В начале января тунисские спецслужбы с помощью местного провайдера-монополиста осуществили массовый взлом аккаунтов на Facebook, пытаясь остановить организацию митингов на улицах и распространение видеороликов. Технически это было сделано с помощью внедрения вредоносного скрипта в страницу авторизации сайта для пользователей Facebook в Тунисе с последующим перехватом зашифрованного логина и пароля из фальшивого URL.
Оказывается, разработчики Facebook распознали атаку на ранних стадиях и в течение нескольких дней реализовали специальную технику защиты для пользователей из этой страны, сообщается в репортаже The Atlantic.
Директор по безопасности Facebook Джо Салливан (Joe Sullivan) первым заметил необычный поток жалоб от тунисских пользователей на то, что посторонние лица входят и удаляют их аккаунты. Кроме того, был зарегистрирован резкий всплеск посещаемости из Туниса. 25 декабря 2010 года Салливан поручил своему отделу безопасности изучить проблему.
Сразу доказать факты захвата аккаунтов им не удалось, потому что в Тунисе у всех пользователей динамические IP. Но после десяти дней разбирательства выяснилось, что происходит нечто беспрецедентное: к 5 января 2011 года стало понятно, что скомпрометированными являются пароли всех пользователей в Тунисе. С таким Facebook еще не сталкивался: противником выступал национальный ISP, который фильтровал весь входящий трафик и добавлял вредоносные скрипты в индивидуальные сессии пользователей. Салливану помогли опубликованные в открытых источниках работы независимых специалистов по безопасности Клэя Ширки (Clay Shirky) и Евгения Морозова, детально объясняющие механизм взлома экаунтов Facebook правительственными спецслужбами.
Facebook воспринял это как техническую, а не политическую проблему, и начал ее решать. Команда Салливана быстро выкатила двухуровневую систему. Во-первых, все запросы из Туниса автоматически перенаправлялись на https-сервер (хотя они понимали, что ISP может принудительно переводить сессию в http, но этого не произошло). Во-вторых, был запущена дополнительная процедура аутентификации для всех тунисских пользователей, которые за последнее время осуществляли авторизацию (то есть чьи пароли могли быть перехвачены). Чтобы зайти на сайт, им нужно было распознать нескольких своих френдов по фотографиям. Для 100% тунисских пользователей новая система была активирована к утру 10 января.
По мнению экспертов, жасминовая революция в Тунисе (или, как ее еще называют, Facebook-революция) подняла несколько проблем, о которых стоит задуматься. Во-первых, возникает вопрос, насколько международный интернет-трафик защищен от вторжения правительств или других потенциально вредоносных организаций. Во-вторых, это запрет на псевдонимы в Facebook, ведь теперь мы видим, что в некоторых странах за политическую активность можно лишиться жизни, так что местным активистам просто опасно общаться в Интернете под настоящими именами.
Источник: Служба рассылок газеты 'Компьютерные Вести'