信息安全公司称应警惕社交网络安全风险编辑本段回目录
北京时间11月23日早间消息,据国外媒体今日报道,信息安全公司F-Secure表示,随着社交网络的用户数日益增长,用户应当警惕随之而来的安全风险。
F-Secure马来西亚公司高级安全响应经理谢荣飞(Chia Wing Fei,音译)表示,该公司注意到,用户的联系方式正在从电子邮件转向由社交网站提供的即时通讯工具。他指出:“这一趋势在信息安全领域有重要意义,这意味着用户需要对被劫持账户发送的链接和消息更加警惕。”
谢荣飞表示:“根据尼尔森的数据,从2008年8月至2009年8月,社交网络和其他社区网站的用户数增加了31%,而电子邮件用户数仅增加了21%。尽管宣布电子邮件已经死亡还为时过早,但数据已显示出这一趋势。”他指出:“信息犯罪已开始适应用户通讯方式的改变,更多关注知名社交网络上的活动。”
谢荣飞同时表示:“用户已经不再是简单的上下线,发送电子邮件,而是通过计算机和手机持续的在线。Facebook和Twitter等社交网站正迅速成长,而用户则利用这些网站提供的持续、快速的通讯工具。”
他指出:“电子邮件地址可能是虚假的,用户会收到来自陌生人的邮件,因此他们会对通过电子邮件发送的链接保持警惕。然而,如果用户好友的社交网络帐户被劫持,那么将较难识别。”“用户还未学会对社交网络好友帐户发送的链接保持怀疑,而这些链接同样可能使用户感染恶意软件或流氓软件。”
他表示,信息犯罪者正试图通过劫持Facebook和其他社交网站的帐号来赚钱,而社交网站中好友之间的相互信任有利于恶意软件的传播。
谢荣飞表示:“即时通讯很有趣,同时更加个性化、更有用,然而所有人都必须意识到其中包含的新的安全风险。随着社交网络的逐渐流行,被劫持帐户发送的链接和请求必将越来越多。”(维金)
社交网络成用户个人资料泄露最新渠道编辑本段回目录
日前,全球网络安全信息公司赛门铁克发布一项调查结果,表示目前在全球红火的Facebook等SNS社交网站已成为用户个人信息泄露的新渠道。据了解,近日,加拿大渥太华大学四名法律系学生就起诉社交网站Facebook在未征得其同意的情况下,把个人资料披露给各广告商。该调查指出,由于Facebook等SNS社交网站存在漏洞,个人信息即便“完全隐藏”,但也能够被黑客发现并加以利用。
与此同时,随着社交网站的日益壮大,不断庞大的“朋友圈”也为用户添加了不少烦恼,这种通过互联网带来的“海量”朋友会不会成为另一种方式的个人隐私泄露呢?文/记者 文静
SNS网站成资源宝库
目前大多数SNS社交网站都要求网友采用实名制,或者鼓励实名制,并在注册时,网站要求详细地填写姓名、性别、出生日期、所属地、邮箱地址,以确保个人信息的真实性和准确性。
“一开始这么做,是因为里面全是认识的朋友,现在添加的人越来越多,万一其中有人居心不良,或者网站被黑客黑了,我的邮箱地址、QQ、MSN,甚至密码都可能被他人利用。加入社交网已经1年多的网友阿信如此告诉记者。相信这也是众多在玩或者曾经玩过社交网站的网友共有的苦恼。
据外国媒体报道,国外曾有网络不良分子建立冒牌Facebook网站,以骗取网友个人信息。
据业内人士估计,目前国内SNS社交网站已成白领的一种潮流。国内大中型城市的15至30岁的网民中,有95%以上会注册一个或几个社交网站,因此对于黑客来说,社交网站是一个个人信息的宝库。
黑客窃取密码
据了解,社交网站造成个人用户信息泄露,主要包括了手机号码、MSN、QQ账号密码、邮件账号泄露(Outlook或Foxmail通讯录泄露)、真实情况泄露。
据该调查显示,尽管目前对黑客及Facebook等SNS社交网站漏洞的攻击未造成个人照片的泄露,但黑客已能够掌握基本的个人信息,包括位置、性别、出生日期、所属地、人际关系、兴趣、政治观点、宗教信仰等,而这些内容则为其破解用户经常使用的密码提供了参考依据,从而使用户的个人信息暴露在风险之中。
尽管目前攻击者未能利用网站漏洞执行恶意代码或者通过某种其他手段感染用户的电脑系统,“但如果国内一些SNS网站不能做出及时的补救措施,黑客将可能通过SNS网站的漏洞攻击用户的个人电脑”,从事网络安全的技术人员表示。
去年,俄罗斯最受欢迎的社交网站,拥有逾1200万名会员的Vkontakte,就遭到一个通过系统散播的蠕虫攻击,将硬盘的档案全部删除。
事实上,现在大部分网友已注意到SNS社交网站中存在的安全隐患。然而这些社交网站通常都会采用“免责声明”、“用户注册须知”等方式,对自己的法律责任进行规避。有法律人士则表示,如果用户有证据证明自己的信息是通过网站泄露的,就可以通过法律途径来保护自己的合法权益。
“海量”的朋友圈成为泄密圈?
除了SNS社交网站本身潜在被攻击的漏洞,导致个人信息被窃取外,越来越多的人加入到SNS社交网站中,朋友群逐渐庞大令不少网友感到担心。正如前文中网友阿信所说的,越来越多的朋友和同事,包括朋友的朋友希望与其结为好友,“对方发出请求,我不加也不太好意思,但加了又觉得没有必要让他知道我这么多的个人信息和状况,朋友栏上面的好友图像越来越多,一方面可以扩大人际关系,另一方面又担心自己的隐私被太多人知道,内心挺矛盾的”。
有互联网观察人士表示,现代人喜欢通过社交结交朋友,但这与现实生活中朋友交往有所不同,现实当中,你会根据朋友之间的熟悉程度来判定应该告诉对方自己隐私的多与少,但在互联网上则不同,SNS网站不会作出如此的判断,只要是用户同意添加的,无论是怎样的朋友便可看到你在上面填写的所有资料。网友在玩社交网站时应时刻保持警惕,过于隐私的事情最好不要在上面发布了。
据记者了解,不少网友都会时常收到一些SNS网站发过来的加入邀请,“这些社交网站究竟是从什么渠道知道我的邮箱,据我了解国外一些社交网站会将用户资料打包出卖给一些商家,国内的社交网站也会如此吗?”网友小芙提出这样的疑问。
有知情人士透露,有些社交网站是会擅自以一些注册用户的名义和照片向其他网民发布信息,让更多的网民加入到其网站中。
然而,小芙更担心自己因为加入社交网站被“人肉”出来,“现在加入社交网站都要填写详细的个人信息,我在网上搜索过,发现我的学校、家庭住址、电话、QQ号……基本上都可以搜到,尽管不能确定是不是通过社交网站泄露出去的,但日后有网友要将我‘人肉搜索’,简直完全不费工夫”。
专家支招: 教你“保管”好自己的信息
第一:在社交网站上酌情输入出生日期以及其他敏感信息;
第二:定期检查个人隐私设置;
第三:对于每个账号,使用复杂唯一的密码,并经常进行更换;
第四:不要对任何人透露密码;
第五:不要在电脑上自动保存密码。相应的应该是设置更强大的密码,并通过记忆管理密码或将密码记录在可信赖的密码管理程序中。
社交网络隐患:攻击最重要来自用户信任编辑本段回目录
由安全厂商Netragard在能源公司进行了一项突破性试验,演示了黑客如何利用Facebook, LinkedIn和其他社区网络站点作为网络钓鱼的诱饵。在这项测试中,Netragard使用模拟社会工程来获取危及企业内部关键系统的信息。这份安全报告的主旨就是为员工在网络上可以做什么,不该做什么提供建设性指导。
攻击中最重要的部分往往不是来自系统漏洞,而是来自用户的信任。
这项得到权威认可的突破性试验是由安全厂商Netragard在一家能源公司实施的。为了找出用户防御系统内部的方法,他们把目标锁定了Facebook。测试者首先建立了一个公司内部员工的个人说明,赋予其能源公司真实员工的工作经验信息,然后开始在网络社区上交友。
Facebook上的朋友所不知道的是这些都是社会工程用来麻痹企业员工来轻松骗取他们信任的惯用伎俩。模拟攻击强调的是在Facebook, LinkedIn和MySpac等网络社区上员工良好的记录和网络上授权用户的重要性。
Netragard公司的首席技术官Adriel Desautels表示"在社区网络出现之前,犯罪分子通常是通过垃圾邮件来获取员工信息,或者他们直接打电话和通过社交来达到目的。但是像Facebook,MySpace,LinkedIn和其他不同的社区网络能让犯罪分子可以绕过你设置的任何安全技术壁垒,直接获取员工信息的社会访问权"。
当提及网络钓鱼,信任是其问题的实质。对Netragard来说,这意味着要做大量的侦测鉴别工作。目前这家能源公司的员工中有超过900人在使用Facebook。由于多数员工都是年龄段在20到40岁之间的男性,Netragard公司选择了一副颇具魅力的28岁女性的照片作为模拟人物,然后开始构建好友名单。
接下来就是利用用户网站上的交叉网站脚本漏洞来散布看似合法的HTTP安全网页,这些网页看起来也像用户网站的一部分。在和网站上真实的员工相识三天以后,Netragard公司将一个欺诈网页的链接张贴在Facebook个人说明栏内并谎称用户的网站可能已经被黑客攻击。
访问了这个网页的用户被要求验证他们的员工身份,这些身份验证信息被迅速发送到www.netragard.com,通过公司设计的自动化工具进行分类提取。这些内容包括能允许Netragard公司访问网络上的多数系统的信息,以及Active Directory服务器,大型机和控制系统的权限等。
Desautels表示"如果你的员工使用Facebook,你可知道他们多么容易受到影响,被诱使做出令企业面临风险的事情来"。
解决社区网络站点上身份验证的问题没有唯一的答案,安全专家在Black Hat和ShmooCon大会上也反复重申过这一点。
Forrester Research咨询公司的分析师Chenxi Wang表示"在这种情况下,我们需要的是可靠的用户信誉。像Purewire这样的企业都在致力于提供全球通用的用户信誉,但是在全球通用信誉成为现实之前,我们仍然有可以遵循的办法"。
有分析师认为由于社区网络的普及性,简单的隔离社区网络站点并不可行。在那些对访问社区网络有着严格限制的企业,员工将转向网络代理,这是企业网络流量的盲区。市场营销,人力资源或者其他部门也会找到合理的原因去访问社区网络。到最后这个问题将被归结到安全与用户需求之间的制衡上来。
451 Group的分析师保罗.罗伯茨建议说"或许你可以要求员工不要在他们的个人说明中列出供职企业名称或者提及公司行业。你可以制定内部政策阻止员工访问与工作无关的网站,对他们进行社区网络的培训等"。
最后罗伯茨建议说,等待1到2个月去执行审计,检查员工是否在遵守公司的安全规定,根据检查结果相应调整政策内容。
"我发现面对对网络访问严格甚至有些过度的限制性规定,甚至对技术最一无所知的员工都能立即找到应对网络网关的方法来得到他们想要的内容。这确实很令人担忧"。
如何确保企业内社交网络的安全使用编辑本段回目录
毋庸置疑,社交网络很流行,不管是在Facebook上的个人通信还是LinkedIn上的企业社交网络,企业员工正在花费大量时间在这些社交网络上,即使是他们在工作的时候。
随着社交网络逐渐成为大多数用户生活的一部分,也被越来越多地用于企业通信,这使IT安全人员很难阻止企业内对社交网络的使用。然而,这些社交网络确实可能对企业的业务造成严重的安全威胁。那么对于安全人员而言,如何在允许用户使用社交网络和阻止敏感数据通过社交网络泄漏(或者恶意软件的蔓延)之间找到平衡呢?
来自社交网络的安全威胁不容忽视,在最近几个月里,我们看到越来越多的攻击开始瞄准那些主要的社交网络,如MySpace、Facebook和LinkedIn等,并且这些社交网络通常在工作时间也是可以被访问的。从2005年年底攻击MySpace的Samy蠕虫病毒到最近袭击Facebook用户的Koobface变种病毒,攻击者们已经发现社交网络是攻入企业内部核心网络的很好的后门。
对于社交网络的无限制访问而造成的威胁中,恶意软件并不是唯一的威胁。Sophos在2月份公布的调查结果显示,62.8%的企业关注的问题是,员工们在这些社交网络上共享了太多信息,而66%的企业认为,员工使用社交网络会给企业带来严重威胁。
虽然企业都清楚社交网络带来的危害,但是也只有大约半数的企业表示他们确实有限制用户访问社交网络的时间,主要通过政策和用户教育来提高用户的行为安全性。
但是社交网络政策和用户教育并不总是能够避免用户在不知情的情况下(有时是知情的情况下)进行错误的操作。举例来说,就在上个月,一名夏威夷女子就因为非法获取病人的医疗记录并在MySpace张贴该病人死于艾滋病的消息而被判处一年监禁。在这种旗下,即使是HIPAA法规都没能阻止用户违法规则。
随着社交网络受欢迎程度的不断增长,企业可能很难阻止对社交网络的访问。如果是这样的话,可以强制阻止用户访问,但是要提防用户找到绕过企业阻止机制的方法。他们可能会选择更加简单的方式,通过手机应用程序,或者使用基于网络的代理服务器(如即将在下周的Black Hat上公布的基于浏览器的darknet)来访问社交网络。不管是哪种方式,对于企业而言,都是双输的局面,因为用户在试图绕过企业阻止机制时等于是浪费工作事件,并且同时可能向企业引入新的漏洞或者病毒。
如果你没有选择阻止社交网络,你可能需要采取更加被动和深入的方法。可以将对社交网络访问的时间限制到某些时间段,如午饭时间等,这也正是七月份Sophos安全威胁报告所建议的方式。其他选择包括对所有web流量进行扫描以查找恶意软件或者病毒,以及使用数据泄漏防御(DLP)解决方案来检测所有内容。
第一种方式,限制访问时间,可能可以有效的减少社交网络占据员工工作时间的影响,但是也可能让员工想尽办法去绕过阻止机制,从而浪费更多时间。
由于来自社交网络的威胁存在很多形式,链接到其他网站的链接,直接的邮件消息,钓鱼电子邮件等,所有的web流量都应该进行恶意内容扫描,而不只是对来自社交网站的内容进行扫描。对于第二层保护,DLP可以用于帮助防止员工在不适当的位置张贴敏感信息,虽然DLP不能够阻止某些内部威胁,但是它可以很有效的阻止和检测意外的病毒感染和数据泄漏。
社交网络确实在很多企业中都有一定的作用,因此阻止或者允许这些社交网络以及选择控制社交网络访问的方式并不是容易的事情,对于这方面的决策往往要从安全和生产力/功能等方面来考虑,作为安全人员而言,所能做的工作就是尽可能的保护数据的安全,即使是在允许访问社交网络的情况下。
十种方法避免社交媒介黑客攻击编辑本段回目录
社交网络已经逐渐在企业内部引起恐慌,许多企业都在讨论是否应该继续支持员工在办公室里访问社交网络。但是要让企业免受潜在安全问题的困扰并非像看起来那么困难,以下是十种可以让访问社交网站更加安全的有效。
一种新型的钓鱼式攻击给Twitter网站造成重创,这导致一些用户无意中将敏感数据暴露在恶意黑客的视野里。同时也导致一些人开始质疑他们该如何使用社交网络并迫使许多公司再次猜测是否该对这种服务提供支持。
来自社交网络的威胁是真实存在的。如果没有部署适当的企业协议和保障措施,敏感数据就可能通过社会网络泄露出去。出于这种原因,企业需要采取适当措施来确保企业数据的安全,在保障内部敏感数据安全性的同时,也能让员工有机会访问社交网络。
