Υπολογίζεται ότι οι υπάρχοντες λογαριασμοί των κοινωνικών δικτύων ανά τον κόσμο ξεπέρασαν ήδη το 1 δις, ενώ πολλά άτομα λειτουργούν σελίδες σε περισσότερα από ένα κοινωνικά δίκτυα, κάτι το οποίο σημαίνει ότι έχουν αυξηθεί και οι κίνδυνοι από τη χρήση τους.
Στο Λονδίνο, μεταξύ 21 και 23 Μαρτίου 2011, πραγματοποιήθηκε ένα πολύ ενδιαφέρον συνέδριο στο οποίο συμμετείχαν μεταξύ άλλων στελέχη τηλεπικοινωνιακών φορέων, παρόχων υπηρεσιών διαδικτύου, υψηλόβαθμα στελέχη της αστυνομίας κ.ά., από την Ευρώπη, Αμερική, Μέση Ανατολή και Αφρική.
Το Συνέδριο οργανώθηκε από τον Οργανισμό IIR, ο οποίος διοργανώνει συνέδρια στην Ευρώπη, αλλά και άλλες χώρες της Ασίας (π.χ. Σιγκαπούρη, Μαλαισία) και περιελάμβανε μεταξύ άλλων θέματα που αφορούν στην πρόληψη της Τηλεπικοινωνιακής Απάτης και του Ηλεκτρονικού Εγκλήματος. Στο παρόν άρθρο θα εστιάσουμε σε μία παρουσίαση που πραγματοποιήσαμε και αφορά στα Κοινωνικά Δίκτυα, όπως το Facebook, το Twitter, το Youtube, το Linkedin κ.ά.
Υπολογίζεται ότι οι υπάρχοντες λογαριασμοί των κοινωνικών δικτύων ανά τον κόσμο ξεπέρασαν ήδη το 1 δις, ενώ πολλά άτομα λειτουργούν σελίδες σε περισσότερα από ένα κοινωνικά δίκτυα. Σύμφωνα με το ENISA Report (Φεβ. 2010) η δημοσίευση σε ιστοσελίδες κοινωνικής δικτύωσης αποτελεί μία από τις πλέον δημοφιλείς δραστηριότητες στο διαδίκτυο, ενώ πάνω από 65 εκατομμύρια χρήστες έχουν πρόσβαση στις ιστοσελίδες των κοινωνικών δικτύων μέσω του κινητού τους τηλεφώνου (κυρίως smartphones). Πολλοί πιστεύουν ότι διαδικτυακές εφαρμογές που χρησιμοποιούμε κατά κόρον σήμερα, όπως το web-browsing, το email, το MSN κ.ά., θα ξεπεραστούν στο μέλλον και η προεξάρχουσα διαδικτυακή εφαρμογή που θα τις αντικαταστήσει, θα είναι η χρήση κοινωνικών δικτύων νέας γενιάς.
Προσπαθώντας να δώσουμε έναν ορισμό στα κοινωνικά δίκτυα (social networks ή web 2, όπως αναφέρονται στη βιβλιογραφία) μπορούμε να πούμε ότι αυτά αποτελούν μία διαδικτυακή κοινότητα που επιτρέπει σε ανθρώπους διαφόρων εθνικοτήτων ή ενδιαφερόντων να συναντώνται, να επικοινωνούν, να μοιράζονται φωτογραφίες και videos με άλλα μέλη της διαδικτυακής κοινότητας, με τους οποίους μοιράζονται μία κοινή σύνδεση (connection).
Οι απειλές
Προσπαθώντας να αναλύσουμε τους κινδύνους και τις απειλές από τη χρήση των κοινωνικών δικτύων, μπορούμε να πούμε ότι αυτές περιλαμβάνουν μεταξύ άλλων:
- Μη εξουσιοδοτημένη πρόσβαση από τρίτους στα προσωπικά μας στοιχεία, τα οποία δημοσιεύουμε σε ιστοσελίδες κοινωνικής δικτύωσης, όχι μόνο για λόγους στοχευμένης διαφήμισης, αλλά και για άλλους κακόβουλους σκοπούς (π.χ. πλαστοπροσωπία – id theft).
