Επιτέλους! Ουσιαστική αναβάθμιση ασφάλειας για το Facebook
Οι νέες ρυθμίσεις θα γίνουν σταδιακά διαθέσιμες σε όλους τους χρήστες…
Δημοσίευση 16/2/2011 | 13:57
Ως τώρα το Facebook έδινε ιδιαίτερη βάση στην ικανοποίηση των χρηστών σε θέματα ασφάλειας των δεδομένων που ανεβάζουν ώστε αυτά να είναι διαθέσιμα μόνο σε όσους πρέπει. Όμως τόσο καιρό το Facebook είχε ένα τεράστιο κενό ασφαλείας, που αφορούσε όσους έμπαιναν στο site από «ανοιχτά» wifi και δημόσια/κοινόχρηστα δίκτυα εν γένει. Σε αυτές τις περιπτώσεις οποιοσδήποτε κακόβουλος, με χαρακτηριστικά απλό τρόπο, είχε τη δυνατότητα να υποκλέψει τα δεδομένα σας. Πριν από λίγες ημέρες οι υπεύθυνοι του Facebook πήραν τη δύσκολη (από τεχνική και οικονομική διάσταση) απόφαση να αναβαθμίσουν την ασφάλεια του συστήματος. Ο συνάδελφος Κώστας Δεληγιάννης από την Καθημερινή, παρουσίασε τις αλλαγές σε ένα εξαιρετικό ρεπορτάζ…
Για τους «γνώστες» αρκεί μόνο μια λέξη για να καταλάβουν τι αλλάζει: «HTTPS». Τα στοιχεία της σύνδεσής σας (login, password) από και προς το Facebook θα κρυπτογραφούνται με τρόπο ασφαλή για όλο το χρονικό διάστημα που θα είστε συνδεδεμένοι. Έτσι όμως ο λογαριασμός σας θα είναι εξαιρετικά δύσκολο (πρακτικά αδύνατο) να παραβιαστεί.
Η πίεση προς τη δημοφιλή πλατφόρμα κοινωνικής δικτύωσης ελήφθη δύο μήνες μετά τον σάλο που προκάλεσε ο προγραμματιστής Eric Butler κυκλοφορώντας το Firesheep, ένα πρόγραμμα (addon) για τον Firefox το οποίο επιτρέπει στον κάτοχό του να υποκλέπτει τους λογαριασμούς όλων όσοι μπαίνουν στο Facebook μέσα από το ίδιο ασύρματο (ή μη) δίκτυο. Σκοπός του Butler ήταν να αποδείξει πόσο ευάλωτο ήταν το Facebook αφού, εκτός από τη διαδικασία εισόδου, μέχρι πρόσφατα δεν χρησιμοποιούσε πρωτόκολλα κρυπτογράφησης για την επικοινωνία με τον υπολογιστή κάθε μέλους. Με συνέπεια να ανταλλάσσει με κάθε PC πρόσθετα αρχεία τα οποία ήταν προσβάσιμα από οποιονδήποτε τρίτο, παρόλο που περιείχαν ευαίσθητα στοιχεία όπως τους κωδικούς πρόσβασης.
Για να μην πέσει κανείς θύμα του κενού ασφαλείας που υπέδειξε το Firesheep, θα πρέπει να ενεργοποιήσει την κρυπτογράφηση από τον πίνακα ελέγχου και την επιλογή «Ασφάλεια Λογαριασμού». Προς το παρόν, όμως, η εν λόγω δυνατότητα είναι διαθέσιμη σε ένα μικρό αριθμό μελών σε όλο τον κόσμο. Ο λόγος είναι ότι, όπως έγραφε ο υπεύθυνος ασφαλείας του Facebook Alex Rice στο μπλογκ του, «ενδεχομένως θα μειωθούν οι ταχύτητες με τις οποίες “φορτώνουν” οι σελίδες, ενώ παράλληλα ορισμένες λειτουργίες του site και μερικές εφαρμογές τρίτων προγραμματιστών δεν υποστηρίζουν προς το παρόν το συγκεκριμένο πρωτόκολλο». Ωστόσο, συμπλήρωνε πως μέσα στις επόμενες εβδομάδες θα έχουν επιλυθεί όλα τα τεχνικά προβλήματα, ώστε κάθε χρήστης να μπορεί να έχει καλύτερη προστασία.
