da: = Guerre di Rete -
a cura di Carola Frediani
- 30 settembre 2018
COSA SAPPIAMO DELL’ATTACCO A FACEBOOK
Il 25 settembre Facebook ha scoperto una falla di sicurezza che
riguarda 50 milioni di utenti. Questa falla ha permesso a degli hacker
di impossessarsi dei token di accesso degli utenti, cioè delle chiavi
digitali che mantengono il login di un utente su un servizio senza che
debba reinserire le password. In questo modo gli attaccanti hanno potuto
potenzialmente prendere il controllo di 50 milioni di account, senza
dover accedere direttamente alle loro password - ed è per questo che
Facebook ha specificato chiaramente (qui il comunicato
<
https://newsroom.fb.com/news/2018/09/security-update/>) che non è
necessario cambiare password – (TechCrunch
<
https://techcrunch.com/2018/09/28/everything-you-need-to-know-about-facebooks-data-breach-affecting-50m-users/>).
Infatti Facebook ha chiuso la falla e reso invalidi tutti i token di
accesso interessati, annullando l'attacco in corso. Ciò ha determinato
come conseguenza diretta e visibile che gli utenti interessati sono
automaticamente usciti dal login e hanno dunque dovuto loggarsi di nuovo
negli account. Lo stesso è accaduto per Facebook Messenger e Instagram
se l'account era collegato (nessun coinvolgimento per Whatsapp); e anche
per app e servizi che utilizzavano il Facebook Login, che permettono
cioè di loggarsi attraverso il profilo Facebook. Una volta rientrati
negli account, agli utenti è stata mostrata nel newsfeed una notifica di
spiegazione (ma molti utenti italiani, da una mia ricognizione, non
l'hanno vista questa notifica).
Inoltre Facebook ha fatto un reset dei token di accesso anche di altri
40 milioni di utenti potenzialmente interessati, solo come misura
precauzionale, per un totale di 90 milioni di profili (i 40 milioni sono
profili che avevano usato la funzione Visualizza Come
<
https://www.facebook.com/help/288066747875915> nell'ultimo anno, questo
perché si tratta di una delle funzioni utilizzate nell'attacco, come
vedremo).
*La dinamica di attacco-scoperta-rivelazione*
Facebook ha iniziato a indagare su qualcosa che non andava dal 16
settembre quando ha notato un picco anomalo di attività degli utenti. Ha
capito di che si trattava il 25 settembre. Ha notificato alle autorità,
chiuso la falla (27), invalidato i token (28), per poi avvisare la
stampa: tutto in 4 giorni. Ma la falla era presente dal luglio 2017 e la
domanda cui finora non è stata data risposta chiara è: cosa, quanto e
quando si sono presi gli attaccanti? Cosa è successo cioè tra
quell'intervallo tra luglio 2017 e il 25 settembre in cui Facebook era
inconsapevole della falla? L'attacco è avvenuto solo negli ultimi giorni
o qualcuno potrebbe averlo sfruttato in modo più discreto anche prima?
Finora Facebook si limita a dire che non ci sono prove del fatto che
siano stati visti messaggi privati o altri dati privati. E che non
sarebbero state esposte carte di credito (Ars Technica
<
https://arstechnica.com/information-technology/2018/09/50-million-facebook-accounts-breached-by-an-access-token-harvesting-attack/>).
*Che devono fare gli utenti*
L'indicazione di Facebook è che non è necessario cambiare la password,
come dicevamo; e se le cose stanno come dicono in effetti non serve. Ciò
non toglie che per molti potrebbe essere l'occasione per cambiarla con
una più robusta (e già che ci siamo mettere l'autenticazione a due
fattori, meglio se via app e non sms). Ma dal punto di vista del caso in
questione, meglio allora andare a fare un controllo sulla pagina delle
attività
<
https://www.facebook.com/settings?tab=security§ion=sessions&view>
di login per vedere quali dispositivi si sono connessi e da dove e anche
forzare un logout simultaneo di più dispositivi se non li riconosciamo
(come suggerito tra gli altri da Brian Krebs
<
https://krebsonsecurity.com/2018/09/facebook-security-bug-affects-90m-users/>).