- Κινδύνους μόλυνσης από κακόβουλο λογισμικό (μέσω φαινομενικά αθώων εφαρμογών – applications). Είναι γνωστοί πολλοί τύποι ιών, εφαρμογών και κακόβουλου λογισμικού που διαδόθηκαν το 2010 μέσω κοινωνικών δικτύων (π.χ. koobface, birthday invitations, stream, farm town game, beach babes κ.ά.).
- Διαρροή εμπιστευτικών πληροφοριών που αφορούν σε εταιρείες και Οργανισμούς.
- Ακόμη και εντοπισμό της ακριβούς θέσης ενός χρήστη (ανά πάσα στιγμή), από το «profile» που έχει δημιουργήσει σε κοινωνικό δίκτυο, όταν έχει ενεργοποιήσει ειδικές λειτουργίες στο Smart-phone του (map function).
Η αίτηση για παροχή των facebook credentials (email, password) μπορεί να αποτελεί phising attack για κλοπή των προσωπικών μας στοιχείων.
Σε πολλές περιπτώσεις η συλλογή εμπιστευτικών πληροφοριών για άτομα, εταιρείες, ανταγωνιστές, ακόμη και κρατικές υπηρεσίες γίνεται ευκολότερη, αφού αυτό είναι πανεύκολο όταν κάποιος γνωρίζει τη χρήση ειδικών διαδικτυακών εργαλείων.
Ας σημειωθεί ότι υπάρχουν νόμιμα (π.χ. Google alerts), αλλά και παράνομα εργαλεία (π.χ. Maltego transformations) μέσω των οποίων μπορεί κανείς να έχει πρόσβαση όχι μόνο σε ανοικτές πληροφορίες του διαδικτύου (public profiles) αλλά ακόμη και σε μυστικά profile χρηστών κοινωνικών δικτύων (π.χ. Facebook profiles) χωρίς να μοιράζεται μία σύνδεση – connection – με τους εν λόγω χρήστες. Στην περίπτωση δε του Twitter είναι δυνατή η υποκλοπή των «συνομιλιών» ανυποψίαστων χρηστών με τη χρήση τέτοιων διαδικτυακών εργαλείων.
Συχνά έρχονται στην επικαιρότητα τέτοιες αδυναμίες συστημάτων κοινωνικών δικτύων. Μερικές από αυτές διορθώνονται, αλλά πολύ γρήγορα οι επίδοξοι εισβολείς βρίσκουν νέους τρόπους να ξεπερνούν την ασφάλεια. Τον Ιούλιο του 2010 οι Γερμανικές αρχές υπέβαλαν μήνυση κατά του Facebook για λόγους διαρροής εμπιστευτικών πληροφοριών ανυποψίαστων χρηστών, οι οποίοι δεν είχαν δώσει εξουσιοδότηση πρόσβασης στα εμπιστευτικά δεδομένα τους.
Αντιμετώπιση
Για την αντιμετώπιση των προβλημάτων που προαναφέρθηκαν, οι ειδικοί προτείνουν την εφαρμογή βασικών κανόνων ασφάλειας όπως οι παρακάτω:
- Εξέτασε με προσοχή ποιες φωτογραφίες, videos και λοιπές πληροφορίες δημοσιεύει στα κοινωνικά δίκτυα.
- Απόφυγε δημοσίευση προσωπικών πληροφοριών (διεύθυνση, τηλέφωνο οικίας, ακόμη και ημερομηνία γενεθλίων) που μπορούν να χρησιμοποιηθούν για διάφορες επιθέσεις, ακόμη και πλαστοπροσωπίας (id-theft). Εξέτασε την πιθανότητα να χρησιμοποιήσεις ένα ψευδώνυμο.
- Ιδιαίτερη προσοχή χρειάζεται στο τι πληροφορίες δημοσιεύουν μικρά παιδιά στα κοινωνικά δίκτυα, γιατί αυτό μπορεί να τα εκθέσει σε διαφόρους κινδύνους, τους οποίους αυτά δεν αντιλαμβάνονται. Η Υπηρεσία Ηλεκτρονικού Εγκλήματος έχει πολλά να πει για περιπτώσεις βιασμών, κακοποίησης ή και δολοφονίας μικρών παιδιών από αγνώστους που γνώρισαν μέσω κοινωνικών δικτύων. Σε περίπτωση ανάγκης οι γονείς πρέπει να εγκαθιστούν ειδικά φίλτρα ασφαλείας, τα οποία να απαγορεύουν την πρόσβαση σε κοινωνικά δίκτυα από τον υπολογιστή του παιδιού τους. Προτιμότερο είναι πάντως να συζητούν με το παιδί τους σοβαρούς κινδύνους που πιθανό να αντιμετωπίσουν, γιατί η απαγόρευση χρήσης δεν λύνει πάντα το πρόβλημα, αφού τα παιδιά μπορούν να χρησιμοποιήσουν τον υπολογιστή ενός φίλου/μιας φίλης.
