Proč a jak je Facebook vlastně nebezpečný?

1. 11. 2011
Doba čtení: 5 minut

Sdílet

Facebook Messages
Facebook Messages
Novinky Facebooku se zaměřují na práci s hesly a jejich zabezpečení, snaží se tak uživatelům vyjít vstříc. Problémy se však delší dobu rodí jinde, útočníci jen využívají lákavě položené návnady.

Bezpečnost Facebooku je často diskutovaným tématem, většinou však hlavně z pohledu nepříliš opatrných a přespříliš důvěřivých uživatelů. Hodně se tak zapomíná také na pohled z druhé strany, přesněji očima bezpečnostních mechanismů této sociální sítě a jejich tvůrců. Těsně před koncem října se na oficiálních stránkách Facebook Security objevily informace o aktuálně testovaných novinkách, které by měly pocit bezpečí a spokojenost uživatelů zase o něco zvýšit.

První oznámená novinka je označovaná jako Trusted Friends a dovoluje vybrat tři až pět přátel, kterým důvěřujete a kteří do budoucna mohou pomoci s přihlášením do kompromitovaného účtu, nebo prostě jen podat pomocnou ruku v případě, že je zapomenuto heslo. Sami tvůrci novinku přirovnávají k běžné situaci, kdy svým dobrým známým dáte klíč od domu či bytu pro případ, že by došlo k nečekané události nebo některým problémům.

U této novinky je samozřejmě nutné správně si vybrat odpovídající facebookové přátele, analogie i zde funguje s domem či bytem a reálnými klíči. Kromě přihlášení v případě kompromitovaného účtu se jedná také o řešení situace, kdy zároveň zapomenete heslo, ale už nemáte přístup k e-mailu, který byl použit při registraci. I když se to pokročilým uživatelům může zdát až příliš naivní, začátečníci si bez většího rozmýšlení často registrují různé služby na svou pracovní adresu a po změně zaměstnání pak mohou mít problém s přístupem do dříve používaných služeb. Inovace Trusted Friends si klade za cíl tyto potíže vyřešit.

Konference Czech Internet Forum 2011

Zajímá vás internet z pohledu obchodu, marketingu, nových technologií a startupů? Závěr letošní konferenční sezóny tradičně patrí Czech Internet Foru. Z programu vybíráme:

  • Jak nebýt v marketingu za fachidiota, Peter Lelovič
  • Poslední chybějící prezentace , Michal Heisig, Seznam.cz
  • nebo třeba blok „Novinky roku“ s presentací zajímavých nových projektů z Google, českých médií a nakonec i ŽítBrno.cz

Druhou oznámenou novinkou je App Passwords, neboli možnost využití specifických přihlašovacích hesel pro konkrétní aplikace. Pro vybranou aplikaci pak budete moci využívat jiné heslo, než jaké máte standardně nastaveno u běžného přihlášení do facebookové sítě. Obě novinky tedy souvisí s hesly, jedním z nejčastějších problémů napříč mnoha webovými službami, standardními aplikacemi metodami autentizace i autorizace.

Facebook friends
Přátelé mohou pomoci při zapomenutém heslu nebo kompromitaci účtu. Zdroj: Facebook Security

Soukromí všem na očích

Server NakedSecurity zároveň přispěl se zajímavým překladem statistik kompromitovaných účtů Facebooku – podle oficiálních čísel připadá 0,06 % z každodenního objemu více než miliardy přihlášení na kompromitované účty. Jedná se tedy o více než 600 000 nekorek­tních přihlášení denně, což v absolutních číslech působí opravdu strašidelně, podle původního přirovnání takovéto přihlášení proběhne každých 140 milisekund.

Hesla patří mezi skloňované problémy počítačové bezpečnosti, tvůrci Facebooku se tak snaží alespoň drobnými změnami zvýšit zabezpečení v této oblasti. Řada problémů má počátek v již zmíněném neuváženém spojení facebookového účtu s „dočasnou“ e-mailovou adresou, což kromě potíží s hesly přináší i absenci bariéry mezi osobní a soukromou komunikací. Uživatelé jsou velice často bohužel líní nejen využívat různá hesla pro různé služby, zároveň také neakceptují rozdělení využívaných služeb a s nimi spojených registrací, případně později nechtěně veřejně dostupné informace.

