Door Jeffrey van Maurik

Facebook over veiligheid (video)

21-05-2011 • 09:00

28

Ter gelegenheid van de Hack in the Box-beveiligingsconferentie in Amsterdam was de chief security officer van Facebook, Joe Sullivan, in Nederland. Het is de taak van Sullivan om de beveiliging van een van de grootste internetsites ter wereld in goede banen te leiden. Tweakers.net voelde Sullivan aan de tand over Facebooks nieuwe security-features en zijn visie op beveiliging.

Reacties (28)

28
26
13
5
0
6
Wijzig sortering
Ik vind de nieuwe veiligheidsmaatregelen ook wel goed.

HTTPS gebruikte ik al sinds het beschikbaar was (ik heb zelf op school eens gespeeld met firesheep-firefox en je ziet dan zeer goed wat er allemaal kan 8)7 ).

Dit geld niet alleen voor facebook maar ook voor hotmail, twitter, ...

En die andere mogelijkheid om sms te sturen op niet bekende devices vind ik niet slecht gevonden. Zo heb je toch minder kans dat ongewenste personen op je facebook accaunt kunnen rondsnuffelen.


En ja, ze sturen info door naar de adverteerders, maar ze moeten hun inkomsten ergens van halen hé, gaat iedereen facebook blijven gebruiken als je er 50€ ofzo moet betalen per jaar?
Afgezien van het feit dat Joe me een aardige vent lijkt hebt ik niets geleerd van dit interview. Vage teksten over allerlei teams, de geweldige samenwerking met een Anti virus bedrijf die hij graag met name noemt, de verbluffende reactie op malware. Binnen 24 uur wordt dat opgenomen in de nieuwe update van McAfee, tsjonge! En ze werken samen met de big boys bij een malware uitbraak. Gut. Niet te vergeten ze gaan samen met de big boys als microsoft achter de command en control centers achter de malware aan en leggen die plat.

Veel grote woorden, maar weinig dat niet allang door elke grote speler gedaan wordt.

Tof ook dat je als je door malware getroffen wordt dat je dan niet bij de FBI aangegeven wordt. Ik was al bang dat ik naar Guantamo moest als mijn dochtertje iets doms gedownload had. Nee, dat kan nu genanomiseerd. Jawel, mijn prive gegevens hoeven niet straight naar law enforcement, maar gaan wel volautomatisch naar de adverteerders. Goeie deal.

De enige vernieuwing is de overgang naar https, wat mooi is. Nu wordt je persoonlijke informatie niet meer onderschept door handige sniffers op public hotspots, maar moeten ze wachten tot je die prive data zelf online zet. Of gewoon over je schouder meekijken :)

Het echte probleem van Facebook is geen van al deze technische zaken, maar is de user. Mensen zetten hun hele hebben en houden op facebook dus zijn zeer kwetsbaar voor identity theft. Daar hoor ik hem niet over.

Verder zijn de facebook gebruikers zich van geen probleem bewust. Het is de hotmail van 201x, waarbij jan en alleman elkaars wachtwoord kent, naar elkaar linkt met prive informatie die misschien geisoleerd nog niet zo´n probleem is, maar als je er wat slimme software op los laat kun je prachtig social engineeren.

Netwerk van mensen in kaart brengen levert je veel meer informatie op dan op dat ene accountje staat. De gebruiker heeft geen enkele privacy de facto. De inbreker weet wanneer hij weg is, zijn baas wanneer hij op het strand ligt, zijn vriendin dat ie op een foto op iemand anders account al tongend in beeld is en de serieus geinteresseerde hacker?

Die stoort zich niet aan al die https verbindingen, maar gebruikt zijn social engineering skills om het wachtwoord te achterhalen voor andere sites, volgt het spoor van de gebruiker en logt overal in waar hij actief is en heeft zijn identiteit voordat je https kan spellen.

edit: typos

[Reactie gewijzigd door max3D op 24 juli 2024 02:05]

Veel grote woorden, maar weinig dat niet allang door elke grote speler gedaan wordt.
Welke grote spelers? Sowieso zijn er geen andere spelers buiten Google die zoveel privacygevoelige informatie beheren als Facebook, maar kom eens met voorbeelden? Ik zou er niet op rekenen dat er veel websites zijn die samenwerken met anti-virusbedrijven om malwareaanvallen op hun gebruikers te voorkomen.
Jawel, mijn prive gegevens hoeven niet straight naar law enforcement, maar gaan wel volautomatisch naar de adverteerders. Goeie deal.
Adverteerders komen niet te weten op welke gebruikers hun advertenties worden gericht, tenzij de gebruiker zijn identiteit kenbaar maakt door bijv. een app toegang te verlenen of een adverteerder te liken.
Het echte probleem van Facebook is geen van al deze technische zaken, maar is de user. Mensen zetten hun hele hebben en houden op facebook dus zijn zeer kwetsbaar voor identity theft. Daar hoor ik hem niet over.
Facebook biedt uitgebreide privacysettings waarmee je ervoor kunt zorgen dat informatie alleen terecht komt bij mensen aan wie je die informatie wilt geven. Een veel grotere bedreiging voor de privacy dan Facebook is Twitter. De meeste Twittergebruikers hebben hun tijdlijn open staan voor iedereen. De hele wereld kan meelezen wat mensen aan het doen zijn, maar daar hoor je niemand over. Facebook ligt voortdurend onder vuur terwijl een Facebookprofiel standaard al weinig privacygevoelige informatie laat zien en met de superieure privacysettings van Facebook goed dichtgetimmerd kan worden.
Verder zijn de facebook gebruikers zich van geen probleem bewust. Het is de hotmail van 201x, waarbij jan en alleman elkaars wachtwoord kent, naar elkaar linkt met prive informatie die misschien geisoleerd nog niet zo´n probleem is, maar als je er wat slimme software op los laat kun je prachtig social engineeren.
Onzin, bijna alle profielen zijn goed afgeschermd. Zonder vriendjes te worden met de persoon kom je weinig over hem of haar te weten.
Netwerk van mensen in kaart brengen levert je veel meer informatie op dan op dat ene accountje staat. De gebruiker heeft geen enkele privacy de facto. De inbreker weet wanneer hij weg is, zijn baas wanneer hij op het strand ligt, zijn vriendin dat ie op een foto op iemand anders account al tongend in beeld is en de serieus geinteresseerde hacker?
Als je niet wilt dat een inbreker weet wanneer je weg bent moet je geen vriendjes worden met de inbreker of de inbreker geen toegang geven tot je wall posts. Idem voor de baas en de persoon die een foto van je maakt terwijl je je vriendin bedriegt.
Anoniem: 34095 @Toon-VA21 mei 2011 11:01
Kijk geld verdienen is prima.

Het oorspronkelijke concept van facebook was anders dan dat het nu is, nu gaat alles ten koste van de gebruiker met als enig doel: target marketing. Dat FB hevig onder vuur ligt qua privacy geeft aan hoe ver ze hier in gaan. Als jij ergens op "vind ik leuk" klikt, dan is dat is een trigger voor adverteerders, zelfde gaat op voor alle pages die je "liked" of YT filmpjes die je post.

Nieuwe opties standaard aanzetten waardoor je automatisch een target bent of geindexeeerd word door 3rd party sites, terwijl het niet moeilijk is om standaard het checkboxje uit te zetten met een opt-in mogelijkheid voor gebruiker.

Kleine dingen als de "download highres photo" optie onder elke foto, kan je niet uitzetten, als je ziet hoeveel reacties daar in het forum over zijn, FB geeft niet thuis.

In de voorwaarden opnemen dat fotos mogen doorverkocht worden aan derden (wat ook geldt voor andere grote sites; picasa, twitpic, flickr etc) is belachelijk.

Het filmpje doet wat rooskleuriger aan dan de werkelijkheid.
En die andere mogelijkheid om sms te sturen op niet bekende devices vind ik niet slecht gevonden. Zo heb je toch minder kans dat ongewenste personen op je facebook accaunt kunnen rondsnuffelen.
Vreemde opmerking, want je vind het wel prima als een adverteerder dat doet :?

[Reactie gewijzigd door Anoniem: 34095 op 24 juli 2024 02:05]

Wat nou eens echt een secure facebook zou zijn:
- je data staat met jou persoonlijke private key ge-encrypt op de servers van facebook en wordt ook ge-encrypt verstuurd.
- bij een friendship request stuur je jou public key op naar je friend, et voila.
- wil je verschillende soorten access rights, dan hou je meerdere key-sets
- wil je data voor iedereen leesbaar maken dan is het niet-encrypted
- al dit gedoe met keys wordt mooi weggewerkt in een gebruikersvriendelijke app

Al het soort nep-security wat veel websites bieden is gewoon boerenbedrog.
Anoniem: 399679 @H!GHGuY21 mei 2011 15:22
Klinkt leuk, alleen de public key zal toch ergens moeten worden opgeslagen bij je friends.
En aangezien facebook een webservice is, zal deze key ook in hun database moeten worden opgeslagen, dus komt iemand in hun database, dan hebben ze alle public keys, en dus ook alle data.

Excuses als ik het verkeerd heb, alleen vertel me dan graag waarom.
Nou, moest Facebook zoiets implementeren dan zou ik misschien wel overwegen om mij aan te melden, maar zoals Facebook je privacy en rechten nu verkracht kan ik het niet over mijn hart krijgen om mij aan te melden.
Ik vrees alleen dat Facebook er nog altijd in zou slagen om dit systeem te laten mislukken, want je zou sowiso je public key moeten sharen met de advertisements en met de verschillende app's die je draait.

