Facebook, Nasza Klasa, Goldenline, Linkedin, Twitter, Flickr i jeszcze sporo innych – wszechwładna moda na social networking przyciąga miliardy ludzi na całym świecie. Tymczasem dzieląc się radośnie szczegółami ze swojego życia, dajemy potężną broń do ręki ludziom, którzy niekoniecznie muszą mieć uczciwe zamiary…
Frederic Raynal, francuski specjalista od bezpieczeństwa IT, podczas tegorocznej konferencji Hack In The Box pokazał, jak – bazując wyłącznie na ogólnodostępnych informacjach – podsunąć pracownikowi firmy, współpracującej m.in. z Departamentem Obrony USA złośliwy program, dzięki któremu mógł dostać się do jego komputera.
Po wybraniu firmy, Raynal skupił się na profilach jej pracowników w portalu Linkedin. Korzystając z wyszukiwarki oraz informacji o osobach, przeglądających profile, wyodrębnił ok. 10 tys. pracowników. Spośród nich „wyłowił” tego, który interesował go pod względem wykonywanych zadań, a także podał linki do prywatnej strony internetowej i profili w portalach społecznościowych. Potem było już „z górki” – wyłącznie za pomocą przeglądarki internetowej znalazł: adres i numer telefonu „ofiary” (zapytanie whois, dotyczące prywatnej witryny), jego pełną karierę zawodową (Linkedin, Facebook), zdjęcia domu (Google Maps), informacje o rodzinie, włącznie ze zdjęciami dzieci i informacją o chorej na raka babci (blog) oraz systemach informatycznych, którymi administruje w pracy (blog), historię zapłaconych podatków, numer konta bankowego, informację o zaciągniętych kredytach hipotecznych (serwisy urzędowe, na bazie informacji m.in. z Facebooka), imiona i nazwiska przyjaciół (Facebook), czy też informację o hobby, poglądach politycznych, a nawet o nastroju danego dnia (blog, Twitter)!
Raynal dowiedział się też, że jego cel jest fanem scrabble i zasugerował podrzucenie mu trojana, zaszytego w Facebook’owej aplikacji z tą popularną grą. Dla uwiarygodnienia „zainstalowałaby” ją grupa osób, którym wyłącznie w tym celu stworzyłby konta w serwisie. Po otwarciu w ten sposób drogi do komputera Eda, można by już zrobić praktycznie wszystko. A dla Francuza wiedza o firmie Eda nie była warta na przykład porwania jego dziecka…
Na naszym krajowym podwórku też co jakiś czas słychać o nieświadomych użytkownikach portali społecznościowych – policjantach operacyjnych, czy komandosach, którzy pokazywali zdjęcia z odkrytą twarzą, czy też po prostu zwykłych ludziach, którzy z dumą chwalą się bogactwem. Jeśli jednak nie możemy się powstrzymać od korzystania z portali społecznościowych, co zrobić, by zminimalizować ryzyko?
– Nawet jeśli nie dopuszczamy do świadomości scenariusza, w którym ktoś mógłby proste informacje wykorzystać przeciwko nam, warto dbać o prywatność choćby na wszelki wypadek – mówi ekspert ds. zabezpieczeń systemów teleinformatycznych w TP SA, który niejako dla poparcia swojej tezy, pozostaje anonimowy. – Chodzi o wszelkie serwisy, które zbierają o nas dane i w mniej lub bardziej świadomy sposób udostępniają je innym. Niektóre z nich, zapewne bardziej w trosce o swój wizerunek niż o użytkowników, zdają sobie sprawę z potencjalnych zagrożeń. Przykładem jest jeden z serwisów aukcyjnych, który od pewnego czasu nie pokazuje pełnych identyfikatorów uczestników transakcji osobom postronnym. Chęć uszanowania własnej prywatności powinna być jedną z żelaznych zasad naszego korzystania z internetu – uważa ekspert TP.
Przede wszystkim trzeba jednak pamiętać o myśleniu i zdrowym rozsądku, bowiem czego by nie robili administratorzy serwisów, to od nas, jako użytkowników, zależy jakie wiadomości o sobie upubliczniamy.
I na koniec, już standardowo :), pytanie do Was, stanowiące mam nadzieję przyczynek do dyskusji w komentarzach. Jak Wy traktujecie portale społecznościowe? Czy korzystacie z nich, czy zostawiacie tam osobiste informacje? I czy naprawdę w dzisiejszych czasach bez takich serwisów nie da się żyć?
Żródło: Fredric Raynal „Gathering and Exploiting Information”, HackInTheBox 2010
