防范保护Web的社交网络安全
摘 要 伴随着社交网络用户的陡增,社交网络已逐渐成为网络犯罪的集中地。本文通过分析社交网站产生安全隐患的原因,安全攻击方式,为社交网络用户提出一些基本的保护网络个人隐私的方法。
关键词 社交网络 安全隐患 隐私保护
中图分类号:TP393.08 文献标识码:A
一、SNS网站发展状况
随着facebook,twitter,myspace,youtube,人人网,开心网等社交网站在各个区域的不断发展,社交网路用户数量每年都以惊人的数字增加。在2010年,社交网站就受到数以亿计网民的追捧。在美国,社交网Facebook成为最大网站。互联网研究公司Hitwise于20l0年3月發表的数据显示,社交网Facebook超过谷歌成为美国最大的网站。7.07%的美国网络用户访问该网站。在英国.社交网同样火爆。Hitwise发布的统计数据显示。2010年5月,英国社交网访问量首次超过搜索引擎。在英国网民的互联网访问量中,社交网占比为11.88%,高于搜索引擎的11.33%。
同时,社交网站twitter的用户数量也急剧增加。增长趋势如下图所示:
随着用户数量的增加,社交网络已经成为网络犯罪的温床。根据微软公司2010年7月至12月安全报告,2010年社交网络“钓鱼”攻击增长了1200%。钓鱼攻击一般会冒充合法信息吸引网络用户点击恶意链接,购买流氓软件,或者泄露个人信息。微软恶意软件防护中心总经理温尼·森特(Vinny Gullotto)在这份安全智能报告中表示:“我们发现网络犯罪分子在继续改进攻击手法,例如数量大幅攀升的社交网络钓鱼攻击。”
据微软统计,利用社交网络的钓鱼攻击占到2010年12月份钓鱼攻击总数的84.5%,相较而言2010年初这一数字仅为8.3%。微软公司每半年公布一次安全智能报告,其数据是来自全世界6亿多台电脑系统。
安全报告称:“社交网络的流行为网络犯罪分子提供了新的机会,它不仅直接影响到社交用户,而且犯罪分子可以通过冒名方式欺骗用户的好友,同事和家人。通过与现有的社交工程技术的结合,犯罪分子可以敲诈用户钱财,或者诱使用户下载恶意内容。”
同时,网络犯罪行为呈现出一种“两极分化”的现象,利用“类似宣传”的欺诈策略窃取用户钱财非常普遍。一方面,技术高超的犯罪分子惯于发现漏洞,他们往往会不惜重金收集高价值目标信息。另一方面,一些网路犯罪分子则惯于使用更为容易的攻击手法,包括社交工程攻击和利用其它犯罪分子发现的漏洞,以此来获得小额不法收入。
当用互联网,犯罪分子便会使用恶意软件,并且配合虚假广告,流氓安全软件和点击付费方式欺诈用户。
二、SNS产生安全问题原因与犯罪方式
造成采用Web 2.0技术的社交网站成为网络犯罪流行的攻击目标的原因主要有以下几个方面:
1、 用户集中。为了提高作案效率,网络犯罪分子总是将目标投向目标受害着最为集中的区域——社交网站用户密集度高,无疑已经成为网络犯罪的主要目标。2010年,仅Facebook用户的数量就超过了5亿,而且这个数字会不断增长。事实上,更多用户的社交网络账号数量都超过了电子邮件账号。
2、基于信任的网络犯罪。目前的网络用户虽然一般不会打开来自陌生人的电子邮件,但是他们会通过社交网络与现实生活中不认识的人“交朋友”,并点开网络好友发送的网址。这种盲目的信任正是为网络犯罪提供了机会,犯罪分子只需要获得登陆凭据就可以危害受害者所有的“好友”。这种信任关系就是通过社交网络传播恶意软件的关键。
3、社交网站作用不断延伸,已经超越其原始的社交功能。社交网站目前已经发展成为是各种规模企业的通用沟通工具。事实上,大量的中小型企业依靠社交和视频网站来开展基本商业服务,如:客户沟通、培训视频和内容发布。但是在2010年,30%的中小型企业都受到通过社交网络而传播的恶意软件的感染——这给人们传达了一个强烈的信号:传统防火墙和桌面防病毒保护措施不足以阻止这些威胁。
4、社交网站自身也存在着一些安全隐患。社交网站为了保护用户隐私,一般让用户对自己的信息设置隐私权限。例如,在人人网上,用户可以规定哪些人可以申请加为好友,并对浏览个人主页、浏览个人信息、浏览联系方式、浏览日志、浏览照片等各方面都进行设置,每项均可以独立地规定好友可见、同一网络(如同属武汉大学)可见、所有人可见、只有自己可见等。以上设置的功能貌似是很强大的。经过仔细地设置可以使得自己放在网上的所有信息只有想让他看到的那些人才能看到。然而,正是由于设置条目过多,对于社交网络无数用户中的大多数人而言,这太复杂了。有些人由于操作不熟练,或者对于隐私安全并没有足够的重视,甚至可能认为自己的信息完全公开也没有什么危险,从而把对自己信息的隐私保护配置在很低的水平上,信息几乎完全公开,不用添加好友,甚至不用成为该社交网站的注册用户就可以访问,这必然会造成严重的危害。
