Rizika sociálních sítí a Webu 3.0 v praxi

transcript

Rizika sociálních sítí a Webu 3.0 v praxi Rizika sociálních sítí a Webu 3.0 v praxi 2010/02 2010/02

Sociální sítě = riziko Sociální sítě = riziko

� Malware a spam si našly cestu na Twitter, MySpace, Facebook i LinkedIn

� 72% společností se domnívá, že sociální sítě jsou pro firmu nebezpečné

� 60% označuje za nejvíce rizikový Facebook, poté MySpace, Twitter a LinkedIn

� CO S TÍM? VŠECHNO ZAKÁZAT!

� Malware a spam si našly cestu na Twitter, MySpace, Facebook i LinkedIn

� 72% společností se domnívá, že sociální sítě jsou pro firmu nebezpečné

� 60% označuje za nejvíce rizikový Facebook, poté MySpace, Twitter a LinkedIn

� CO S TÍM? VŠECHNO ZAKÁZAT!

Sociální sítě = riziko Sociální sítě = riziko

Vypadá jako Facebook. Ale není to Facebook.

Twitter je nástroj teroristů Twitter je nástroj teroristů

Chávez has apparently even gone as far as indicating that Twitter could be considered a “tool of terror,” and National Assembly deputies were quick to leap to the charge of “eliminating terrorist threats posed by social networks.”

Problémy Twitteru? Spam, reklama, šíření virů a trojanů, hack účtů, prostě všechno s čím se za chvíli setkáme u Facebooku. V míře úměrné poměru 100 milionů vs. 400 milionů.

Cloud computing (Web 3.0) Cloud computing (Web 3.0)

� „Síť“ ví o našem chování, zvycích, zálibách, často i těch nejtajnějších věcech

� Naše data, osobní údaje, soubory, e-maily jsou „někde na Síti“

� Své soukromí vyměňuje za komfortní služby.

� Líbí se nám být „always-connected“

� „Síť“ ví o našem chování, zvycích, zálibách, často i těch nejtajnějších věcech

� Naše data, osobní údaje, soubory, e-maily jsou „někde na Síti“

� Své soukromí vyměňuje za komfortní služby.

� Líbí se nám být „always-connected“

Cloud computing (Web 3.0) Cloud computing (Web 3.0)

� Amazon EC2 = Cloud Computing, to je asi jasné

� Google = Cloud Computing, to je už asi něco méně jasné.

� Mobilní telefony, netbooky, tablety, to všechno výrazně zvyšuje „rizika“ ohrožení našeho soukromí.

� Přesouváme své virtuální existence na SÍŤ

� Amazon EC2 = Cloud Computing, to je asi jasné

� Google = Cloud Computing, to je už asi něco méně jasné.

� Mobilní telefony, netbooky, tablety, to všechno výrazně zvyšuje „rizika“ ohrožení našeho soukromí.

� Přesouváme své virtuální existence na SÍŤ

Neexistuje bezpečné místo Neexistuje bezpečné místo

Za pár let bude všechno jinak Za pár let bude všechno jinak

� Návyky se mění, mění se i vnímání soukromí.

� Vyměňujeme soukromí za služby a komfort. Rok od roku se ochotně vzdáváme větší části soukromí.

� Za deset let bude Velký bratr běžnou součástí životů. Postará se o to mlčící a kývající většina.

� Návyky se mění, mění se i vnímání soukromí.

� Vyměňujeme soukromí za služby a komfort. Rok od roku se ochotně vzdáváme větší části soukromí.

� Za deset let bude Velký bratr běžnou součástí životů. Postará se o to mlčící a kývající většina.

Za pár let bude všechno jinak Za pár let bude všechno jinak

Sociální sítě … Sociální sítě … … opravdu mění svět. … opravdu mění svět.

Kompletní profily Kompletní profily

� Pod falešným příslibem toho, že detailní profil na sociální síti nabídne lepší možnosti poznávání světa lidé ochotně vyplňují, klikají a sdělují o sobě to, co by veřejně nikdy nedělali.

