Nobena skrivnost ni, da je bil Facebook zaposlen z zatiranjem zasebnosti, ki ste jo prej uživali na spletnem mestu. S tem smo se dogovorili, da bomo še naprej uporabniki, vendar nas vsake toliko nadloga nove funkcije ali posodobitve pravilnika pošlje k nastavitvam računa in noro poskušamo razumeti, kako se zaščititi.
To, ali pa se odpoveš, popustiš in vse predaš Facebooku.
Najnovejša predstavitev, s katero je bilo lažje kot kdaj koli prej kopati po vaših osebnih podatkih, je Graph Search. Čeprav je zabavno in neverjetno razkrito (v dobrem ali slabem), do zdaj še nismo popolnoma razumeli potenciala in velikosti tega orodja. Razvita je bila malenkost, imenovana FBStalker, ki lahko ugotovi, katere so vaše slabosti in kako jih izkoristiti, vse z uporabo iskalnika grafov in informacij, pridobljenih od vaših prijateljev.
Če vas to ne prestraši le malo, bi moralo. Tukaj morate vedeti.
Orodje FBStalker za zbiranje podatkov uporablja predvsem Facebookovo iskanje po grafikonih, večinoma pa uporablja podatke, ki jih delite na časovnih premicah svojih prijateljev.
Če do zdaj še niste spoznali, kako močan (in potencialno invaziven) je vgrajen iskalni mehanizem Facebooka, potem je to vaš glavni problem tam. Tega ne moremo dovolj poudarjati, vendar bi morali biti previdni pri stvareh, ki jih delite na spletnih mestih v družabnih omrežjih, kot je Facebook - še posebej zdaj, ko je bila začasno zaprta pomembna funkcija, ki vam omogoča, da po vašem računu ni mogoče iskati.
FBStalker je skript za Python, ki ga je razvil Keith Lee, singapurski analitik za Trustwave, podjetje, ki ščiti podatke in preprečuje varnostna tveganja za svoje stranke. Deluje tako, da uporablja informacije, ki so na voljo ne le v vašem profilu, temveč tudi v vaših prijateljih. Orodje lahko na podlagi teh podatkov analizira interakcije med uporabniki in sklepa na seznam vaših bližnjih prijateljev iz všečkov, komentarjev, oznak in prijav, ki jih objavite na straneh drugih ljudi.
Orodje FBStalker je bilo razvito za pomoč strankam pri testiranju lastnih varnostnih nastavitev.
Čeprav opis orodja morda zveni grozljivo, ga je podjetje, ki ga je razvilo, dejansko uporablja. "[Z FBStalkerjem smo izvedli lažno oglaševalsko akcijo z uporabo samo e-pošte," je dejal Jonathan Werrett, upravni svetovalec za Trustwave s sedežem v Hongkongu, tudi soraziskovalec in svetovalec za projekt. »Podjetje, s katerim smo sodelovali, je želelo vedeti, kje je njihova varnost najšibkejša. Preko FBStalkerja smo lahko ugotovili, da je žena zaposlenega (prek združenj) 'všečkala' določen pilates studio na tem območju. Nato smo lahko ugotovili, da je lastnica studia za pilates, kar nam je dalo odlično temo, da se z njo začnemo pogovarjati po e-pošti. Cilj je bil preveriti, ali bo odprla e-poštno sporočilo na to temo, kar bi lahko bil zlonamerni dokument. "
Po poročanju novic je Trustwave poslal e-poštno sporočilo z videoposnetkom, ki ga je žena odprla. Priloga je sprostila zlonamerno programsko opremo na njen računalnik, ki je mimogrede vseboval gesla, ki jih je tam pustil prejšnji lastnik, njen mož (ki je najel Trustwave). Zlonamerna programska oprema je uspešno okužila računalnik in Trustwaveu omogočila popoln dostop do teh gesel.
