Facebook svela i dettagli di FIS, la massiccia rete di difesa del social network

Facebook ha reso noti i dettagli tecnici dell’imponente infrastruttura utilizzata per contrastare lo spam e altre cyber truffe e proteggere i dati degli utenti dagli attacchi dei malintenzionati. Nota come Facebook Immune System (FIS), la massiccia rete di difesa si è evoluta in meno di tre anni fino a diventare un sistema in grado di monitorare ogni foto, aggiornamento di stato, ogni click degli oltre 800 milioni di utenti del social network. Un compito non da poco per questo set di algoritmi, se si tiene conto che ogni giorno vanno ‘sorvegliate’ 25 miliardi di operazioni di lettura e scrittura, con picchi di 650 mila azioni al secondo.

Una sfida importante

“E’ una sfida importante”, ha sottolineato Jim Larus, un ricercatore Microsoft che studia le grandi reti. Secondo Larus, l’unica rete più grande è il web stesso, il che fa del FIS il maggiore sistema di difesa esistente, in grado di proteggere dalle truffe sfruttando software di intelligenza artificiale per rilevare segnali di comportamenti ‘sospetti’. Il sistema è sotto la supervisione di un team di 30 persone ma è in grado di agire anche senza l’input dei supervisori. Un attacco di notevole portata si è registrato ad aprile, ha spiegato Tao Stein, un ingegnere che lavora sul sistema, quando più utenti sono stati indotti a copiare un codice nella barra degli indirizzi del browser.

Un iPad gratis

Il codice ha ‘requisito’ l’account e ha iniziato a inviare in chat messaggi tipo "ho appena ricevuto un iPad gratis", insieme a un link dove gli amici avrebbero potuto andare per riceverne uno anche loro. Le persone che hanno cliccato sul link si sono ritrovate su un sito che li ha incoraggiati a incollare lo stesso codice sul loro browser, contribuendo così a diffondere ‘la peste’. "Attacchi di questo tipo possono generare milioni di messaggi al minuto", ha spiegato Stein e sfruttano il fatto che all’interno di Facebook si instaurano relazioni di ‘fiducia’ con i propri contatti. Per arginare l'attacco, FIS ha generato in pochissimo una ‘firma’ usata per differenziare i messaggi spam da quelli legittimi, basata sui link usati nei messaggi di spam, sugli indirizzi IP dei computer che inviavano i messaggi e su parole chiave come ‘gratuito’ o ‘iPad’. Visto che gli spammer possono usare più macchine per cambiare gli indirizzi IP e servizi reindirizzamento dei collegamenti come bit.ly possono modificare i link, FIS ha verificato quali messaggi venivano contrassegnati come spam dagli utenti e ha provveduto a bloccare quelli con parole chiave simili nel testo. Altri meccanismi utilizzati dal sistema per sviluppare la firma volta identificare lo spam non sono stati svelati da face book per non agevolare l’opera degli spammer.

Un utente su 200 ha problemi

Grazie a questo sistema, meno del 4% dei messaggi è costituito da spam e meno di un utente su 200 ha problemi di ricezione di email truffa. Il sistema funziona bene, ma – spiega un articolo del New Scientist - non è ancora perfetto. Come qualsiasi sistema di difesa, anche FIS è vulnerabile alle strategie sconosciute. Yazan Boshmaf e un team di ricercatori della British Columbia University di Vancouver hanno simulato un attacco basato sui cosiddetti ‘socialbots’, ossia dei software in grado di controllare un account Facebook. I bots hanno iniziato a inviare richieste di amicizia a utenti a caso e circa uno su 5 ha accettato. La percentuale è salita al 60% quando le richieste sono state inviate a persone nella lista contatti degli utenti che avevano accettato la richiesta di amicizia in precedenza. Dopo 7 settimane, i 102 bot utilizzati dai ricercatori avevano ormai 3 mila amici ed erano riusciti ad estrarre 46.500 indirizzi email e 14.500 indirizzi fisici degli utenti collegati ai loro contatti. Informazioni che avrebbero potuto facilmente usare per lanciare attacchi di phishing o per altri scopi malevoli. Boshmaf e i colleghi presenteranno i risultati di questa simulazione all’Annual Computer Security Applications Conference di Orlando, in Florida.

Un attacco ‘socialbot’ deve ancora accadere...

Anche se un attacco ‘socialbot’ deve ancora accadere, per gli esperti è solo questione di tempo. Il comportamento di questi software è diverso da quello di una persona che si iscrive a Facebook per la prima volta, prima di tutto perché non hanno amici ‘reali’ con cui connettersi e poi perché l’invio di richieste random porta a un numero di rifiuti molto alti. Grazie a questa simulazione, FIS dovrebbe essere in grado di riconoscere e bloccare simili attacchi e di rendere il social network più sicuro.

(27 ottobre 2011)

© 2002-2012 Key4biz