Bezpečnost dat na sociálních sítích

Předem upozorňuji že tento blogpost se nedrží tématiky blogu.
V poslední době musím relativně mnoho času věnovat škole a také pracujeme na affiliate platformě dropface.cz a předělání linkmonitor.cz, proto nezbývá mnoho času na blog. Nicméně je škoda nevyužít práce kterou jsem věnoval k sepsání semestrálky z předmětu informační bezpečnost s tématikou bezpečnost na sociálních sítích. Třeba se to někomu bude hodit a využije některé informace pro zlepšení zabezpečení svého profilu.

Sociální sítě jsou fenoménem posledních let a často zmiňovaným problémem je ochrana soukromí a bezpečnost dat na nich. Princip sociální sítí je jednoduchý, přátelíme se s kamarády a s nimi sdílíme své soukromý. Problémem je že často toto soukromí nesdílíme pouze s nimi ale s celým světem a lidmi, ke kterým by se naše soukromé informace vůbec neměli dostat. Tuto skutečnost si lidé příliš neuvědomují, nebo si myslí že jim používání sociálních sítí nemůže vůbec ublížit a neřeší ji.

Facebook „Vylepšení soukromí“

Tento památný „malý krok pro Facebook ale velký krok pro příjmy do kasy od Google“ snad vstoupí do dějin. „Vylepšení ochrany soukromí“ totiž ve skutečnost vedlo k otevření účtů uživatelů pro veřejný přístup. A umožnilo se tak, aby Google získal přístup k desítkám milionů účtů, které byly předtím neviditelné.

zdroj: http://www.lupa.cz/clanky/rizika-socialnich-siti-a-webu-3-0-v-praxi/

Když si uvědomíme že nyní jsou profile jednoduše vyhledatelné pro jakékoliv vyhledávače máme tak ve spojení s neschopností uživatelů zabezpečit své profily novou zbraň všech kyberzločinců.

Sociální sítě samozřejmě postihují problémy a nešvary ke kterým jsou náchylné i standardní internetové stránky (spam, phishing). Bohužel v tomto kontextu jsou mnohem nebezpečnější už z principu důvěry v tyto moderní služby. Příkladem může být rozesílání zpráv a zvaní do skupin vašimi přáteli. Uživatel je přesměrován na novou stránku tvářící se jako samotná sociální síť a je vyzván k vyplnění přihlašovacích údajů. Útočník má najednou všechny informace potřebné k hacknutí účtu a jeho další zneužití. Metody phishingu jsou v hojné míře používány i pro získání přístupů do internetových bankovnictví.

Aplikace pro sociální sítě které vytváří třetí strany jsou kapitolou samou o sobě. Sám facebook.com na svých stránkách úvádí:

When you visit a Facebook-enhanced application or website, it may access any information you have made visible to Everyone (Edit Profile Privacy) as well as your publicly available information. This includes your Name, Profile Picture, Gender, Current City, Networks, Friend List, and Pages. The application will request your permission to access any additional information it needs.

Zdroj: facebook.com

Volný překlad

V případě že začnete používat facebook aplikace dáváte přístup ke všem informacím které jste dříve zpřístupnili. To zahrnuje vaše osobní údaje jako jméno, profilová fotka, pohlaví, město, přátele a oblíbené stránky. Aplikace můžou požádat o přístup k jakýmkoliv dalším informacím které potřebují.

Sociální sítě

Sociální síť (nebo také komunita) je propojená skupina lidí, kteří se navzájem ovlivňují. Tvoří se na základě zájmů, rodinných vazeb nebo z jiných důvodů

Zdroj: cs.wikipedia.org

Facebook

Facebook je celosvětově rozšířená sociální síť. Aktuálně je největší sociální sítí světa s více než 750 miliony aktivních uživatelů (červenec 2011 zdroj wikipedia.org). Aktuálně je přeložen do 70 jazyků včetně češtiny. V České republice se těší nevídaných úspěchů převážně u mladší generace.

