viernes, noviembre 30, 2007

Facebook Beacon

Mucho se ha dicho sobre la nueva iniciativa de anuncios en línea de Facebook “Beacon” y como los usuarios sienten (sentimos diría yo) que la forma en que fue implementado viola nuestros derechos de la privacidad. Aunque no soy experto en Javascript en este post quiero ver a Beacon desde un punto de vista más técnico. Para saber un poco más en general de beacon puedes checar:

General
Privacidad
Un demo de cómo funciona

Inicialmente tenía la teoría de que Facebook y su “advertiser partner” usaban javascript, cookies y cookies de tercera-persona (third party). Y aunque no tenía la solución de cómo interactuaba el código resulta que estaba en lo correcto. En este post pueden encontrar los pedazos de código y en detalle cómo funcionan e interactúan. Sin embargo a menos de que tengas un buen background de programación en Javascript, el blog puede llegar a resultar en algo parecido a magia negra tecnológica.

Para simplificar un poco y si no le mueves mucho al inglés Beacon funciona de la siguiente manera (extractos tomados de http://www.radiantcore.com/blog/archives/23/11/2007/deconstructingfacebookbeaconjavascript ):

1) El partner incluye un meta tag en el código de HTML de su página
2) En la página llama a llamar “beacon.js”. La entrada se ve como:

script type="text/javascript" src="http://facebook.com/beacon/beacon.js.php?source=5194643289"> /script

El parámetro parece ser el id del parnter

3) El advertiser llama una función “Facebook.publish_action” la cual construye un query que pasa a ”Facebook._send_request”.
4) Todos aquellos familiares con Javascript y HTML sabrán que una cookie otogada por un sitio no puede ser accedida por otro sitio diferente. Al igual que un código de Javascript del sitio A no puede ser accedido por el sitio B. Bueno, pues “Facebook._send_request” construye un iframe y llama a: http://www.facebook.com/beacon/auth_iframe.php.
5) auth_iframe.php es llamado con una serie de parámetros (tomados del query construido anteriormente –punto 3-) y los datos son enviados
6) A partir de aquí FB sabe de tu existencia. Para agregarle un poco más, aunque el post no lo comenta yo supongo que el advertiser ya instaló una cookie con información tuya y FB ya accedió la suya para confirmar tu identidad aunque no estés logueado a FB. Para los curiosos, si acceden beacon,js se darán cuenta que tratará de leer su cookie donde está tu id de login de FB.
7) Después de ésto, varios scripts son llamados. Estos se encargan finalmente de abrir las ventanas donde aceptarás o declinarás que tu información sea compartida en tu perfil de FB (ojo, FB YA tiene la información. Solo confirmas si aparecerá o no en tu sección de noticias).

Lista de los Top 20 Riesgos de Seguridad de acuerdo al SANS Institute

Hace unos días el SANS Institute dio a conocer su listado de los Top 20 riesgos de seguridad. La lista comprende:

Vulnerabilidades en Clientes:
C1. Web Browsers
C2. Office Software
C3. Email Clients
C4. Media Players

Vulnerabilidades en Servidores:
S1. Web Applications
S2. Windows Services
S3. Unix and Mac OS Services
S4. Backup Software
S5. Anti-virus Software
S6. Management Servers
S7. Database Software

Políticas de Seguridad y Personal:
H1. Excessive User Rights and Unauthorized Devices
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media

Abuso de Aplicación:
A1. Instant Messaging
A2. Peer-to-Peer Programs

Dispositivos de Red:
N1. VoIP Servers and Phones

Ataques de Cero-Día:
Z1. Zero Day Attacks

Es interesante la comparación de esta lista con la del 2006. Entre los puntos que el SANS menciona como importantes está la disminución de vulnerabilidades a nivel sistema operativo que lleven a infecciones masivas mediante gusanos informáticos. También reiteran un aumento en las vulnerabilidades en software de usuario como lo son clientes de correo, suites (Office), Mensajeros Instantáneos, Lectores de correo y navegadores. El “Phising” sigue siendo un punto de riesgo importante y ahora más si agregamos las vulnerabilidades en el software del usuario.

Esta lista también demuestra la evolución de la lucha hackers vs. Profesionales de la seguridad. Los servidores, sistemas operativos y equipos de red que fueron los primeros blancos han mostrado una mayor atención por parte de los profesionales de IT y de los vendedores de equipo y software. Esto ha hecho que los blancos no sean tan fáciles de abusar haciendo que los hackers busquen víctimas con mejores retornos de inversión. Y que mejor que los usuarios y el software que usan para lograr su objetivo.

Esta tendencia también ha llevado que aplicaciones como firewalls personales y software anti-virus sean blanco de hackers. Esto con el objetivo de interrumpir su funcionamiento para el usuario final haciendo más sencillo abusar de una aplicación con vulnerabilidades como un lector de correo o un navegador.

Otro punto interesante es la seguridad de laptops con información confidencial y su falta de encriptación. En este sentido nosotros somos los afectados pero la culpa es de la organización que perdió nuestra información. Aquí también se puede ver la evolución de los ataques, antes los hackers atacaban directamente el servicio en línea. Ahora que esto es más complejo de hacer dada el mayor entendimiento de la seguridad por parte de los profesionistas de IT, los hacker voltean a ver a los usuarios que “inocentemente” copian datos confidenciales para trabajar fuera de la oficina como fuente de valiosa información.

El reporte completo del SANS puede accederse aquí y aquí un resumen ejecutivo.

miércoles, noviembre 07, 2007

Social Networks Thoughts

Sorry, this one is in English.

I have been reading tons and tons of news, reports and articles about social networking and how the big players are trying to capitalise their sites through online advertisements. Furthermore I have also read a lot of criticism in how these strategies have been or are going to be implemented, why they are going to fail, privacy concerns and so on. Definitely something is missing, and the one able to find it will be rich.

Some loose ideas, in the last six months I have bought some gadgets, music and books. I am sure that I would not make 90% of those purchases without these tools: RSS and Google reader. But again, the big players have not realised how to exploit that.