Nasza-klasa, Facebook - scenariusze ataków

Osoby korzystające z dużych serwisów społecznościowych, takich jak nasza-klasa.pl czy Facebook, przeważnie nie czują najmniejszej potrzeby, by w jakiś szczególny sposób dbać o własne bezpieczeństwo. Wokół sami znajomi, a nad wszystkim czuwa obsługa portalu. Zapewnia ona użytkownikom wszystko to, czego potrzebują. Aby tylko nie musieli wystawiać nosa na zewnątrz, narażając się na przeglądanie podejrzanych stron WWW i ściągając zainfekowane pliki z sieci P2P.

Wydawałoby się, że w takich cieplarnianych warunkach ryzyko ataku jest znikome. Tymczasem serwisy społecznościowe z miesiąca na miesiąc przyciągają coraz większą uwagę cyberprzestępców. Trwa nieustanny wyścig o to, kto szybciej odkryje nową lukę w zabezpieczeniach największych serwisów.

Zobacz również:

• Twitter się sypie. Musk wystraszył pracowników

Jak stać się zombie

Na początku 2009 r. wykryto na stronach naszej-klasy.pl błąd umożliwiający przeprowadzenie ataku typu XSS (cross site scripting). Polega on na osadzeniu na stronie WWW, korzystając ze znalezionych luk w zabezpieczeniach, złośliwego kodu. Jedyne, co trzeba zrobić, aby paść ofiarą ataku, to kliknąć odpowiednio spreparowany odnośnik do serwisu. Wyświetlona strona będzie działać poprawnie, ale w tle zostanie uruchomiony kod, który sprawi, że bez wiedzy użytkownika zostaną wykonane niepożądane akcje.

W przypadku naszej-klasy.pl wykryta luka umożliwiała spreparowanie odnośnika do podstrony prezentującej wyniki działania wyszukiwarki. Błąd został na szczęście szybko naprawiony, zanim ktokolwiek zdążył wykorzystać go do złych celów.

Pokrewnym rodzajem ataku jest CSRF, który z kolei stał się zmorą portalu Facebook. Każdy użytkownik tego serwisu ma swoją Tablicę, która zawiera podsumowanie jego aktywności i ostatnie komentarze. Wszystko zaczyna się od umieszczenia na fikcyjnym profilu atrakcyjnego zdjęcia, np. półnagiej kobiety, z odnośnikiem w rodzaju "kliknij po więcej". Po kliknięciu w link, internauta jest przenoszony do innej strony, która zawiera złośliwy kod. Powoduje on, że użytkownik nieświadomie zamieszcza takie zdjęcie i odnośnik na swojej Tablicy. Atak CSRF wykorzystuje fakt, że użytkownik jest aktualnie zalogowany na Facebooku, automatycznie wypełniając formularz na tym serwisie w jego imieniu. A stąd już krótka droga do rozprzestrzenienia fałszywego odnośnika wśród niczego nie przeczuwających znajomych.

Innym popularnym rodzajem ataku jest drive-by download. Na spreparowanej stronie, do której jest przekierowany użytkownik serwisu społecznościowego, umieszczany jest kod programów (tzw. exploitów) wykorzystujących luki w przeglądarce internetowej. Uruchamiają się one bez wiedzy użytkownika, pobierając w tle na jego komputer złośliwe oprogramowanie. Może to być np. trojan, służący do zbierania poufnych danych użytkownika lub wykorzystania jego komputera jako zombie do ataków DDoS.

Fałszywe linki

Ogromne zaufanie jakim użytkownicy obdarzają serwisy społecznościowe sprawia, że cyberprzestępcy wykorzystują je także do rozpowszechniania szkodliwego oprogramowania.

Symbolem takiego zagrożenia na Facebooku stał się robak Koobface (anagram słowa facebook). Rok temu użytkownicy serwisu zaczęli otrzymywać krótkie komentarze wraz z odnośnikiem, prowadzącym do pliku wideo. W rzeczywistości na docelowej stronie nie ma żadnego filmu, pojawia się natomiast komunikat informujący o konieczności zaktualizowania programu Flash Player. Jeżeli nieświadomy niczego użytkownik zgodzi się na aktualizację, na jego komputerze zostanie zainstalowany wirus.

Jednym z powodów, dla których niezamierzone wizyty na podejrzanych stronach WWW zdarzają się tak często nawet doświadczonym użytkownikom serwisów społecznościowych, jest popularność serwisów świadczących usługę skracania adresów URL. Dzięki nim można w prosty sposób zamienić długi adres w rodzaju nazwastrony.domena.com na krótszy, np. 3.ly/yfE. Początkowo służyło to łatwiejszemu publikowaniu adresów na listach dyskusyjnych, potem taką formę przekazywania odnośników rozpowszechniły serwisy mikroblogowe z Twitterem na czele. Pomimo swoich licznych zalet, to rozwiązanie ma jednak jedną poważną wadę: aby móc szybko sprawdzić, gdzie prowadzi odnośnik, trzeba go kliknąć.

Problem stał się na tyle poważny, że w połowie grudnia Facebook uruchomił własną usługę skracania linków fb.me, która powinna uchronić użytkowników tego serwisu przed podobnymi zagrożeniami. Z kolei bit.ly, najpopularniejszy serwis skracający linki, podjął współpracę z firmą Sophos w celu wyłapywania potencjalnie niebezpiecznych adresów. Nie zmienia to jednak faktu, że w Sieci wciąż funkcjonują dziesiątki podobnych serwisów, pozbawionych jakichkolwiek zabezpieczeń. I to właśnie z nich korzystają cyberprzestępcy.