skip to main | skip to sidebar
10 commenti

Come prendere il controllo di una Pagina Facebook

Ad agosto scorso il ricercatore di sicurezza Arun Sureshkumar ha scoperto una falla in Facebook che gli avrebbe permesso di prendere il controllo completo di qualunque Pagina del social network.

Potete immaginare il valore commerciale di una conoscenza del genere: un potenziale di disinformazione e ricatto straordinario, dato che le Pagine vengono usate da aziende e celebrità per gestire la propria immagine.

Ma Sureshkumar, invece di cercare acquirenti nel sottobosco del crimine informatico, ha agito responsabilmente, informando privatamente gli addetti alla sicurezza di Facebook. La falla era semplicissima: bastava sostituire, in un link, un business ID con quello della pagina da attaccare per diventare gestore della pagina attaccata e cambiarla a piacimento. I dettagli verranno presentati alla conferenza di sicurezza 0SecCon che si terrà in India a fine ottobre.

Per la sua bravura e correttezza, Sureshkumar è stato ricompensato da Facebook con 16.000 dollari e la falla è stata rapidamente corretta. Una cifra notevole, ma probabilmente molto modesta rispetto a quella che avrebbe potuto chiedere a un’organizzazione criminale.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Decisamente poco: così direi che facebook promuove il crimine informatico.
Ricordo la stessa falla in infostrada/wind, permetteva di vedere i documenti e le bollette di chiunque. Segnalata il venerdì, risposero che il we nessuno poteva rimediare. Niente €, e nemmeno un grazie.
A prima vista le mie impressioni (opinabili, correggetemi) sul comportamento di Facebook:

Il ragionamento del management Facebook:

- Se Sureshkumar desse l'exploit alla mafia, cosa farebbero? un ricatto per soldi a qualcuno famoso.

- Il qualcuno famoso metterebbe tutto a tacere, perchè ha sborsato un sacco di soldi.

- Facebook non ne risulta intaccata.

- La mafia ora ha in mano un exploit enorme, se lo vuole usare di nuovo sono sempre i vip a dover sborsare un sacco di soldi, non Facebook. La mafia non attaccherebbe, chessò, Obama, non le conviene: meglio molti soldi ma sicuri, senza alzare polveroni.

- Se dovesse venir fuori che esiste questo exploit ed è in mano alla mafia, Facebook comunque non ne viene intaccata: l'exploit è stato appena scoperto, in quanto nessuno prima ha denunciato nulla, è una nuova falla che è stata subito sfruttata dalla mafia.


Sureshkumar a FB: Ho trovato un exploit che permette di prendere il controllo di qualsiasi pagina su facebook.

FB: Ah si? Facci vedere un pò come fai.

Sureshkumar: Ecco, si fa così.

FB: Grazie, 16.000 bastano? si? ciao, a presto!



Sureshkumar alla mafia: Ho un nuovo exploit, permette di prendere il controllo di qualsiasi pagina Facebook.

Mafia: Ah si? Facci vedere.

Sureshkumar: Ora prendo il controllo della pagina FB di (un vip mediamente famoso) e ci scrivo "Viva Stalin" nella foto di header, con tanto di immagine della statua di Stalin. Saprete che sono stato io.

Mafia: Cazzo, è vero. 500.000 Euro bastano?

Sureshkumar: Fàmo 700.000.

Mafia: Ok.

Sureshkumar: Ecco l'exploit.
Io invece conoscevo questa tecnica con cui le aziende entravano "legalmente" in possesso di pagine con migliaia di fans.

