文章內(nèi)容

朋友還是騙子？淺析信息安全和社交網(wǎng)絡(luò)

發(fā)布時(shí)間: 2012/8/1 20:39:54

回首今年1月，居民布萊恩.瑞伯格在美國(guó)華盛頓州西雅圖市的朋友們從來自布萊恩帶有照片的Facebook郵箱的電子郵件中讀到，布萊恩出現(xiàn)了問題。在電子郵件中，布萊恩聲稱他遇到了大麻煩，需要朋友們的幫助。

至少有一位朋友向他匯錢。然而事實(shí)上布萊恩并沒有陷入麻煩，也不需要幫助--只是他的網(wǎng)站被網(wǎng)絡(luò)犯罪分子利用了。

這只是一起針對(duì)世界領(lǐng)先的社交網(wǎng)站Facebook的網(wǎng)絡(luò)詐騙活動(dòng)。

Facebook的規(guī)模和飛速的增長(zhǎng)就像一塊蜜糖吸引了網(wǎng)絡(luò)犯罪分子這些蒼蠅的注意不過不僅是日常的用戶處在風(fēng)險(xiǎn)之中。由于Facebook和提供軟件的幾家廠商捆綁在一起搭建企業(yè)社區(qū)，因此企業(yè)也通常處在了危險(xiǎn)之中。

社交網(wǎng)絡(luò)存在被網(wǎng)絡(luò)犯罪分子利用的弱點(diǎn)是因?yàn)樯缃痪W(wǎng)絡(luò)為了吸引更多的用戶就必須保持開放性。有時(shí)他們的運(yùn)行模式是與常規(guī)的數(shù)據(jù)安全體系相悖的，這就使得保障社交網(wǎng)絡(luò)的安全變得更加困難。

其他的Facebook案例

在類似布萊恩的案例中，一名犯罪分子誘騙用戶透露密碼等個(gè)人信息(俗稱釣魚)，然后利用這些信息來掌控用戶的賬戶。由此可見，舉例來說釣魚者會(huì)利用各種誘騙的手段，勸服受騙用戶的朋友給他指定的賬戶匯錢。一旦錢款匯出他們就會(huì)中途截留。光是今年的四五月間，就發(fā)生了三起涉及大量Facebook用戶的釣魚式攻擊。

今年2月垃圾郵件傳播者就劫持了Facebook網(wǎng)站上高達(dá)500萬用戶的Facebook新版本頁面。他們向超過150萬用戶發(fā)送了各種垃圾廣告。

去年以來木馬制造者也開始攻擊Facebook，Koobface蠕蟲和至少一種變種重復(fù)攻擊了Facebook網(wǎng)站。

為什么總是社交網(wǎng)站?

Facebook當(dāng)然不是遭遇攻擊的唯一網(wǎng)站。面向?qū)I(yè)人員的社交網(wǎng)站LinkedIn也受到了攻擊。MySpace網(wǎng)站過去定期會(huì)受到攻擊，直到Facebook的頻繁中招將他們的遭遇湮沒不見。

為什么社交網(wǎng)站總是成為黑客，木馬制造者和其他網(wǎng)絡(luò)犯罪分子的首要攻擊目標(biāo)?

一個(gè)原因是人們喜歡社交網(wǎng)站。根據(jù)尼爾森研究公司的在線調(diào)研，社交網(wǎng)站在人們?cè)诨ヂ?lián)網(wǎng)上花費(fèi)的時(shí)間總和中占據(jù)10%的比例。在美國(guó)，歐洲，巴西和澳大利亞互聯(lián)網(wǎng)用戶中有2/3的人群在使用社交網(wǎng)絡(luò)或者博客網(wǎng)站。

