任何引来众多人关注的东西有一天都可以成为图谋者的利用工具。对于互联网安全来说,这句话具有同样的警醒作用。最近社交网络的兴起带来的安全问题开始越来越得到重视。如今的互联网安全已经日渐智能化,也许一不小心的一个做法就会带来威胁,也许你做某些事的初衷与此根本大相径庭。针对Facebook、MySpace等社交网络的流行,美国呼吁需要用户、企业和社交网络的协同作战。央视最近报告了开心网在上班族间的风靡,因此对于国内的网络用户来说,也需要清醒地认识这一问题了。
美国本月公布的一份报告显示,一个名为“Koobface”的蠕虫变种正在慢慢地潜入Facebook,它逐渐成为瞄准社交网络的又一个恶意攻击“入口”。专注于网络安全的供应商们粉粉在2009年增加了很多新的对策,但几乎大同小异,而攻击者们则开始利用一些社会工程学的手段来达到影响痴迷于社交网络的用户的目的,Facebook和MySpace首当其冲。对于企业、用户乃至社交网站自己本身来说,也许是时候来以更坚定的态度对待安全问题了。
用户警惕“朋友”
“对用户来说,最好的忠告就是尽量躲避那些来路不明的标有“朋友”的字眼,”ScanSafe公司高级安全研究员Mary Landesman建议道,“这些社交网络的成员对于他们的朋友来说是不用防备的,即便是他们根本不认识这些人。”然而这给那些潜在的攻击者提供了机会,向他们发布好友请求,一旦对方接受,蠕虫就借此开始大肆蔓延。”
今年早些时候在拉斯维加斯举行的黑帽大会上就证明了这一推断。安全专家Nathan Hamiel和Shawn Moyer制作了一个虚假的LinkedIn网页,出人意料的是有超过50人被蒙骗过去并加入了这个假网站。
对于社交网络来说,朋友间分享个人信息是其本质,然后正是这些使得造就了攻击者十分容易的伎俩。但我们对此并非束手无策,网上冲浪时应用一些办法则可以起到一些作用。
“实际上,那些邀请的发送者从来没有点击过这些链接。这个问题也许你一开始就知道。”Landesman继续说,“但如果你禁不住诱惑碰巧点击了那些链接,被邀请安装什么东西的话,切忌不要安装它。如果你有理由相信这是个合法的更新,请直接查看该厂商的官网并从那里进行更新。”
社交网络给企业带来什么
作为企业需要作出一个决定,工作环境是否需要允许社交网络,社交网络是他们商业上的不可缺少的部分,还是会成为造成员工工作分心的潜在元素,如果是后者那就需要禁止了。分析师Paul Roberts认为,一个企业对于社交网络的策略需要考虑许多因素,可以直接从业务性质来看员工是否需要使用社交网络。“我认为越来越多的企业会注意到员工在这些社交网站上都在做什么,这很快将被他们纳入管理范围。”他说。对于那些在业务中确有需要使用社交网络的企业,则有必要规定一个明晰的使用标准。事无巨细,来约束员工的行为,这个标准应当涵盖面很大,小到对员工的个人隐私设置,大到哪些与业务相关的材料可以通报。
社交网络应“洁身自好”
在社交网络上的用户有着相互影响的作用,从安全的角度来说,这些用户可谓一把“双刃剑”。一些安全专家强调,社交网络本身应当对用户上载的内容事先进行安全扫描,然后再确定这些东西是否适用于互联网世界的其他服务器。“针对恶意软件的内容扫描行为对减少恶意软件散布起到很大助推作用,这正在被人们接受。”Finjan公司首席技术官Yuval Ben-Itzhak说到。对于像Facebook 和 MySpace这样的网站来说,他们之所以一向受到安全问题困扰是因为第三方应用程序的存在。如果开发者编写的代码存在隐患,或者代码本来就是个恶意程序的话,那么用户就很容易置身于威胁之中了。 为了帮助解决这个问题, Facebook要求开发者必须确保代码的安全,才可以在他们的网站上开发平台。
为了增强其防御系统,Facebook使用自动化系统对异常的活动进行统计分析。Facebook的用户还监测、报告可疑的邮件或其他活动。如果被认定存在安全隐患,他们将被直接交给安全小组来处理。
“举例来说,在某些情况下,一些不良网站通常都会使用看起来正规的域名,”与Facebook有着交流合作关系的高级管理员Barry Schnitt说,“一旦出现这种情况,或者内容虽然暂不能被定性为恶意但值得怀疑的话,我们会在发布URL之前要求用户解决CAPTCHA。”
“之后我们会随即运行在Facebook上的两个脚本,”他说到,“第一个脚本迫使受感染的用户注销并重置密码,并以邮件的方式告知这些用户,为他们提供解决这问题的相关信息。第二个脚本的作用是将这些存在隐患的内容尽可能地全部删除。”
“管理互联网安全问题在一定程度上可以比作为一场军备竞赛”,Schnitt指出,“我们一直以来致力于在调查技术和支持用户的资源上的投资,以期保持领先于网络威胁的位置。”