WebAppSec

Depois de uma época em que a World Wide Web em que os utilizadores da mesma eram simples consumidores da informação que era disponibilizada on-line, e em que este canal de comunicação era na sua essência unidireccional, assistimos hoje a uma nova realidade.

• Usar correctamente as listas de amigos;
• Remover-se dos resultados de pesquisa do Facebook;
• Evitar o tagging em fotos e vídeos (o que pode ser embaraçoso);
• Proteger os seus álbuns de fotografias;
• Evitar que as histórias apareçam no feed de news dos seus amigos;
• Proteger-se contra histórias publicadas por outras aplicações;
• Tornar a sua informação de contacto privada;
• Evitar Wall posts que possam ser embaraçosos;
• Tornar as suas relações privadas;

No entanto as ameaças não estão resumidas à privacidade dos utilizadores. As ameaças que populam as redes sociais, em particular as de maior dimensões, são cada vez mais perigosas. Uma das ameaças mais recentes no Facebook é uma aplicação misteriosa que está a afectar os utilizadores [7]. Os utilizadores estão a ser solicitados por outros utilizadores a instalarem uma aplicação chamada “Unnamed App”. A Sophos já identificou esta ameaça como sendo Mal/FakeVirPk-A.

Figura 2. Alguns dos utilizadores mais activos no Facebook são muitas vezes confrontados com aplicações estranhas que podem ter comportamentos completamente diferentes do esperado

Figura 3. Inclusive podem enviar “chat requests“ com links para sites que podem conter software malicioso

Figura 4. Notificações dessas mesmas aplicações que não são mais do que pedidos “encapuçados” para levar o utilizador para outros sites na Internet

Figura 5. Alguns desses pedidos servem para bombardear os utilizadores com publicidade não solicitada

No passado ano de 2009 foram duas as principais ameaças que afectaram as principais redes sociais e que estiveram na origem de inúmeros problemas. Uma destas ameaças deu pelo nome de Koobface (um anagrama da palavra Facebook), e que é um worm que ataca directamente os utilizadores de redes sociais como o Facebook, MySpace, hi5, Bebo, Friendster, e Twitter. O Koobface tenta, após infectar o sistema do utilizador, vai tentar obter informação diversa do utilizador, tal como números de cartão de crédito.

O Koobface espalha-se através do envio de mensagens do Facebook a pessoas que são “amigas” de um utilizador Facebook que tenha sido previamente infectado. Depois de recebida, a mensagem direcciona o receptora para um site de Web, em que os utilizadores são levados a pensar na existência de uma actualização de uma versão recente do software Flash. Se descarregarem e instalarem este ficheiro, os utilizadores ficam igualmente infectados com o Koobface, passando a estar sob o controlo do mesmo e passando a infectar mais utilizadores. Um sistema infectado com o Koobface possui instalado os seguintes componentes [9]:

• Componente que permite descarregar mais software Koobface da Internet sem o utilizador se aperceber;
• Componente de propagação para outras redes sociais;
• Componente servidor Web;
• Componente de instalação de um antivírus falso;
• Componente que quebra CAPTCHA;
• Componente para roubar informação;
• Componente modificador de informação de DNS;
• E outros.

O Koobface é um worm tão sofisticado que é capaz de, entre outras coisas:

• Registar uma conta no Facebook;
• Activar essa mesma conta através da confirmação do email enviado para uma conta do Gmail;
• Fazer-se amigo de várias pessoas na rede social;
• Juntar-se a múltiplos grupos no Facebook;
• E colocar posts na Wall de “amigos” com mensagens com links para sites ou para vídeos que são fontes de distribuição de malware;
• Inteligente ao ponto de não adicionar muitos amigos por dia, para não chamar as atenções para si próprio.

A segunda grande ameaça identificada nas redes sociais foi o worm “stalkdaily” criado por um jovem de 17 anos chamado Mikeyy Mooney. Este worm lançou o pânico no Twitter, enviando mensagens aos utilizadores para visitarem site stalkdaily.com que infectava o perfil do visitante que tivesse uma conta de Twitter associada.

As redes sociais (principalmente o Facebook e o Twitter) tornaram-se assim meios preferenciais para lançar diversos tipo de ataques: phishing, malware, roubo de dados e de identidade, stalking, entre outros. Estes atacam não apenas a ingenuidade dos utilizadores, mas igualmente a própria infra-estrutura onde assentam estas redes sociais, em que as mesmas não são completamente imunes a problemas de segurança, e são susceptíveis a algumas das vulnerabilidades apontadas por organizações como a OWASP (através do OWASP Top 10) e como tal podem ser explorados por atacantes determinados. Aplicações como o Facebook (ou as micro-aplicações dentro do próprio Facebook) são reconhecidamente vulneráveis a alguns tipos de vulnerabilidades, como Cross Side Scripting (XSS) e Cross Site Request Forgery (CSRF).

Mas as ameaças à privacidade dos utilizadores na Internet. O próprio gigante Google está hoje a tornar-se uma séria ameaça à privacidade dos utilizadores. A quantidade de serviços que o Google oferece aos utilizadores (motor de busca, Youtube, Adesense, Adwords, Blogger, DNS, URL shortner, e muitos outros) viram tornar a Google numa empresa com características muito especiais. Nunca antes na história, tanta informação (muita dela pessoal) esteve nas mãos de uma única entidade privada. Quais os perigos que isto pode representar em termos de privacidade para os muitos milhões de utilizadores que usam os serviços/produtos da Google? Fala-se muito do monopólio da Microsoft, mas o verdadeiro monopolista da informação é o Google.

Foi referido que o recente ataque levado a cabo por hackers chineses ao Google (Gmail) assim como a outras empresas norte-americanas e europeias, só ter sido possível porque a Google colocou um backdoor no Gmail para poder ser acedido pelo Governo norte-americano (foi por aí que os atacantes conseguiram entrar)[1][2]. Este backdoor, a confirmar-se, diz muito sobre as intenções da Google, e sobre a forma como a nossa informação é processada pela empresa.

No caso das redes sociais, aqui ficam algumas recomendações sobre privacidade/segurança em redes sociais. Nem todas se aplicam em todos os casos, mas aqui ficam alguns desses mesmos conselhos:

• Se usar um sistema operativo Windows, deve usar um antivírus, que consiga detectar ameaças na Web e que funcione igualmente como firewall e anti-spyware;
• Cuidado com a informação que partilha e com quem assim como com os conteúdos que coloca nas redes sociais
• Reveja as politicas de partilhas e âmbito das mesmas no Facebook;
• Nunca revelar informação pessoal (detalhes de morada, etc.) ou de negócio através de redes sociais;
• Cuidado com fotos e outros conteúdos que se colocam nas redes sociais – o que é giro hoje pode ser comprometedor no futuro;
• Desconfiar sempre dos links e outras mensagens que sejam partilhados por “amigos” conhecidos e desconhecidos;
• Isto é particularmente difícil, pois os serviços de redução das URL escondem os detalhes da URL original.
• Não instalar discriminadamente aplicações no Facebook, sem saber do que se trata primeiro. Nunca, mas mesmo nunca instalar aplicações desconhecidas!
• Em resumo: usar as redes sociais **SIM**, mas com **RESPONSABILIDADE**!

[1] Alvy/Microsiervos, “China vs. Google: los atacantes aprovecharon una “puerta trasera” en GMail pensada para el gobierno americano”, lainformacion.com, 25 Janeiro 2010, http://noticias.lainformacion.com/arte-cultura-y-espectaculos/internet/china-vs-google-los-atacantes-aprovecharon-una-puerta-trasera-en-gmail-pensada-para-el-gobierno-americano_xYmT4AxRsa69E4HY9LmKr/
[2] Bruce Schneier, “U.S. enables Chinese hacking of Google”, CNN, 23 Janeiro 2010, http://edition.cnn.com/2010/OPINION/01/23/schneier.google.hacking/index.html
[3] Nick O’Neill, “10 Privacy Settings Every Facebook User Should Know”, Fevereiro 2009, http://www.allfacebook.com/2009/02/facebook-privacy/
[4] SARAH PEREZ, “The 3 Facebook Settings Every User Should Check Now”, The New York Times, Janeiro 2010, http://www.nytimes.com/external/readwriteweb/2010/01/20/20readwriteweb-the-3-facebook-settings-every-user-should-c-29287.html?em
[5] Kevin Bankston, “Facebook’s New Privacy Changes: The Good, The Bad, and The Ugly”, EFF, Dezembro 2009, http://www.eff.org/deeplinks/2009/12/facebooks-new-privacy-changes-good-bad-and-ugly
[6] Marshall Kirkpatrick, “Privacy, Facebook and the Future of the Internet”, Read Write Web, Janeiro 2010, http://www.readwriteweb.com/archives/privacy_facebook_and_the_future_of_the_internet.php
[7] David Neal, “Mystery app plagues Facebook users”, Yahoo! News, Janeiro 2010, http://uk.news.yahoo.com/16/20100128/ttc-mystery-app-plagues-facebook-users-6315470.html
[8] Michael Evans, “Wife of Sir John Sawers, the future head of MI6, in Facebook security alert”, Times Online, July 2009, http://technology.timesonline.co.uk/tol/news/tech_and_web/article6644199.ece
[9] Jonell Baltazar, Joey Costoya, and Ryan Flores, “The Real Face of KOOBFACE: The Largest Web 2.0 Botnet Explained”, Trend Micro Threat Research, 2009, http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/the_real_face_of_koobface_jul2009.pdf
[10] Lidija Davis, “StalkDaily: A New Twitter Virus on the Loose?”, ReadWriteWeb, 2009, http://www.readwriteweb.com/archives/stalkdaily_a_new_twitter_virus_on_the_loose.php
[11] Sophos, “Security Threat Report:2010”, Sophos, 2010, http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jan-2010-wpna.pdf