Tato sociální síť vznikla v roce 2004 původně jako síť určená pro studenty Harvardské university. Facebook je aktuálně velice robustní služba umožňující správu osobních, firemních i skupinových profilů a propojování s přáteli. Mezi další funkce patří herní platforma, chatovací služba, ukládání a sdílení multimedia a další.

Google+

Google+ je mladá sociální síť spuštěná 28.6. 2011 společností Google. Google je díky využití toho nejlepšího ze služeb Facebook a Twitter zajímavou alternativou k těmto sociálním sítím. Umožňuje přehledně kategorizovat kontakty do skupin dle jejich typu. Mezi další nové funkce patří témata či setkání.

Twitter

Twitter je mikroblogovací platforma a sociální síť umožňující sledovat twetty široké veřejnosti. Tweety jsou příspěvky o velikosti max 140 znaků. Již z podstaty služby je jasné že publikované tweety musí být určeny široké vyřejnosti. Váš učet může odebírat kdokoliv bez omezení, umožňuje to jednoduchá funkce follow (odebírat). V České republice není sociální služba Twitter příliš rozšířena a je spíše výsadou IT komunity.

Foursquare

Foursquare je mobilní geolokační služba s prvky sociální sítě.  Základem je sdílení aktuálního umístění a jeho hodnocení. K jejímu masovému rozšíření došlo hlavně díky rychlému rozvoji chytrých telefonů s internetem a gps v posledních letech. Díky nim můžete na síť jednoduše publikovat aktuální umístění pomocí funkcne check-In. Sociální síť vsází na interaktivitu uživatelů a mist ve kterých se nacházejí. Uživatele mohou sbírat různé odznaky a slevy za své check-iny.

Kroky k zabezpečení soukromí na sociálních sítích

Pro všechny sociální sítě jsou platná obecná pravidla:

Nikdy nepublikujte na sociálních sítích nic co byste neřekli cizímu člověkovi.

Představte si že jdete po ulici a neznámý člověk vás osloví zdali mu nevyplníte do formuláře vaše osobní údaje jako jméno, příjmení, datum narození,  bydliště, jméně přátel, a telefon. Ano, tyto údaje jsou na sociálních sítích často naprosto jednoduče dostupné všem, ne pouze vašim přátelům a známým.

Nikdy neprovádějte jakoukoliv aktivitu na sociálních sítích pod vlivem omamných látek nebo v afektu.

Jsou tisíce případů kdy uživatel pod vlivem alkoholu napsal urážlivý status a přišel o práci či družku. Pamatujte že cokoliv uděláte či napíšete může být použito proti vám v budoucnu. Jakmile na sociální síť jednou něco vložíte je jasné že to zachytí desítky či stovky dalších uživatelů a vězte že pozdějším smazáním dané informace už nemusíte nic zachránit.

Neuzavírejte přátelství (týka se facebook, foursquare) s nikým koho neznáte. Využívejte nové možnosti facebooku tvorby seznamů přátel, případně možnost sledování veřejných příspěvků.

Nestávejte se fanoušky stránek ani nepotvrzujte žádné aplikace (pro facebook).

Samozřejmě pokud chcete být fanouškem značky Kofola, není to problém, vždy si ale ověřte že daná stránka či aplikace je opravdu oficiální a od ověřeného zdroje. Jednoduchým klikem se můžete stát totiž snadnou obětí vykradení osobních údajů, spamu či roznašečem virů.

Na sociálních sítích používejte pokud možno různá a dostatečně silná hesla.

Hesla by měla obsahovat, malá i velká písmena a čísla, délka by měla být minimálně 8 znaků.

K přihlašování na sociální sítě omezte cizí zařízení

Přihlašováním na cizích zařízeních (PC, notebooky, smartphony, tablety), vždy riskujeme snadné odcizení přihlašovacích údajů. Existují viry specializující se právě na sledování přihlašovacích údajů metodou keylogging (často v internetových kavárnách). Útočník pak jednoduše zneužije váš účet a vy o něj rychle přijdete.

Nikdy neposílejte přihlašovací či jiné osobní informace pomocí sociálních sítí, nikdy nereagujte na výzvy o potvrzení hesla

Pravděpodobnost že jeden z vašich přátel nebo přímo vy bude mít v brzké době napadnutý účet je vysoká. Proto nezanechávejte případnému útočníkovi jednoduché vrátka k vašim osobním a jiným citlivým údajům.

