[ZDNet安全频道原创翻译 ] 最近,大家对社交网络服务中出现的隐私问题的关注增加了不少。无论是Buzz自动将所有你发送过电子邮件的地址添加进关注列表,还是上存在的大量隐私问题,似乎在一夜之间,全球所有用户都开始对他们在因特网上隐私的安全感到担心了。尽管我可以理解有些用户希望拥有自己的隐私,但听到有人抱怨说,他们希望在公开公共网络上拥有隐私的时间,还是觉得非常可笑。
尽管在本文中不会谈及隐私的具体情况,但是我想指出关于上的隐私权这种说法是存在一定程度误导的,因为在网络上从来没有人曾经获得过这种权利。除非你对系统中发送的所有数据包都进行加密,否则的话它就有可能被意料之外的某人在某地看到。用户没有了解现实世界中的可接受行为与网络世界中的可接受行为之间的区别。如果在现实世界中,你不会将自己的隐私信息在拥挤的商场内大声说出来的话,在网络中,也许就不应该张贴在社会化网站上。先放下隐私问题不谈,我真正关注的主题,实际上是,随着网络服务的日益普及,各种社交网络服务工具已经成为攻击平台。在最近关于隐私问题的谈论中,Facebook创始人马克·扎克伯格是这样对华盛顿邮报说的:
"Facebook的成长非常迅速。在短短的几年里,它已经成为包含了4亿用户的团体。让这么多用户保持热情,是一项巨大的挑战,因此,我们通过提供快速连接到社交网络上与其它人进行交流的方式来为广大用户提供更好的服务。但有些时间,我们推进得可能太快了。"
如果你是从攻击者的角度来考虑问题的话,一个4亿人都关注并处于快速不断变化状态的网络应用是不是一座适合表演的大舞台?通过互联网进行攻击并不是什么新鲜事,但是在过去五年里,我们看到了攻击类型从大部分来自无害的匿名者变成经过精心策划攻击者在成功后可以获得金钱的商业模式。从僵尸网络资源出租、垃圾电子邮件、盗窃机密到公开盗窃银行资金都可以带来收入,今天,一名攻击者具有了赚钱的能力。想象一下这一能力加上4亿大部分不了解技术并运行基于主机无效安全解决的用户,会出现什么样的情况,你将会发现一张恶意行为的温床。或者,象我奶奶喜欢说的:"网络上的那些脸面空间"。
由于我们是面对它,所以这时间并不需要关注使用的和类型,因此就意味着没有具体的平台和网站,从某种程度上看起来,这就象是你奶奶滥用了社交网络。通过电子邮件,我与几位非常聪明的同事和朋友进行了一场快速的自由讨论,就今天可能出现的一些攻击场景进行了描述。我不会信任每一个人,但是你知道自己是谁,所以谢谢你的意见。
攻击场景1:恶意添加内容
大多数社交网络的"业务计划"核心是通过广告内容产生收入。这是通过与各种在线广告商建立合作伙伴关系实现的,并且,在某些情况下,对于有能力购买广告空间的普通用户来说,也可以有针对性地出现。这种业务模式已经获得了很大的成功。因此,我确信有很多种方法可以用来进行攻击。首先出现在我脑海中的就是这样的两个场景:1)生成可以吸引用户点击的广告,恶意内容将隐藏在容许运行的HTML和Java里面;2)广告本身包含有恶意内容。这种类型的攻击其实很简单,我认为成功率很可能也会很高。请务必记住,你的防工具和其它基于主机的安全产品只能防范它们知道的威胁,这就意味着只有在安全厂商搜集到样本,并且将它们的签名写入的时间才能实现保护功能。
攻击场景2:间谍软件感染应用程序
在这里,我并不想就什么才是真正的间谍软件进行争论。象Facebook之类的社会化网站已经向我们展示了,即使你是一名可疑的艺术骗子,用户也可能会愿意安装你提供的应用程序,以便种植虚拟作物,管理渔场或者假装自己是黑帮成员。为什么不把这种行动提升到更高的层次,将间谍软件或者其它可能有害的恶意内容加入到游戏中呢?聪明的攻击者可以轻松地开发出一种流行程序,并利用它进行恶意活动。
攻击场景3:有针对性的攻击
这种类型的攻击可能更有意思,主要是因为攻击者可以利用它来感染那些非常谨慎以至于不可能成为受害者的人。社交网络的功能非常强大,可以为人们重新联络老朋友,并且保持这些联系。对于社交网络来说,我们应该知道这一事实,你的联系信息甚至一些谈话内容都是公开的,一位聪明的攻击者可以轻松地利用这些信息来打击那些觉得自己是安全的用户。举例来说,如果有人想破坏我的系统,我相信他们直接攻击的话不会获得多大的成绩。
也就是说,他们可以针对我身边那些没有十分重视网络安全的人。一旦目标被控制,通过他们的社交网络发起的进攻就会有更大的成功机会,因为没有人会怀疑身边的人是攻击来源。另一种方法是控制偶尔访问目标私人网络的用户。通过安装后门工具,在系统连接到正确网络的时间,就可以发起攻击。在这里的例子是基于有针对性的个人攻击,但对于企业内部网络来说,也是非常有效的。毕竟,我们都喜欢和公司同事分享自己的社交网络。
攻击场景4:虚拟信息在现实世界中得到应用
Gowalla或四方服务之类的地理定位社会化服务可以将包含位置信息的照片实时传递到网上,我们可以随时了解自己社交网络中的朋友位于什么地方。在很多情况下,大量的此类信息都是公开的,所有人都可以看到这一点。小偷们花多长时间才会意识到,这些信息可以用来确定哪些家庭里没有人,属于易抢劫的目标?
当谈论到攻击者是如何利用自己的社交网络进行攻击时,文章前面提到的场景仅仅是冰山的一角。这些实际上并不是真正的新情况,它们已经在成功的攻击中使用过。当然,我并没有研究怎样才能保护人们不遇到这类攻击。但可怕的现实是,当前的安全机制不足以防范此类攻击,保证我们的安全。软件行业在处理过去的问题方面,已经做了很多有效的工作,但是它们调整和迁移的速度不够快,无法应对现有和将要出现的威胁。不过,我并没有说所有基于主机的防护产品都是不必要,因为它们是聊胜于无。
当今的现实是,作为各项社交网络服务的最终用户我们正在受到服务提供者的摆布。随着的发展,我们将会在线与所有人分享一切,这就意味着为了保证安全需要将大量信任交到少数供应商手里。Facebook、推特和四方服务这些服务商应该更努力,为提供的服务进行更多审核。
希望基于网络的防病毒软件Immunet之类的新工具继续出现,并且可以找到更有效的方法来保护最终用户免于遭受来自攻击者,以及更可悲的,他们自身的攻击。