Základním problémem je často nežádoucí propojení uživatelských účtů firemních se soukromými, kdy zaměstnanci řeší komunikaci v rámci firmy pomocí veřejných profilů. Ty tam jsou doby, kdy se každý strachoval o to, co kde vyzrazuje, jestli jeho e-mailovou adresu ze stránky nevydoluje robot, zda se někde zaregistruje pod falešnou nebo reálnou identitou. I dnes samozřejmě existuje nemalé množství takto obezřetných koncových uživatelů, nicméně řada ostatních spíše sleduje, aby právě na Facebooku nechyběla, měla co největší počet followerů na Twitteru, případně na blogu nezapomněla filtrovat ven veškeré své denní dění, hodinu po hodině.

Problém s únikem potenciálně citlivých firemních informací je v tom, že náruživí uživatelé berou Facebook a Twitter jako neustálý prostředek, s trochou nadsázky takovou malou drogu. Pokud je pak něco v práci nadchne (potěší, rozzlobí, překvapí apod.), automaticky se o to podělí – ne každý si uvědomí důležitý rozdíl mezi zpravením světa o zhlédnutí zajímavého filmu a úpravou plánu či škrtání rozpočtu na příští fiskální rok… Stále více firem proto učí zaměstnance, jak se sociálními sítěmi z tohoto pohledu bezpečně nakládat, perličkou jsou pak i příručky pro další profese.

facebook app
Ochrana aplikací samostatným heslem. Zdroj: Facebook Security

Různé hrozby, vyzývavé scénáře

Zmíněné provalení soukromí jsem zmínil záměrně: osobně si nemyslím, že by většinu stávajících uživatelů dnes trápila bezpečnost hesel nebo zneužití facebookového účtu, pořádnou porcí nesnází si způsobují sami nevhodným využíváním nabízených možností. Právě Facebook se stal jednou z dostupných služeb, jak si někoho nenápadně proklepnout. Běžnou praxí nejen v rámci přijímacích pohovorů je kromě prohlížení zaslaného životopisu i prolistování dostupných údajů na LinkedIn, případně vložení jména dotyčného na blind do vyhledávače.

Objevují se ale i automatizované varianty útočící na Facebook, jednou z nich se stal například neblaze proslulý Koobface. Tento červ rozesílal zprávy odkazující na stránky podobné klasickému videoportálu YouTube, ale pokud je příjemce facebookové zprávy následoval, došlo k otevření podvodné kopie. Namísto spuštění videa byl uživatel vyzván ke stažení doplňku pro přehrání, a tedy stažení viru. Podobně jako u e-mailu nebo instant messagingu zde autoři těží z toho, že zprávy na první pohled pocházejí od známého kontaktu. Opět zde ale platí základní pravidlo: proč by to útočníci nezkusili, když Facebook stále překypuje přespříliš důvěřivými uživateli. Chyba není v systému, spíše jeho uživatelích.

Občas jsou námitky proti Facebooku možná až příliš paranoidní, záleží však na tom, kterou kategorii považujeme za nejvíce nebezpečnou. Na prvním místě jsou prozatím vždy sami uživatelé, především ti začínající – právě oni mohou za velkou zprofanovanost Facebooku v souvislosti ochranou soukromí a publikováním citlivých údajů, jelikož nejsou schopni sociální síť „správně“ používat, nastavit práva, vyplnit korektně údaje atd. Na druhou pozici bych zařadil trojské koně, cílené phishingové útoky a další varianty, které mají na jedné straně útočníka a na druhé příliš důvěřivou oběť. Důležitým znakem je zde opět nutnost spolupráce, kdy sám uživatel vybranou akcí přispěje k výsledné tragédii. Teprve poslední místo u mě obsadí možnost prolomení Facebooku, resp. nabourání konkrétního účtu.

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).