Operation Facebook
Uwalnianie Internetu rusza na całego, następny na celowniku Anonów jest Facebook.
Jak zapowiedziała grupa, 5. listopada zaatakowany zostanie Facebook, największy portal społecznościowy na świecie.
Czemu oni? Oficjalne stanowisko Anonimowych (jeśli nieoficjalna grupa może jakiekolwiek zająć) jest takie, że Zuckerberg handluje danymi użytkowników i przekazuje je rządom*.
Istnieje także teoria, według której Facebook zostanie zaatakowany, bo jest konkurencją dla nowo powstałego AnonPlus.(Jak na ironię strona została zhakowana przez Syryjczyków).
Mniejsza z dywagacjami - co tak naprawdę grozi twarzoksiążce?
LOIC
Low Orbit Ion Cannon to program, którego Anoni używali już wielokrotnie, a służy do zautomatyzowanych ataków DDoS. Wystarczy wpisać adres serwera i kliknąć IMMA CHARGIN MAH LAZER, a program zaatakuje za ciebie dany serwer. Oczywiście nie będzie to atak specjalnie dotkliwy (porównywalny do odwiedzenia strony), a program to tak naprawdę wysyłanie zapytania ubrane w ładne GUI. Jeśli jednak odpali go 1000 osób, strona odczuje napór żądań. A biorąc pod uwagę zainteresowanie, jakie akcja wywołała w sieci (15 tys. głosów na tak w YT) portal może mocno dostać.
BotNet
Czyli kolejny poziom wtajemniczenia. Idea jest taka sama - zakrzyczeć serwer, aż nie będzie w stanie odpowiadać zwykłym użytkownikom. Inny jest za to środek - Botnet to sieć zainfekowanych komputerów-zombie, które wbrew swoim użytkownikom atakują zlecone cele. Ile jest takich komputerów? Ostrożne rachunki mówią o kilkunastu milionach. Oczywiście wszystkie nie stanowią jednej bazy, to suma botnetów różnych hakerów. Ile z nich Anoni zdołąją przejąć albo wynająć? Tego nie sposób ocenić.
Exploity
Nie istnieje idealnie zabezpieczona strona. Wszystkie opierają się na ogólnodostępnych technologiach - od systemów operacyjnych, poprzez maszyny wirtualne, na serwerach WWW i systemach CMS skończywszy. Nawet oprogramowanie pisane na zamówienie, jak w przypadku Facebooka, nie jest wolne od dziur. Co włamywacz może zdziałać znając kilka takich dziur? To zależy, od zwykłego XSS, poprzez SQL Injection aż do zdobycia uprawnień admina i zrzucenia całej bazy danych.
Spoofing, social engineering
Najsłabszym elementem zabezpieczeń komputerowych jest na ogół człowiek je obsługujący. Wystarczy zainfekować komputer jednego z pracowników, aby wprowadzić robaka do systemu.
Albo masowe e-maile z domeny facebook.com do użytkowników informujące o możliwym włamaniu i każące zmienić hasło na '12345' albo wyłączyć zabezpieczenia konta.
Kolejną drogą ataku są facebookowe aplikacje. Wystarczy klon tetrisa, który pod pretekstem publikowania wpisów na tablicy skopiuje wszystkie dane użytkownika i wyśle je w sobie tylko znanym kierunku.
Czy jest się czego bać? Patrząc na poprzednie ataki anonów na FB - raczej nie.
W lipcu ogłoszony został Bug Bounty - akcja, w ramach której hakerom płaci się za znajdowanie luk w zabezpieczeniach strony. Szanse na znalezienie poważnego 0-daya są więc obecnie niewielkie. Facebookowe data center powinno też dać sobie radę z niejednym DDoS-em.
A gdy już wszystko zawiedzie, pamiętajcie, kogo jeszcze fejsbuk ma w zanadrzu
* - Facebooka obowiązuje tzw. Patriot Act, ustanowiony w 2001, który niejako wymusza współpracę instytucji z rządem. Podziękujcie więc Bushowi, a nie Zuckerbergowi.
5 komentarzy
Rekomendowane komentarze