:

Szerző: Dojcsák Dániel

2010. július 6. 13:24

Jókat lehet kukkolni Facebookon, ha ügyes vagy

A Facebook sokkal komplexebb felépítésű, mint az iWiW, aminek általában örülni szoktunk. A végtelen lehetőségek között ugyanakkor tucatnyi rés tárul fel, ahol a kíváncsi vagy rosszindulatú felhasználók adatokat lophatnak el másoktól, még akkor is, ha azt hisszük, jól védekezünk.

A HWSW a múlt héten fedezett fel egy jelentős hibát, amivel sokak Facebookos fotóalbumaihoz hozzá lehet férni még akkor is, ha az letiltotta, hogy a profilján keresztül azok láthatóak legyenek. A profilképek ugyan minden esetben publikusak, de a személyes albumok hozzáférését a beállítások között egyetlen kattintással lehet korlátozni. Kiválasztható, hogy az albumokhoz senki ne férjen hozzá, csak az ismerőseink, illetve azt, hogy ismerőseink ismerősei, vagy esetleg bárki. Azok után, hogy a Facebook kapcsán számos probléma merült fel, s hónapokig a különböző privát szférát érintő problémákon lovagolt világszerte a média, illetve a jogvédő szervezetek, egyre többen odafigyelnek ezekre a beállításokra, de a kíváncsiskodóknak és perverzeknek ettől még ugyanúgy ajándékbolt az oldal, ha elég türelmesek és kitartóak.

Kémkedj bárki után!

Az iWiW esetében valószínűleg mindenki tisztában van azzal, hogy bárki megnézheti a képeket, aki regisztrált tagja az oldalnak. A Facebook esetében azonban lehetőség van olyan korlátozásra, amely a biztonság hamis illúzióját kelti. Hiába korlátozza valaki az elérést, némi trükközéssel könnyedén hozzáférhetünk szinte bárkinek a fényképeihez. A módszer lényege, hogy a korlátozás beállításával valójában csak a profiloldalunkról és a keresőből tűnnek el a linkek, amelyek a profilunkba mutatnak, de ha kerülőúton próbálunk bejutni, akkor szabad hozzáférést szerezhetünk az albumokhoz. Ezt az IT-biztonsági szakma támadási vektornak nevezi, vagyis sok esetben a Facebook nem az albumokhoz, mint objektumokhoz tiltja meg a hozzáférést, csak egyes elérési pontokat, vagyis vektorokat szüntet meg, aminek eredményeként más irányokból hozzáférhető maradhat.

A paraguayi aktmodell galériái közvetlenül nem elérhetőek...

A leggyakoribb eset, hogy egy ismerősünk letiltja a fotó albumokat, viszont az üzenőfalához, hírfolyamához meghagyja a hozzáférést. Ha szeretnénk meglelni a fényképeket, mindössze egy kis szorgalomra lesz szükség. Az illető felhasználó adatlapján, illetve hírfolyamában visszafelé el kell kezdeni visszaolvasni, s megkeresni egy olyan értesítést, amiben bármilyen fényképfeltöltésről, vagy fénykép kommentálásáról ad hírt a Facebook automata. A képre kattintva már az albumok belsejében járunk majd, s onnan kifelé könnyen át lehet ugrani az összes album lista nézetébe, s azonnal megjelennek az egyébként elrejtett fényképek.

Ha esetleg a célpont annyira elővigyázatos volt, hogy kikapcsolta a fényképfeltöltésről az értesítéseket, vagy letiltotta a hírfolyam hozzáférést, akkor sem kell feladni, csak el kell könyvelni, hogy egy hosszadalmasabb akció lesz a keresés. Ilyenkor a barátait kell elővenni, s azok hírfolyamában kell megkeresni, hiszen majdnem biztos, hogy valaki lájkolta vagy kommentálta valamelyik fotót, s onnan ismét csak egy kattintás és bent vagyunk a célpont profiljában, illetve az albumok között - a siker annál valószínűbb, minél aktívabb életet él valaki a Facebookon. A módszer a legtöbb esetben ismerősökkel működik, de akár teljesen idegen felhasználókkal is lehet próbálkozni, csak az értelemszerűen sokkal nagyobb, már-már fanatikus kutatómunkát igényelhet, ráadásul a kudarc kockázatával.

...a fotóit mégis megnézhetjük a falon keresztül

Védekezni az ilyen támadások ellen nem bonyolult, egyszerűen rá kell szánni fél órát a biztonsági beállítások átnézésére, de értelemszerűen leginkább nem kell feltölteni olyan fotókat még rejtett albumba sem, amit nem vállalnánk mások előtt. A legmagasabb biztonsági szinten már lehetőség van a jelek szerint arra is, hogy a barátlista se legyen nyilvános, így lehetőség adódik a teljes bezárkózásra. Ez sem akadályozza meg ugyanakkor, hogy egy ismerősnek megmutatott albumból a képek direkt URL-je nem védett, nem védi sem jogosultságkezelés, sem azonosítás, és teljesen szabadon elérhető bárki számára, ha kikerül.

Publikus a privát üzenet tartalma is

Egy másik komoly biztonsági résre a HWSW egyik olvasója hívta fel a figyelmünket. Itt a szituáció az, hogy a Facebook automatikusan a publikus megosztások közé sorolja be azokat a linkeket is, melyeket a felhasználók privát üzenetben küldtek egymásnak. A kísérlethez használjunk egy bármilyen domaint, lehetőleg olyat, ahol nincs semmilyen tartalom, és nem is indexeli a Google, hogy biztosak legyünk benne, hogy az adatok csak rajtunk keresztül áramolnak. Töltsünk fel egy képet, HTML oldalt az oldalra. A linket küldjük át bárkinek privát üzenetben.

Ezt követően elméletileg biztosnak kellene lenni abban, hogy ez a dokumentum csak a címzetthez jutott el, de valójában az adott domain teljesen publikus Link API-jába is bekerült, ami azt jelenti, hogy nem csak a Facebookon, de a weben bárhol megjeleníthető automatikusan. Egy extrém példát említve, ha mi a HWSW webszerverére feltöltenénk egy kényes képet, természetesen olyan alkönyvtárba, ami a publikusan meglelhető tartományon kívül van, majd Facebookon átküldenénk egymásnak, akkor ha valaki a saját weboldalába egy HWSW Links API-t ágyazott be, akkor az ő oldalán egy perc múlva ott díszelegne a link, teljes hozzáféréssel. Igaz, a teszt során kiderült, hogy ez egy alacsony prioritású megosztás, tehát ahol van elegendő aktuálisabb, sok ember által megosztott tartalom, ott ez nem kerül be a feedbe.


A fenti widget tartalmának megtekintéséhez be kell lenned jelentkezve Facebookra

Ez szándékos visszaélésre így nehezen használható, bár jól megtervezett esetben ez is elképzelhető. Viszont véletlen kríziseket nagyon könnyen okozhat. A figyelmetlen dolgozók könnyen tehetik közszemlére intim dokumentumaikat. A veszély kivédésére egyelőre egyetlen módszer kínálkozik, mégpedig a Facebook üzenet szolgáltatás mellőzése személyes dokumentumok megosztásakor.

Adathalász próbálkozások

Szintén aktuális hír, hogy már magyar nyelvű adathalász üzenetek is keringenek a Facebookon, melyek az API-k adatait kihasználva a felhasználóknak olyan üzeneteket küld, amiben tényleg a barátainak a fotói, nevei, képei szerepelnek. A levél névre szóló, s arra buzdít, hogy vedd fel az üzenetben említett ismerőseiddel újra a kapcsolatot, hasonlóan ahogy a Facebook oldalon belül is előfordul ilyen üzenet. A különbség csak annyi, hogy a linkek mögött rosszindulatú oldalak lapulnak.

Az ilyenekbe a laikus felhasználók túlnyomó része automatikusan beleszalad, gyógyír csak az lehet, ha valaki óvatos, s képes felismerni az átveréseket. Az e-mailben érkező Facebook phishing levelek áldozatai nyilvánvalóan azok lesznek, akik egyébként is minden gagyi hoax-levelet is továbbküldenek. A rutin és az évek immúnissá tehetik a felhasználót, de a Facebook robbanása és folyamatos fejlődése miatt tény, hogy az új platform a kedvenc játékszere az online bűnözőknek is.

Vigyázz magadra, nem lesz semmi baj!

A fenti példák mellett még nagyon sok hasonló apró titkot rejthet a Facebook és a hasonló közösségi szolgáltatások. A lehetőség mindig meglesz a hibákra is, illetve arra is, hogy a Facebook kicsit lazábban kezelje a privát szférát, mint ahogy illik, vagy ahogy elvárható lenne. Az egyetlen megoldás az, ha a felhasználók képesek elkülöníteni a magánéletüket és a közösségre is tartozó információkat. A régi mondás, miszerint, ami az internetre felkerül, az ott is marad, nem hogy kikopott volna, de egyre igazabb, azzal a kitétellel, hogy mostmár ha ott van valami, akkor azt látja is mindenki.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról