La red social más popular del mundo ha sido víctima de un nuevo ciberataque, y una vez más, aunque ya se diga sintiendo más pena que enfado, el responsable principal fue Java. Esta nueva brecha en la seguridad no ha comprometido los datos de los usuarios registrados en Facebook, pero no se puede decir lo mismo de los ordenadores portátiles pertenecientes a algunos ingenieros que trabajan para la red social. Otro detalle llamativo es que el ataque contra Facebook sucedió en un tiempo similar al de Twitter, en el que resultaron parcialmente afectados un cuarto de millón de usuarios.
Los portales más visitados de la Web (y en especial las redes sociales) deben lidiar con una gran cantidad de ataques, y aún entre los que resultan exitosos, sólo unos pocos llegan a tener relevancia en los medios. A modo de ejemplo, hackear una cuenta de Facebook puede ser relativamente sencillo (y problemático para el dueño original) cuando las condiciones son adecuadas, pero una simple cuenta no es un objetivo tan destacado que digamos. No importa si el estímulo es político, económico, o simplemente destructivo, quienes realizan estos ataques no están pensando en una cuenta o dos, sino en afectar a toda una infraestructura.
El equipo de seguridad de Facebook reportó que los sistemas pertenecientes a algunos de sus ingenieros fueron atacados a través de una vulnerabilidad “0-day” presente en Java. De acuerdo al CSO de la red social, Joe Sullivan, el ataque fue descubierto cuando apareció un dominio extraño en los logs de solicitud asociados al DNS de Facebook. Esto permitió llevar a cabo el rastreo de las solicitudes hasta llegar al ordenador portátil de un ingeniero que trabajaba en el desarrollo de aplicaciones móviles. Tras un análisis forense adicional, se descubrió que eran varios los sistemas comprometidos. Los responsables del ataque aprovecharon la vulnerabilidad 0-day en Java utilizando una técnica llamada “Watering Hole”, que básicamente inyecta el ataque en un sitio o servidor que la víctima muy probablemente visite. En este caso, se trató de un foro de desarrollo móvil.
Los sistemas afectados se encontraban completamente al día en materia de parches y actualizaciones, mientras que el “payload” estaba compuesto por malware compatible con Windows y OS X, lo suficientemente “nuevo” como para no ser detectado por los antivirus instalados. Sullivan también agregó que el ataque parece ser parte de una “nueva campaña”, pero fue realizado dentro del mismo período en el que Twitter sufrió su ataque, y en el cual se dieron indicios (pero no se confirmó por completo) de que Java fue el punto débil. La investigación ya llegó a instancias federales, y además de mantener “entrenados” a sus operativos con una serie de “simulacros de ataque”, Facebook ha activado un mecanismo para reducir su dependencia de Java, aunque Sullivan reconoce que será algo muy duro debido a la gran cantidad de aplicaciones empresariales que lo requieren. La respuesta de Facebook ante esta delicada situación fue excelente, pero la atención se enfoca otra vez sobre Oracle. La utilidad de Java en el mundo del desarrollo de software es muy grande, sin embargo, lanzar parches “después” de cada 0-day que vuela por los aires, sencillamente no funciona.