sabato 29 ottobre 2011

Facebook rivela i dettagli di FIS, il sistema antispam del social network



Facebook ha rilasciato i dettagli della straordinaria infrastruttura di sicurezza utilizzata per combattere spam e altre cyber-truffe. Conosciuto come il sistema immunitario di Facebook[1] (Facebook Immune SystemFIS), la massiccia rete di difesa sembra avere successo: i numeri rilasciati dalla società questa settimana mostrano che meno dell'1 per cento degli utenti ha avuto un'esperienza di spamming sul social network. Eppure non è perfetto.

I ricercatori hanno costruito un "attacco romanzesco" che eluso la cyber-difesa ed estratto materiale privato ​​dagli account di reali utenti Facebook utenti reali. Ci sono voluti tre anni perchè il FIS diventasse evoluto rispetto l'iniziale di base, in un tutto vede insieme una serie di algoritmi che monitorizzano ogni foto pubblicata in rete, ogni stato di aggiornamento, ogni click fatto da ognuno degli 800 milioni di utenti.

Ci sono più di 25 miliardi di queste "azioni di lettura e scrittura" tutti i giorni. Al picco dell'attività il sistema controlla 650.000 azioni al secondo. "E 'una grande sfida", spiega al News Scientist Jim Larus, un ricercatore di Microsoft a Redmond, Washington, che studia le reti di grandi dimensioni. L’unica rete più grande è il web stesso, dice Larus. Il che rende il sistema di difesa di Facebook uno dei più grandi esistenti. Protegge dalle truffe via software sfruttando l'intelligenza artificiale per rilevare i segnali di comportamento sospetto.

Design di alto livello dell'Immune System

Il sistema è supervisionato da un team di 30 persone, ma può apprendere in tempo reale ed è in grado di agire senza essersi consultato con un supervisore umano. Un attacco notevole ha avuto luogo in aprile, dice Tao Stein , un ingegnere di Facebook che lavora sul sistema. Tutto è iniziato quando più utenti sono stati indotti a copiare il codice del computer nella barra degli indirizzi del browser.

Il codice ha "requisito" l'account di Facebook della persona, e ha iniziato l'invio di messaggi di chat ai propri amici dicendo cose come "Ho appena ricevuto un iPad free", insieme a un link dove gli amici potevano andare a prenderlo. Gli amici che hanno cliccato sul link sono stati rimandati ad un sito che li ha incoraggiati a incollare il codice stesso nel loro browser (identificato con il termine Javasticking), diffondendo così la "peste". "Gli attacchi di questo tipo possono generare milioni di messaggi al minuto", dice Stein.

Gli utenti hanno meno probabilità di cadere in una tattica simile usando e-mail, perché il messaggio sarebbe probabilmente inviato da uno sconosciuto. Ma all'interno della rete di Facebook è molto più convincente. "E' più facile da sfruttare l'exploit trust nelle relazioni in reti sociali online", dice Justin Ma, uno scienziato informatico presso la University of California, Berkeley, che sviluppa metodi per combattere lo spam e-mail. Per affrontare l'attacco, il FIS ha generato una firma che è utilizzata per differenziare i messaggi spam e legittimi. Questa era basata sui link nei messaggi di spam, con le parole chiave come "free" e "iPad", e gli indirizzi IP dei computer che inviavano i messaggi.

iPad free

Ma gli spammer possono usare più macchine per cambiare gli indirizzi IP e servizi di collegamento come bit.ly per il reindirizzamento in modo da poter modificare i link al volo. Così FIS ha controllato per capire quali messaggi venivano contrassegnati come spam dagli utenti e i messaggi bloccati con parole chiave simili nel testo. Insieme con altre funzioni del messaggio, che Facebook ha rifiutato di spiegare per timore di favorire gli spammer, il sistema è stato in grado di iniziare a sviluppare una firma per identificare lo spam a pochi secondi dall'emergere dell'attacco.

Facebook ha detto che questa settimana, grazie alla FIS, meno del 4 per cento dei messaggi della rete sono spam e che meno di 1 utente su 200 ha avuto esperienza di spam in un dato giorno. "E 'abbastanza buona", dice Ma, che ha un account Facebook. "Sono abbastanza soddisfatto del livello di sicurezza". Eppure, come qualsiasi difesa sulla base di modelli di comportamento noto, FIS è vulnerabile alle strategie che non ha mai visto prima. Yazan Boshmaf e i colleghi della University of British Columbia di Vancouver, in Canada, hanno sfruttato questo exploit[2] ed eluso il sistema con la creazione di "socialbots" - software in grado di porsi come un essere umano per il controllo di un account Facebook. Il bot ha iniziato con l'invio di richieste di amicizia a casuali utenti, dei quali circa 1 su 5 hanno accettato.

Social Bots

Poi hanno inviato richieste agli amici delle persone con cui avevano legami, e il tasso di accettazione è salito a quasi il 60 per cento. Dopo sette settimane il team dei 102 bot aveva fatto una combinata di 3000 amici. Le impostazioni della privacy Facebook permettono agli utenti di proteggere le informazioni personali dal pubblico. Ma i socialbots posti come amici, sono stati in grado di estrarre alcuni dei 46.500 indirizzi e-mail e indirizzi fisici da 14.500 utenti, informazioni dei profili che potrebbero essere utilizzati per lanciare attacchi di phishing o di aiuto nei furti di identità.

"Un utente malintenzionato potrebbe fare molte cose con questi dati", dice Boshmaf, che presenterà il lavoro del team durante l'annuale conferenza sulla sicurezza informatica delle applicazioni (Annual Computer Security Applications Conference - Acsac) a Orlando, Florida, il prossimo mese. Un attacco Socialbot deve ancora accadere, ma è solo una questione di tempo. 

I Socialbots si comportano in modo diverso dagli esseri umani che entrano su Facebook per la prima volta, in parte perché non hanno gli amici per connettersi nel mondo reale e le loro richieste a caso portano ad un numero insolitamente elevato di rifiuti. Il FIS sarebbe in grado di utilizzare questo modello per riconoscere e bloccare un attacco di socialbots, dice Stein. Che metterebbe Facebook nuovamente al sicuro, se non altro fino a quando gli hacker rilasciano la loro prossima innovazione.

Riferimenti:
  1. http://research.microsoft.com/en-us/projects/ldg/a10-stein.pdf
  2. http://lersse-dl.ece.ubc.ca/record/264/files/ACSAC_2011.pdf

Nessun commento:

Posta un commento