Hasznos vagy káros a szociális háló?
Nagy kérdés, hogy cégszinten mit lehet kezdeni a szaporodó közösségi oldalak és a social networking biztonsági kockázataival.
A szakemberek évek, évtizedek óta vizionálják, hogy az elektronikus központi kormányzati nyilvántartások segítségével kiszolgáltatottakká válhatnak az állampolgárok, és ellophatják személyiségünket, nyomon követhetik a cselekedeteinket, megismerheti a gondolatainkat; eközben ma az a valóság, hogy éppen mi szolgáltatjuk ki ezeket az információkat, méghozzá önként és mindenkinek. Egy kellőképpen jól sikerült online profilból nem csak a személyiségünk, életfilozófiánk, hobbink, családi, baráti és a munkahelyi körülményeink tárhatók fel, de blogunkban olyan részletességgel számolunk be mindennapi tevékenységünkről és gondolatainkról, amiről a legsötétebb diktatúrák sem álmodtak soha.
A social networking napjaink egyik kedvelt szórakozási módja, mely alapvetően az online közösségek szerveződési tere. (Ennyit arról, hogy a technika elhidegíti egymástól az embereket.) Általában valamilyen webes felületről vagy alkalmazásról beszélünk, ahol a regisztrált felhasználók saját személyiségüket és kapcsolataikat jelenítik meg.
Tartoznak hozzá különféle kiegészítő szolgáltatások is, úgy mint blog, fotóalbum, csoportépítés, levelezés, vagy az úgynevezett azonnali üzenetküldő (IM) szolgáltatás. Az oldalak egyre több és több szolgáltatást kínálnak a felhasználókért folyó versenyben, hiszen a költségek degresszíven nőnek, ám a bevételek a felhasználószám függvényében közel lineárisan emelkednek. (A verseny azért is éles, mert iparági szakértők szerint néhány éven belül csak egyetlen kompatibilis hálózat maradhat.)
A közösségi oldalak fő szolgáltatása, hogy felhasználói profilok segítségével információkat közölhetünk magunkról. Ennek alapján találnak meg az ismerőseink, és mi is ennek alapján találjuk meg őket. Itt tulajdonképpen minden információ megtalálható rólunk, amit megadtunk! Ugye nem is kell feltenni a kérdést , hogy mit lehet kihámozni ebből? Mindent!
Nevünk, elérhetőségeink, életkorunk és családi állapotunk, iskoláink, munkahelyünk, vagy bármi, amit csak az oldal üzemeltetői megkérdeznek. A kíváncsi szemlélő megtudhatja, milyen az érdeklődési körünk, milyen klubokba járunk, kikkel barátkozunk. Találtam klubot a BKV egyes buszjáratain utazók részére is. Kint felejtett régi fotók segítségével még a múltunk bizonyos részletei is kutathatóvá válnak.
Napjainkban rengeteg specializált közösségi oldal érhető el a weben. Létezik egykori osztálytársak felkutatásával vagy egy-egy hobbival, érdeklődési körrel foglalkozó site is. A social networking olyan népszerű lett, hogy az üzleti szféra is kivetette rá hálóját. Elég csak a magyar iWiW rekordösszegű felvásárlására, vagy legutóbb a Google-nak és a Microsoftnak a Facebookért folyó csatájára gondolnunk, melyből az utóbbi került ki győztesen. (A Microsoft 240 millió dollárt adott a Facebook 1,6 százalékáért, amivel a vállalkozást 15 milliárd dollárra árazta be. Az összeg önmagáért beszél).
A közösségi oldalakon célzott (testre szabott) hirdetésekkel találkozhatunk - az ilyen hirdetési felületek magasan a legértékesebbek és legdrágábbak. A közösségi oldalakat előszeretettel használják fejvadászok is potenciális ügyfélkörük bővítésére, rendszeres az álláshirdetés vagy akár a közvetlen megkeresés is. Vannak speciális cégek, amelyek közvetlenül az ilyen közösségeket célozzák meg - például avatarok (az egyes megszólalásaink mellett található kicsi ikon), speciális skinek, aláfestő zenék és a többi árusításával.
