Přednáška z konference v únoru 2010 na téma rizika sociálních sítí a Webu 2.0/3.0.
Slideshare odmítá přijmout PowerPoint, takže vytištěno do PDF a poté další pokus.
2. Sociální sítě = riziko
Malware a spam si našly cestu na
Twitter, MySpace, Facebook i LinkedIn
72% společností se domnívá, že
sociální sítě jsou pro firmu nebezpečné
60% označuje za nejvíce rizikový
Facebook, poté MySpace, Twitter a
LinkedIn
CO S TÍM? VŠECHNO ZAKÁZAT!
3. Sociální sítě = riziko
Vypadá
jako
Facebook.
Ale není to
Facebook.
4. Twitter je nástroj teroristů
Chávez has apparently even
gone as far as indicating that
Twitter could be considered a
“tool of terror,” and National
Assembly deputies were quick
to leap to the charge of
“eliminating terrorist threats
posed by social networks.”
Problémy Twitteru? Spam, reklama, šíření virů a trojanů, hack
účtů, prostě všechno s čím se za chvíli setkáme u Facebooku. V
míře úměrné poměru 100 milionů vs. 400 milionů.
5. Cloud computing (Web 3.0)
„Síť“ ví o našem chování, zvycích,
zálibách, často i těch nejtajnějších
věcech
Naše data, osobní údaje, soubory, e-
maily jsou „někde na Síti“
Své soukromí vyměňuje za komfortní
služby.
Líbí se nám být „always-connected“
7. Cloud computing (Web 3.0)
Amazon EC2 = Cloud Computing, to je
asi jasné
Google = Cloud Computing, to je už asi
něco méně jasné.
Mobilní telefony, netbooky, tablety, to
všechno výrazně zvyšuje „rizika“
ohrožení našeho soukromí.
Přesouváme své virtuální existence na
SÍŤ
9. Za pár let bude všechno jinak
Návyky se mění, mění se i
vnímání soukromí.
Vyměňujeme soukromí za
služby a komfort. Rok od
roku se ochotně vzdáváme
větší části soukromí.
Za deset let bude Velký
bratr běžnou součástí
životů. Postará se o to
mlčící a kývající většina.
13. Kompletní profily
Pod falešným
příslibem toho, že
detailní profil na
sociální síti nabídne
lepší možnosti
poznávání světa lidé
ochotně vyplňují,
klikají a sdělují o
sobě to, co by
veřejně nikdy
nedělali.
14. Zuckerberg Says The Age of
Privacy is Over
Facebook founder
denies being
caught out by
site's new privacy
settings after 300
personal photos
appear on his
profile
15. site:facebook.com
inurl:profile.php
Results 1 - 10 of about 72,200,000 from
facebook.com for inurl:profile.php. (0.28
seconds)
16. site:facebook.com
inurl:profile.php
KUDY Z NUDY?
Results 1 - 10 of about 504,000,000 from facebook.com for inurl:pages.
Results 1 - 10 of about 80,600,000 from facebook.com for inurl:group.php
22. Sociální inženýrství
Co nejde automaticky, dá se získat přímo od lidí
• Maily jsou ve Facebooku opět viditelné
• Aplikace může získat od uživatele povolení použít mail
• Uživatel ochotně dá e-mail „výměnou“ za „něco“
• Mobilní telefonní číslo se dá zneužít pro poslání zpoplatněné
SMS
E-Mail je to nejcennější co uživatel má. Dnes se používá
běžně i pro přihlašování k dalším službám. Gmail adresa
uživatele ve spojení s informacemi z účtu může vést k velmi
snadnému hacku.
23. Narušování soukromí
Tagging (označování) je v současnosti nejvíce zneužívaná
funkčnost Facebooku pro spam.
Tagging
funguje ve
fotografiích,
poznámkách i
statusech
(@jméno
podoba).
24. Narušování soukromí
Aplikace jsou
ideální pro sběr
informací o
uživatelích a
přátelích. Facebook
pouze „zakazuje“
ukládání.
Spojte si to se SMS
čísly a máte zlatý
důl pro marketéry i
podvodníky.
26. Hacknuté účty
Hacknuté účty jsou
užitečné – spam,
sociální inženýrství,
hack dalších účtů.
Bredolab botnet je
zapojený do aktivního
hackingu mířícího na
Facebook uživatele.
Hacknuté počítače se
stávají součástí sítě.
27. Hacknuté účty
Facebook worm
By using some creative CSS
and an iFrame, this developer
has triggered the “share” event every time a person clicks on the
image displayed on the page. It’s a really creative trick, and one
that I’m sure Facebook will block in a short amount of time but
you should definitely be aware of the issue.
