Facebook wil afkicken van Java plug-ins
Dit weekend liet Facebook weten dat een aantal ontwikkelaars via een lek in de Java browserplug-in met malware besmet waren geraakt, maar de sociale netwerksite was hiervoor al begonnen om het gebruik van de Java plug-in terug te dringen. Dat laat Facebook Chief Security Officer Joe Sullivan tegenover Ars Technica weten. De malware was via een website voor mobiele ontwikkelaars verspreid.
Volgens AllThingsD zou het mogelijk om de website iPhoneDevSDK gaan, maar dat werd door de eigenaar ontkend en later weer bevestigd. "De website was geïnjecteerd in de HTML van de website. Elke engineer die de website bezocht en Java in zijn browser had ingeschakeld zou zijn getroffen, ongeacht hoe gepatcht zijn machines was", laat Sullivan weten.
Inbraak
Via de exploit werden verschillende malware-exemplaren op de computers van de ontwikkelaars geplaatst. Het zou om een combinatie van tools gaan die zowel op Windows- als op Apple-computers werkten. Een vaste malware-onderzoeker die Facebook in dienst heeft wist de malware te identificeren, waarna andere bedrijven en justitie werden ingelicht.
Sullivan merkt op dat virusscanners de malware niet detecteerden omdat die nieuw was. "Het feit dat de machines gepatcht waren kon de aanvallers niet afremmen." Uit een analyse van de malware bleek dat de aanvallers lateraal door de productieomgeving probeerden te gaan.
Daarbij kregen de aanvallers beperkte inkijk in de productiesystemen, maar uit forensisch onderzoek zou blijken dat er van die systemen geen data is gestolen. Wel wisten de aanvallers informatie van de laptops van de besmette ontwikkelaars te stelen, zoals bedrijfsgegevens, e-mail en softwarecode.
Java
Facebook was zich bewust van de risico's om Java in de browser te draaien. "We waren al met een initiatief begonnen om onze afhankelijkheid van producten die Java plug-ins vereisen terug te dringen", laat Sullivan weten. "Maar het is lastig om te doen, omdat er zoveel zakelijke applicaties zijn die het vereisen."
Het uitschakelen van Java zou dan bestaande aanvallen hebben geblokkeerd, het zou geen toekomstige dreigingen voorkomen. "As het geen lek in de Java plug-in was geweest, had het een ander lek kunnen zijn."
DAT kun je toch wel voorkomen, Facebook?
Begin eens met je medewerkers geen locale admin van je computers te maken, en een policy
(AppLocker) te installeren die het downloaden en runnen van vreemde executables door medewerkers
verbiedt. Dan ben je al een stuk veiliger.
Ik ken echt geen details van hoe Facebook intern werkt, maar ik had soortgelijke gedachten toen ik het eerdere bericht las, maar op een iets ander vlak. Facebook is namelijk een site die helemaal niets meer doet als je potentiëel riskante dynamische inhoud blokkeert, als ik een link naar een Facebook-pagina volg zie ik meestal maar erg weinig. Mijn eerste gedachte was dat ze nu zelf ondervonden dat die 'laat allles maar toe voor een zo rijk mogelijke ervaring'-mentaliteit zijn keerzijde heeft.
Het zou heel goed kunnen dat de hele mentaliteit, de hele manier om naar hun werkelijkheid te kijken, van dat bedrijf maakt dat jouw suggestie, die veel restrictiever van aard is, daar nooit navolging kan krijgen zonder dat het een wezenlijk ander bedrijf wordt. Dat zou best passen in het beeld dat ik van ze heb. Zonder me concreet te herinneren waar het ook alweer om ging heb ik meerdere keren gedacht, als er weer eens iets mis ging op het gebied van privacy: "Mijn god, denken die dan helemaal niet na over de consequenties van wat ze doen? Dit hadden ze toch aan kunnen zien komen?" Ze doen indrukwekkende dingen maar tegelijk heb ik regelmatig de indruk gehad dat ze in sommige opzichten nauwelijks professioneel zijn. Als het soort professionaliteit dat ik dan meende te missen daar vaste voet aan de grond krijgt raken ze vermoedelijk tegelijk de impulsieve eigenschappen kwijt die ze zo populair hebben gemaakt, en als het zo ver is wordt het balletje vermoedelijk overgenomen door een andere site die nog wel jong, speels, impulsief en onbezonnen is. En even gewetenloos.
Dan lijkt mij het puur om java code te gaan, en geen externe executables ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.