Δευτέρα 19 Αυγούστου 2013

Hacker βρήκε την ατέλεια του Facebook.

Σε κινητοποίηση χρηστών του Διαδικτύου οδήγησε η απόφαση του Facebook να μην αποζημιώσει προγραμματιστή που βρήκε σοβαρή ατέλεια που επιτρέπει σε οποιονδήποτε να γράφει ό,τι θέλει στον τοίχο οποιουδήποτε.

Η υπηρεσία απαντά στις διαμαρτυρίες με το επιχείρημα ότι, ο χάκερ δεν ακολούθησε τον κανόνα που ορίζει ότι όποιος βρίσκει bug δεν πρέπει να κάνει δημόσια επίδειξη. Όμως, ο Khalil Shreateh, αφού επιχείρησε μάταια να πείσει την ομάδα ασφάλειας του Facebook ότι το bug υπάρχει και είναι σοβαρό, το έγραψε στον τοίχο του... επικεφαλής της, Μαρκ Ζάκερμπεργκ.

Το bug που εντόπισε ο λεγόμενος "white hat" χάκερ από την Παλαιστίνη αφορά στο δικαίωμα δημοσίευσης στο χρονολόγιο (γνωστό ως «τοίχος» ως το 2011) οποιουδήποτε μέλους του Facebook. Σύμφωνα με τους κανόνες λειτουργίας της υπηρεσίας, κανείς δεν μπορεί να δημοσιεύσει στο Χρονολόγιο ενός άλλου μέλους εάν δεν έχει γίνει αποδεκτό το σχετικό αίτημα φιλίας που πρέπει να έχει αποστείλει. Για να δημοσιεύσει λοιπόν κανείς στον τοίχο ενός άλλου στο Facebook θα πρέπει να είναι φίλοι.

Διαφορετικά, ο οποιοσδήποτε θα μπορούσε να αναρτά για παράδειγμα, διαφημιστικά ή δυσφημιστικά μηνύματα ορατά στο κοινό του εκάστοτε μέλους (στο Facebook οι δημοσιεύσεις στον «τοίχο» ενός φίλου είναι ορατές στο κοινό που μπορεί να επιλέξει ο ιδιοκτήτης του). Επίσης, έτσι θα άρχιζε να «κουτσαίνει» το σύστημα προώθησης δημοσιεύσεων του ίδιου του Facebook, προώθηση για την οποία οι ενδιαφερόμενοι (από επιχειρήσεις έως ιδιώτες) καλούνται να πληρώσουν.

Εντούτοις, η τεκμηρίωση που δηλώνει πως έστειλε ο Khalil Shreateh δεν διερευνήθηκε επαρκώς ή δεν αναπαράχθηκε επιτυχώς για να επιβεβαιωθεί του λόγου το ασφαλές. Το bug απορρίφθηκε ως ανεπαρκώς τεκμηριωμένο.
Ο προγραμματιστής επέμεινε. Μετά την δεύτερη απόπειρα να πείσει τον ομάδα ασφάλειας του Facebook ότι το bug είναι υπαρκτό αλλά και σοβαρό, αποφάσισε να πάρει δραστικά μέτρα.

Ό χάκερ έγραψε στον τοίχο του Mark Zuckerberg, χωρίς την απαιτούμενη συναίνεση δεδομένου ότι δεν είχε γίνει αποδεκτός ως «φίλος» ή συνδρομητής του ιδρυτή του Facebook. Στην σχετική ανάρτηση, ο Shreateh έγραφε ότι βρήκε ένα σημαντικό bug στο Facebook, καθώς και ότι έχει ήδη επικοινωνήσει με την αρμόδια ομάδα χωρίς αποτέλεσμα. Σε μερικά δευτερόλεπτα, υπήρξε η επιθυμητή απόκριση και το bug «έκλεισε». Πάντως, ο Khalil Shreateh δεν αποζημιώθηκε ούτε καν με το ελάχιστο ποσό των 500 δολαρίων για την αναφορά «ευπάθειας» στο Facebook.

Πώς έγινε η δημοσίευση στο Χρονολόγιο του Mark Zuckerberg

Ο Khalil κάνει μια δημόσια επίδειξη του τρόπου με τον οποίο μπορεί να γίνει δημοσίευση στο Χρονολόγιο οποιοδήποτε μη-φίλου στο Facebook, με ιδιαίτερη προσοχή. Ο προγραμματιστής γράφει προς δημοσίευση κάτι στο προσωπικό του Χρονολόγιο. Έπειτα, με ένα δεξί κλικ στον browser και την επιλογή Inspect Element με την βοήθεια ενός εργαλείου επεξεργασίας σελίδων σε HTML, αντικαθιστά το αριθμητικό μοναδικό αναγνωριστικό της ταυτότητάς του με το αντίστοιχο ID ενός άλλου μέλους του Facebook (στο Χρονολόγιο του οποίου θέλει να γίνει η επίμαχη δημοσίευση). Στην συνέχεια αποθηκεύει την αλλαγή και η δημοσίευση που προοριζόταν για τον δικό του τοίχο και τους δικούς του φίλους, γίνεται στον τοίχο ενός αγνώστου, στον οποίο ανήκει το προαναφερόμενο ID με το οποίο αντικατέστησε το δικό του ID.

Εάν η διαδικασία ήταν εφικτό να αυτοματοποιηθεί και να εκτελεστεί για πλήθος τυχαία παραγόμενων ID τότε θα προέκυπτε η δημοσίευση του ίδιου μηνύματος με οποιοδήποτε, πιθανότατα αμφιλεγόμενο, περιεχόμενο, σε πολλούς χρήστες και πολλαπλάσιο κοινό. Δηλαδή, θα αποτελούσε υπερόπλο στα χέρια των spammer.

Το Facebook αρνήθηκε να αποζημιώσει τον Khalil Shreateh με το επιχείρημα ότι έγινε φάουλ με την δημόσια επίδειξη. Οι κανόνες ορίζουν πως δεν επιτρέπεται να χρησιμοποιούνται παρά οι λεγόμενοι λογαριασμοί δοκιμών (test accounts), οι οποίοι μάλιστα δεν μπορούν να μετατραπούν σε πραγματικούς. Το γεγονός αποτελεί τρέχον θέμα συζήτησης εντός και εκτός των τειχών του Facebook (με hashtag Khalil). Ο Khalil, που αρνείται τον τίτλο του «χάκερ», έχει δεχτεί πλήθος προσφορών για εργασία, γεγονός που χαρακτηρίζει αναγνώριση των ικανοτήτων του.

Ανησυχία προκαλεί τέλος η αναφορά του Shreateh στην ασφάλεια στο Facebook. Ο προγραμματιστής γράφει στην σελίδα του στο Facebook όπου χρησιμοποιεί ως εικόνα προφίλ την φωτογραφία του Έντουαρντ Σνόουντεν, πως το σάιτ «έχει διαρροές» και προσθέτει πως η πολιτική που ακολουθείται από την αρμόδια ομάδα θα μπορούσε τελικά να οδηγήσει ακόμα και στην κατάλυση της υπηρεσίας από «κακούς χάκερ», από τις πρακτικές των οποίων διαχωρίζει την θέση του.

Δείτε το video που ακολουθεί:



Source: http://www.newsit.com.cy

0 comments:

Δημοσίευση σχολίου