SlideShare ist ein Scribd-Unternehmen logo
1 von 16
Sociálne siete a bezpečnosť
RASTISLAV TUREK
Sociálne siete
• Počiatky sociálnych sietí
Usernet, ARPANET, LISTSERV, BBS (Bulletin board services), EIES
• Prvé sociálne siete
The Well (1985), Theglobe.com (1994), Geocities (1994), Tripod (1995)
• Moderné sociálne siete
Friendster (2002), MySpace (2002), Facebook (2004), Bebo (2005), Twitter
(2006)
• Lokálne sociálne siete
Azet.sk (1997), Xchat.sk (1999), Birdz.sk(2005), eSvety.sk (2008)
Čo projekt, to zmena
• Príchodom každej sociálnej siete sa objavujú nové
bezpečnostné problémy
• Každá nová sociálna sieť nabáda svojich návštevníkov k
publikovaniu viac osobných informácií
• Príchodom Facebooku dochádza k masovej a dobrovoľnej
deanonymizácií užívateľov
• Užívatelia zdieľajú často najintímnejšie informácie zo svojho
života
• Miznú morálne a sociálne hranice medzi skupinami
Čo priniesli sociálne siete
• Obrovskú centralizáciu osobných informácií, ktoré väčšinou
neboli nikdy nikde publikované
• Zníženú ostražitosť užívateľov
• Masové správanie užívateľov
• Nové možnosti sledovania správania užívateľov
• Obrovskú centralizáciu fotiek a videí jednoducho spojiteľných
s konkrétnymi osobami
• Prístup tretích strán k osobným informáciám užívateľov
Facebook
• Jedna z najväčších sociálnych sietí na svete
• Aktívne podporuje princíp FOAF (The Friend of a Friend)
• Umožňuje vytvárať stránky a skupiny
• Vďaka API podporuje tvorbu aplikácií pracujúcich s dátami
užívateľov
• Umožňuje zdieľať fotografie, videá a statusy, sledovať a
komentovať aktivitu priateľov, selektovať ich do skupín,
priraďovať im rôzne práva pre sledovanie vlastnej aktivity
• Užívateľ získava absolútnu kontrolu nad kontom po zadaní
správneho mena a hesla
Formy útokov
Vďaka veľkej popularite sociálnych sietí sa stávajú obľúbeným
terčom hackerov
Najčastejšie sa využíva:
• Sociálne inžinierstvo
• Bezpečnostná zraniteľnosť sociálnej siete
• Bezpečnostná zraniteľnosť aplikácie tretej strany (aj reklamné
systémy, mashupy, ...)
• Chyba užívateľa (ľahko uhádnuteľné heslo, rovnaké heslo, ...)
Sociálne inžinierstvo
• Sociálne inžinierstvo je omnoho jednoduchšie vďaka prístupu
k mnohým osobným informáciám užívateľov
• Phishing sa stáva viac „šitý“ na mieru konkrétnej obete
• Užívatelia často prezradia údaje, ktoré sú používané pri
resetovaní hesiel, ako
dodatočné overenie
identity.
Phishing
Bezpečnostné zraniteľnosti
• Užívateľ môže prísť o svoje konto aj vďaka bezpečnostnej
zraniteľnosti v sociálnej sieti, alebo v aplikácii tretej strany
• Užívateľ nemôže ovplyvniť túto formu útoku
• Často krát dochádza k masovému odcudzeniu kont užívateľov
Najčastejšie zraniteľnosti:
• SQL Injection
• XSS (Cross-site scripting)
• CSRF (Cross-site request forgery)
SQL Injection
Chyba užívateľa
• Užívatelia často a radi používajú jednoduché heslá, ktoré majú
rovnaké vo viacerých službách
• Mnohokrát dokáže osoba, ktorá dobre pozná užívateľa,
uhádnuť jeho heslo
• Mnohokrát sa heslo zhoduje s heslom do emailovej schránky
• Užívatelia sú schopní veľmi ľahko podľahnúť phishingu
• A čo vy? Používate rovnaké heslo pre prístup do sociálnej
siete a do emailovej schránky?
Bezpečnostné incidenty
• Vďaka bezpečnostnej chybe získal kanadský hacker privátne fotky Paris
Hilton a Marka Zuckerberga (zakladateľa facebooku) (Facebook, 2005)
• Vďaka projektu Data Portability boli odcudzené súkromné fotografie
Paris Hilton a Lindsay Lohan (MySpace, 2008)
• Objavil sa 17 GB súbor, ktorý obsahoval privátne fotografie tisícok
užívateľov (MySpace, 2008)
• Objavil sa XSS červ, ktorý za niekoľko hodín pridal do skupiny
„Infikovaný vírusom na Orkute“ viac ako 600 000 užívateľov (Orkut,
2008)
• XSS červ, ktorý naprogramoval 17 ročný Mikey Mooney, nainfikoval za
niekoľko hodín desaťtisíce užívateľov (Twitter, 2009)
• Man jailed for life for hacking wife to death over facebook
relationship status (The Inquirer, 2008)
• MySpace Hoax Led to Daughter's Suicide (FOX News, 2008)
• Man fired due to his Facebook status update (cnet, 2009)
• Woman Fired For Facebook Status Update (We Interrupt,
2009)
Skutočné prípady
Ako sa chrániť
• Využívať bezpečnostné nastavenia/obmedzenia pre limitáciu
prístupu k informáciám
• Používať rôzne heslá naprieč rôznymi službami
• Vytvárať heslá zložené z veľkých a malých písmen, a čísel o
minimálnej dĺžke 8 znakov
• Publikovať len informácie, ktoré nemôžu spôsobiť problémy
vám ani vášmu okoliu, vždy to niekto číta
• Uvážlivo publikovať fotky a videá
• Nezapájať sa do každej masovej aktivity v sociálnych sieťach
Zlaté pravidlo
Na sociálnych sieťach sa správajte tak,
aby vás nijak nepoškodilo ani odcudzenie
vášho konta
Ďakujem za pozornosť
Rastislav Turek
turek@synopsi.com
+1 (615) SYN-OPSI

Weitere ähnliche Inhalte

Andere mochten auch

CST Compounds Chemical Rns_Review
CST Compounds Chemical Rns_ReviewCST Compounds Chemical Rns_Review
CST Compounds Chemical Rns_Reviewrrichards2
 
Artist research - A2 Media
Artist research - A2 Media Artist research - A2 Media
Artist research - A2 Media simrankalsixo
 
Siempre hay que pedir permiso antes de hablar
Siempre hay que pedir permiso antes de hablarSiempre hay que pedir permiso antes de hablar
Siempre hay que pedir permiso antes de hablarwiamemb
 

Andere mochten auch (6)

CST Compounds Chemical Rns_Review
CST Compounds Chemical Rns_ReviewCST Compounds Chemical Rns_Review
CST Compounds Chemical Rns_Review
 
Practical Web Attacks
Practical Web AttacksPractical Web Attacks
Practical Web Attacks
 
Artist research - A2 Media
Artist research - A2 Media Artist research - A2 Media
Artist research - A2 Media
 
Ferrites
FerritesFerrites
Ferrites
 
Credit Card Frauds
Credit Card FraudsCredit Card Frauds
Credit Card Frauds
 
Siempre hay que pedir permiso antes de hablar
Siempre hay que pedir permiso antes de hablarSiempre hay que pedir permiso antes de hablar
Siempre hay que pedir permiso antes de hablar
 

Mehr von Rastislav Turek

Dodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciDodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciRastislav Turek
 
Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Rastislav Turek
 
Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Rastislav Turek
 
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skKritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skRastislav Turek
 
SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0Rastislav Turek
 
Rodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRastislav Turek
 
Vraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláVraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláRastislav Turek
 
Pravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímPravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímRastislav Turek
 
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008Rastislav Turek
 
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007Rastislav Turek
 

Mehr von Rastislav Turek (11)

Dodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciDodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraci
 
Zmluva o spolupraci
Zmluva o spolupraciZmluva o spolupraci
Zmluva o spolupraci
 
Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008
 
Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007
 
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skKritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
 
SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0
 
Rodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows Vista
 
Vraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláVraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidlá
 
Pravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímPravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosím
 
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
 
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
 

Sociálne siete a bezpečnosť

  • 1. Sociálne siete a bezpečnosť RASTISLAV TUREK
  • 2. Sociálne siete • Počiatky sociálnych sietí Usernet, ARPANET, LISTSERV, BBS (Bulletin board services), EIES • Prvé sociálne siete The Well (1985), Theglobe.com (1994), Geocities (1994), Tripod (1995) • Moderné sociálne siete Friendster (2002), MySpace (2002), Facebook (2004), Bebo (2005), Twitter (2006) • Lokálne sociálne siete Azet.sk (1997), Xchat.sk (1999), Birdz.sk(2005), eSvety.sk (2008)
  • 3. Čo projekt, to zmena • Príchodom každej sociálnej siete sa objavujú nové bezpečnostné problémy • Každá nová sociálna sieť nabáda svojich návštevníkov k publikovaniu viac osobných informácií • Príchodom Facebooku dochádza k masovej a dobrovoľnej deanonymizácií užívateľov • Užívatelia zdieľajú často najintímnejšie informácie zo svojho života • Miznú morálne a sociálne hranice medzi skupinami
  • 4. Čo priniesli sociálne siete • Obrovskú centralizáciu osobných informácií, ktoré väčšinou neboli nikdy nikde publikované • Zníženú ostražitosť užívateľov • Masové správanie užívateľov • Nové možnosti sledovania správania užívateľov • Obrovskú centralizáciu fotiek a videí jednoducho spojiteľných s konkrétnymi osobami • Prístup tretích strán k osobným informáciám užívateľov
  • 5. Facebook • Jedna z najväčších sociálnych sietí na svete • Aktívne podporuje princíp FOAF (The Friend of a Friend) • Umožňuje vytvárať stránky a skupiny • Vďaka API podporuje tvorbu aplikácií pracujúcich s dátami užívateľov • Umožňuje zdieľať fotografie, videá a statusy, sledovať a komentovať aktivitu priateľov, selektovať ich do skupín, priraďovať im rôzne práva pre sledovanie vlastnej aktivity • Užívateľ získava absolútnu kontrolu nad kontom po zadaní správneho mena a hesla
  • 6. Formy útokov Vďaka veľkej popularite sociálnych sietí sa stávajú obľúbeným terčom hackerov Najčastejšie sa využíva: • Sociálne inžinierstvo • Bezpečnostná zraniteľnosť sociálnej siete • Bezpečnostná zraniteľnosť aplikácie tretej strany (aj reklamné systémy, mashupy, ...) • Chyba užívateľa (ľahko uhádnuteľné heslo, rovnaké heslo, ...)
  • 7. Sociálne inžinierstvo • Sociálne inžinierstvo je omnoho jednoduchšie vďaka prístupu k mnohým osobným informáciám užívateľov • Phishing sa stáva viac „šitý“ na mieru konkrétnej obete • Užívatelia často prezradia údaje, ktoré sú používané pri resetovaní hesiel, ako dodatočné overenie identity.
  • 9. Bezpečnostné zraniteľnosti • Užívateľ môže prísť o svoje konto aj vďaka bezpečnostnej zraniteľnosti v sociálnej sieti, alebo v aplikácii tretej strany • Užívateľ nemôže ovplyvniť túto formu útoku • Často krát dochádza k masovému odcudzeniu kont užívateľov Najčastejšie zraniteľnosti: • SQL Injection • XSS (Cross-site scripting) • CSRF (Cross-site request forgery)
  • 11. Chyba užívateľa • Užívatelia často a radi používajú jednoduché heslá, ktoré majú rovnaké vo viacerých službách • Mnohokrát dokáže osoba, ktorá dobre pozná užívateľa, uhádnuť jeho heslo • Mnohokrát sa heslo zhoduje s heslom do emailovej schránky • Užívatelia sú schopní veľmi ľahko podľahnúť phishingu • A čo vy? Používate rovnaké heslo pre prístup do sociálnej siete a do emailovej schránky?
  • 12. Bezpečnostné incidenty • Vďaka bezpečnostnej chybe získal kanadský hacker privátne fotky Paris Hilton a Marka Zuckerberga (zakladateľa facebooku) (Facebook, 2005) • Vďaka projektu Data Portability boli odcudzené súkromné fotografie Paris Hilton a Lindsay Lohan (MySpace, 2008) • Objavil sa 17 GB súbor, ktorý obsahoval privátne fotografie tisícok užívateľov (MySpace, 2008) • Objavil sa XSS červ, ktorý za niekoľko hodín pridal do skupiny „Infikovaný vírusom na Orkute“ viac ako 600 000 užívateľov (Orkut, 2008) • XSS červ, ktorý naprogramoval 17 ročný Mikey Mooney, nainfikoval za niekoľko hodín desaťtisíce užívateľov (Twitter, 2009)
  • 13. • Man jailed for life for hacking wife to death over facebook relationship status (The Inquirer, 2008) • MySpace Hoax Led to Daughter's Suicide (FOX News, 2008) • Man fired due to his Facebook status update (cnet, 2009) • Woman Fired For Facebook Status Update (We Interrupt, 2009) Skutočné prípady
  • 14. Ako sa chrániť • Využívať bezpečnostné nastavenia/obmedzenia pre limitáciu prístupu k informáciám • Používať rôzne heslá naprieč rôznymi službami • Vytvárať heslá zložené z veľkých a malých písmen, a čísel o minimálnej dĺžke 8 znakov • Publikovať len informácie, ktoré nemôžu spôsobiť problémy vám ani vášmu okoliu, vždy to niekto číta • Uvážlivo publikovať fotky a videá • Nezapájať sa do každej masovej aktivity v sociálnych sieťach
  • 15. Zlaté pravidlo Na sociálnych sieťach sa správajte tak, aby vás nijak nepoškodilo ani odcudzenie vášho konta
  • 16. Ďakujem za pozornosť Rastislav Turek turek@synopsi.com +1 (615) SYN-OPSI