Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Tunézia vs. Facebook

2011.01.24. 23:11 | buherator | 12 komment

Egy igen izgalmas cikk jelent meg a The Atlantic hasábjain a Facebook tunéziai forradalommal kapcsolatos szerepéről. A beszámoló szerint a közösségi szájt érezhetően nagy hatással bírt az eseményekre: a tízmilliós országból regisztráltak száma több százezerrel nőtt szűk egy hónap alatt, az oldalon szinte valós időben jelentek meg a tüntetésekről készült sokkoló képek és videók, ami még több embert cselekvésre sarkallt és a szegényebb területekről induló megmozdulások hamar magukkal ragadták a középosztályt is. 

A Facebook szerepét pedig a mára már megbukott vezetés is felfogta, és nem habozott cselekedni. Az internetszolgáltatóknál olyan lehallgató berendezéseket helyeztek el, melyek rögzítették a közösségi oldalakra, blogokra bejelentkező felhasználók hozzáférési adatait, majd ezeket felhasználva törölték a fiókokat. A Facebook felhasználóira ez azért is különösen veszélyes volt, mert az oldal nem tolerálja az álnéven történő regisztrációt, így a jelszavakkal együtt a tüntetések résztvevőinek személyes adataihoz is hozzájuthattak a szolgáltatók, melyeket egy későbbi megtorlás során könnyen felhasználhattak volna.

A felhasználói panaszok természetesen folyamatosan érkeztek a Facebookhoz, és egy idő után világossá vált, hogy gyakorlatilag államilag szervezett, egy ország teljes lakosságát érintő akcióról van szó, ami a maga politikai vetületeivel együtt nehéz helyzetet teremt. A biztonsági csapat ezért úgy döntött, hogy tisztán műszaki problémaként tekintenek az esetre, és megpróbálják megakadályozni, hogy felhasználóik adatai illetéktelen kezekbe jussanak. Ehhez egyrészt a tunéziai IP-kről érkezőket HTTPS kapcsolatra kényszerítették, másrészt elvárták, hogy a tunéziaiak párosítsák össze néhány ismerőük nevét a fényképeikkel, csak így engedtek hozzáférést a profilokhoz. 

Láthatjuk, hogy egyáltalán nem életszerűtlen feltételezni azt, hogy az aktuális hatalom bizonyos helyzetekben akár sokmillió emberrel szemben is kihasználja a rendelkezésére álló technológiai lehetőségeket pozíciója megtartásához, így nem árt résen lenni. Másrészt érdekes ellentmondást hordoz, hogy bár a Facebook egyedülálló lehetőséget ad az önszerveződésre, pontosan ez az a platform, amely a legnagyobb veszélyt jelenti a szerveződők biztonságára, hiszen identitásunk darabjai mindig ott lesznek majd valahol Palo Altoban.

Címkék: politika privacy facebook tunézia

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Aron bacsi 2011.01.25. 10:02:49

A Facebook hozzáállása szerintem jó, de a kérdésem az, hogy ezt látva miért nem alkalmazza a magasabb szintű védelmet alapértelmezettként? Csak halkan jegyzem meg, hogy az iWiW-nél is évek óta van lehetőség HTTPS-en keresztüli bejelentkezésre (vagy akármilyen webmail rendszernél), itt viszont jelenleg is sima HTTP van...

buherator · http://buhera.blog.hu 2011.01.25. 10:28:51

@Aron bacsi: A titkosítás költséges, valószínűleg ez az indok. A HTTPS Everywhere FF kiegészítőt tudom ajánlani, ha nem akarod mindig átírni az URL-t.

Aron bacsi 2011.01.25. 10:38:38

@buherator: Évi max. 50e Ft-nyi zseton sok? Szerintem több mérnökórájuk ment el a tunéziai incidens orvoslása kapcsán. Vagy OK, akkor legyen ingyenes self-signed tanúsítvány, csak macerásabb, mert a júzernek kell figyelnie rá... Ja, meg plusz 3 sor az Apache conf-ban, de ez sem lehet probléma...

Aron bacsi 2011.01.25. 10:48:28

Izé, most azért megnéztem: van neki SSL-szerver tanúsítványa, és él is a HTTPS, csak valóban nem az a default. Szóval, az első comment-em hülyeség (sorry)...

Egyébként van is ilyen mozgalom (+1 Like):
www.facebook.com/pages/force-facebook-to-use-HTTPS-SSL-by-default/124831334204696

synapse · http://www.synsecblog.com 2011.01.25. 11:01:58

@Aron bacsi: Nem a cert a draga hanem feldolgozni x millio embernel...

senya03 2011.01.25. 11:03:05

Ez is érdekes hír a témában: news.nationalpost.com/2011/01/21/tunisias-revolution-twitter-saved-my-life/ Szerintem egy ilyen helyzetben a FB-nál a Twitter sokkal alkalmasabb a kommunikációra. Valamint így könnyebb is inkognitóban maradni.

buherator · http://buhera.blog.hu 2011.01.25. 11:05:50

@senya03: Csak a Twittert kevésbé használják az egységsugarú felhasználók, ilyen esetekben viszont tömegek mozgósítására van szükség.

Amon 2011.01.25. 12:21:59

Aron bacsi: hátő, amellett, hogy kell cert, a FB esetében nem ilyen egyszerű. Egy HTTPS sokkal több processzoridőt és ezáltal gépet visz el, plusz minden júzernél ellenőriztetni a certet is költséges, nem hiszem, hogy a szolgáltató évi 50k-ért vállalná a FB esetében is a tanúsítvány kiszolgálását!

Meister · https://www.facebook.com/Meister1977 2011.01.25. 12:30:24

Ha a gmail be tudta kapcsolni, a face is be tudná.

buherator · http://buhera.blog.hu 2011.01.25. 12:38:51

@Meister: Be tudná, de drága, ezért nem kapcsolja be.

A Google-nek egyebek mellett a vállalati (fizető) felhasználókra is gondolnia kellett, akiknél nem jön le túl jól az, ha az adataik nyíltan közlekednek a neten.

Aron bacsi 2011.01.25. 13:41:20

Mondjuk nagyobb rendszereknél valóban csak a bejelentkezési folyamatra szoktak SSL-t adni, és utána visszaváltanak HTTP-re, szerintem azt még elbírná a Facebook... OK, az is igaz, hogy amíg él az adott FB-session addig a tunéziai bajszos emberek sessionId alapján ugyanúgy tudnak profilt törölni... :-(

hunyadym 2011.01.25. 13:55:57

@Aron bacsi: Törölni session alapján nem tudják a profilodat, mert a törléshez újra meg kell adnod a jelszavadat.