V případě že dostanete mail ve kterém vás sociální siť žádá o potvrzení vašeho aktuálního hesla jedná se o pokus o phishing a zneužití vašeho účtu. Nereagujte tyto výzvy a označete je jako spam. Chcete si ověřit zda se jedná opravdu o phishing navštivte: http://www.hoax.cz/phishing/.

Bezpečné nastavení facebook účtu

Facebook účet je aktuálně u téměř všech uživatelů této služby nastaven hodně otevřeně. Jeho defaultní hodnoty přímo vybízejí k maximálnímu sdílení osobních informací. Níže uvedený návod ilustruje možnost jak si facebook účet maximálně zabezpečit a do budoucna si ušetřit spoustu nepříjemných situací.

Nastavení soukromí

Maximální nastavení vašeho soukromí a minimalizace možných následků zneužití vašich osobních informací a dat.

Jak se spojujete


Hlavně funkce zveřejňování příspěvků na vaší zeď může být velice prospěšnou. Vyhneme se tak publikování závadných spam publikací z hacknutých účtů a také zabráníme spamování vaší zdi příspěvky typu (Vše nejlepší k…).

Jak funguje označování

Bohužel tagování fotek jako takové zakázat nejde, ale v případě že vás někdo označí případně vás chtějí někam přidat můžete situaci mít pod kontrolou pomocí upozornění facebooku. Vypnutí  návrhů na označení je povinností v případě že nechcete být u starších fotografií automaticky rozpoznaní (tato revoluční funkce narazila v Německu).

Aplikace a webové stránky

Odeberte si všechny zbytečné aplikace, které nepoužíváte a dříve jste je potvrdili. Odebírání je extrémně zdlouhavé jelikož umožňuje odebrat pouze jednu aplikaci na tři kliky. Facebook to má dobře vymyšlené, zapomeňte na hromadné smazání z více skupin najednou.

Omezte sdílení starých příspěvků, zabráníte tak přístupu k historickým informacím. T s novou změnou funkcí facebooku mají všechny vaše dřívější příspěvky nastavenu viditelnost pro všechny. Úprava změny viditelnosti je nastaví na viditelné pro vaše přátele.

 

V případě že chcete omezit přihlašování na váš facebook profil pouze z určených zařízení a eliminovat tak možnost neoprávněnému nabourání vašeho účtu proveďte změnu v Nastavení účtu – Zabezpečení – Schválení přihlášení.

Projděte si vaše alba a nepřístojné fotky či celé alba si zakryjte pomocí vlastního nastavení soukromí (Viditelné pouze pro vás).

Nastavení  profilu

Základní údaje sdílejte pouze s přáteli, případně s nikým. Informace o přátelích či rodině doporučuji ideálně úplně skrýt. Případně nechat pouze údaj o vztahu pro přátele aby přítelkyně či manželka nenadávalaJ.

Umění a zábava je lehce zneužitelná položka pro marketingové účely, doporučuji úplně zamezit jejímu zobrazování.

Kontaktní údaje jsou kapitola sama o sobě. Osobně doporučuji přátelům nechat zobrazen @facebook.com mail. Vlastní email a telefon zobrazit pouze sobě.

Hrozby Facebook Timeline

Na poslední konferenci F8 v San Franciscu představil zakladatel sociální sítě Facebook Mark Zuckerberg nový způsob interpretace uživatelského profilu – Facebook Timeline. Tato velice diskutovaná a kontroverzní funkce nutí uživatele ještě více sdílet své osobní údaje a vyhrát si se svým profilem tak aby přátele zaujal.

„Facebook Timeline znamená velký zásah do soukromí uživatelů, jelikož o sobě budou muset sdílet ještě více informací. Timeline potencionálním útočníkům výrazně zjednoduší shromažďování informací o lidech,“ dodává Stephen Cobb z ESETu

Zdroj: http://www.novinky.cz/internet-a-pc/bezpecnost/246395-bezpecnost-na-socialnich-sitich.html

Zajímavosti a kauzy

Sociální sítě jsou opředeny desítky soudních kauz a kontroverzních případů. Níže přikládám nejzajímavější případy, které stojí za zmínku.