Un controllo salutare, anche se l'assenza di attività sospette non
garantisce di essere passati indenni attraverso l'attacco. Insomma,
dobbiamo tenerci una buona dose di incertezza.
*Come è stato condotto l’attacco*
La falla è collegata alla funzione e pagina "Visualizza come" (in
questo momento sospesa) che permette di vedere il proprio profilo come
lo vedrebbe un altro specifico utente Facebook (un caso classico di
utilizzo era sull'ex o su qualcuno cui si voleva limitare la visuale
sulla propria vita). Ed è collegata anche a uno strumento usato per
caricare i video di Buon Compleanno. E si compone dell'interazione
complessa di tre bachi. Il primo fa comparire per errore il suddetto
tool di upload video nella pagina Visualizza Come. Il secondo fa sì che
lo strumento, il tool di upload, generi un token di accesso. Il terzo,
nel momento in cui il tool appare nella pagina Visualizza Come, fa
generare un codice di accesso per la persona che si stava esaminando.
(Wired
<
https://krebsonsecurity.com/2018/09/facebook-security-bug-affects-90m-users/>).
O per dirla con le parole di Facebook: "È stata la combinazione di
questi tre bachi che è diventata una vulnerabilità: quando usavi la
funzione Visualizza come per vedere il tuo profilo come lo vedrebbe un
amico, il codice non rimuoveva lo strumento per augurare ad altri buon
compleanno; il video uploader generava un token di accesso quando non
avrebbe dovuto; e quando il token era generato, non era per te ma per la
persona su cui stavi facendo il controllo Visualizza come". A quel punto
gli attaccanti potevano estrarre il token di accesso e usarlo per
loggarsi come un altro utente, e poi andare avanti di profilo in profilo
allo stesso modo (vedi documento Facebook intitolato Dettagli tecnici
aggiuntivi)
<
https://krebsonsecurity.com/2018/09/facebook-security-bug-affects-90m-users/>
“La buona notizia - scrive Slate
<
https://slate.com/technology/2018/09/facebook-hack-50-million-affected-apps-other-websites.html>
- è che gli hacker non hanno le password Facebook di nessuno - per cui
anche chi è stato colpito dalla violazione non deve necessariamente
cambiarle. La cattiva notizia è che avrebbero potuto usare lo stesso
token per accedere ad alcuni degli altri profili degli utenti su altri
siti e app”. In pratica non è chiaro se gli hacker - su cui non si sa
nulla, né Facebook ha detto nulla - abbiano sfruttato questa
possibilità, o quanto fosse semplice sfruttarla. Sappiamo però - e
Facebook l'ha confermato
<
https://twitter.com/willoremus/status/1045784543607894016> - che era
possibile.
Infine, come notano diversi esperti, ad esempio Matt Blaze,
<
https://twitter.com/mattblaze/status/1045833186603872264> stiamo
vedendo l'altra faccia della decisione di concentrare l'autenticazione
attraverso alcuni giganti, come Facebook e Google. Certamente in termini
di sicurezza informatica lavorano meglio della miriade di piccoli siti
(con meno risorse), dice il noto crittografo. "Ma quando sono violati, è
una catastrofe di proporzioni ecologiche"
PRIVACY
*Facebook, i tuoi amici, e il tuo numero di telefono*
Prima della falla di sicurezza, la notizia della settimana (a questo
punto settimana nera) su Facebook era un’altra. E cioè che la
piattaforma usa i numeri di cellulare inseriti dagli utenti al solo
scopo di attivare una misura di sicurezza (altamente raccomandata) sui
loro account, cioè l’autenticazione a due fattori, per inviare loro
pubblicità mirata entro due settimane dall’inserimento del numero. In
pratica chi voglia legittimamente rendere più sicuro il proprio profilo
(token di accesso rubati permettendo…) deve accettare di cedere parte
della propria privacy, e di essere trovato più facilmente dagli
inserzionisti sul social network. Ricordiamo che Facebook permette a
questi ultimi di caricare liste di “clienti”, di cui hanno ottenuto in
qualche modo email o telefono, per poterli individuare sulla piattaforma
e inseguirli con pubblicità mirate. Ma non è finita. Sempre secondo
questa notevole indagine di Gizmodo
<
https://gizmodo.com/facebook-is-giving-advertisers-access-to-your-shadow-co-1828476051>,
che ha collaborato con alcuni ricercatori universitari, se un utente
condivide i propri contatti con Facebook, tra cui un numero di telefono
di un amico che sta sul social, gli inserzionisti potranno raggiungere
l’amico attraverso il suo numero di telefono e pazienza se la persona in
questione quel benedetto numero non l’aveva mai dato alla piattaforma.
