Le applicazioni che hanno avuto maggiore successo nel cosiddetto Web 2.0 sono senza dubbio i social network. Tra questi spicca Facebook, che vanta 160 milioni di utenti in tutto il mondo e che nel nostro paese ha visto aumentare, in un anno, il numero di utenti del 961%.
Per definizione, il Web 2.0 prevede una spiccata interazione sito-utente. Facebook, oltre che con i classici strumenti di social network, garantisce questa peculiarità dando la possibilità di sviluppare vere e proprie applicazioni da integrare nel sito e condividerle con l'intera comunità. Per applicazione si intende un componente aggiuntivo che può avere i più diversi usi: galleria fotografica, giochi, calendario e così via (su PHP di HTML.it trovate articoli sulla piattaforma Facebook).
È facile capire quindi che ogni applicazione sviluppata ha un potenziale bacino di utenza vastissimo: quale migliore strumento per veicolare codice nocivo? Purtroppo questa riflessione è stata fatta già da una moltitudine di persone, che hanno sviluppato diversi tipi i applicazioni dannose. In questo articolo cercheremo quindi di capire come ciò accade, quali sono i rischi e come evitare di esserne colpiti.
Le applicazioni di Facebook
Per sviluppare un'applicazione, un qualsiasi utente deve semplicemente avere un account su Facebook, un po' di destrezza nella programmazione in Php (o di qualsiasi altro linguaggio di programmazione) ed un servizio di hosting che supporti un database.
Esistono diversi servizi di hosting gratuiti che hanno i requisiti necessari e che possono ospitare l'applicazione. Il passo successivo è prelevare le librerie fornite da Facebook e utilizzarle a piacimento. Esiste in ogni caso una nutrita community di sviluppatori che può guidare l'utente durante i primi passi di sviluppo.
Come appena detto, l'applicazione risiederà su un servizio di hosting a piacere, l'ultimo passo sarà quindi di pubblicare l'applicazione sul social network.
Può sembrare paradossale, ma a questo scopo è necessaria un'applicazione di Facebook dove verranno creati:
- Il Callback url, l'indirizzo dove risiede la nostra applicazione (ad esempio http://www.miohost.it/utente/applicazione)
- Il Canvas Page Url, l'indirizzo dal quale sarà possibile raggiungere la vostra applicazione direttamente da Facebook (che sarà del tipo http://apps.facebook.com/nome_applicazione). Tramite questo indirizzo l'applicazione verrà integrata all'interno del sito, che normalmente non ospita software di terze parti.
Da questo momento la nostra applicazione sarà raggiungibile dal Canvas Page Url e potrà essere aggiunta alla nostra pagina su Facebook, consigliata agli amici, in poche parole entrerà a far parte dell'intero social network.
Riflettendo sulla procedura appena illustrata, una qualsiasi applicazione può essere raggiunta e utilizzata da milioni di persone che, cliccando su un link del tipo http://apps.facebook.com/nome_applicazione avvieranno un'applicazione web risiedente su http://www.miohost.it/utente/applicazione.
È quindi questa la vulnerabilità di fondo: Facebook non ospita codice di terze parti, ma semplicemente permette di integrare un software a piacimento. Non può quindi eseguire alcun controllo sulle applicazioni se non quello esercitato a monte nei permessi di programmazione. Nel paragrafo seguente verrà illustrato come questa vulnerabilità è stata sfruttata per pubblicare applicazioni dannose.
Rischi e minacce
Prima di addentrarci nelle applicazioni dannose, è degna di nota una minaccia che non fa utilizzo di quest'ultime. Il concetto di phishing è stato infatti esteso anche al social network dal worm Net-Worm.Win32.Koobface nelle sue varianti .a e .b. La macchina infettata, infatti, si trasforma in un cosiddetto zombie che inizia ad inviare commenti sulle bacheche degli utenti di Facebook con inviti (del tipo Paris Hilton Tosses Dwarf On The Street; Examiners Caught Downloading Grades From The Internet; Hello; You must see it!!! LOL) a visualizzare fantomatici video su Youtube.
Chiaramente il sito che ospita il video non è quello citato, e al momento della visualizzazione l'utente viene invitato a scaricare un aggiornamento per il proprio flash player chiamato codecsetup.exe. Quest'ultimo è l'eseguibile che infetterà il sistema.