Σύμφωνα πάντως με αρκετούς αναλυτές, η υπηρεσία κοινωνικής δικτύωσης θα μπορούσε να αξιοποιήσει ακόμη καλύτερα το νέο χαρακτηριστικό, θέτοντάς το για παράδειγμα αυτόματα σε λειτουργία όταν ανιχνεύει πως ο χρήστης εισέρχεται στο site μέσω κάποιου δημόσιου δικτύου. Έτσι κι αλλιώς, η αυξημένη ασφάλεια είναι απαραίτητη από τη στιγμή που το Facebook αποκτά ολοένα μεγαλύτερη δημοφιλία (μόνο από την Ελλάδα, οι εγγραφές έφτασαν τα δύο εκατομμύρια στο τέλος του 2010). Παράλληλα, η πλατφόρμα κοινωνικής δικτύωσης εμπλουτίζεται διαρκώς με καινούργιες δυνατότητες, όπως η υπηρεσία ηλεκτρονικού ταχυδρομείου, με τις οποίες τα μέλη ανταλλάσσουν ιδιωτικές πληροφορίες.
Βέβαια, η ενσωμάτωση του νέου πρωτοκόλλου δεν σημαίνει ότι το site θα γίνει πλέον απόρθητο στους κυβερνοεγκληματίες. Όμως, αν και στη συγκεκριμένη περίπτωση το πρωτόκολλο δεν θα είχε κανένα πρακτικό αποτέλεσμα, είναι βέβαιο πως μπορεί επίσης να αποτρέψει και κρούσματα κρατικής λογοκρισίας, τα οποία αυξάνονται τον τελευταίο καιρό με την εξάπλωση των εξεγέρσεων στις αραβικές χώρες. Όπως σημειώνει εξάλλου το έγκυρο blog τεχνολογίας arstechnica, αν η κρυπτογράφηση ήταν σε λειτουργία, οι κρατικές αρχές της Τυνησίας δεν θα κατάφερναν να υποκλέψουν τους κωδικούς πρόσβασης αρκετών ακτιβιστών.
Εξίσου ευάλωτες με το Facebook είναι και άλλες δημοφιλείς πλατφόρμες κοινωνικής δικτύωσης όπως το Twitter, το MySpace και το Foursquare, όταν τα μέλη τους αποκτούν πρόσβαση σε αυτά μέσω «ανοιχτών» ή δημόσιων δικτύων – με το Firesheep άλλωστε μπορεί κανείς να υποκλέπτει τους κωδικούς πρόσβασης και σε αυτές τις υπηρεσίες. Έτσι, μια λύση είναι να χρησιμοποιήσει κανείς το Blacksheep, ένα πρόγραμμα για τον Firefox της Mozilla, το οποίο σαρώνει το δίκτυο για να διαπιστώσει αν κάποιος προσπάθησε να υφαρπάξει τον λογαριασμό του.
Διαφορετική αντιμετώπιση προσφέρει το HTTPS Everywhere πάλι για τον Firefox, το οποίο αναπτύχθηκε από την οργάνωση Electronic Frontier Foundation. Το πρόγραμμα αυτό, όπως και το παρόμοιο Force TLS, επιτρέπει την αποκλειστικά κρυπτογραφημένη σύνδεση σε έναν αρκετά μεγάλο κατάλογο από ιστότοπους, όπως η Wikipedia, το Google ή το Pay-Pal. Ωστόσο, στον κατάλογο αυτό συμπεριλαμβάνεται μόνο το Twitter από τις υπηρεσίες social networking αφού, για να είναι ένα site συμβατό με το HTTPS Everywhere, θα πρέπει να πληροί ορισμένες τεχνικές προϋποθέσεις.