Aplikace na Facebooku
Používají je stovky milionů lidí – Flash/PHP s diskutabilní
bezpečností. Zynga servery už byly hacknuty a použity k šíření
virů a hacku počítačů uživatelů.
28. Přístup k cizím účtům – AT&T
"In a limited number of instances, a server software connectivity
error resulted in some AT&T wireless customers being logged
into the wrong Facebook account when they accessed Facebook
through their mobile phones," an AT&T spokesman told
29. Ani Faceboku nelze moc věřit
Cookies obsahují e-mail uživatele a
další „užitečné“ informace.
Flash „cookies“ (Local Shared
Object) skrývají netušené poklady.
A netýká se jich případné zákazy
použití cookies a mazání cookies.
30. Ani Faceboku nelze moc věřit
Application a
Game
Dashboard
zavedl díru do
soukromí.
31. Ani Faceboku nelze moc věřit
„Skryté“ věci lze na Facebooku snadno odkrýt. Řadu návodů najdete
na http://theharmonyguy.com/
• Jak odkrýt skryté přátele
• Jak se podívat na „nepřístupné“ fotoalbum
• Pokud uživatel odsouhlasí použití aplikace (i Facebook Connect!),
dává přístup k informacím přátel. Přátelé velmi málokdy využijí
možnost mít ve svém nastavení zákaz tohoto použití.
When you visit a Facebook-enhanced application or website, it may access any
information you have made visible to Everyone (Edit Profile Privacy) as well as
your publicly available information. This includes your Name, Profile Picture,
Gender, Current City, Networks, Friend List, and Pages. The application will
request your permission to access any additional information it needs.
32. Facebook Friend Finder
Stačí nový účet na Facebooku a nepříliš
složité skripty – data mining kontaktů a
informací o nich může začít.
33. A ostatním už nelze vůbec
věřit
• Many Facebook applications, even widely used ones or seemingly trustworthy ones, lack basic
security precautions.
• Specifically, cross-site scripting vulnerabilities were found in a wide range of Facebook
applications.
• Each such vulnerability can be exploited to execute malicious JavaScript, such as malware
delivery.
• In addition, such holes allow an attacker to access profile information, including personal details,
status updates, and photos, of a victimized user and their friends.
• Moreover, these vulnerabilities can be used to send notifications or post feed stories, allowing for
viral distribution.
• While each application hole affects users who have already authorized the application, clickjacking
can often target users who have not.
• The series focused on vulnerabilities in legitimate applications, but rogue applications, which could
easily exploit clickjacking, have also been noted by others.
• All of the vulnerabilities reported in the series have been patched, but attacks that exploit
application holes remain possible.
• Preventing future problems due to application vulnerabilities requires action from both application
developers and Facebook.
The Month of Facebook Bugs Report
35. Jedno heslo je moc hesel
Jeden prsten vládne všem, jeden jim všem
káže, jeden všechny přivede, do temnoty
sváže.
Všudypřítomný Google.
Jedno přihlášení všude.
The Twitter Attack:
Jedno heslo - How The Ecosystem
Failed
- na všech službách.
38. Cloud Computing?
Cloud services are convenient and cheap, and can help a company grow
more quickly. But security infrastructure is still nascent. And while any
single service can be fairly secure, the important thing is that the
ecosystem most certainly is not.
Combine the fact that so much personal information about individuals is so
easily findable on the web with the reality that most people have merged
their work and personal identities and you’ve got the seed of a problem.
A single Gmail account falls, and soon the security integrity of an entire
startup crumbles.
The Twitter Attack:
How The Ecosystem
Failed
44. Soukromí
Soukromí. Něco, co na Internetu a v sociální siti nečekejte
Facebook má také své administrátory
A pokud někde existují administrátoři mající možnost se
na cokoliv podívat, existuje i jasná hrozba, že za
vhodnou motivaci mohou získané informace zneužívat a
prodávat.
45. Soukromí
Pokud si chcete zachovat soukromí,
nepoužívejte sociální sítě.
Nebo ještě lépe, vůbec nepoužívejte
Internet.
… nebo …
Lžete z plna hrdla!
46. A vlastně …
Soukromí
… nezapomeňte vyhodit mobilní telefon!
47. A bude hůř …
Google Wave, Google Phone (chytré telefony), Location Based
Services, Facebook mail (plný mail) a řada dalších věcí, které
teprve čekají na masivní zneužívání