Наверное каждый из нас, проводя в Интернете хотябы час в сутки, может с увереностью сказать что мы живем в эпоху сетевого социализма. Нажимаем кнопочки, расшариваем ссылки, пишем статусы, смотрим видео, делимся музыкой, запускаем приложения, описываем свой образ жизни в сообщениях в 140 символов и вроде жизнь прекрасна, даже иногда зарабатываем.....все даже демократично). Многие из Нас работают в больших и не очень корпорациях, сидя за своми рабочими местами, наровим вырваться в "netсоциум". Мало кто задумывается о том, что сегодня наиболее быстро растущей угрозой как для корпоративных сетей, так и для персональных ПК являются Web-сервисы и приложения, распространяемые через социальные сети. Данные приложения могут создавать серьёзную угрозу безопасности корпоративной сети, подвергая риску сохранность конфиденциальной информации.
1) Атаки и вредоносные программы. Специалисты компании WatchGuard Technologies утверждают, что в течение следующих трёх лет социальные сети станут главным источником вредоносных программ, и называют причины этого:
1.1) Общение в социальных сетях способствует повышению взаимного доверия между пользователями. Основной функцией социальных сетей является взаимодействие пользователей друг с другом. Как правило, общение с людьми, внесенными в группу “Друзья”, бывает доверительным. Но в то же время социальные сайты не имеют технических средств для проверки и подтверждения того, что пользователи, с которыми вы общаетесь в социальной сети, действительно являются теми людьми, за которых себя выдают. Таким образом, атмосфера доверия создает идеальные условия для реализации атак с использованием методик социальной инженерии.
1.2) Технологии приложений социальных сетей имеют множество уязвимостей. Использование технологий Web 2.0 дает компаниям множество преимуществ, но подобные средства обладают серьёзными уязвимостями с точки зрения безопасности. Разработка приложений Web 2.0 очень сложна, следовательно программный код имеет массу недоработок. В результате возникают такие уязвимости, как SQL-инъекции и атаки с использованием XSS (межсайтовые сценарии). Это значит, что социальные сети подвергнуты Web-уязвимостям и атакам гораздо в большей степени, чем более простые и менее интерактивные интернет-ресурсы.
1.3) Чрезвычайная популярност. СС Facebook сейчас занимает второе место по посещаемости после Google (кстати говоря очень спорно). Ненамного от них отстают и другие ресурсы этого типа, такие как Twitter и YouTube. В свою очередь растущая популярность социальных сетей вызывает все больший интерес со стороны злоумышленников.
По данным исследования, проведенного экспертами компании WatchGuard Technologies, наиболее опасными являются следующие Web-ресурсы:
Facebook. Уровень опасности самой широкоиспользуемой социальной сети напрямую связан с ее высокой популярностью. Пользователи Facebook предоставляют хакерам огромные возможности для реализации атак. Плюс вероятность технических проблем, обусловленную недоработкой программного кода сервисов и приложений, открытостью и ненадёжностью используемых API, — этого достаточно, чтобы в сети возникла чрезвычайно опасная ситуация;
Twitter. Существует опрометчивое предположение, что 140 символов, содержащихся в одном сообщении Twitter, не создадут большой угрозы безопасности сети. Напротив, в некоторых случаях краткая форма сообщений приводит к появлению новых уязвимостей, таких как URL shorteners (маскирование полного пути доступа к Web-ресурсу с помощью отображения гиперссылки). Данная функция помогает пользователям сэкономить место при написании сообщений Twitter, но в то же время, используя URL shorteners, хакеры могут скрыть за гиперссылкой путь к вредоносным ресурсам. Кроме того, Twitter имеет множество других уязвимостей, связанных с технологиями Web 2.0 и API-интерфейсами, которые позволяют осуществлять различные виды атак и даже способствуют распространению сетевых “червей” среди пользователей Twitter;
YouTube. Поскольку YouTube является одним из самых популярных сайтов размещения и просмотра видео в режиме онлайн, злоумышленников очень привлекает возможность проведения атак с использованием ресурсов этого сервиса. Киберпреступники довольно часто создают вредоносные Web-страницы, которые маскируют под страницы YouTube. Кроме того, хакеры нередко используют раздел комментариев к видео для размещения вредоносных ссылок;
LinkedIn. LinkedIn является бизнес-ориентированной сетью с высокой посещаемостью и, как следствие, имеет большую нагрузку. Более того, деловой характер ресурса подразумевает высокую степень доверия между пользователями. Оба этих фактора делают сеть LinkedIn привлекательной мишенью для злоумышленников. Поскольку большинство пользователей используют сеть LinkedIn для формирования деловых отношений или поиска работы, то зачастую они размещают на ресурсе личную и конфиденциальную информацию;
4chan — популярная общедоступная социальная сеть, где пользователи размещают фотографии и графические изображения, а также оставляют свои комментарии. Пользовательские страницы в сети 4chan могут даже содержать непристойный контент. Злоумышленники часто размещают большое количество вредоносных ссылок на страницах форума 4chan;
Chatroulette. Это многообещающий и быстро развивающийся ресурс, который позволяет общаться с помощью Web-камеры. При этом пользователи выбираются случайно, таким образом общение в сети происходит между незнакомыми людьми. Механизм работы данной системы анонимного общения вызывает повышенный интерес злоумышленников.
2) Утечки данных. У многих компаний все большую обеспокоенность вызывает проблема утраты важной и конфиденциальной информации. Имея средства контроля Web-приложений и сервисов, ИТ-администраторы могут снизить риски, связанные как со случайной, так и со злонамеренной утечкой данных.
3) Снижение производительности труда сотрудников. Множество научно-исследовательских организаций пришли к выводу, что компании ежегодно теряют миллиарды долларов из-за снижения производительности труда сотрудников, активно использующих приложения и сервисы социальных сетей. С одной стороны, социальные сети можно использовать для обеспечения совместной работы и формирования деловых связей, но с другой — ИТ-администраторы очень часто не имеют возможности контролировать Web-приложения и сервисы в социальных сетях и управлять ими.Источник информации: специалистами компании Rainbow Security.
0 коммент.:
Отправить комментарий