Javán keresztül támadták a Facebookot is
A Java javítatlan biztonsági hibáját kihasználva támadóknak sikerült bejutni a Facebook néhány fejlesztői gépére. A felhasználók adatai (személyes információk, jelszavak) biztonságban vannak, a támadást sikerült időben elszigetelni.
Fejlesztői számítógépei ellen irányuló támadást fedezett fel és szerelt le a Facebook - jelentette be a közösségi oldal. A támadás során felhasználói adatok, személyes információk vagy jelszavak nem kerültek ki, a támadók csak belső céges információkhoz fértek hozzá, az oldalhoz nem. A most is folyó vizsgálat szerint a támadásnak ugyanakkor más webes cégek is áldozatul estek, a hírek szerint nem mindenki úszta meg az adatszivárgást. A közösségi oldal az esetet jelentette a többi áldozatnak és a szövetségi hatóságoknak is.
Célzott támadás helyett itató-vadászat
A támadást a DNS-kérések rendszeres átvizsgálása során találták, egyes belső fejlesztői számítógépek gyanús hálózati forgalmat bonyolítottak, ennek nyomán biztonsági vizsgálatot indított az illetékes csoport. Ennek során kiderült, hogy a számítógépeket úgynevezett "watering hole" támadással sikerült megfertőzni - a név a krokodilok taktikájára utal, amik nem levadásszák az egyes áldozatokat, hanem forgalmas helyen, jellemzően a folyóparton várják az inni vágyó állatokat. A támadók ezúttal nem preparált emailt küldtek, hanem előbb egy forgalmas weboldalhoz (esetünkben egy mobil fejlesztő fórumhoz) fértek hozzá, amelyet fertőzővé tettek, így minden, a biztonsági sebezhetőséggel rendelkező látogató számítógépet képesek voltak elkapni. A Java biztonsági problémái pont az ilyen támadások miatt rendkívül veszélyesek, a lefutó böngészős Java applet a felhasználó megkérdezése nélkül, minden vizuális visszajelzés nélkül tud kártevőt telepíteni.
A Facebook elemzése szerint a támadók annak ellenére tudtak támadó kódot futtatni a fejlesztő számítógépén, hogy arra minden frissítést telepítettek, ráadásul friss antivírus is futott a gépen. A támadó kód azonban annyira újszerű volt, hogy sem a heurisztika, sem az adatbázis-alapú felismerés nem jelezte. A támadók a gép feletti irányítást megszerezve igyekeztek a Facebook hálózatán található további gépekre is tovább terjeszkedni, több fejlesztői noteszgépen sikerült átvenniük az irányítást. Annyira, hogy az ezeken található adatok ki is szivárogtak, elsősorban belső céges levelezés, adatok, email-címek és az oldal kódjának néhány apróbb részlete - a Facebook-felhasználók adatai és az oldal integritása azonban sértetlen maradt.
Megint a Java?
A támadás elemzése során kiderült, hogy a támadók egy Java-sebezhetőségen keresztül jutottak be. A megtalált hibát a Facebook biztonsági mérnökei azonnal jelentették az Oracle felé, a válasz szerint a hiba már korábban ismert volt, a javításon már dolgoznak a szoftverház illetékesei - ezt végül február elsején ki is adták. A közösségi oldal üzemeltetői már korábban elkezdték a Java telepített bázis minimalizálását, így csak azokra a számítógépekre kerül fel a futtatókörnyezet böngészős beépülő modulja, amelyek feltétlenül igénylik azt. Sajnos ilyenből még mindig nagyon sok van, mivel számos belső céges szoftver így, böngészős appletként fut, de már beindult a kezdeményezés ezek visszaszorítására is.
2025: neked mennyi pénzt ér meg a home office? Itt vannak az IT munkaerőpiaccal kapcsolatos 2025-ös prognózisaink.
A Facebook biztonságért felelős felsővezetője, Joe Sullivan ugyanakkor elmondta, hogy nem érdemes hajtóvadászatot indítani a Java ellen, az csupán egy szoftver a sok közül, amely támadásnak teszi ki a végfelhasználókat és cégeket egyaránt. Jelenleg ez számít a windowsos és az OS X ökoszisztéma egyik leggyengébb láncszemének, logikus, hogy a támadók ezt igyekeznek kihasználni. "Ha nem lenne ennyire sebezhető a Java plugin, akkor mást támadnának" - mondja Sullivan.
Nem gyakorlat
A támadás nagyon hasonlít a Facebook által tavaly ősszel végzett biztonsági válsággyakorlatra, amelyben a biztonságért felelős csoport reakcióit vizsgálták egy kritikus szituációban. Az akkori forgatókönyv szerint a támadók teljes hozzáférést szereztek a közösségi oldal kódjához és saját backdoort üzemeltettek a szervereken. A gyakorlatot akkor azzal tették életszerűvé, hogy a résztvevőket nem avatták be, így a csapat valódi krízisként érzékelte a szituációt.