- Μην αποδέχεσαι σύνδεση (connection establishment) με πρόσωπα που δεν γνωρίζεις προσωπικά.
- Προστάτευσε το εργασιακό σου περιβάλλον και απόφυγε να θέσεις τη φήμη της εταιρείας σου σε κίνδυνο.
- Χρησιμοποίησε επιλογές ασφαλείας (security oriented settings) στο profile σου.
- Απενεργοποίησε τις υπηρεσίες εντοπισμού θέσης (location based services) από το κινητό σου τηλέφωνο, αν δεν τις χρειάζεσαι. Δεν είναι καλό να γνωρίζουν όλοι ότι αυτήν τη στιγμή είσαι εκτός της οικίας σου για διαφόρους λόγους (π.χ. κλοπή) ή πού βρίσκεσαι στο εξωτερικό.
- Κάθε εταιρεία θα πρέπει να διαθέτει ξεκάθαρους κανόνες στην πολιτική ασφαλείας της, όπου να αναφέρεται ποιος έχει εξουσιοδότηση να δημοσιεύει στο διαδίκτυο πληροφορίες για την εταιρεία, τι είδους πληροφορίες μπορεί να δημοσιευτούν και πότε. Ένα καλό παράδειγμα είναι η Cisco internet posting policy.
Οι εταιρείες θα πρέπει ανά πάσα στιγμή να γνωρίζουν τι δημοσιεύεται στο διαδίκτυο από τους υπαλλήλους τους, αλλά και από άλλα άτομα και αφορούν στις υπηρεσίες και τα προϊόντα τους. Ειδικά τα σχόλια στα διάφορα blogs που αφορούν στην εταιρεία μπορεί πολύ εύκολα να καταστρέψουν το όνομα και τη φήμη της εταιρείας (brand name) ή να διαρρεύσουν εμπιστευτικές πληροφορίες σε αναρμόδια άτομα. Tμήμα του penetration testing της εταιρείας είναι και η έρευνα στο διαδίκτυο και τα κοινωνικά δίκτυα για τέτοιου είδους πληροφορίες που μπορεί να βλάψουν ανεπανόρθωτα την εταιρεία. Για να αναφέρουμε μερικά γνωστά παραδείγματα, ας θυμηθούμε την περίπτωση ενός Γενικού Γραμματέα Υπουργείου στην Ελλάδα, ο οποίος έχασε τη θέση του λίγες μέρες μετά την ανάληψη των καθηκόντων του (λόγω Facebook), αλλά και ενός ηγετικού στελέχους της αγγλικής υπηρεσίας αντικατασκοπίας (ΜΙ6), του οποίου η σύζυγος δημοσίευσε στο Facebook profile τη φωτογραφία του συζύγου της.
Οι εταιρείες θα πρέπει να γνωρίζουν τι σχόλια/δημοσιεύματα υπάρχουν στα διάφορα blogs για την εταιρεία, το προσωπικό της, τα προϊόντα και τις υπηρεσίες τους.
