- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
朋友還是騙子?淺析信息安全和社交網絡 |
| 發布時間: 2012/8/1 20:39:54 |
|
回首今年1月,居民布萊恩.瑞伯格在美國華盛頓州西雅圖市的朋友們從來自布萊恩帶有照片的Facebook郵箱的電子郵件中讀到,布萊恩出現了問題。在電子郵件中,布萊恩聲稱他遇到了大麻煩,需要朋友們的幫助。 至少有一位朋友向他匯錢。然而事實上布萊恩并沒有陷入麻煩,也不需要幫助--只是他的網站被網絡犯罪分子利用了。 這只是一起針對世界領先的社交網站Facebook的網絡詐騙活動。 Facebook的規模和飛速的增長就像一塊蜜糖吸引了網絡犯罪分子這些蒼蠅的注意不過不僅是日常的用戶處在風險之中。由于Facebook和提供軟件的幾家廠商捆綁在一起搭建企業社區,因此企業也通常處在了危險之中。 社交網絡存在被網絡犯罪分子利用的弱點是因為社交網絡為了吸引更多的用戶就必須保持開放性。有時他們的運行模式是與常規的數據安全體系相悖的,這就使得保障社交網絡的安全變得更加困難。 其他的Facebook案例 在類似布萊恩的案例中,一名犯罪分子誘騙用戶透露密碼等個人信息(俗稱釣魚),然后利用這些信息來掌控用戶的賬戶。由此可見,舉例來說釣魚者會利用各種誘騙的手段,勸服受騙用戶的朋友給他指定的賬戶匯錢。一旦錢款匯出他們就會中途截留。光是今年的四五月間,就發生了三起涉及大量Facebook用戶的釣魚式攻擊。 今年2月垃圾郵件傳播者就劫持了Facebook網站上高達500萬用戶的Facebook新版本頁面。他們向超過150萬用戶發送了各種垃圾廣告。 去年以來木馬制造者也開始攻擊Facebook,Koobface蠕蟲和至少一種變種重復攻擊了Facebook網站。 為什么總是社交網站? Facebook當然不是遭遇攻擊的唯一網站。面向專業人員的社交網站LinkedIn也受到了攻擊。MySpace網站過去定期會受到攻擊,直到Facebook的頻繁中招將他們的遭遇湮沒不見。 為什么社交網站總是成為黑客,木馬制造者和其他網絡犯罪分子的首要攻擊目標? 一個原因是人們喜歡社交網站。根據尼爾森研究公司的在線調研,社交網站在人們在互聯網上花費的時間總和中占據10%的比例。在美國,歐洲,巴西和澳大利亞互聯網用戶中有2/3的人群在使用社交網絡或者博客網站。 尼爾森研究公司的發言人米歇爾.麥克尼表示,這個數字是令人吃驚的:在美國所謂的數字世界的人口總和幾乎達到了1.56億人。在英國有超過2900萬人會上互聯網;在巴西這個數字超過了2500萬。如果這些人中有2/3的人群使用社交網絡,這個數字就會大到沒法被網絡詐騙者忽視。 繼續保持增長 網絡犯罪分子喜歡社交網站的另一個原因是這些網站為了吸引更多的用戶加入,就必須保持進入的便捷性。 Breach Security的應用軟件安全研究總監Ryan Barnett表示"這對于一家社交網站的成功和普及是非常重要的,只有這樣才能讓用戶共享數據,網絡工具和動態網頁"。 安全專家則正好相反,他們寧愿讓用戶進入網絡更加困難。 "從安全的角度來說,靈活性的增加就意味著濫用功能的風險加劇"。 這些相互矛盾的力量能夠得到解決并且讓社交網站變得安全嗎? 通往正義的道路非常艱難 Facebook的發言人巴里.斯科特表示,Facebook一直在致力于保障網站的安全。除了研發防范,偵測和消滅針對用戶的攻擊行為的技術外,Facebook還和微軟,木馬防御中心等安全組織展開合作。 他們還在博客上運行用戶培訓窗口來推動用戶保護他們的安全頁面。 斯科特稱"自從網站5年多前成立以來,我們的這些努力結合起來會將被安全問題所影響的Facebook用戶的數量限制到1%以內。通過對比,你會發現在2005年,由司法部提供的最新統計數據顯示,每1000個美國家庭中就有29.5個,或者說30%。被盜竊過"。 不過安全問題仍然對那不到1%的Facebook用戶人群造成了傷害。比如布萊恩--他的賬戶就被鎖定了一周的時間,他的朋友也因為網絡犯罪分子的行為損失了1200美元。 企業須知的安全社交網絡行為 企業為了構建用戶社區會通過和在線客戶關系管理廠商Salesforce.com和IBM的Lotus Notes division等軟件廠商與Facebook捆綁合作。但是這種做法也是一把雙刃劍。 反病毒廠商Sophos公司的資深技術咨詢師Graham Cluley表示"這對于接近用戶是有意義的,但是同時也讓企業處在被感染的風險之中"。企業應該在他們的IT基礎架構中包括安全解決方案,對每個網絡或者用戶能使用的鏈接進行安全掃描,看看這些網頁和鏈接中是否存在惡意病毒。 Cluley建議說,企業還應該培訓用戶不要對所有登錄的網站都使用同樣的密碼,最好設置強大的密碼。 開放是關鍵 雖然要求輸入用戶名/密碼是一種被計算機用戶廣泛熟知的安全系統,但它未必是最有效的。 VeriSign公司的高級副總裁Fran Rosch曾經在接受采訪時表示"這種結合顯然并不安全,有很多方法都可以將其破解"。 Facebook的斯科特并不認同這種說法,他認為"用戶名和密碼是一種行業解決方案,每天有數億用戶在使用這種驗證方法"。斯科特還補充說,Facebook會采取額外的安全措施,比如嘗試輸入密碼多次后會阻止訪問。 根據Rosch的說法,社交網絡仍然不希望設置更加嚴格和復雜的安全措施,因為他們希望能吸引更多的用戶群。"我們和Facebook和MySpace進行過商談,他們告訴我們:易于使用和開放性對他們來說比安全更加重要"。 Facebook的斯科特表示"Facebook是人們之間彼此聯系和分享的工具;網站真正的目的就是為了人們的聯系和共享"。 使用雙重身份驗證 VeriSign公司的Rosch認為,社交網站應該使用雙重身份驗證。雙重身份驗證是由你所有的和你所知道的東西組成的。 你有的東西可能是你的計算機或者手機,可以由VeriSign的代理服務器來驗證用戶的設備。密碼是驗證的另外一個組成部分。 VeriSign通過VeriSign驗證保護服務提供雙重身份驗證。軟件代理會在特定的時間被發送。因此用戶可以升級他的計算機,這樣就不會被黑客所竊取。Rosch稱"如果有人嘗試通過互聯網竊取驗證信息就會被識破"。 了解自己 從事互聯網安全業務和社交聯絡服務的Purewire公司提供了另一個選擇。Purewire公司建立了一個免費的在線信譽驗證服務網站PurewireTrust.org,這個網站可以供用戶檢查和驗證其他在線人員的身份。這個三月份成立的網站目前仍然處在測試階段。 Purewire和PurewireTrust.org的研究科學家史蒂夫.沃博介紹說,PurewireTrust.org存儲了來自網名網絡身份驗證的信息,會自動對來自不同來源的數據進行交叉核對來校驗數據的準確性。 PurewireTrust.org與Facebook Connect單一登錄服務結合使用來改進Facebook用戶的安全性。沃博表示"我們通過電子郵件地址知道了成百上千的網名,我們可以對通過Facebook Connect登錄的數千人進行身份驗證"。 "大家需要在線驗證的服務,我們想努力成為在線驗證領域的谷歌"。 本文出自:億恩科技【www.laynepeng.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
