viernes, 11 de febrero de 2011

Facebook y la (in)seguridad: Un resumen (I)

Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha convertido en un punto de referencia en Internet. En los últimos meses, además, la seguridad en Facebook ha dado demasiados dolores de cabeza a la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la protección del portal.

El problema de Facebook ha sido, históricamente, la privacidad. Un punto de encuentro tan popular donde 600 millones de personas introducen tantos datos y fotografías requiere que sus usuarios confíen en el portal al máximo y además de unos mecanismos y una infraestructura adecuados que garantice su intimidad. Y Facebook está proporcionando esta seguridad... poco a poco. Como es habitual, han aprendido a base de ensayo y error, y cada error ha sido un pequeño golpe a su imagen. Aunque sí es cierto que no ha sido el centro de enormes escándalos y que goza de una salud envidiable, sí que se ha visto obligada a ponerse manos a la obra para mejorar la seguridad global de portal. El 26 de enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una serie de problemas y ataques. Repasemos algunos hitos interesantes.

El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba dos mejoras importantes con respecto a la seguridad.

* La primera es el uso de conexión segura (SSL) no solo a la hora de introducir la clave, sino durante toda la sesión. Esto es una medida que llega muy tarde, y en respuesta directa a herramientas como Firesheep. Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna varias herramientas de forma muy cómoda. Pone la tarjeta de red del sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no segmentada) y extrae automáticamente los datos que le interesan (la cookie de sesión) de ciertas páginas no protegidas (entre ellas Facebook) y permite que un usuario suplante la identidad de otros que naveguen en la misma red local. Esto ya se puede hacer con un sniffer, un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo fácil que puede resultar para cualquiera robar la sesión a través de un solo click. La solución es también sencilla: cifrar toda la información. Facebook ha reaccionado permitiendo que toda la sesión se base en SSL, pero de forma opcional, lo que todavía deja en manos del usuario la decisión de que su sesión permanezca protegida o no. Es una medida necesaria pero insuficiente.

Además existe Borogove, otro programa que facilita con mecanismos similares la obtención de conversaciones de chat dentro de Facebook. Aunque se supone que debería estar protegido por el cifrado, el sistema de chateo no funciona correctamente bajo el cifrado.

* Autenticación Social. Esto, en resumen, es eliminar el tradicional CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar que eres un ser humano. Troyanos como koobface han demostrado que los CAPTCHA no son infalibles. Recordemos que el troyano Koobface, "secuestraba" el sistema y pedía a la víctima la resolución de varios CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas como esclavos o "CAPTCHA brokers".

Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook por demostrar que están comprometidos con la seguridad y la privacidad de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la categoría "amigos de amigos"), en diciembre de 2009 (facilitó los controles para proteger la seguridad de las cuentas), etc...

En la siguiente entrega, veremos cuáles han sido los problemas de seguridad con los que se han enfrentado en los últimos tiempos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

A Continued Commitment to Security
http://blog.facebook.com/blog.php?post=486790652130

Sniffando conversaciones de Facebook con Borogove
http://www.securitybydefault.com/2011/01/sniffando-conversaciones-de-facebook.html

Firesheep
http://codebutler.com/firesheep

No hay comentarios:

Publicar un comentario en la entrada