"Tradicionalno hekerji uporabljajo" phishing "e-poštne napade, ki temeljijo na splošnih temah, da bi poskušali pridobiti zanimanje žrtve," pojasnjuje Werrett. »Te teme uporabljajo z namenom, da žrtev klikne na povezavo ali odpre zlonamerni tovor. V divjini smo videli napade z lažnim predstavljanjem o tehnologijah, virih novic, ki bi jih zanimale osebe v določenem podjetju, ali temah, kot so »Podrobnosti o izplačanih plačah za september«.
Werrett tudi poudarja, da večina spletnih mest v družabnih omrežjih ponuja "odprtokodno inteligenco", ki bi jo hekerji lahko uporabili za izdelavo zelo specifičnih napadov "podvodnega ribolova", podobno kot v prejšnjem primeru pilatesa.
FBStalker lahko razkrije vse vrste ustrezne odprtokodne inteligence, za katero ste prej menili, da je nepomembna.
Vsak spletni napadalec v misiji lahko Facebook uporabi kot vir, da se pretvarja, da ve veliko o vas, s čimer vas spodbuja, da se odprete vdiranju. Kot preventivni ukrep lahko FBStalker uporabi podatke na vaši časovni osi, da ugotovi, v katerem času dneva običajno objavljate na Facebooku in ste najbolj aktivni na spletnem mestu - to je pogosto vezano na čas, ki ga porabite za odgovor na e-pošto ali neposredna sporočila, del vaše rutine, ki se lahko izkaže, da so prevaranti koristni za ciljanje prek spletne korespondence.
FBStalker lahko na podlagi aplikacij, ki ste jih uporabljali na družabnem spletnem mestu, ugotovi tudi, katero vrsto mobilne naprave uporabljate. Poleg tega lahko na podlagi podatkov o geolokaciji, ki jih vaš telefon pripiše nekaterim dejavnostim na časovni osi, ugotovijo tudi, kje ste. To lahko hekerje pripelje do tega, da ugotovijo, kako pogosto ste na nekem kraju in približno ob kateri uri. Ljudje se lahko seznanijo z vašim delovnim urnikom in sestavijo vsak dan. Lahko ustanovijo trgovino v enem od vaših običajnih pogovorov in ustvarijo tisto, kar Werrett imenuje »zlobna brezžična dostopna točka«, namenjeno zajemanju poverilnic računa ali drugih občutljivih podatkov, ko se nanjo povežejo določene žrtve.
Vse te informacije, samo iz vašega pametnega telefona in vašega Facebook računa.
Tudi ko ti pomisli vaše nastavitve zasebnosti so vrhunske, če svojemu seznamu prijateljev omogočite dostop do vaše vsebine, ste ranljivi.
Poznate pregovor "Veriga je tako močna kot njen najšibkejši člen"? To zelo velja za varnost Facebooka - tudi če ste popolnoma zaklenili svoj Facebook profil, ne morete zaščititi fotografije svojega Facebook profila. Prijatelji pogosto komentirajo vašo novo fotografijo v profilu ali kliknejo »všeč mi.« »To vrsto dejavnosti lahko FBStalker zajame in analizira in pomaga pri» obratnem inženiringu «vaših prijateljev na Facebooku,« pravi Werrett. Ko FBStalker ve, kdo so vaši prijatelji, lahko o vas izvede še več.
Trustwave je razvil tudi podobno orodje, imenovano GeoStalker - kar točno tako zveni.
GeoStalker analizira vsebino, objavljeno na Foursquare, Flickr, Instagram in Twitter - v bistvu katero koli družabno spletno mesto, ki lahko vsebuje informacije o geolokaciji. Orodje locira te objave in jih nariše na Googlovem zemljevidu, kar omogoča enemu od preizkuševalcev Trustwavea, da oceni spletno aktivnost na določenih področjih.