Basta aspirarlo come un Folletto dalla rubrica degli amici. Dunque cosa
si dovrebbe chiedere a Facebook? Come minimo, di rendere più trasparenti
e chiare le informazioni che raccoglie su di noi anche da altri. E di
chiarire il modo in cui le utilizza. Infine, di permettere agli utenti
di decidere in modo granulare cosa possono usare gli inserzionisti
INSTAGRAM E WHATSAPP
*L’addio dei fondatori*
E poi c’è stata, nei giorni scorsi, anche la fuoriuscita da Facebook
dei due fondatori di Instagram. Dopo che se ne sono andati in polemica,
qualche tempo fa, quelli di Whatsapp. Anche in questo caso per
differenze di cultura/obiettivi tra i fondatori e la dirigenza Facebook.
La strada per questi servizi è a questo punto una maggior integrazione
col social, a discapito della propria indipendenza (The Atlantic).
<
https://www.theatlantic.com/technology/archive/2018/09/with-instagrams-founders-out-welcome-to-facebook-inc/571234/>
Ma le polemiche maggiori sono state su un profilo/colloquio di Forbes
(da leggere)
<
https://www.forbes.com/sites/parmyolson/2018/09/26/exclusive-whatsapp-cofounder-brian-acton-gives-the-inside-story-on-deletefacebook-and-why-he-left-850-million-behind/>
con il cofondatore di Whatsapp Brian Acton, che conferma la forte
differenza di vedute che c’era tra Facebook e Whatsapp su come
monetizzare la app di messaggistica, con la prima che spingeva per
introdurre pubblicità. A questo articolo è arrivata anche la risposta
piccata, via post Facebook
<
https://www.facebook.com/notes/david-marcus/the-other-side-of-the-story/10157815319244148/>,
di uno dei principali manager Facebook, David Marcus, che accusa Acton
di aver impostato “un nuovo standard di cattivo gusto”.
Prima di prendere troppo le parti di uno o dell’altro, è consigliabile
leggere questo articolo di Motherboard
<
https://motherboard.vice.com/en_us/article/zm539j/whatsapp-founder-brian-acton-sellout-instagram-facebook>
che ricorda come i fondatori di Whatsapp (e Instagram) abbiano svenduto
(in senso morale, non economico) i propri prodotti a Facebook. E che
tale parabola era prevedibile. E magari evitabile.
GOOGLE/APPLE
Google pagherà 9 miliardi di dollari ad Apple nel 2018 per rimanere il
motore di ricerca di default di Safari su iOS (Fortune
<
http://fortune.com/2018/09/29/google-apple-safari-search-engine/>).
Ecco quanto valgono i nostri dati, twitta Mikko Hypponen
<
https://twitter.com/mikko/status/1045942164742696960>. “9 miliardi per
ottenere che le persone usino un motore di ricerca GRATUITO”.
--
"Faccio un lavoro che di fatto non è un lavoro, direi che è un modo di
vivere" L. Bertell
"tecnologie appropriate"
GPG keys available on keyserver
https://pgp.mit.edu/
Ox 44CC 163A
Fingerprint: 946A 499A E30B 78B6 BAE1 F5B8 A03A 5077 44CC 163A