Página principal
| Foro de MundoPC.NET Foros de ayuda | Mapa Web Mapa del sitio  
 | ¡Intercambio de enlaces! |
¿Qué opinas?

¿Qué sistema móvil usas?

Ver resultados

Loading ... Loading ...
Archivos

Facebook y la (in)seguridad: Un resumen


Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha  convertido en un punto de referencia en Internet. En los últimos meses,  además, la seguridad en Facebook ha dado demasiados dolores de cabeza a  la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la  protección del portal.
El problema de Facebook ha sido, históricamente, la privacidad. Un punto  de encuentro tan popular donde 600 millones de personas introducen  tantos datos y fotografías requiere que sus usuarios confíen en el  portal al máximo y además de unos mecanismos y una infraestructura  adecuados que garantice su intimidad. Y Facebook está proporcionando  esta seguridad… poco a poco. Como es habitual, han aprendido a base de  ensayo y error, y cada error ha sido un pequeño golpe a su imagen.  Aunque sí es cierto que no ha sido el centro de enormes escándalos y que  goza de una salud envidiable, sí que se ha visto obligada a ponerse  manos a la obra para mejorar la seguridad global de portal. El 26 de  enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una  serie de problemas y ataques. Repasemos algunos hitos interesantes.

El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba  dos mejoras importantes con respecto a la seguridad.

* La primera es el uso de conexión segura (SSL) no solo a la hora de  introducir la clave, sino durante toda la sesión. Esto es una medida que  llega muy tarde, y en respuesta directa a herramientas como Firesheep.  Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna  varias herramientas de forma muy cómoda. Pone la tarjeta de red del  sistema en modo promiscuo (a “escuchar” todo el tráfico de red local no  segmentada) y extrae automáticamente los datos que le interesan (la  cookie de sesión) de ciertas páginas no protegidas (entre ellas  Facebook) y permite que un usuario suplante la identidad de otros que  naveguen en la misma red local. Esto ya se puede hacer con un sniffer,  un proxy local, envenenamiento ARP, etc… pero Firesheep demostró lo  fácil que puede resultar para cualquiera robar la sesión a través de un  solo click. La solución es también sencilla: cifrar toda la información.  Facebook ha reaccionado permitiendo que toda la sesión se base en SSL,  pero de forma opcional, lo que todavía deja en manos del usuario la  decisión de que su sesión permanezca protegida o no. Es una medida  necesaria pero insuficiente.

Además existe Borogove, otro programa que facilita con mecanismos  similares la obtención de conversaciones de chat dentro de Facebook.  Aunque se supone que debería estar protegido por el cifrado, el sistema  de chateo no funciona correctamente bajo el cifrado.

* Autenticación Social. Esto, en resumen, es eliminar el tradicional  CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar  que eres un ser humano. Troyanos como koobface han demostrado que los  CAPTCHA no son infalibles. Recordemos que el troyano Koobface,  “secuestraba” el sistema y pedía a la víctima la resolución de varios  CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente  para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas  como esclavos o “CAPTCHA brokers”.

Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook  por demostrar que están comprometidos con la seguridad y la privacidad  de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la  categoría “amigos de amigos”), en diciembre de 2009 (facilitó los  controles para proteger la seguridad de las cuentas), etc…

Veamos algunos problemas de  seguridad recientes relacionados con Facebook:

* El 26 de enero la página de fans del propio creador de Facebook, Mark  Zuckerberg, aparece con contenido ofensivo que, evidentemente, no ha  creado él mismo. Se comienza a especular con el hecho de que su cuenta  ha sido comprometida (bien su contraseña, bien su sesión…) pero  finalmente se aclara oficialmente. Un fallo en la API que permite  actualizar el contenido de estas páginas en Facbook, permitía escribir  en cualquiera de ellas sin necesidad de conocer su contraseña. No se  sabe desde cuándo era conocida esta vulnerabilidad, pero fue necesario  que la cuenta del propio creador del portal se modificara para sacarlo  a la luz. En realidad, que el fallo esté en la API deja en mucho mejor  lugar la imagen del propio Zuckerberg de lo que en un principio se  rumoreaba (se supone que Mark sabe de seguridad y cómo proteger sus  cuentas), y un poco peor a los programadores del portal en general.

* Facebook y Twitter se están convirtiendo en plataforma preferida para  difundir ataques, por encima incluso del correo tradicional. El correo  basura se ha reducido un 75% en seis meses. El spam tradicional pierde  efectividad porque cada vez hay mejores filtros en los servidores y  clientes de correo, también porque el internauta se ha concienciado y no  hace caso a los mensajes de publicidad que llegan a su buzón. Pero en  realidad la basura se desplaza, no desaparece. Facebook y Twitter son el  nuevo objetivo de los spammers, entornos que no se contabilizan en las  estadísticas que reflejan el descenso del spam tradicional. Twitter, por  ejemplo, reconoce que ha tenido picos de hasta el 11%, pero que lo ha  reducido al 1%. Esto quiere decir que si mueve 300 millones de mensajes  diarios, tres millones de ellos son basura. En Facebook más del 15% de  los mensajes con enlaces que circulan son spam. En las redes sociales un  gran porcentaje de la gente visita los enlaces (en teoría proviene de  fuentes más confiables), mientras que por correo electrónico apenas  consiguen ratios del 0,00001% de incautos. Así que para conseguir unos  beneficios similares en las redes sociales los atacantes necesitan  enviar mucha menos cantidad de mensajes.

* En los últimos tiempos, se han hecho públicos ciertos “trucos” que  permitían a cualquier usuario obtener información de otros sin necesidad  de que éstos confíen en él. Por ejemplo, muy recientemente se ha  explicado públicamente cómo, con un simple cambio en la URL se puede  acceder a los álbumes de fotos privados de cualquier usuario de  Facebook. Otro problema ha sido el descubierto por Rui Wang y Zhou Li,  que encontraron recientemente la fórmula para que cualquier página  suplantase a otra con permisos para acceder a datos personales. De esta  forma también se podía publicar enlaces fraudulentos en cualquier muro.  Se notificó de manera coordinada a Facebook y lo solucionaron antes de  que se hiciese público. Enlazamos a un vídeo demostración en el apartado  de “Más información”.

En resumen, estos fallos han mermado la confianza de los usuarios en  Facebook, aunque aún no lo suficiente como para que abandonen la  plataforma. En un reciente estudio sobre 1.200 internautas se les  preguntó qué red social les parecía más peligrosa. Un 82% respondió que  Facebook, un 8% que Twitter, otro 8% desconfiaba de Myspace y solo un 2%  de Linkedin. En la misma encuesta realizada en 2010, solo el 60% pensaba  que Facebook era tan peligrosa.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4494/comenta…

Más información:

Facebook flaw allowed websites to steal users’ personal data without consent
http://www.youtube.com/watch?v=chATOThshtY

El envío de ‘spam’ se reduce el 75% en seis meses
http://www.elpais.com/articulo/Pantallas/envi…

Facebook defends security strategy
http://www.theregister.co.uk/2011/01/21/faceb…

Facebook’s Mark Zuckerberg in fan page hack – on Facebook!
http://nakedsecurity.sophos.com/2011/01/26/fa…

Facebook photo exploit allows you to view any albums of non-friends
http://www.neowin.net/news/facebook-photo-exp…

Sergio de los Santos
ssantos[ssantos arroba hispasec.com]

Fuente: http://www.hispasec.com/

Related Posts Plugin for WordPress, Blogger...
Actualizado el 14 febrero 2011 - 23:46

Un comentario para “Facebook y la (in)seguridad: Un resumen”

Deja un comentario