Niebezpieczny profil. Zagrożenia w sieciach społecznościowych
-
- Paweł Szczepaniak,
- 30.09.2011, godz. 09:00
Cross-Site-Scripting (XSS)
Na szeroką skalę stosowane są także ataki typu Cross-Site-Scripting (XSS). Odkryta w ubiegłym roku luka, umożliwiająca przejęcie konta w serwisie Facebook, bazowała właśnie na tej technice. Większość ataków XSS zawiera element przesyłania ciasteczka do atakującego poprzez JavaScript, który wywołuje się poprzez odpowiednio spreparowany kod HTML. Ze względu na częste wykorzystywanie tej metody, większość obecnych aplikacji WWW wykorzystuje flagę HTTPOnly, która uniemożliwia dostęp do ciasteczka poprzez JavaScript. Facebook stosuje ten mechanizm, jednak zabezpieczenie jest ograniczone do ataków z użyciem ciasteczka. W przypadku tego serwisu udało się już: odczytać wiadomości ofiary, upublicznić prywatne zdjęcia atakującemu, przesłać wiadomości w imieniu ofiary do jej kontaktów, włączyć nowe aplikacje, a także - co najważniejsze - ukraść kontakty.
Nie ufaj do końca
Zagrożenia ze strony serwisów społecznościowych można rozumieć na dwa sposoby. Po pierwsze, zagrożone są nasze dane i informacje, które w nich umieszczamy. Po drugie, serwisy społecznościowe stanowią nowe medium rozprzestrzeniania się szkodliwego oprogramowania.
Polecamy: 10 ataków z Black Hat i Defcon
Spectrum "podejrzanych" działań w sieciach społecznościowych stale się poszerza. Skala działania kusi każdego dnia coraz bardziej. Dostęp do potencjału przeszło 640 mln użytkowników Facebooka, 175 mln twitujących, czy nawet 11 mln zarejestrowanych w Naszej-Klasie jest zbyt łakomym kąskiem dla włamywaczy i nic nie wskazuje na to, że kiedykolwiek zrezygnują z walki. Klienckie oprogramowanie antywirusowe wykryje tylko szkodliwy kod w systemie operacyjnym, o bezpieczeństwo aplikacji WWW muszą zadbać twórcy serwisów i na nich spoczywa główna odpowiedzialność za powierzone im informacje. Sprawdzi się także znana z ruchu drogowego zasada ograniczonego zaufania.
Kwiecień 2007 r.
Wykryto lukę w systemie uwierzytelniania SMS, która pozwalała na aktualizację statusu innej osoby za pośrednictwem wiadomości tekstowej. Aby usunąć tę lukę, Twitter wprowadził opcję kodów PIN.
Sierpień 2008 r.
Twitter padł ofiarą ataków cyberprzestępców, którzy zamieścili specjalnie spreparowaną stronę z reklamą erotycznego filmu wideo. Po kliknięciu użytkownik był infekowany trojanem-downloaderem, który podszywał się pod nową wersję aplikacji Adobe Flash Player.
Luty 2009 r.
Ataki "clickjacking" - użytkownicy Twittera widzieli na śledzonych przez siebie kontach odsyłacze z wiadomością "Don’t click". Ci, którzy kliknęli odsyłacze, padli ofiarą tzw. porwania kliknięć.
Kwiecień 2009 r.
Twitter padł ofiarą licznych wariantów ataków XSS (cross-site scripting). Zagrożenie polegało na rozsyłaniu tysięcy wiadomości zawierających słowo "Mikeyy" (był to pseudonim autora szkodliwego programu).
Kwiecień 2009 r.
Francuski haker uzyskał dostęp do panelu administracyjnego Twittera. Na zrzutach ekranu było widać, że ktoś ma dostęp do kont należących do wielu znanych gwiazd, takich jak Britney Spears czy Ashton Kutcher.
Czerwiec 2009 r.
Cyberprzestępcy uzyskali dostęp do systemu wyświetlania najpopularniejszych tematów na Twitterze, w celu rozprzestrzeniania szkodliwego oprogramowania. W ten sposób zachęcali użytkowników do odwiedzania fałszywych stron zawierających rzekomo ekskluzywne filmy, infekujących system Windows szkodliwym oprogramowaniem.
Czerwiec 2009 r.
Porwano konto na Twitterze należące do Guya Kawasaki, wykorzystując je do rozprzestrzenienia szkodliwego oprogramowania dla systemu Windows oraz Mac. Ofiarą padło ponad 130 tys. użytkowników.
Lipiec 2009 r.
Pojawiła się nowa modyfikacja robaka Koobface, rozprzestrzeniająca się za pośrednictwem kont użytkowników Twittera. Gdy zainfekowany użytkownik próbował zalogować się na Twitterze, Koobface przechwytywał sesję i publikował w jego imieniu tweeta, w celu zainfekowania innych użytkowników.
Sierpień 2009 r.
Konto na Twitterze zostało wykorzystane jako centrum kontroli botnetów. Tweety zawierały specjalny kod, który był pobierany, odszyfrowywany i zapisywany jako komponent infekcji, w celu uaktualnienia szkodliwego oprogramowania na wcześniej zaatakowanych maszynach.
Maj 2010 r.
Wykryto błąd umożliwiający cyberprzestępcy wymuszenie na innych użytkownikach, aby "śledzili" go.
Czerwiec 2010 r.
Twitter zawarł ugodę z Federalną Komisją Handlu, na mocy której musiał podjąć kilka działań zabezpieczających informacje użytkowników. Jeden z warunków przewidywał przeprowadzanie co pół roku audytu bezpieczeństwa.
Wrzesień 2010 r.
Wykryto szkodliwy kod typu "MouseOver". Wystarczyło naprowadzić myszkę na zainfekowany tweet, aby uruchomić robaka, który wyświetlał posty na koncie użytkownika. Exploit ten został później wykorzystany do wyświetlania reklam typu pop-up oraz odsyłaczy do pornograficznych stron internetowych.
Źródło: Kaspersky Lab
