Még egy lakat kerül a Facebookra

Tudd meg ki nézi a profilod! Itt az új iPhone 5! Ilyen és ehhez hasonló üzenetek felhasználók millióit csábítják el és fertőzik meg minden nap, sőt, még akkor sincs biztonságban a Facebook-fiók, ha elhagyjuk magát az oldalt. A Facebook számára egyre kínosabbá válik, hogy a 672 millió felhasználója között sok a tudatlan és a tapasztalatlan, akik nem tudnak magukra vigyázni, de a szolgáltató sem tudja őket megvédeni. A szolgáltatás célja, hogy az online élet minden területén gyökeret verjen, ez viszont a rosszindulatú, de tehetséges bűnözők számára igazi mennyország.

Megelőző csapások

A Facebook folyamatosan foltozhatja az oldal beállítási lehetőségeit, illetve egyre több óvintézkedés születik és egyre több kiskapu záródik be. Az igazi probléma, hogy a támadások jelentős része nem volt előre kivédhető, ezért a nagy számok törvénye alapján érdemes volt tucatjával akár a Facebook hibáira, akár a felhasználók szellemi gyengeségére alapozó támadásokat indítani, s mire a szolgáltató megtette a szükséges lépéseket, addigra az akciók célt is értek.

Most ez a helyzet változik, s a Facebook keményebben csap oda az élősködőknek. A mai bejelentés első eleme, hogy a Web of Trust nevű megoldással partnerségben egy figyelmeztető rendszer lép életbe a Facebookon. A működése a felhasználói visszajelzéseken alapul, s nem csak a Facebook, de a web más helyeiből is gyűjtve az értékeléseket. A már meglévő automatikus szűrőrendszerre ráépülő modul figyeli és osztályozza a linkeket, s észleli ha az spam vagy rosszindulatú programot rejt. A Web of Trust közösséghez bárki csatlakozhat és maga is értékelővé válhat.

A partnerség a Facebooknak egy komoly hátteret ad ahhoz, hogy a “rossz” linkeket időben kiszűrje, s ne hagyja elburjánzani, terjedni őket a közösségi hálózaton belül. A hivatalos közlemény szerint a jövőben további hasonló együttműködések várhatóak, s a védelem több bástyán nyugszik majd.

A felhasználó helyett óvatos a Facebook

Egy másik fontos újdonság is nyugodtabbá teheti a közösségi életet, mégpedig a “clickjacking” támadások ellen fejlesztett védelem. Számos támadás arra épül, hogy a felhasználónak megjelenít egy képet, egy objektumot, ami ismerős számára, de a felület felé egy láthatatlan réteget tesz a böngészőben, s amikor az illető kattint, akkor nem a jóhiszeműen feltételezett esemény következik be. A Facebook a kódjait úgy változtatja meg most, hogy minden ilyen támadásra figyelmeztet, s jelzi a felhasználónak, ha egy weboldalon a Like gomb vagy más objektum felett valami más rejtőzik. Ha valaki mégis bedőlne, akkor az automata algoritmus figyelmezteti a felhasználót mielőtt az adott linket valóban kiírná a falára. Ez a legtöbb primitív támadásnak keresztbe tesz.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Szintén egy népszerű módszer, hogy a felhasználót rávezetik, hogy egy self-xss támadást hajtson végre, azaz önmaga másolja be a rosszindulatú kódot a saját böngészőjének címsorába. A Facebook az ilyen megoldások ellen is felveszi a kesztyűt és olyan védelmet is fejlesztett, ami észleli és blokkolja ezeket. Ezen felül a Facebook igyekszik oktatni is az embereket és megtanítani őket, hogyan ismerjék fel önmaguk is az ilyen eseteket. Ha valaki egy ismert "self-xss" támadásba fut bele, akkor a Facebook szintén figyelmeztetni fog, hogy végigmenni a folyamaton miért is rossz dolog.

Az oktatáson és a közösségi oldalon belüli szűrésen túl, a Facebook fejlesztői folyamatosan egyeztetnek és együtt dolgoznak a legnagyobb böngészőgyártókkal is, hogy javítsák azokat a kiskapukat, amik miatt eredendően lehetséges ilyet csinálni. Az Internet Explorer 9-ben már van egy védelem, de a többi böngészőbe is hamarosan bekerül.

Biztonságos beléptetés

Az utolsó terület, ami sok gondot okoz, az a fiókadatokkal való visszaélés. Jelszólopás, illetéktelen belépés, titkos kutakodás. Ez gyakran kicsiben, saját környezetben is előfordul, de természetesen nagy volumenben is jellemző. A Facebook néhány hete mutatott be egy továbbfejlesztett bejelentkezési rendszert, ami most mindenki számára elérhetővé vált. Ennek segítéségével minden esetben, amikor egy fiókba egy új eszközről lépnek be, akkor értesítést küld a rendszer e-mailben, illetve egy eseti kódot is bekér, amit a felhasználónak sms-ben küldenek ki.

A kétlépcsős autentikáció az internetbank rendszerekből lehet ismerős, de az emberek Facebook fiókja is legalább olyan érzékeny adatbázis lehet adott esetben, mint egy internetbank, nem véletlen az óvatosság. Ha egy új belépési pont azonosítása sikertelen, akkor a következő alkalommal a felhasználó a saját gépén is kap egy értesítést és azonnal fel lesz kínálva a jelszóváltoztatás is. Szokás szerint, mint minden biztonsági fejlesztés után, érdemes a Facebook adatvédelmi beállítások között és a Facebook Security oldalon is körülnézni, s az új lehetőségek mellett ellenőrizni, hogy a fiók megfelelően védett-e.