Zuckerberg Says The Age of Privacy is Over

� Facebook founder denies being caught out by site's new privacy settings after 300 personal photos appear on his profile

site:facebook.com inurl:profile.php

� Results 1 - 10 of about 72,200,000 from facebook.com for inurl:profile.php. (0.28 seconds)

site:facebook.com inurl:profile.php

� Results 1 - 10 of about 504,000,000 from facebook.com for inurl:pages. � Results 1 - 10 of about 80,600,000 from facebook.com for inurl:group.php � Results 1 - 10 of about 504,000,000 from facebook.com for inurl:pages. � Results 1 - 10 of about 80,600,000 from facebook.com for inurl:group.php

KUDY Z NUDY?

Sociální inženýrství Sociální inženýrství

NEBUDU PLATIT 100 KČ MĚSÍČNĚ ZA POUŽÍVÁNÍ FACEBOOKU OD 9. ČERVENCE 2010!

Sociální inženýrství Sociální inženýrství

Co nejde automaticky, dá se získat přímo od lidí • Maily jsou ve Facebooku opět viditelné • Aplikace může získat od uživatele povolení použít mail • Uživatel ochotně dá e-mail „výměnou“ za „něco“ • Mobilní telefonní číslo se dá zneužít pro poslání zpoplatněné

E-Mail je to nejcennější co uživatel má. Dnes se používá běžně i pro přihlašování k dalším službám. Gmail adresa uživatele ve spojení s informacemi z účtu může vést k velmi snadnému hacku.

Narušování soukromí Narušování soukromí

Tagging (označování) je v současnosti nejvíce zneužívaná funkčnost Facebooku pro spam.

Tagging funguje ve fotografiích, poznámkách i statusech (@jméno podoba).

Narušování soukromí Narušování soukromí

Aplikace jsou ideální pro sběr informací o uživatelích a přátelích. Facebook pouze „zakazuje“ ukládání. Spojte si to se SMS čísly a máte zlatý důl pro marketéry i podvodníky.

STALKER CATCHER STALKER CATCHER

Adresa neexistuje.

Hacknuté účty Hacknuté účty

Hacknuté účty jsou užitečné – spam, sociální inženýrství, hack dalších účtů. Bredolab botnet je zapojený do aktivního hackingu mířícího na Facebook uživatele. Hacknuté počítače se stávají součástí sítě.

Hacknuté účty Hacknuté účty

Facebook worm By using some creative CSS

and an iFrame, this developer

has triggered the “share” event every time a person clicks on the

image displayed on the page. It’s a really creative trick, and one

that I’m sure Facebook will block in a short amount of time but

you should definitely be aware of the issue.

Aplikace na Facebooku Používají je stovky milionů lidí – Flash/PHP s diskutabilní bezpečností. Zynga servery už byly hacknuty a použity k šíření virů a hacku počítačů uživatelů.

Přístup k cizím účtům – AT&T Přístup k cizím účtům – AT&T

"In a limited number of instances, a server software connectivity

error resulted in some AT&T wireless customers being logged

into the wrong Facebook account when they accessed Facebook

through their mobile phones," an AT&T spokesman told

Ani Faceboku nelze moc věřit Ani Faceboku nelze moc věřit

Cookies obsahují e-mail uživatele a další „užitečné“ informace. Flash „cookies“ (Local Shared Object) skrývají netušené poklady. A netýká se jich případné zákazy použití cookies a mazání cookies.

Application a Game Dashboard zavedl díru do soukromí.

„Skryté“ věci lze na Facebooku snadno odkrýt. Řadu návodů najdete na http://theharmonyguy.com/ • Jak odkrýt skryté přátele • Jak se podívat na „nepřístupné“ fotoalbum • Pokud uživatel odsouhlasí použití aplikace (i Facebook Connect!),

dává přístup k informacím přátel. Přátelé velmi málokdy využijí možnost mít ve svém nastavení zákaz tohoto použití.

When you visit a Facebook-enhanced application or website, it may access any information you have made visible to Everyone (Edit Profile Privacy) as well as your publicly available information. This includes your Name, Profile Picture, Gender, Current City, Networks, Friend List, and Pages. The application will request your permission to access any additional information it needs.

Facebook Friend Finder Facebook Friend Finder

Stačí nový účet na Facebooku a nepříliš složité skripty – data mining kontaktů a informací o nich může začít.