Természetesen az oldalakat üzemeltető cégek sem akarnak lemaradni az üzletről, és a reklámfelület értékesítése mellett adatainkkal és aktivitásunkkal is kereskedhetnek. Becslések szerint 2007-ben a közösségi oldalakhoz kapcsolódó szolgáltatások forgalma 500 millió dollár felett volt.
A social networking nem csak üzletemberek és jó szándékú emberek játszótere. Az itt felhalmozott hatalmas mennyiségű információt azok is szívesen használják, akik jobban szeretnek a zavarosban halászni. (A MySpace 110 millió, a Facebook 80 millió, a LinkedIn 22 millió, de még a magyar iWiW is 1,7 millió regisztrált felhasználóval rendelkezik.)
Social engineering az összefoglaló neve az olyan csalásoknak, amelyek a szociológia és a pszichológia eszközeit használják céljaik eléréséhez (pretexting). A cél valamilyen információ megszerzése, vagy olyan tett kikényszerítése, amelyet normálisan a célszemély nem hajtana végre. Tipikus eszköze a telefonhívás, illetve egyre gyakrabban az e-mail. A módszer lényege általában az, hogy olyan személynek adja ki magát a támadó, aki belső embernek tűnik, így az áldozatnak nem tűnik fel a csalás. Ugyanennek az elektronikus formája például az adathalászat (phising). A cél itt is az, hogy az áldozat ne vegye észre, hogy külső személy, egy rossz szándékú támadó írta a levelet.
A social engineeringnek egészen vad formái is léteznek. Ilyen a személyes megkeresés, a személyes találkozás, vagy éppen a szemét átkutatása. Amennyiben a támadó bejut mondjuk az irodába, akkor az úgynevezett shoulder surfing (az áldozat válla felett leolvasott billentyűleütések), vagy akár monitorra ragasztott, az egérpad alá vagy a klaviatúra hátuljára felírt jelszavak összeszedése is ide tartozik.
Mára nehéz lenne teljes mértékben szétválasztani a social networkinget a social engineeringtől. A közösségi szolgáltatásokat nap mint nap használják a cégek HR-es munkatársai a jelentkezők lekáderezésére. Így gyorsan és olcsón kiszűrhetik a CV alapján alkalmasnak tűnő, vagy a nemkívánatos szakembereket. Persze mindaz akár az álláskeresőnek is segíthet, ha feltérképezi leendő főnöke hobbiját, ismerőseit, iskoláit.
Szavazás
Egy barátomnak egyszer egy szoftverspecialistára volt szüksége. Néhány kattintás a Google-ban, és már talált is pár hozzászólást a valóban igen speciális témában. A hozzászóló beceneve alapján hamar fel is fedezte az illető iWiW-es lapját, pár másodperc múlva pedig már a teljes neve, a telefonszáma és a munkahelye is megvolt. Mindez fejvadászcéggel sokkal hosszadalmasabb, és összehasonlíthatatlanul költségesebb lett volna. Ebben az esetben minden jól ment, de a kérdés természetesen felmerül: mennyire hihetünk ezeknek a profiloknak? Egy-egy önéletrajz beadása előtt bárki átszerkesztheti a profilját úgy, hogy az a megfelelő képet adja, tehát a profilok sem feltétlenül a színtiszta valóságot mutatják.
Ahogy állásinterjú előtt a jelentkező is utánanézhet a cégnek vagy a felvételiztetőnek, a közösségi oldalak a támadók dolgát ugyanúgy megkönnyítik a pontosabb, testre szabottabb támadás kivitelezésében. A támadások célzottan a vállalatvezetők ellen is irányulhatnak (whaling), ami a hagyományos módon százmillióknak eljuttatott üzenetek helyet csupán pár száz megtévesztő levelet jelent.
Nagy kérdés, hogy céges szinten mit lehet kezdeni a social networkinggel, mint biztonsági kockázattal. A tiltás itt nem segít sokat, mert nem az a legfőbb kockázat, ha valaki munkaidőben iWiW-ezik, hanem az, hogy kiteregeti a személyes adatait. Ez utóbbi viszont magánügy. Amit tehetünk, az az, hogy ajánlásokat és tanulságos történeteket köröztetünk a vállalati hálózatban, ugyanis a felvilágosító munka és a biztonsági képzés talán a leghatékonyabb megelőzési módszer.
A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.