方法如下:
1 制定企业内部的社会媒体管理协议
社交网络所采取的任何措施的第一步都是从制定社会媒体管理协议开始的。员工如何才能有权访问他们的社交网络?他们该对自己的网友如何描述他们的工作?是否对他们可以访问的内容加以限制?所有这些问题店铺需要由企业自己进行答复。详细的协议能让员工保持在正确的轨道范围内行使权利,并在必要时提供破坏规则的资源。
2 鼓励社交网络的使用
虽制定了必须设置的一套规则,但这只是最重要的考虑因素之一,要确保社会媒体的安全还是鼓励其使用。是的,禁止对社交网络的适应能够乍一看似乎能限制安全隐患的爆发,但负面效果也是显而易见的。员工会想方设法绕过公司的封锁措施去访问社交网络,在没有企业正确指导的情况下依然我行我素。因此堵不如疏,鼓励社交网络的使用能让一切光明磊落,也让企业有机会去指导员工正确行事。
3 培训是关键
在鼓励社交网络的使用后,企业还必须培训员工。IT经理可以检查实践中的最佳做法并指导员工什么该做和什么不该做。第一步就是告知员工他们不应该点击不熟悉的链接。这也是一个好时机让他们了解不要点击钓鱼电子邮件中自称来自某个社交网络的链接。这看起来似乎比较简单,但通过这些简单的教训,大部分社交网络对企业造成的安全隐患都能被剔除。
4 准备好安全工具
如果企业将允许员工使用社交网络,那么他应该使用的最重要的工具之一就是TinyURL Preview。简单的工具能允许员工在实际到达网站之前就查明伪装的TinyURL链接的真正目的地。
公司还应该考虑使用其他提供相同功能的类似链接缩写工具。像这样的简单工具和对员工的培训在减少安全问题上还有很长的路要走。
5 可限制社交网络
虽然这听起来可能和企业鼓励员工使用社交网站有些自相矛盾,实际上我们真正的意思是限制员工使用社交的数量,这也是一种必要。员工没必要去更新在Identi.ca和开源Twitter上的朋友。他们也没必要使用FriendBinder。保持简单,只允许员工访问诸如Facebook,Twitter和MySpace这样的主要社交网络就够了。如果员工要访问其他网络,他们可以在家里去做。这样的政策也让社交网络对于警察的工作变得简单了。
6 培训IT人员
任何公司要做的最重要事情之一就是确保其IT人员事先了解可能影响社交网络的所有问题。公司内部的IT人员每周应花费一些时间来了解与主要社交网络有关的一些新闻话题,以确保万一出现安全问题时,该公司知道这些问题的来龙去脉并提醒他们的员工。
7 确保电脑打好补丁
最近的一项研究发现,用户在给存在安全隐患的软件打补丁的数量仅为操作系统补丁的一半。这可能是企业无力承担的缘故。通过确保操作系统和软件都同时打好补丁,影响安全的漏洞爆发对诸如Twitter和Facebook等网站所造成的影响就能得到控制。
8 共享最佳隐私惯例
确保社交网络用户更加安全的一种有效方法是更改隐私设置。举例来说,Twitter网站能允许用户阻止发送垃圾邮件的发件人。通过提醒员工这种选择,企业在限制可能利用企业网络的恶意用户上会取得效果。
9 开放通信线路
企业用户所做的最糟糕的事情就是对员工关于社交网络存在的问题置之不理。当员工和他们的经理或IT职员联系询问他们关心的问题时,这些问题应该更快更有效的得到解决。倾听问题并解决这个问题,才能让它更加安全。
10 不要害怕它
虽然安全问题令人担忧,但企业没必要害怕社交网络。也没有理由害怕它。社交网络是企业非常有用的营销工具,即使存在安全问题也是如此。如果员工在他们的工作中能感到快乐,他们就会告诉他们的朋友。而最终该公司就可能从中获得回报。
参考文献编辑本段回目录
http://tech.sina.com.cn/i/2009-07-01/09283225349.shtml