Σύμφωνα με έρευνα της εταιρείας Proofpoint, το 17% των μεγάλων εταιρειών αντιμετωπίζουν απώλεια εμπιστευτικών πληροφοριών λόγω δημοσιεύσεων σε διάφορα κοινωνικά δίκτυα. Ο υπεύθυνος ασφαλείας θα πρέπει να είναι σε θέση να δώσει απαντήσεις σε θέματα όπως τα παρακάτω:
- ΓΝΩΡΙΖΕΙΣ τι σχόλια δημοσιεύονται για την εταιρεία σου στο διαδίκτυο ή στα κοινωνικά δίκτυα;
- Μήπως υπάρχουν παράπονα στελεχών της εταιρείας σου, δημοσιευμένα σε κοινωνικά δίκτυα;
- Μήπως υπάρχουν δημοσιεύματα που αφορούν σε προβλήματα του δικτύου της εταιρείας σου ή τρύπες ασφαλείας;
- Μήπως υπάρχουν δημοσιευμένες εμπιστευτικές πληροφορίες που αφορούν στην εταιρεία;
- Μήπως υπάρχουν δημοσιευμένα έγγραφα της εταιρείας που περιλαμβάνουν χρήσιμα για πιθανούς εισβολείς Metadata (data about data);
Διαβάζοντας πληροφορίες metadata που βρίσκονται αποθηκευμένες σε δημοσιευμένα στο διαδίκτυο αρχεία, φωτογραφίες ή videos, ένας επίδοξος εισβολέας μπορεί να εντοπίσει ευπαθείς από πλευράς ασφάλειας εκδόσεις λογισμικού ή λειτουργικών συστημάτων, το πλήρες path όπου βρίσκεται ένα σημαντικό αρχείο, το όνομα του χρήστη (user-id), την email address, τη γεωγραφική τοποθεσία απ’ όπου γίνεται η επεξεργασία του αρχείου και πολλές άλλες πιθανώς εμπιστευτικές πληροφορίες. Έτσι, πριν τη δημοσίευση ενός αρχείου στο διαδίκτυο ή σε κάποιο κοινωνικό δίκτυο θα πρέπει να λαμβάνεται μέριμνα για την απογύμνωση και τον καθαρισμό του αρχείου από πληροφορίες metadata. Για περισσότερες πληροφορίες ο αναγνώστης μπορεί να ανατρέξει σε άρθρο του Larry Pesce στις ιστοσελίδες www.sans.org.
Ίσως φανεί σενάριο επιστημονικής «Οργουελικής» φαντασίας, αλλά δυστυχώς η πραγματικότητα είναι ότι κάποιοι μπορούν να γνωρίζουν όλα τα sites τα οποία ψάξαμε στο διαδίκτυο τα τελευταία χρόνια, όλες τις αναζητήσεις που απευθύναμε στη Google και όλες ή σχεδόν όλες τις ιστοσελίδες που ανοίξαμε. Πώς γίνεται αυτό;
Όλοι γνωρίζουμε τα cookies και τα super cookies, μικρά txt αρχεία που αποθηκεύονται σε διάφορες θέσεις του υπολογιστή μας όταν κάνουμε πρόσβαση σε συγκεκριμένες ιστοσελίδες. Αυτό που ίσως δεν γνωρίζουν όλοι, είναι ότι πολλά από αυτά τα cookies παραμένουν στον υπολογιστή μας, παρόλο ότι λαμβάνουμε όλα τα απαραίτητα μέτρα για να τα σβήσουμε με διάφορους τρόπους (π.χ. επιλογές του browser για σβήσιμο cookies, όταν κλείνει ο browser). Μερικά απ΄ αυτά, σαν άλλοι ιοί, αντιγράφουν αυτόματα το περιεχόμενό τους σε διαφορετικές περιοχές του σκληρού δίσκου του υπολογιστή μας ή της μνήμης του smartphone μας, με στόχο να αποφύγουν την καταστροφή τους.
Στο διαδίκτυο υπάρχουν διάσπαρτοι Internet servers οι οποίοι παρακολουθούν τα cookies – super-cookies και άλλα στοιχεία μας (PII=Personally Identifiable Information) και μέσω αυτών όλο το ιστορικό των αναζητήσεων (search history), καταγράφοντας τις αναζητήσεις μας σύμφωνα με το device-id του υπολογιστή μας /smart-phone και τις πληροφορίες PII που βρίσκονται στον υπολογιστή μας.
Όταν κτίσουμε ένα προσωπικό profile σ’ ένα κοινωνικό δίκτυο, τα PII στοιχεία του υπολογιστή μας /smart-phone και το device-id δένουν πλέον με αυτό το profile, δηλαδή με το ονοματεπώνυμό μας.
Έτσι κάποιοι μπορούν να γνωρίζουν ακριβώς τι ψάξαμε στο διαδίκτυο σε καθημερινή βάση και για πολλά χρόνια πριν !
Μιχάλη Μαβή, MSc
Μηχανικού Ασφαλείας Τηλεπικοινωνιακών
& Πληροφοριακών Συστημάτων