Morda ste danes opazili na svojem Facebook profilu prijatelja ali prijateljico, ki jim je bila všeč stran z naslovom “LOL – See How She Caught Her Boy friend Cheating her on Facebook”.
Povezava vas vabi na spletno mesto caughtonfb. info in obljublja posnetek, kako je punca na Facebooku naredila lažni profil in prepričala lastnega fanta v zmenek. No, tega tam ne boste videli … Omenjeno spletno mesto nas preusmeri na datoteko main.php; če to poskusimo na svoj računalnik potegniti s posebnim programom, dobimo tole:
Nič kaj prijazno. Verjetno pa ni bil namen tega spletnega mesta prikazati to neprijazno sporočilo vsem obiskovalcem. To sporočilo nam je snovalec namenil zato, ker ve, da ga nismo obiskali z navadnim spletnim brskalnikom (Internet Explorerjem, Firefoxom ali Chromom), ampak s posebnim programom wget. Ob vsakem kliku na spletno mesto namreč brskalnik sporoči, kdo je, uporabljeno orodje pa ne. Avtor caughtonfb .info nam je tako pokazal jezik, saj ve, da preiskujemo, kaj se pravzaprav dogaja. Lahko pa ga poskusimo prepričati, da smo eden od običajnih obiskovalcev in orodju wget povemo, da smo navaden brskalnik in da smo na spletno mesto prišli iz vstopne strani:
To uspe in med drugim lahko vidimo v datoteki tudi HTML kodo, ki za vsamu obiskovalcu tega spletnega mesta podtakne ukaze na facebook.com, ki izvede “Všeč mi je” (angl. “Like”) ukaz za caughtonfb. info.
Če ste torej prijavljeni v Facebook, boste nevede postali oboževalec tega spletnega mesta. Postali ste žrtev ranljivosti spletnega mesta facebook.com, ki se imenuje “Cross-Site Request Forgery” ali CSRF. Tu res ne moremo govoriti o napaki uporabnika, saj bi Facebook spletišče moralo preverjati, od kod prihajajo ukazi. Ali ima Facebook pomanjkljivost le za “Všeč mi je,” ali pa je možno njegovim uporabnikom podtikati tudi druge ukaze na podoben način, pa še ni znano …
Kako preverite, ali se vam je kaj podobnega prikradlo v profil? Kliknite “Uredi Profil” pod svojim imenom, potem na “Zanimanja in interesi”, kjer proti dnu pa najdete povezavo “Pokaži ostale strani”. Tam odstranite morebitno smetje.
V manj kot minuti je caughtonfb. info pridobila 200 novih oboževalcev …
Gorazd Božič
SI-CERT novice in Fokus blog lahko spremljate tudi preko Twitterja ali Facebooka.