Anyway, ik ga Facebook geen geld laten verdienen door mijn inspanningen...
Je logica is niet correct. Je gaat er namelijk vanuit dat de data die je op facebook hebt staan geheim gehouden moet worden. Dat niet zo, je zet dingen op facebook om te delen. Je vrienden een public key meesturen (en die van al je vrienden zodat vrienden van vrienden functionaliteit blijft werken) helpt dan niet echt. Die vriend heeft jou informatie en kan daar mee doen wat hij wil. Een hele restrictieve policy werkt alleen maar geklooi in de hand. (O, ik kan deze foto niet doorsturen naar een vriend? Dan maak ik toch even een kopie en stuur die door....)

Dit is dan ook geen oplossing voor de twee grote problemen van facebook.

De problemen zijn namelijk
1. Vrienden die iets doorsturen wat je graag geheim had willen houden.
2. Mensen die toegang tot jou account zelf hebben.

Public keys helpen daar simpelweg niet tegen. Het enige waar public keys tegen helpen is tegen toegang van onbevoegden tot jou foto's door met de links te spelen. Maar mocht je dat willen is het veel simpeler die informatie te beschermen en te eisen dat gebruikers zijn ingelogd zodat je de gegevens kan verifieren voordat de gegevens worden verstuurt.

Blijft over het hacken van de systemen van facebook zelf. Met encryptie zijn je gegevens beschermd tegen hackers, maar je kunt je afvragen of je alle data met verschillende keys per gebruiker wilt encrypten en die keys gaan delen of gewoon alle data met hetzelfde wachtwoord wil beveiligen.

Oftewel, in mijn ogen lost je systeem helemaal niets op en zou je dit juist als boerenbedrog moeten bestempelen. Maar dan wel een heel ingewikkeld en kostbaar boerenbedrog
Anoniem: 34095 21 mei 2011 09:56
Toch zeer bijzonder; je geeft geen persoonlijke informatie aan "law enforcement" (7:50>), maar wel alle informatie aan adverteerders en elke (mobile) app die gebruik wil maken van facebook.

En het lijkt me vanzelfsprekend dat je gebruikers niet willen dat hun informatie "zomaar" word gebruikt, had je daar nu echt input voor nodig van de gebruikers ? Ze zitten er duidelijk met een ander doel.
Cool interview en mooi opgezet. Krijg wel het gevoel dat hij weet waar hij het over heeft. Nice!
Ik had juist helemaal niet het idee dat het een interview was. Het klonk als een presentatie. Ik hoorde niiet alleen geen vragen: die kan je wegknippen als je Engels kut klinkt, maar ik merkte ook niets van sturing door vragen.

Waarom vroeg de interviewer niets iets en liet hij Joe gewoon doorbabbelen? Dat is een filmpje, maar geen interview.
Als ze het nu nog eens mogelijk maken om je geheime vraag te veranderen, dan wordt mijn vriendin niet 10x per dag gekloot door een onbekende. Je pw veranderen kan en moet aan allerlei harde eisen voldoen, maar die security question is zo'n zwak systeem.
Nou moet ik zeggen dat ik deze niet zo heel boeiend vond, ging niet diep genoeg. Echter, ik moet zeggen dat ik het wel heel positief vind dat we de laatste tijd steeds meer security gerelateerde items hier hebben. Ga vooral zo door dus :)
Anoniem: 269758 @19467321 mei 2011 12:42
Inderdaad, het gaat erop vooruit, dat is altijd goed nieuws. Ben benieuwd waar ze in de toekomst nog mee gaan op de proppen komen.
Anoniem: 261016 21 mei 2011 23:37
@Max3d; Helemaal mee eens. De doorsnee gebruiker is zich van geen kwaad bewust (en sommigen willen het niet weten ook), totdat het mis gaat...
Ik heb een week een FB account gehad maar snel weer opgezegd, althans... je kunt je account niet opheffen, hoe verrassend...
Lees dit topic eens voordat je je bezig gaat houden met niet onderbouwde stemmingmakerij. :)
Aangezien er een forum voor gemaakt is waar vele mensen met dezelfde vraag komen, is het wel duideljik dat je niet zomaar even je FB account opzegt.
Cool interview.
of je vult gewoon wat in bij je aanmelding?

Waarom moeilijk doen :Y)
ik hoop niet dat ze het beveiligen als battle.net
want dan word het heel moeilijk om je account terug te krijgen tenzei
ze een code generator maken voor op je smartphone zodat je die code kunt gebruiken om in teloggen wel irri op den duur maar wel effectief vind ik zelf
offtopic:
Die gast knippert niet. Dat is gewoon eng. just saying :P
Misschien knippert hij tussen 2 frames van de video in. Zo'n video als deze is vaak 30 frames per seconden, en je kan misschien iets sneller knipperen dan dat...
2:06 duidelijk wel, maar inderdaad hij knippert erg weinig.
offtopic: waar let jij nu weer op :Y) . Hij knippert inderdaad weinig, maar als die dat doet draait die geregeld zijn gezicht af.
Nu we toch bezig zijn, let eens op zijn linkerwenbrauw, die heeft een tick :+
Dat deed hij tijdens de cutscenes :) Maar idd, zo te zien erg getrained in het uren en uren staren...
Goede vriend van mark zuckerberg :P

Op dit item kan niet meer gereageerd worden.