通过调研各个网站受攻击的状况,社交网络犯罪主要受以下几种方式侵害:
1、最胆大妄为的犯罪行为:Zeus。一种通过特定的网络钓鱼和偷渡式下载传播恶意软件的木马病毒。Zeus可越过登录名和密码,窃取网上银行凭证。廉价的工具包可以让网络罪犯创建Zeus的变种,它们很难被防病毒程序检测发现。2009年,全球范围内受到Zeus僵尸网络感染的计算机有将近400万台。
2、针对windows操作系统犯罪:Conficker。conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像svchost.exe,explorer.exe和services.exe。
3、最引人注意的新型犯罪:Koobface。该蠕虫病毒可自我再生,于2008年首次出现在Facebook网站上,之后于2009年出现在Twitter中。Koobface引诱用户点击一个YouTube视频链接从而传播蠕虫病毒,超过300万计算机受到此恶意软件变种的感染。
三、如何防范社交网站的安全问题
2008年在拉斯维加斯举行的黑帽大会上,安全专家Nathan Hamiel和Shawn Moyer制作了一个虚假的LinkedIn网页,出人意料的是,有超过50人被蒙骗过去并加入了这个假网站。
1、重新设置的密码:有些网络犯罪分子很善于通过网络钓鱼攻击获取社交网络密码,例如在加拿大就发生过类似案例,黑客将Facebook用户引诱到某假冒购物网站,并让用户
注册提供其个人信息。安全专家表示,用户不仅要提防钓鱼攻击,事实上,研究表明黑客有时还能够猜到用户密码,他建议用户加强密码强度,例如不常见的字母、词组和数字等。
2、留心第三方应用程序:注意不要乱点信息.因为这可能开启安装程序。这些应用程序往往都会迎合人们的好奇心。很常见的例子:“Jane写了一些关于你的信息。点击查看。”记住,当你点击安装类似应用程序时,不仅会给你的计算机和网络带来危险,而且可能向你的朋友发出同样的点击请求。
3、注意用户生成的垃圾邮件:社交网络(如Faceb00k、Myspace等)的运作主要依赖于用户们不断丰富其页面,包括张贴图片和视频(以及链接)等,然后将这些内容与他们的朋友们分享。黑客社交网络用户会利用其他人的评论链接作为诱饵,让用户点击链接从而安装恶意软件。例如,如果你发布一个新闻故事,黑客可能会发表评论说,“我的博客上也有谈到这个新闻,请点击查看链接。”这比垃圾邮件更难懈决,因为参与者不太会怀疑参与讨论的用户意图。事实上,这则评论的署名可能是你的朋友,如果他或者她的账户被黑的话。
一些安全专家强调,社交网络本身应当对用户上传的内容事先进行安伞扫描,然后再确定这些东西是否适用于互联网世界的其他服务器。“针对恶意软件的内容扫描行为对减少恶意软件散布起到了很大的助推作用,这正在被人们接受。”Finjan公司公司首席技术官YuvalBen.Itzhak说到。英国市场调查公司0vum称,社交网应该更加做到用户友好型,为用户从自己的页面中删除信息提供更加方便的途径。社交网没有考虑到人们交友的多样化,也无法帮助用户向他人传达其在生活中的不同个性。虽然社交网经常提供隱私保护功能,但是这个功能经常很难使用。社交网应该提供给用户更加方便的途径来删除用户不需要的信息。安全专家提醒用户:网民在登录陆开心网与校内网等SNS社交类网站时,应尽量看清楚网址,不要轻易点击与这些SNS网站类似或相关联的链接,也尽量不要点击陌生人空间中的视频和链接,以确保不被黑客们攻击。
特别呼吁那些自身小巧、资金有限而且缺乏专人对于信息安全进行有效防御的中小型企业要提高防护意识:首先,设置员丁使用社交网站的安全策略,特别是在工作时间以及员工共享的公司信息和图像方面,中小企业应该增强重视力度,组织员工进行正确应用网络的安全培训;其次,确保所有计算机都安装最新版的杀毒软件。包括移动等其他终端设备,并设立一个流程来管理所有终端的安全软件,保证企业网络安全防护建设的有效性;第三,保障安全策略的有效执行,树立良好的安全意识,真正将安全策略落实到每一个终端。□
(作者:武汉大学信息管理学院08级电子商务,专业/研究方向:电子商务)
参考文献:
[1]2009年7月至12月微软安全报告
[2]思科2009年年度安全报告
[3]胡启平,陈震,信息网络安全.试析社交网络环境中个人隐私保护,2010(8)
[4]社交网络:隐私泄露的高发地