尼爾森研究公司的發(fā)言人米歇爾.麥克尼表示，這個(gè)數(shù)字是令人吃驚的：在美國(guó)所謂的數(shù)字世界的人口總和幾乎達(dá)到了1.56億人。在英國(guó)有超過2900萬人會(huì)上互聯(lián)網(wǎng);在巴西這個(gè)數(shù)字超過了2500萬。如果這些人中有2/3的人群使用社交網(wǎng)絡(luò)，這個(gè)數(shù)字就會(huì)大到?jīng)]法被網(wǎng)絡(luò)詐騙者忽視。

繼續(xù)保持增長(zhǎng)

網(wǎng)絡(luò)犯罪分子喜歡社交網(wǎng)站的另一個(gè)原因是這些網(wǎng)站為了吸引更多的用戶加入，就必須保持進(jìn)入的便捷性。

Breach Security的應(yīng)用軟件安全研究總監(jiān)Ryan Barnett表示"這對(duì)于一家社交網(wǎng)站的成功和普及是非常重要的，只有這樣才能讓用戶共享數(shù)據(jù)，網(wǎng)絡(luò)工具和動(dòng)態(tài)網(wǎng)頁"。

安全專家則正好相反，他們寧愿讓用戶進(jìn)入網(wǎng)絡(luò)更加困難。

"從安全的角度來說，靈活性的增加就意味著濫用功能的風(fēng)險(xiǎn)加劇"。

這些相互矛盾的力量能夠得到解決并且讓社交網(wǎng)站變得安全嗎?

通往正義的道路非常艱難

Facebook的發(fā)言人巴里.斯科特表示，F(xiàn)acebook一直在致力于保障網(wǎng)站的安全。除了研發(fā)防范，偵測(cè)和消滅針對(duì)用戶的攻擊行為的技術(shù)外，F(xiàn)acebook還和微軟，木馬防御中心等安全組織展開合作。

他們還在博客上運(yùn)行用戶培訓(xùn)窗口來推動(dòng)用戶保護(hù)他們的安全頁面。

斯科特稱"自從網(wǎng)站5年多前成立以來，我們的這些努力結(jié)合起來會(huì)將被安全問題所影響的Facebook用戶的數(shù)量限制到1%以內(nèi)。通過對(duì)比，你會(huì)發(fā)現(xiàn)在2005年，由司法部提供的最新統(tǒng)計(jì)數(shù)據(jù)顯示，每1000個(gè)美國(guó)家庭中就有29.5個(gè)，或者說30%。被盜竊過"。

不過安全問題仍然對(duì)那不到1%的Facebook用戶人群造成了傷害。比如布萊恩--他的賬戶就被鎖定了一周的時(shí)間，他的朋友也因?yàn)榫W(wǎng)絡(luò)犯罪分子的行為損失了1200美元。

企業(yè)須知的安全社交網(wǎng)絡(luò)行為

企業(yè)為了構(gòu)建用戶社區(qū)會(huì)通過和在線客戶關(guān)系管理廠商Salesforce.com和IBM的Lotus Notes division等軟件廠商與Facebook捆綁合作。但是這種做法也是一把雙刃劍。

反病毒廠商Sophos公司的資深技術(shù)咨詢師Graham Cluley表示"這對(duì)于接近用戶是有意義的，但是同時(shí)也讓企業(yè)處在被感染的風(fēng)險(xiǎn)之中"。企業(yè)應(yīng)該在他們的IT基礎(chǔ)架構(gòu)中包括安全解決方案，對(duì)每個(gè)網(wǎng)絡(luò)或者用戶能使用的鏈接進(jìn)行安全掃描，看看這些網(wǎng)頁和鏈接中是否存在惡意病毒。

Cluley建議說，企業(yè)還應(yīng)該培訓(xùn)用戶不要對(duì)所有登錄的網(wǎng)站都使用同樣的密碼，最好設(shè)置強(qiáng)大的密碼。

