Facebook wil afkicken van Java plug-ins
Dit weekend liet Facebook weten dat een aantal ontwikkelaars via een lek in de Java browserplug-in met malware besmet waren geraakt, maar de sociale netwerksite was hiervoor al begonnen om het gebruik van de Java plug-in terug te dringen. Dat laat Facebook Chief Security Officer Joe Sullivan tegenover Ars Technica weten. De malware was via een website voor mobiele ontwikkelaars verspreid.
Volgens AllThingsD zou het mogelijk om de website iPhoneDevSDK gaan, maar dat werd door de eigenaar ontkend en later weer bevestigd. "De website was geïnjecteerd in de HTML van de website. Elke engineer die de website bezocht en Java in zijn browser had ingeschakeld zou zijn getroffen, ongeacht hoe gepatcht zijn machines was", laat Sullivan weten.
Inbraak
Via de exploit werden verschillende malware-exemplaren op de computers van de ontwikkelaars geplaatst. Het zou om een combinatie van tools gaan die zowel op Windows- als op Apple-computers werkten. Een vaste malware-onderzoeker die Facebook in dienst heeft wist de malware te identificeren, waarna andere bedrijven en justitie werden ingelicht.
Sullivan merkt op dat virusscanners de malware niet detecteerden omdat die nieuw was. "Het feit dat de machines gepatcht waren kon de aanvallers niet afremmen." Uit een analyse van de malware bleek dat de aanvallers lateraal door de productieomgeving probeerden te gaan.
Daarbij kregen de aanvallers beperkte inkijk in de productiesystemen, maar uit forensisch onderzoek zou blijken dat er van die systemen geen data is gestolen. Wel wisten de aanvallers informatie van de laptops van de besmette ontwikkelaars te stelen, zoals bedrijfsgegevens, e-mail en softwarecode.
Java
Facebook was zich bewust van de risico's om Java in de browser te draaien. "We waren al met een initiatief begonnen om onze afhankelijkheid van producten die Java plug-ins vereisen terug te dringen", laat Sullivan weten. "Maar het is lastig om te doen, omdat er zoveel zakelijke applicaties zijn die het vereisen."
Het uitschakelen van Java zou dan bestaande aanvallen hebben geblokkeerd, het zou geen toekomstige dreigingen voorkomen. "As het geen lek in de Java plug-in was geweest, had het een ander lek kunnen zijn."
DAT kun je toch wel voorkomen, Facebook?
Begin eens met je medewerkers geen locale admin van je computers te maken, en een policy
(AppLocker) te installeren die het downloaden en runnen van vreemde executables door medewerkers
verbiedt. Dan ben je al een stuk veiliger.
Ik ken echt geen details van hoe Facebook intern werkt, maar ik had soortgelijke gedachten toen ik het eerdere bericht las, maar op een iets ander vlak. Facebook is namelijk een site die helemaal niets meer doet als je potentiëel riskante dynamische inhoud blokkeert, als ik een link naar een Facebook-pagina volg zie ik meestal maar erg weinig. Mijn eerste gedachte was dat ze nu zelf ondervonden dat die 'laat allles maar toe voor een zo rijk mogelijke ervaring'-mentaliteit zijn keerzijde heeft.
Het zou heel goed kunnen dat de hele mentaliteit, de hele manier om naar hun werkelijkheid te kijken, van dat bedrijf maakt dat jouw suggestie, die veel restrictiever van aard is, daar nooit navolging kan krijgen zonder dat het een wezenlijk ander bedrijf wordt. Dat zou best passen in het beeld dat ik van ze heb. Zonder me concreet te herinneren waar het ook alweer om ging heb ik meerdere keren gedacht, als er weer eens iets mis ging op het gebied van privacy: "Mijn god, denken die dan helemaal niet na over de consequenties van wat ze doen? Dit hadden ze toch aan kunnen zien komen?" Ze doen indrukwekkende dingen maar tegelijk heb ik regelmatig de indruk gehad dat ze in sommige opzichten nauwelijks professioneel zijn. Als het soort professionaliteit dat ik dan meende te missen daar vaste voet aan de grond krijgt raken ze vermoedelijk tegelijk de impulsieve eigenschappen kwijt die ze zo populair hebben gemaakt, en als het zo ver is wordt het balletje vermoedelijk overgenomen door een andere site die nog wel jong, speels, impulsief en onbezonnen is. En even gewetenloos.
Dan lijkt mij het puur om java code te gaan, en geen externe executables ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