Bastava creare una pagina dal nome altisonante tipo "Apple Italia" o qualsiasi altro marchio vi venga in mente; dopodichè bastava postare la foto di un oggetto molto ambito (un I-phone, un'auto, una console, ecc...) scrivendo che tra tutte le persone che metteranno il like alla pagina e condivideranno la foto, verranno estratte X persone che vincerenno tale oggetto come premio.
Dopodichè basta attendere che migliaia di fessi inizino a fare ciò che è stato chiesto loro...quando la pagina raggiungerà un numero di imbecilli sufficientemente alto (e non è difficile che si arrivi a decine di migliaia in pochi giorni) basta cederne l'amministrazione a chiunque ne faccia richiesta.
@lizard,
Per me la metti troppo facilmente. FB non sarebbe in grado di prevedere con sicurezza ciò che potrebbe accadere con una simile falla. Soprattutto a livello di immagine. Basta un utilizzo meno disonvolto di FB da parte degli utenti per arrecare un danno economico enorme. Un rischio che in quanto possibile non bisogna correre. Sul fronte della somma avuta in premio penso che cifre molto alte potrebbero far partire qualche inchiesta e lo stesso ricercatore dovrebbe dimostrare di non essere un estorsore.
@lizard: cosa vuol dire darlo in mano alla mafia? Non è che uno va a trovare il capo-cosca e gli chiede di parlare con un superiore, certe conoscenze o ce le hai o non ci si improvvisa nè criminali, nè favoreggiatori, nè tantomeno ricattatori.
E secondo me è questo il motivo per cui Zuckerberg paga ricompense che a molti sembrano esigue. La verità è che il criminale devi saperlo fare, e se non sei un malavitoso non lo puoi diventare solo perchè casualmente ti sei imbattuto in qualcosa.
Mettiamo che trovo una breccia nascosta nel muro di una banca, cosa faccio? Chiamo i miei amici e di notte proviamo a portar via tutto? Meglio avvisare i responsabili e mettere via quattro soldi, ma puliti, che improvvisarsi rapinatori con altissimo rischio di finire in galera, no? Se no, posso anche trovare qualcuno tra il chiaro e il fosco che sia in grado di portare a termine il lavoro, ma poi il rischio, anche peggiore, è di essere in debito con gente poco raccomandabile. La scelta più logica è ancora denunciare la scoperta a chi di dovere.
Quindi, ben venga chi fa una scelta di onestà, ma, prima di elogiarli come campioni di rettitudine, teniamo presente anche l'aspetto pratico, che non è secondario.
decisamente basito dall'approccio decisamente "leggero" che fb ha nei confronti della sicurezza. D'altra parte qualcuno piu' esperto di me' direbbe che e' fatto in php... ;)
@Jonny Dio
effettivamente niente da eccepire hai ragionissima :)
@Jonny Dio

Per "Darlo in mano alla mafia" si intende cercare contatti sui siti dedicati agli exploit e al crimine informatico. Pensavo fosse chiaro, ma forse sono stato troppo vago.

Non mi quadra il tuo ragionamento. Facebook ha avuto fortuna a trovare uno onesto, Sureshkumar, che probabilmente non ha nè contatti con la "mafia" (intendo il sottobosco del mercato degli exploit) nè la voglia o l'attitudine di bazzicare gli ambienti della darknet, o dei giri degli exploit, cosa tutt'altro che difficile.

Non si tratta di chiamare due amici e svaligiare la banca (perchè dovrei sporcarmi le mani io?), basta vendere ad alcuni (non amici) il segreto, senza per forza improvvisarsi rapinatori e sfruttare la falla. I casi di vulnerabilità 0-day vendute a società di sicurezza o società criminali sono innumerevoli, e molto probabilmente spesso vengono da ragazzini russi che ancora vivono con la mamma o gente che in ogni caso poco a che fare con la "Mafia" in senso stretto - semplicemente sono persone che sanno che posti frequentare, e li frequentano da anni. E non hanno scrupoli a farsi due soldi. In questi ambienti non serve "saper fare i criminali", nel senso che intendi tu; ci sono scorciatoie e modalità che su internet fanno a meno dei meccanismi della vita reale tipo quelli tipici della malavita o dei rapinatori comuni (non ti devi vedere di persona e con una pistola in tasca, per dire). Ho paura che su Internet "improvvisarsi malavitosi" sia molto più facile di quello che pensi.

@Jotar

cosa intendi con "utilizzo meno disinvolto di FB"?

Per quale motivo dovrebbe provare di non essere un estorsore? Facebook garantirebbe per lui, per la cifra che gli ha dato. Chi lo accuserebbe?



@Jonny Dio

teniamo presente anche l'aspetto pratico, che non è secondario.

Teniamo presente l'aspetto di culo che ha avuto Facebook a non farla trovare per prima a un ragazzino russo troppo disinvolto sulla darknet.