開放是關(guān)鍵

雖然要求輸入用戶名/密碼是一種被計(jì)算機(jī)用戶廣泛熟知的安全系統(tǒng)，但它未必是最有效的。

VeriSign公司的高級(jí)副總裁Fran Rosch曾經(jīng)在接受采訪時(shí)表示"這種結(jié)合顯然并不安全，有很多方法都可以將其破解"。

Facebook的斯科特并不認(rèn)同這種說法，他認(rèn)為"用戶名和密碼是一種行業(yè)解決方案，每天有數(shù)億用戶在使用這種驗(yàn)證方法"。斯科特還補(bǔ)充說，F(xiàn)acebook會(huì)采取額外的安全措施，比如嘗試輸入密碼多次后會(huì)阻止訪問。

根據(jù)Rosch的說法，社交網(wǎng)絡(luò)仍然不希望設(shè)置更加嚴(yán)格和復(fù)雜的安全措施，因?yàn)樗麄兿Ｍ芪嗟挠脩羧骸?quot;我們和Facebook和MySpace進(jìn)行過商談，他們告訴我們：易于使用和開放性對(duì)他們來說比安全更加重要"。

Facebook的斯科特表示"Facebook是人們之間彼此聯(lián)系和分享的工具;網(wǎng)站真正的目的就是為了人們的聯(lián)系和共享"。

使用雙重身份驗(yàn)證

VeriSign公司的Rosch認(rèn)為，社交網(wǎng)站應(yīng)該使用雙重身份驗(yàn)證。雙重身份驗(yàn)證是由你所有的和你所知道的東西組成的。

你有的東西可能是你的計(jì)算機(jī)或者手機(jī)，可以由VeriSign的代理服務(wù)器來驗(yàn)證用戶的設(shè)備。密碼是驗(yàn)證的另外一個(gè)組成部分。

VeriSign通過VeriSign驗(yàn)證保護(hù)服務(wù)提供雙重身份驗(yàn)證。軟件代理會(huì)在特定的時(shí)間被發(fā)送。因此用戶可以升級(jí)他的計(jì)算機(jī)，這樣就不會(huì)被黑客所竊取。Rosch稱"如果有人嘗試通過互聯(lián)網(wǎng)竊取驗(yàn)證信息就會(huì)被識(shí)破"。

了解自己

從事互聯(lián)網(wǎng)安全業(yè)務(wù)和社交聯(lián)絡(luò)服務(wù)的Purewire公司提供了另一個(gè)選擇。Purewire公司建立了一個(gè)免費(fèi)的在線信譽(yù)驗(yàn)證服務(wù)網(wǎng)站PurewireTrust.org，這個(gè)網(wǎng)站可以供用戶檢查和驗(yàn)證其他在線人員的身份。這個(gè)三月份成立的網(wǎng)站目前仍然處在測(cè)試階段。

Purewire和PurewireTrust.org的研究科學(xué)家史蒂夫.沃博介紹說，PurewireTrust.org存儲(chǔ)了來自網(wǎng)名網(wǎng)絡(luò)身份驗(yàn)證的信息，會(huì)自動(dòng)對(duì)來自不同來源的數(shù)據(jù)進(jìn)行交叉核對(duì)來校驗(yàn)數(shù)據(jù)的準(zhǔn)確性。

PurewireTrust.org與Facebook Connect單一登錄服務(wù)結(jié)合使用來改進(jìn)Facebook用戶的安全性。沃博表示"我們通過電子郵件地址知道了成百上千的網(wǎng)名，我們可以對(duì)通過Facebook Connect登錄的數(shù)千人進(jìn)行身份驗(yàn)證"。

"大家需要在線驗(yàn)證的服務(wù)，我們想努力成為在線驗(yàn)證領(lǐng)域的谷歌"。
本文出自：億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 八大方略助力數(shù)據(jù)中心減少電能消耗
下一篇 >> 小技巧：迅速掌握桌面虛擬化的八大問題

亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

朋友還是騙子？淺析信息安全和社交網(wǎng)絡(luò)

同類文章

億恩公告

在線客服