Potem ko GeoStalker najde račune ljudi, ki so objavljali na določeni lokaciji, orodje te podatke navzkrižno poveže z drugimi družabnimi spletnimi mesti, kot so Youtube, Google+, Linkedin, Facebook, Twitter, Instagram in Flickr, da najde več računov, s katerimi je mogoče povezati uporabnikom.
"Naročnik komunalne službe nas je najel, da preizkusimo fizično varnost industrijske lokacije in preverimo, ali bomo lahko dostopali do njihovih nadzornih omrežij," pripoveduje Werrett. »Z Geostalkerjem je Trustwave identificiral račun v družabnih omrežjih, ki je objavil veliko fotografij, medtem ko je bil na lokaciji, in izkazalo se je, da gre za uslužbenca. Trustwave je nato izvedel phishing napad, da bi poskušal doseči, da je tarča odprla e-pošto, ki bi nam omogočila dostop do informacij ali omrežja podjetja. "
Čeprav je Trustwave orodje v glavnem oblikoval za pomoč uporabnikom pri iskanju računov v družabnih omrežjih ljudi, ki delajo na določeni lokaciji, razkrije veliko večje vprašanje: maja navsezadnje ne bi bilo dobro, da na svojih objavah v Instagramu ves čas označujete svojo lokacijo. In resno, vsi se morajo nehati prijavljati v svoje prebivališče in jih označevati z oznako »moja posteljica«. Zahtevate, da vas oropajo ali še huje.
Karkoli boste vi in vaši prijatelji objavili na Facebooku, se lahko (in verjetno tudi bo) uporabilo proti vam.
Resno, če bi se iz vsega tega lahko vrnili domov, bi morali biti še posebej previdni glede tega, kar vi in vaši prijatelji objavljate na Facebooku (pa tudi na drugih spletnih mestih v družabnih omrežjih - in ja, to ponavljamo še enkrat). Zaklepanje nastavitev zasebnosti ne sme biti edini korak za zagotovitev varnosti vaših podatkov.
Trustwave tudi priporoča, da bodite previdni, koga sprejemate kot stike na teh spletnih mestih, in opozorite svoje bolj aktivne prijatelje, ki svoje profile objavljajo v javnosti, na to, da ne ogrožajo samo svoje zasebnosti, temveč tudi vašo. Nazadnje onemogočite dostop do lokacije v aplikacijah za družabna omrežja, ki jih uporabljate v svojih mobilnih napravah.
Za zdaj lahko orodje FBStalker uporabljajo samo uporabniki z Linux napravami.
Od izdaje prejšnjega tedna pa so člani skupnosti razvijalcev stopili v stik z ekipo in jih zanima, kako poskušati orodja prenesti v sistem Windows. Do takrat ste omejeni na osebni računalnik, ki podpira Linux, in nekaj splošnega znanja o kodiranju (pomoč Pythona bo pomagala). Programer smo si ogledali skript in videl je, da medtem ko se lahko vsakdo odpravi na Github in prenese skript, bo pred analizo profila pozvan k uporabniškemu geslu. To pomeni, da je vse, kar boste potrebovali za pregledovanje kdorkoli je prijava na Facebook.
Vsaj za zdaj; kdo ve, ali ga bo Trustwave razvil v program, ki skenira vse profile, ne glede na to, ali imate račun Facebook ali ne. Ali še strašneje, zdaj, ko je koda tam zunaj, lahko vsakdo ustvari še učinkovitejše orodje z uporabo bolj dovršene tehnologije, ki krši zasebnost. Vse, kar FBStalker naredi, je avtomatizacija poizvedb za iskanje grafov z uporabo informacij, ki so za začetek že javno objavljene, toda glede na običajno ohlapno spoštovanje ljudi do obvestil, oznak in drobnih odtisov je ta vrsta podatkov zagotovo krma za kibernetski kriminal. Spodnja črta: samo zato, ker so dobri fantje to orodje najprej razvili (ali vsaj naznanili), še ne pomeni, da tamkajšnji prevaranti ne počnejo popolnoma enakih stvari.
