FACEBOOK QUELLCODE DURCHGESICKERT - TECHCRUNCH - SOZIALEN MEDIEN - 2018

Anonim

Wir haben gerade einen Tipp erhalten, dass der Quellcode für die Facebook Hauptindexseite veröffentlicht wurde und in einem Blog namens Facebook Secrets veröffentlicht wurde. Es gibt mindestens zwei Möglichkeiten, wie der Quellcode herauskommt - der erste ist, dass ein Facebook-Entwickler ihn ausgesendet hat, oder die wahrscheinlichere Option, dass eine Sicherheitslücke oder eine andere Methode auf einem der Facebook-Server oder in einem der Server verwendet wurde ihr Quellcode-Repository, um den Code zu enthüllen. Der Blog, der den Code veröffentlicht hat, hat nur einen einzigen Beitrag, also wurde er ausschließlich zum Veröffentlichen dieses Codes erstellt - was bedeutet, dass derjenige, der dahinter steht, das Loch nicht anerkennt und nicht damit in Verbindung gebracht werden möchte. Zwar gibt es keinen sicheren Weg, um zu überprüfen, ob der Code tatsächlich von Facebook stammt, indem wir einen kurzen Blick durch den Code werfen und einige Pfade, auf die verwiesen wurde, nochmals überprüfen, können wir mit einiger Sicherheit sagen, dass dies sowohl real als auch scheint auch eine aktuelle Version der Facebook-Hauptseite.

Hier gibt es eine Reihe von eindeutigen Konsequenzen. Der erste ist, dass der Code von Außenstehenden verwendet werden kann, um besser zu verstehen, wie die Facebook-Anwendung funktioniert, um weitere Sicherheitslücken oder Fehler zu finden, die ausgenutzt werden könnten. Da es sich bei Facebook um eine Closed-Source-Anwendung handelt, werden Sicherheitslücken ohne Zugriff auf den Code in der Regel durch einen Black-Box-Test gefunden, bei dem eine externe Partei die Anwendung untersucht, um herauszufinden, wie sich die Anwendung verhält und versucht, sie zu finden mögliche Rennbedingungen. In Closed-Source-Anwendungen ist es üblich, dass Entwickler sich auf die Geschlossenheit der Anwendung verlassen, um schlechte Designelemente und die Struktur der Anwendung zu verschleiern. Ein Angreifer, der öfter Zugriff auf den Quellcode erhält, führt zu weiteren Sicherheitslücken. Aus diesen Gründen wird oft behauptet, dass Open-Source-Software sicherer ist als Closed-Source-Software, da es viel mehr Augen gibt, die den Code auditieren und die Verschleierung nicht als Sicherheitsmaßnahme verwendet werden kann.

Die zweite Folge dieser Lücke ist, dass der Quellcode viel über die Struktur der Anwendung und die Praktiken, die Facebook-Entwickler befolgen, verrät. Von dieser einzigen Seite des Quellcodes kann viel über den Rest der Facebook-Anwendung und -Plattform gesagt und extrapoliert werden. Zum Beispiel folgt die Struktur keiner objektorientierten Entwicklungspraxis und es scheint, dass die Anwendung eine große PHP-Datei mit einer großen Anzahl von benutzerdefinierten Funktionen ist, die im selben Namespace leben (sie scheinen auch die Smarty-Templating-Engine zu verwenden). .

Dieses Leck ist keine gute Nachricht für Facebook, da es die Frage aufwirft, wie sicher ein Facebook-Nutzer private Daten wirklich ist. Wenn der Hauptquellcode für eine Site durchgesickert sein kann, dann kann gesagt werden, dass fast alles möglich ist. Facebook ist so ein Erfolg geworden und hat ein so hohes Ansehen, dass es zu einem Magneten für Angriffe auf seine Systeme geworden ist. Die meisten großen Anwendungen erleiden irgendwann einen Bruch, da die Chancen immer zugunsten von Angreifern liegen, aber Unternehmen können auf verschiedene Arten antworten, und die Hoffnung hier ist, dass Facebook diese Situation anmutig behandeln wird. Ich bezweifle nicht, dass Facebook diesen Fall mit viel Energie verfolgen wird, um sowohl den Grund herauszufinden, warum der Code durchgesickert ist, als auch herauszufinden, wer dafür verantwortlich ist. Sie werden auch einige sehr schnelle kurzfristige Maßnahmen ergreifen müssen, um das Risiko für die Benutzer zu mindern, da Sie darauf wetten können, dass in diesem Moment Hunderte potenzieller Angreifer den ausgelaufenen Code durchforsten und ihre Systeme untersuchen. Auf den ersten Blick weiß ich, dass ich einige offensichtliche Dinge im Code sehen kann, die beide verborgene Aspekte der Plattform offenbaren und einem potenziellen Angreifer einen guten Vorsprung verschaffen.

Update:Facebook hat uns eine offizielle Antwort geschickt (und Brandee Barker von Facebook hat unten einen Kommentar hinterlassen): "Ein kleiner Bruchteil des Codes, der Facebook-Webseiten anzeigt, wurde durch einen einzelnen falsch konfigurierten Webserver einer kleinen Anzahl von Benutzern ausgesetzt wurde sofort behoben.Es handelte sich nicht um eine Sicherheitsverletzung, und in keiner Weise wurden Benutzerdaten kompromittiert.Da der Code, der veröffentlicht wurde, nur die Facebook-Benutzeroberfläche versorgt, bietet er keinen nützlichen Einblick in das Innenleben von Facebook verstößt gegen mehrere Gesetze und wir fordern, dass die Leute es nicht weiter verbreiten. " Es scheint, dass die Ursache dafür war, dass Apache und mod_php nicht interpretierten Quellcode im Gegensatz zur Ausgabe zurücksendeten, entweder aufgrund einer Fehlkonfiguration des Servers oder einer hohen Auslastung (dies ist ein bekanntes Problem). Es ist auch offensichtlich, dass andere Seiten aufgedeckt wurden, und dass dieses Problem schon früher aufgetreten ist, aber nur jetzt hat jemand den Code tatsächlich online veröffentlicht.

Update 2:Ich habe 4 Tipps in meinem eigenen Blog veröffentlicht, um zu verhindern, dass Ihr Server den Quellcode Ihrer Anwendung verliert