Sociální bot vykrádá vaše osobní údaje

Výzkumníci Vancouverské univerzity testovali jak je Facebook chráněn proti existenci falešných a strojově vytvářených účtů a jejich navazování přátelství s reálnými účty. Celkem bylo vytvořeno 102 social botů, kteří denně navázali maximálně 25 přátelství. Celkově bylo za 8 týdnů navázáno 8570 přátelství a celkem 3055 z nich bylo reálnými uživateli akceptováno. Social boti tak získali přístup k informacím daného uživatele ale i jeho přátel. Celkem bylo získáno 46500 platných emailových adres a 14500 poštovných adres.

Zdroj: http://www.bbc.co.uk/news/technology-15553192

Zajímavost se sušenkami

O Facebooku se ví že již několik let ukládá do cookies mail aktuálně příhlášeného uživatele a také že existuje tzv. Flash Cookies (Local Shared Object) ve kterém naleznete o uživateli další zajímavé osobní informace. Cookies jsou samozřejmě volně přístupné informace čitelné přímo z disku.

Kráděž 100 milionů účtů

Jedna z nejpalčivějších kauz pro Facebook je rozhodně vykradení více než 100 milionů uživatelských účtů. Datový soubor měl 2.8GB a byl dostupný na serveru Pirate Bay.

(Zdroj: http://www.novinky.cz/internet-a-pc/207240-facebooku-unikla-data-vice-nez-100-milionu-uzivatelu-jsou-volne-ke-stazeni.html)

Německu se nelíbí revoluční funkce facebooku

Facebook má v Německu dlouhodobě krušné období.

Podle něměckého experta Johannese Caspara Facebook svým softwarem na rozpoznávání obličejů porušuje německé a evropské zákony na ochranu soukromí. Zdroj: http://www.facemag.cz/nemecko-odmita-funkci-rozpoznavani-obliceju-facebook-pry-porusuje-zakon/

Facebook je největší databází uživatelských fotografií na internetu s více než 75 biliony fotografií. Nová funkce facebooku dokáže automaticky rozpoznat obličeje uživatelů na fotkách a označit je bez nutnosti ručního tagování.

Prolomil hesla sledováním facebook profilu

Muž ze severovýchodní Anglie byl odsouzen k 15 měsícům vězení poté, co se naboural do bankovních účtů svých sousedů. K prolomení jejich hesla použil informace, které sami sousedé publikovali na Facebook a Friends Reunited (sociální síť ve Velké Británii).

Tento muž využil sdílnost uživatelů na sociálních sítích a jejich otevřenost spřátelit se z cizím člověkem. Mladému britovi stačilo použít uživatelské jméno svých facebook přátel do internetového bankovnictví a poté zodpovědět sadu bezpečnostních dotazů (dostupných jednoduše z jejich profilů). Po vpuštění do bankovních účtů vybral pachatel více než 35 tisíc liber.

Zdroj:http://www.facemag.cz/k-prolomeni-hesel-svych-sousedu-hackerovi-stacilo-sledovat-facebook/

Stránka která vás šokuje

Chcete si vyzkoušet jak máte nastaven bezpečně svůj Facebook profil a co vše se z něj dá dostat pouhým klikem? Tato aplikace vás rozhodně nenechá v klidu:

http://www.takethislollipop.com/

Techniky dolování dat

Díky otevřenosti sociálních sítí se dolování dat stalo naprosto jednoduchou záležitostí a možná vás překvapí jak snadné získání soukromých údajů vlastně je.

