Sikkerhedsekspert: Lyv over for Facebook

RSA 2009: It-kriminelle har fundet ud af at bruge sociale netværkstjenester til spam og phishing, men mange brugere gør dem selv til mål.

SAN FRANCISCO: Sociale netværkstjenester som Facebook, LinkedIn og Twitter bliver ikke kun brugt af almindelige internetbrugere. De it-kriminelle har også opdaget tjenesterne og bruger dem til spam og phishing.

Og det kan de gøre forholdsvis uhindret, fordi ingen af tjenesterne i dag systematisk filtrerer beskeder for spam, sådan som de fleste e-mailtjenester i dag gør det.

»De her netværk er nødt til at gøre mere som Gmail og begynde at scanne beskederne,« siger it-sikkerhedskonsulent Graham Cluley fra sikkerhedsfirmaet Sophos.

Det er især problematisk, fordi visse internetbrugere allerede i dag har lagt e-mail og chatprogrammer bag sig og udelukkende kommunikerer på internettet gennem tjenester som Facebook.

Men spam er kun det første store sikkerhedsproblem med de nye tjenester. Et andet problem er let adgang til personlige oplysninger.

»Når du tilmelder dig Facebook, så er du tvunget til at oplyse din fødselsdato,« siger Graham Cluley.

Brugerne har ganske vist mulighed for at vælge, at datoen ikke skal offentliggøres, men den ligger stadig i systemet. Det blev problematisk, da Facebook sidste år skiftede til en ny grænseflade.

Tjenesten ville give brugerne mulighed for at se, hvordan profilerne ville se ud i den nye udgave. Men i visningen af betatesten blev fødselsdatoen vist for alle profiler, selvom brugerne havde valgt, at Facebook ikke måtte vise den.

»Det er derfor, jeg har personligt har valgt at bryde Facebooks forretningsbetingelser og har givet dem en falsk fødselsdato. Fødselsdatoen er i sig selv ikke nok til at begå identitetstyveri, men den er et vigtigt skridt,« forklarer Graham Cluley.

Twitter sladrer også

Mange brugere afslører også uforvarende selv personlige oplysninger ved eksempelvis at skrive beskeder på deres fødselsdag, hvor de oplyser, hvor gamle de er blevet.

Graham Cluley fremhæver et eksempel, hvor en kollega havde skrevet sådan en besked på Twitter. Kollegaen blev klar over fejltagelsen og slettede beskeden.

Men Twitter fjerner kun beskeden fra brugerens feed. Beskederne ligger stadig i systemet og kan findes blot ved en almindelig søgning.

»Så vidt jeg har kunnet se, så sletter Twitter aldrig nogen beskeder,« siger Graham Cluley.

Twitter er også ligesom MySpace.com blevet udnyttet i de seneste uger til at sprede en orm. Der har været tale om enkeltpersoner, som har udnyttet sikkerhedshuller i Twitters webapplikation til forholdsvis harmløse angreb.

Angrebene kan lade sig gøre, fordi det er muligt at indsætte javascript på profiler ved hjælp af cross-site scripting-sårbarheder.

»Det er Twitter nødt til at få gjort noget ved nu. Lige nu bruges det til drillerier, men de samme sårbarheder kan bruges til at sprede ondsindede programmer,« siger Graham Cluley.

Ignorer Paris Hilton

En anden populær social netværkstjeneste, LinkedIn, som normalt opfattes som én af de mere seriøse, bliver ligesom Facebook og Twitter misbrugt af it-kriminelle.

De opretter falske profiler for berømtheder som eksempelvis Paris Hilton og inkluderer links til deres websteder forklædt som links til berømthedernes sexvideoer.

Det sker ikke blot for at få brugere til at klikke på disse links fra LinkedIn, men også for at give de ondsindede websteder en højere placering i søgeresultaterne på eksempelvis Google ved at udnytte LinkedIns høje rang hos søgemaskinerne.

Graham Cluley advarer, at dels må tjenesterne blive bedre til at sortere ondsindet indhold fra, men brugerne er også nødt til at blive bedre beskyttet mod trusler fra Web 2.0-applikationer.

Det kan ske ved at bruge plugins til Firefox, som gør det muligt at se, hvor forkortede links fra eksempelvis TinyURL.com fører hen, eller ved at scanne for, om en hjemmeside forsøger at tilgå et ondsindet websted.

Stol ikke på fremmede

Den væsentligste faktor vil imidlertid være uddannelse af brugerne, og det kan blive svært, erkender Graham Cluley.

»Folk stoler alt for meget på fremmede på internettet. De er villige til at tro på historier, de aldrig ville have troet på, hvis de havde hørt det fra en særling, de kom til at sidde ved siden af i bussen,« siger Graham Cluley.

Han peger på eksempelvis, hvordan folk installerer de såkaldte applikationer på Facebook. Applikationerne får adgang til brugerens profiloplysninger, og alle og enhver kan skrive en applikation til Facebook. Tjenesten fører ingen kontrol med de enkelte applikationer medmindre der bliver klaget over dem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere