Berta Sándor
Hiányzik a biztonsági kultúra
IT-szakemberek egy olyan platformot hoztak létre, amelyen célzottan feltüntetik az egyes közösségi oldalak felderített és új biztonsági hibáit. A kezdeményezést egyáltalán nem fogadják pozitívan a szolgáltatások üzemeltetői.
A Socialnetworksecurity.org szolgáltatást azért alapították, mert néhány IT-szakember megelégelte, hogy az egyre nagyobb befolyással rendelkező közösségi médiák gyakran egyszerűen semmibe veszik a biztonságot és az adatvédelmet, vagy ha foglalkoznak is a kérdéssel, akkor azt felületesen teszik.
"Az elmúlt 6-8 hónap tapasztalatai azt mutatták, hogy néhány üzemeltető 'nagyon allergiásan' reagál arra, hogy célzottan átkutatjuk a hálózatát a hibák után, s miután ezekről tájékoztatjuk, azt kérjük tőle, hogy ezeket a hiányosságokat minél gyorsabban szüntesse meg. Sokan a módszerünkre úgy reagálnak, hogy törlik a meglévő fiókjainkat és hozzáféréseinket, emellett előfordult, hogy jogi következményekkel is megfenyegettek bennünket. Mindezt annak ellenére tették, hogy a hibák nyilvánosságra hozatala előtt minden esetben először őket értesítettük. Hogy elkerüljük ezt a stresszt, inkább úgy döntöttünk, hogy névtelenül dolgozunk. A csoportunk tagjai a világ minden részéről, különböző országokból származnak" - nyilatkozta a Socialnetworksecurity.org vezetője.
A közösségi hálózatok esetében a legnagyobb problémának jelenleg azt tartják, hogy a legtöbb ismert platform nem kínál webes titkosítást az oldalain, mivel akkor a reklámok nem működnének. Vagyis a probléma nem csak az üzemeltetőknek köszönhető, hanem a reklámkészítőknek és -szolgáltatóknak is. Amennyiben a közösségi portálok teljes SSL-támogatást kínálnának és az aktuális biztonsági szabványok alapján védenék le a sütifájljaikat, akkor jóval kevesebb felhasználói adatot veszélyeztetnének a biztonsági hibák, hiszen így ezeket az információkat nem lehetne megszerezni a Man-in-the-middle vagy a Cross-Site-Scripting támadások használatával.
"A legtöbb honlap általában keresztkérdésekkel reagál a jelzéseinkre, például megkérdezik, hogy miért jelentkezünk a problémával? Köszönetet viszont csak ritkán mondanak, ezenkívül a hibák kijavítása is gyorsabban történhetne. A spamek és az adathalászat mellett a közeljövőben elsősorban a profilok közvetlen másolására lehet számítani. Ez utóbbi azt jelenti, hogy a bűnözők a névvel és képpel együtt egyszerűen lemásolják valakinek a közösségi oldalát. Továbbá fel kell készülni arra is, hogy kifinomult férgekkel megfertőzik a platformokat, amelyek észrevétlenül a háttérben ellopják a felhasználói adatokat vagy megfertőzik a látogatók számítógépeit."
"Elszomorító, hogy - álláspontunk szerint - csak kifelé, a sajtó irányába rendelkeznek a közösségi hálózatok biztonsági kultúrával. Ugyanakkor valójában a webes biztonságot érintő bármilyen szakértelem hiányzik a cégeknél. Emellett szintén hiányzik a biztonsági gondolatok integrálása a mindennapi tevékenységbe" - összegezte tapasztalataikat a szakember.
Az elkeserítő reakciók mellett ugyanakkor örömteli, hogy a Socialnetworksecurity.org-ot nagyon jól fogadták az emberek. A honlap üzemeltetői számos tanácsot, észrevételt, visszajelzést és javaslatot kaptak a látogatóktól. A közeljövőben igyekeznek egyre több nyelven elérhetővé tenni az oldalt és csökkenteni az esetleges téves riasztások számát. Fontos, hogy az önkéntesek minden esetben az adott portál üzemeltetőjét, vagy ha van, akkor biztonsági felelősét keresik meg a talált problémával és időt adnak a hiba kijavítására. Csak ezután hozzák nyilvánosságra az információkat és csupán akkor, ha az érintett vállalat képviselői már a második e-mailre sem reagáltak.
A nyilvánosságra hozott listán a Facebookon kívül 25 közösségi oldal szerepel, köztük van a 135 millió regisztrált taggal rendelkező orosz Vk.com, a 130 millió regisztrált taggal büszkélkedő Bebo.com, a 110 millió tagot számláló Badoo.com, a Xing, valamint brit, osztrák és német portálok is.
A Socialnetworksecurity.org szolgáltatást azért alapították, mert néhány IT-szakember megelégelte, hogy az egyre nagyobb befolyással rendelkező közösségi médiák gyakran egyszerűen semmibe veszik a biztonságot és az adatvédelmet, vagy ha foglalkoznak is a kérdéssel, akkor azt felületesen teszik.
"Az elmúlt 6-8 hónap tapasztalatai azt mutatták, hogy néhány üzemeltető 'nagyon allergiásan' reagál arra, hogy célzottan átkutatjuk a hálózatát a hibák után, s miután ezekről tájékoztatjuk, azt kérjük tőle, hogy ezeket a hiányosságokat minél gyorsabban szüntesse meg. Sokan a módszerünkre úgy reagálnak, hogy törlik a meglévő fiókjainkat és hozzáféréseinket, emellett előfordult, hogy jogi következményekkel is megfenyegettek bennünket. Mindezt annak ellenére tették, hogy a hibák nyilvánosságra hozatala előtt minden esetben először őket értesítettük. Hogy elkerüljük ezt a stresszt, inkább úgy döntöttünk, hogy névtelenül dolgozunk. A csoportunk tagjai a világ minden részéről, különböző országokból származnak" - nyilatkozta a Socialnetworksecurity.org vezetője.
A közösségi hálózatok esetében a legnagyobb problémának jelenleg azt tartják, hogy a legtöbb ismert platform nem kínál webes titkosítást az oldalain, mivel akkor a reklámok nem működnének. Vagyis a probléma nem csak az üzemeltetőknek köszönhető, hanem a reklámkészítőknek és -szolgáltatóknak is. Amennyiben a közösségi portálok teljes SSL-támogatást kínálnának és az aktuális biztonsági szabványok alapján védenék le a sütifájljaikat, akkor jóval kevesebb felhasználói adatot veszélyeztetnének a biztonsági hibák, hiszen így ezeket az információkat nem lehetne megszerezni a Man-in-the-middle vagy a Cross-Site-Scripting támadások használatával.
"A legtöbb honlap általában keresztkérdésekkel reagál a jelzéseinkre, például megkérdezik, hogy miért jelentkezünk a problémával? Köszönetet viszont csak ritkán mondanak, ezenkívül a hibák kijavítása is gyorsabban történhetne. A spamek és az adathalászat mellett a közeljövőben elsősorban a profilok közvetlen másolására lehet számítani. Ez utóbbi azt jelenti, hogy a bűnözők a névvel és képpel együtt egyszerűen lemásolják valakinek a közösségi oldalát. Továbbá fel kell készülni arra is, hogy kifinomult férgekkel megfertőzik a platformokat, amelyek észrevétlenül a háttérben ellopják a felhasználói adatokat vagy megfertőzik a látogatók számítógépeit."
"Elszomorító, hogy - álláspontunk szerint - csak kifelé, a sajtó irányába rendelkeznek a közösségi hálózatok biztonsági kultúrával. Ugyanakkor valójában a webes biztonságot érintő bármilyen szakértelem hiányzik a cégeknél. Emellett szintén hiányzik a biztonsági gondolatok integrálása a mindennapi tevékenységbe" - összegezte tapasztalataikat a szakember.
Az elkeserítő reakciók mellett ugyanakkor örömteli, hogy a Socialnetworksecurity.org-ot nagyon jól fogadták az emberek. A honlap üzemeltetői számos tanácsot, észrevételt, visszajelzést és javaslatot kaptak a látogatóktól. A közeljövőben igyekeznek egyre több nyelven elérhetővé tenni az oldalt és csökkenteni az esetleges téves riasztások számát. Fontos, hogy az önkéntesek minden esetben az adott portál üzemeltetőjét, vagy ha van, akkor biztonsági felelősét keresik meg a talált problémával és időt adnak a hiba kijavítására. Csak ezután hozzák nyilvánosságra az információkat és csupán akkor, ha az érintett vállalat képviselői már a második e-mailre sem reagáltak.
A nyilvánosságra hozott listán a Facebookon kívül 25 közösségi oldal szerepel, köztük van a 135 millió regisztrált taggal rendelkező orosz Vk.com, a 130 millió regisztrált taggal büszkélkedő Bebo.com, a 110 millió tagot számláló Badoo.com, a Xing, valamint brit, osztrák és német portálok is.