Facebook Graph API

Používání API je platformě nezávislé a využívá technologie JSON. Například pro účely webového dolování můžete využít v PHP jednoduchou funkci pro získání dat: file_get_contents() z cílové url a ty si pak rozparsovat dle libosti. Pro složitější funkce je potřeba autentizace pomocí OAuth. Dostupné jsou i pomocné třídy v mnoha jazycích (PHP i JS pro web). Facebook používá také pokročilejší dotazování nad svou databází FQL (Facebook Query Language), jedná se v podstatě o SQL simulaci. Pro získání některých údajů je nutné si vyžádat speciální práva (Extended_permissions). Nicméně pro naše účely si vystačíme opravdu se základními údaji přístupnými pomocí zadání URL, překvapí vás jak jsou informace z Facebooku jednoduše dolovatelné.

Získání základních údajů o uživateli (stačí vám ID případně SEO url):

http://graph.facebook.com/Frantisek.Szabo

V případě že se jedná o nezabezpečený profil můžete mimo základní údaje jako je jméno, příjmení získat i informace o pohlaví, vzdělání, zájmech apod…

Samotný přístup pomocí ID je velice zajímavou součástí funkcionality Facebooku, v podstatě máte díky němu přístup ke všem registrovaným uživatelům, stačí inkrementovat a dekrementovat ID vašeho profilu a profilů vašich přátel a můžete tak jednoduše rozšířit svůj uživatelský okruh.

Facebook samozřejmě umožňuje veřejně sdílet vaše statusy, obrázky a další doprovodné informace přidáním doprovodné informace.

http://graph.facebook.com/Frantisek.Szabo/feed

Všechny tyto funkcne platí i pro skupiny (facebook groups) a stránky (facebook pages). Velice zajímavou a kontroverzní funkcní je přístup k profilové fotografii, která je veřejně přístupná a není možné si ji jakkoliv schovat. Toto využilo již mnoho parazitujících aplikací (například Badoo seznamka).

http://graph.facebook.com/Frantisek.Szabo/picture

Jako perličku na závěr bych rád uvedl možnost fulltextového vyhledávání na faceboku. I když tuto funkci samotný facebook nenabízí je hledání pomocí FQL naprostou hračkou i pro laika. Chcete-li zjistit podrobnější informace o firmě Kofola stačí využít následující dotaz:

https://graph.facebook.com/search?q=kofola&type=post

Data jsou brány z veřejných statusů. Samozřejmě JSON výpis se neomezuje na daný status ale i doprovodné informace a předně také ID uživatelských účtů.

Zábavné se může stát také samotné vyhledávání v uživatelských profilech:

https://graph.facebook.com/search?q=Szabo&type=user

Zdroj: http://www.pooh.cz/pooh/a.asp?a=2016200

Závěr

Vidíme tedy že dolování dat z Facebooku není složité ani pro technicky nezdatné uživatele. Hrozby vykradení dat a profilů (viz ukradení 100 milionů účtů) jsou opravdu vysoké a využití volně dostupných údajů ze sociálních sítí jsou nebezpečné jak pro naši peněženku (prolomení hesel sledováním profilů) tak pro nás osobně. Podobně jsou na tom i další sociální sítě Twitter, Fourquare.

Díky otevřenosti a pocitu „jisté“ anonymity se sociální sítě těší nebývalého rozmachu a nabourávají soukromí obrovskému množství jejich uživatelů bez toho aniž by si to dané osoby uvědomovaly. Sociální sítě nejsou koncipovány tak aby vaše osobní data ochraňovaly a hlídaly, naopak, díky tomu že se jedná o soukromé firmy bude se je snažit co nejvíce šířit (pro marketingové i vyhledávací učely) bez vašeho vědomí.

Práci bych rád zakončil drobnou radou všem uživatelům sociálních sítí: Buďte vždy ve střehu a udržte si jistou dávku ostražitosti, protože nikdy nevíte kdo na vás na druhém konci drátu čeká“. (Viz.: http://www.takethislollipop.com)

Svěřte mi svůj e-mail a získejte ZDARMA:

  • PDF brožurku s tipy na linkbuilding vašich projektů
  • 5ti týdenní e-mail kurz o affiliate marketingu
  • 2x měsíčně novinky a zajímavosti ze světa affiliate byznysu

Latest Comments
  1. Tomáš

    Ahoj, hezký rozsáhlý článek. Něco podobnýho s video návodem jsem napsal před časem i já – Jak vyčistit Facebook od spamu.

Napsat komentář