Il fattore su cui gioca Koobface, è che i commenti riportanti il link dannoso vengono inviati da amici, quindi probabilmente l'utente sprovveduto si fiderà della provenienza del collegamento. Inoltre gli aggiornamenti dei codec o dei player video sono molto frequenti durante la navigazione e non perciò saranno identificati come possibili minacce.
Tornando al discorso delle applicazioni, una delle prime ad essere utilizzata a fini dannosi è Secret Crush. L'esca viene lanciata inviando alla vittima una richiesta in cui si indica l'esistenza di un fantomatico "ammiratore segreto".
Per visualizzare l'identità di questo ammiratore, l'utente, dopo aver accettato la richiesta, deve selezionare cinque dei suoi amici per invitarli ad usare l'applicazione. A differenza del phishing questa minaccia fa uso del social engineering per propagarsi, ovvero l'abilità di spingere la vittima ad eseguire le operazioni desiderate.
A questo punto l'utente viene invitato a scaricare ed installare un file contenente l'adware chiamato Zango.
Zango non è un virus nel senso stretto, cioè non è programmato per causare danni al sistema ospitante. Se però viene installato, il vostro PC entra a far parte di un network pubblicitario e carpirà informazioni sulla navigazione e come tutti gli altri adware esistenti, aprirà pagine pubblicitarie indesiderate.
In una successiva evoluzione, l'applicazione Secret Crush è stata modificata in My Secret Admirer (è stata comunque identificata da Facebook che proibisce all'utente l'utilizzo di questa applicazione). Ciò nonostante non è detto che questa applicazione muti ulteriormente e sfugga ai controlli, continuando ad infettare gli utenti.
I dati personali, come quelli ricavati da Zango, sono una delle merci più preziose sul web. Vengono utilizzate per campagne pubblicitarie, per creare le liste alle quali verranno inviate email di spam e rivendute alle società pubblicitarie. Per questo motivo bisogna sempre far attenzione quando, su Facebook, autorizziamo le applicazioni ad accedere ai dati del nostro profilo.
Oltre a veicolare software dannoso e a rubare dati personali, le applicazioni del social network in questione possono essere utilizzate per scopi più articolati. Alcuni ricercatori [Pdf] hanno infatti sviluppato un'applicazione per Facebook che mostrava semplicemente una immagine diversa per ogni giorno.
All'interno del codice dell'applicazione era presente una porzione di HTML che, nel momento in cui un utente faceva uso dell'applicazione, inviava anche una richiesta verso il sito vittima. Questa richiesta consisteva nella visualizzazione di una o più immagini, per un totale di 600Kb di dati. Chiaramente questa quantità era modificabile a seconda delle esigenze.
L'utente era ignaro della richiesta poiché le immagini non venivano effettivamente visualizzate, ma creando una BotNet con un numero elevato di bot, il sito vittima poteva cadere in un DoS (Denial of Service, 'blocco del servizio').
In particolare, i ricercatori hanno calcolato che se l'applicazione venisse utilizzata da 2 milioni di persone, verrebbero generate richieste per circa 248GB al giorno. Molti hosting forniscono ai siti una banda limitata o comunque non illimitata, quindi l'attacco è più che efficace.
Come difendersi
Questo probabilmente è il contesto in cui vale maggiormente la regola: fidarsi è bene, non fidarsi è meglio.
Gli utenti si iscrivono nel social network per trovare amici, comunicare, interagire ed essere parte integrante della community. Per questo motivo spesso c'è un senso di fiducia generalizzato, pensando che i rischi esistano solo laddove vengano richieste carte di credito e così via.
Quindi, prima di utilizzare un'applicazione assicuriamoci che provenga da una fonte nota. E se qualcuno ci invia qualche invito, sarà meglio controllare più di una volta sia la fonte sia l'invito stesso.
Il rischio è stato percepito anche dalle grandi aziende, infatti Facebook è uno dei siti più visitati dal luogo di lavoro. Mettere nelle mani di un worm un Pc dell'ufficio vuol dire mettere a rischio l'intera rete aziendale. Per questo motivo case come Microsoft e
Trend Micro [Pdf] hanno diramato delle linee guida all'utilizzo dei social network.
In conclusione, come nella maggior parte dei rischi informatici "casalinghi", un po' più di diffidenza, unita a qualche buono strumento software come antivirus o antiadware, ci forniranno una discreta sicurezza per utilizzare i social network in tutta tranquillità.
