2. Sociálne siete
• Počiatky sociálnych sietí
Usernet, ARPANET, LISTSERV, BBS (Bulletin board services), EIES
• Prvé sociálne siete
The Well (1985), Theglobe.com (1994), Geocities (1994), Tripod (1995)
• Moderné sociálne siete
Friendster (2002), MySpace (2002), Facebook (2004), Bebo (2005), Twitter
(2006)
• Lokálne sociálne siete
Azet.sk (1997), Xchat.sk (1999), Birdz.sk(2005), eSvety.sk (2008)
3. Čo projekt, to zmena
• Príchodom každej sociálnej siete sa objavujú nové
bezpečnostné problémy
• Každá nová sociálna sieť nabáda svojich návštevníkov k
publikovaniu viac osobných informácií
• Príchodom Facebooku dochádza k masovej a dobrovoľnej
deanonymizácií užívateľov
• Užívatelia zdieľajú často najintímnejšie informácie zo svojho
života
• Miznú morálne a sociálne hranice medzi skupinami
4. Čo priniesli sociálne siete
• Obrovskú centralizáciu osobných informácií, ktoré väčšinou
neboli nikdy nikde publikované
• Zníženú ostražitosť užívateľov
• Masové správanie užívateľov
• Nové možnosti sledovania správania užívateľov
• Obrovskú centralizáciu fotiek a videí jednoducho spojiteľných
s konkrétnymi osobami
• Prístup tretích strán k osobným informáciám užívateľov
5. Facebook
• Jedna z najväčších sociálnych sietí na svete
• Aktívne podporuje princíp FOAF (The Friend of a Friend)
• Umožňuje vytvárať stránky a skupiny
• Vďaka API podporuje tvorbu aplikácií pracujúcich s dátami
užívateľov
• Umožňuje zdieľať fotografie, videá a statusy, sledovať a
komentovať aktivitu priateľov, selektovať ich do skupín,
priraďovať im rôzne práva pre sledovanie vlastnej aktivity
• Užívateľ získava absolútnu kontrolu nad kontom po zadaní
správneho mena a hesla
6. Formy útokov
Vďaka veľkej popularite sociálnych sietí sa stávajú obľúbeným
terčom hackerov
Najčastejšie sa využíva:
• Sociálne inžinierstvo
• Bezpečnostná zraniteľnosť sociálnej siete
• Bezpečnostná zraniteľnosť aplikácie tretej strany (aj reklamné
systémy, mashupy, ...)
• Chyba užívateľa (ľahko uhádnuteľné heslo, rovnaké heslo, ...)
7. Sociálne inžinierstvo
• Sociálne inžinierstvo je omnoho jednoduchšie vďaka prístupu
k mnohým osobným informáciám užívateľov
• Phishing sa stáva viac „šitý“ na mieru konkrétnej obete
• Užívatelia často prezradia údaje, ktoré sú používané pri
resetovaní hesiel, ako
dodatočné overenie
identity.
9. Bezpečnostné zraniteľnosti
• Užívateľ môže prísť o svoje konto aj vďaka bezpečnostnej
zraniteľnosti v sociálnej sieti, alebo v aplikácii tretej strany
• Užívateľ nemôže ovplyvniť túto formu útoku
• Často krát dochádza k masovému odcudzeniu kont užívateľov
Najčastejšie zraniteľnosti:
• SQL Injection
• XSS (Cross-site scripting)
• CSRF (Cross-site request forgery)
11. Chyba užívateľa
• Užívatelia často a radi používajú jednoduché heslá, ktoré majú
rovnaké vo viacerých službách
• Mnohokrát dokáže osoba, ktorá dobre pozná užívateľa,
uhádnuť jeho heslo
• Mnohokrát sa heslo zhoduje s heslom do emailovej schránky
• Užívatelia sú schopní veľmi ľahko podľahnúť phishingu
• A čo vy? Používate rovnaké heslo pre prístup do sociálnej
siete a do emailovej schránky?
12. Bezpečnostné incidenty
• Vďaka bezpečnostnej chybe získal kanadský hacker privátne fotky Paris
Hilton a Marka Zuckerberga (zakladateľa facebooku) (Facebook, 2005)
• Vďaka projektu Data Portability boli odcudzené súkromné fotografie
Paris Hilton a Lindsay Lohan (MySpace, 2008)
• Objavil sa 17 GB súbor, ktorý obsahoval privátne fotografie tisícok
užívateľov (MySpace, 2008)
• Objavil sa XSS červ, ktorý za niekoľko hodín pridal do skupiny
„Infikovaný vírusom na Orkute“ viac ako 600 000 užívateľov (Orkut,
2008)
• XSS červ, ktorý naprogramoval 17 ročný Mikey Mooney, nainfikoval za
niekoľko hodín desaťtisíce užívateľov (Twitter, 2009)
13. • Man jailed for life for hacking wife to death over facebook
relationship status (The Inquirer, 2008)
• MySpace Hoax Led to Daughter's Suicide (FOX News, 2008)
• Man fired due to his Facebook status update (cnet, 2009)
• Woman Fired For Facebook Status Update (We Interrupt,
2009)
Skutočné prípady
14. Ako sa chrániť
• Využívať bezpečnostné nastavenia/obmedzenia pre limitáciu
prístupu k informáciám
• Používať rôzne heslá naprieč rôznymi službami
• Vytvárať heslá zložené z veľkých a malých písmen, a čísel o
minimálnej dĺžke 8 znakov
• Publikovať len informácie, ktoré nemôžu spôsobiť problémy
vám ani vášmu okoliu, vždy to niekto číta
• Uvážlivo publikovať fotky a videá
• Nezapájať sa do každej masovej aktivity v sociálnych sieťach