Wiadomości
Bezpieczeństwo sieci społecznościowych - jak się zabezpieczyć?
7 stycznia 2010 07:26,
Marcin Marciniak
Największym zagrożeniem w sieciach społecznościowych jest łatwy dostęp do publikowanych, bez umiaru i na wszelkie tematy, informacji.
Metoda ta jest bardzo sprytna, ale wymaga dotarcia do każdego z użytkowników z osobna. Do sprawnego docierania do szerokiej grupy internautów naraz, wykorzystywane są dwa zjawiska powszechne w wirtualnym świecie blogów: subskrypcje popularnych profili oraz zaufanie, którym czytelnicy darzą twórców.
Jak wykorzystać zaufanie
W wirtualnym świecie sieci społecznościowych występują relacje zaufania zbliżone do tych, które tworzą się w świecie rzeczywistym. Jedną z nich jest większe zaufanie do treści publikowanych przez osobę, której dotychczasowe publikacje użytkownik zdążył poznać. Cyberprzestępcy nauczyli się korzystać z takich relacji i wytypowali sporo bardzo popularnych profili Twittera, które były śledzone przez wielu użytkowników. Pierwsze ataki polegały na wysyłaniu wiadomości dzięki sfałszowaniu numeru telefonu komórkowego wysyłającego daną wiadomość. Na taki atak jest podatnych wiele portali blogowych, na przykład polski pinger.pl. Wystarczy poznać numer telefonu danej osoby (czasami jest on publikowany na stronach WWW) i sfałszować nadawcę wiadomości SMS.
Serwisy mikroblogowe są używane do koordynacji pracy botnetów.
Następnym krokiem było przejęcie bardzo popularnych profili,w celu masowego publikowania wiadomości związanych z pornografią oraz nielegalną sprzedażą pewnych farmaceutyków. W styczniu ubiegłego roku przejęto w ten sposób 33 bardzo popularne profile. Podobne ataki wykonano także w innych niż Twitter serwisach.
Aby przejąć profile, wykorzystuje się informacje osobiste, ułatwiające reset hasła. Czasami opłaca się nawet instalacja specjalnie przygotowanego keyloggera lub dobrze spreparowanych wiadomości phishingowych. Jedna z tych metod prawdopodobnie była użyta do przejęcia konta na Twitterze, prowadzonego przez Guya Kawasaki, bardzo popularnego miłośnika komputerów Mac. Według ostrożnych szacunków, zagrożenie mogło objąć co najmniej 140 tysięcy użytkowników. Złośliwe oprogramowanie było przygotowane dla obu systemów operacyjnych - Microsoft Windows (jako fałszywy instalator kodeka w formacie EXE) oraz Mac OS X (kodek w formie obrazu .dmg).
Środek podziemnej komunikacji
Serwisy mikroblogowe są bardzo szybkim środkiem komunikacji, który sprawdza się w wielu sytuacjach. Jest niezwykle powszechny, odbiór wiadomości jest całkowicie anonimowy, ponadto wykrycie twórcy wpisów nie zawsze jest łatwe. Właśnie dlatego cyberprzestępcy wykorzystują fikcyjne profile Twittera na przykład do kontroli pracy botnetów. Początkowo korzystano z prywatnych kanałów IRC, ale ruch IRC jest obecnie blokowany w wielu firmach. Ponadto, ten rodzaj komunikacji jest już bardzo rzadko wykorzystywany i trudno w nim o anonimowość tych, którzy pobierają informacje z danego serwera IRC. Zamiast wydawania komunikatów w kanałach IRC, czy otwierania szyfrowanego połączenia SSL do farmy serwerów kontrolujących botnet, złośliwe oprogramowanie otwiera standardowe, nieszyfrowane połączenie HTTP do usługi mikroblogowej. Jest to mało podejrzany ruch, który z punktu widzenia administratora wygląda tak, jakby zwykły użytkownik przeglądał coś na popularnym Twitterze. Tymczasem, wpis jest pseudolosowym ciągiem znaków, które nie mają nic wspólnego z wiadomościami wpisywanymi przez człowieka, stanowi zestaw zaszyfrowanych informacji, wykorzystywanych do zarządzania botnetem.
Złota różdżka wskaże drogę do banku
Przykładem pytania często wykorzystywanego przy telefonicznej autoryzacji klientów wielu banków, jest prośba o podanie panieńskiego nazwiska matki. W portalach społecznościowych, takich jak Nasza Klasa czy Facebook, niejednokrotnie można uzyskać odpowiedź na pytanie o to nazwisko, analizując znajomych szukanej osoby i wybierając rodzinę. Niektórzy użytkownicy są na tyle nieostrożni, że publikują kompletne drzewo genealogiczne. Uzyskanie daty urodzenia jest jeszcze prostsze - wielu użytkowników podaje ją wprost, w innych przypadkach wystarczy być "wirtualnym znajomym", by ją poznać.
Chociaż samo podanie informacji osobistych nie powoduje natychmiastowej utraty środków na koncie czy kradzieży tożsamości, bardzo podwyższa ryzyko późniejszych problemów, umożliwiając nawet przejęcie tożsamości. Użytkownicy sieci społecznościowych nie są świadomi tego ryzyka. "Jeśli osobiste pytanie związane z opcjami bezpieczeństwa ma być naprawdę osobiste, użytkownik powinien być jedyną osobą na całej planecie, która zna prawidłową odpowiedź" - uważa Rick Ferguson, architekt rozwiązań w firmie Trend Micro.
Przykładem pytania często wykorzystywanego przy telefonicznej autoryzacji klientów wielu banków, jest prośba o podanie panieńskiego nazwiska matki. W portalach społecznościowych, takich jak Nasza Klasa czy Facebook, niejednokrotnie można uzyskać odpowiedź na pytanie o to nazwisko, analizując znajomych szukanej osoby i wybierając rodzinę. Niektórzy użytkownicy są na tyle nieostrożni, że publikują kompletne drzewo genealogiczne. Uzyskanie daty urodzenia jest jeszcze prostsze - wielu użytkowników podaje ją wprost, w innych przypadkach wystarczy być "wirtualnym znajomym", by ją poznać.
Chociaż samo podanie informacji osobistych nie powoduje natychmiastowej utraty środków na koncie czy kradzieży tożsamości, bardzo podwyższa ryzyko późniejszych problemów, umożliwiając nawet przejęcie tożsamości. Użytkownicy sieci społecznościowych nie są świadomi tego ryzyka. "Jeśli osobiste pytanie związane z opcjami bezpieczeństwa ma być naprawdę osobiste, użytkownik powinien być jedyną osobą na całej planecie, która zna prawidłową odpowiedź" - uważa Rick Ferguson, architekt rozwiązań w firmie Trend Micro.
Oryginalny tekst został opublikowany na www.computerworld.pl
Komentarze (1)
> "Przykładem pytania często wykorzystywanego przy > telefonicznej autoryzacji klientów wielu banków, > jest prośba o podanie panieńskiego nazwiska matki." I to jest dopiero głupota, ale to jest głupota banków. Czy są jeszcze takie banki w Polsce? Jeżeli tak, to podajcie, proszę, przykłady.
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...