és tan fàcil desfer-se de Java
Tal com va assenyalar SecurityWatch a principis d’aquest mes, és fàcil aconsellar als usuaris que deshabilitin Java en els seus navegadors, però moltes eines comercials encara confien en el connector Java del navegador. Tot i que no conec cap eina de desenvolupador que requereixi Java al navegador, hi ha moltes altres eines comercials predominants. L'altre dia, vaig tenir problemes per a que WebEx funcionés a Chrome (Java desactivat) i vaig haver de recordar-me per canviar a Internet Explorer (Java habilitat).
Els atacants s’estan fent malament, comprometent els llocs legítims i ataquen els visitants d’aquests llocs. Mantingueu pegat el programari i el sistema operatiu i executeu programari de seguretat actualitzat. Reduïu la superfície d’atac on pugueu, però el més important, tenir consciència del que passa a la vostra xarxa.