A ostatním už nelze vůbec věřit

• Many Facebook applications, even widely used ones or seemingly trustworthy ones, lack basic security precautions.

• Specifically, cross-site scripting vulnerabilities were found in a wide range of Facebook applications.

• Each such vulnerability can be exploited to execute malicious JavaScript, such as malware delivery.

• In addition, such holes allow an attacker to access profile information, including personal details, status updates, and photos, of a victimized user and their friends.

• Moreover, these vulnerabilities can be used to send notifications or post feed stories, allowing for viral distribution.

• While each application hole affects users who have already authorized the application, clickjacking can often target users who have not.

• The series focused on vulnerabilities in legitimate applications, but rogue applications, which could easily exploit clickjacking, have also been noted by others.

• All of the vulnerabilities reported in the series have been patched, but attacks that exploit application holes remain possible.

• Preventing future problems due to application vulnerabilities requires action from both application developers and Facebook.

The Month of Facebook Bugs Report

Jeden prsten vládne všem … Jeden prsten vládne všem … … jeden jim všem káže. … jeden jim všem káže.

Jedno heslo je moc hesel Jedno heslo je moc hesel

� Jeden prsten vládne všem, jeden jim všem káže, jeden všechny přivede, do temnoty sváže.

� Všudypřítomný Google.

� Jedno přihlášení všude.

� Jedno heslo - - na všech službách.

� Jeden prsten vládne všem, jeden jim všem káže, jeden všechny přivede, do temnoty sváže.

� Všudypřítomný Google.

� Jedno přihlášení všude.

� Jedno heslo - - na všech službách.

The Twitter Attack: How The Ecosystem Failed

Jedno heslo je moc hesel Jedno heslo je moc hesel

Cloud Computing je … Cloud Computing je … … nebezpečný a zůstane nebezpečný. … nebezpečný a zůstane nebezpečný.

Cloud Computing? �� Cloud Computing? ��

� Cloud services are convenient and cheap, and can help a company grow more quickly. But security infrastructure is still nascent. And while any single service can be fairly secure, the important thing is that the ecosystem most certainly is not.

� Combine the fact that so much personal information about individuals is so easily findable on the web with the reality that most people have merged their work and personal identities and you’ve got the seed of a problem.

� A single Gmail account falls, and soon the security integrity of an entire startup crumbles.

� Cloud services are convenient and cheap, and can help a company grow more quickly. But security infrastructure is still nascent. And while any single service can be fairly secure, the important thing is that the ecosystem most certainly is not.

� Combine the fact that so much personal information about individuals is so easily findable on the web with the reality that most people have merged their work and personal identities and you’ve got the seed of a problem.

� A single Gmail account falls, and soon the security integrity of an entire startup crumbles.

The Twitter Attack: How The Ecosystem Failed

Cloud Computing? �� Cloud Computing? ��

Soukromí! Soukromí! … cože? Soukromí? … cože? Soukromí?

Soukromí Soukromí

� Soukromí. Něco, co na Internetu a v sociální siti nečekejte

� Facebook má také své administrátory

A pokud někde existují administrátoři mající možnost se na cokoliv podívat, existuje i jasná hrozba, že za vhodnou motivaci mohou získané informace zneužívat a prodávat.

Soukromí Soukromí

Pokud si chcete zachovat soukromí, nepoužívejte sociální sítě.

Nebo ještě lépe, vůbec nepoužívejte

Internet.

… nebo …

Lžete z plna hrdla!

Soukromí Soukromí A vlastně …

… nezapomeňte vyhodit mobilní telefon!

A bude hůř … A bude hůř …

Google Wave, Google Phone (chytré telefony), Location Based Services, Facebook mail (plný mail) a řada dalších věcí, které teprve čekají na masivní zneužívání

Zase někdy, někde. Zase někdy, někde.

www.facebook.com/Daniel.Docekal www.pooh.cz lousyanne.deviantart.com lousyanne.blogspot.com www.linkedin.com/in/danieldocekal www.google.com/reader/shared/user... www.slideshare.net/MedvidekPU/ www.twitter.com/MedvidekPU pooh.posterous.com/

Rizika sociálních sítí a Webu 3.0 v praxi

Technology