再谈社交网络的安全隐患

DoSECU 安全报道 4月10日消息:由安全厂商Netragard在能源公司进行了一项突破性试验,演示了黑客如何利用Facebook, LinkedIn和其他社区网络站点作为网络钓鱼的诱饵。在这项测试中,Netragard使用模拟社会工程来获取危及企业内部关键系统的信息。这份安全报告的主旨就是为员工在网络上可以做什么,不该做什么提供建设性指导。

攻击中最重要的部分往往不是来自系统漏洞,而是来自用户的信任。

这项得到权威认可的突破性试验是由安全厂商Netragard在一家能源公司实施的。为了找出用户防御系统内部的方法,他们把目标锁定了Facebook。测试者首先建立了一个公司内部员工的个人说明,赋予其能源公司真实员工的工作经验信息,然后开始在网络社区上交友。

Facebook上的朋友所不知道的是这些都是社会工程用来麻痹企业员工来轻松骗取他们信任的惯用伎俩。模拟攻击强调的是在Facebook, LinkedIn和MySpac等网络社区上员工良好的记录和网络上授权用户的重要性。

Netragard公司的首席技术官Adriel Desautels表示"在社区网络出现之前,犯罪分子通常是通过垃圾邮件来获取员工信息,或者他们直接打电话和通过社交来达到目的。但是像Facebook,MySpace,LinkedIn和其他不同的社区网络能让犯罪分子可以绕过你设置的任何安全技术壁垒,直接获取员工信息的社会访问权"。

当提及网络钓鱼,信任是其问题的实质。对Netragard来说,这意味着要做大量的侦测鉴别工作。目前这家能源公司的员工中有超过900人在使用Facebook。由于多数员工都是年龄段在20到40岁之间的男性,Netragard公司选择了一副颇具魅力的28岁女性的照片作为模拟人物,然后开始构建好友名单。

接下来就是利用用户网站上的交叉网站脚本漏洞来散布看似合法的HTTP安全网页,这些网页看起来也像用户网站的一部分。在和网站上真实的员工相识三天以后,Netragard公司将一个欺诈网页的链接张贴在Facebook个人说明栏内并谎称用户的网站可能已经被黑客攻击。

访问了这个网页的用户被要求验证他们的员工身份,这些身份验证信息被迅速发送到www.netragard.com,通过公司设计的自动化工具进行分类提取。这些内容包括能允许Netragard公司访问网络上的多数系统的信息,以及Active Directory服务器,大型机和控制系统的权限等。

Desautels表示"如果你的员工使用Facebook,你可知道他们多么容易受到影响,被诱使做出令企业面临风险的事情来"。

解决社区网络站点上身份验证的问题没有唯一的答案,安全专家在Black Hat和ShmooCon大会上也反复重申过这一点。

Forrester Research咨询公司的分析师Chenxi Wang表示"在这种情况下,我们需要的是可靠的用户信誉。像Purewire这样的企业都在致力于提供全球通用的用户信誉,但是在全球通用信誉成为现实之前,我们仍然有可以遵循的办法"。

有分析师认为由于社区网络的普及性,简单的隔离社区网络站点并不可行。在那些对访问社区网络有着严格限制的企业,员工将转向网络代理,这是企业网络流量的盲区。市场营销,人力资源或者其他部门也会找到合理的原因去访问社区网络。到最后这个问题将被归结到安全与用户需求之间的制衡上来。

451 Group的分析师保罗.罗伯茨建议说"或许你可以要求员工不要在他们的个人说明中列出供职企业名称或者提及公司行业。你可以制定内部政策阻止员工访问与工作无关的网站,对他们进行社区网络的培训等"。

最后罗伯茨建议说,等待1到2个月去执行审计,检查员工是否在遵守公司的安全规定,根据检查结果相应调整政策内容。

"我发现面对对网络访问严格甚至有些过度的限制性规定,甚至对技术最一无所知的员工都能立即找到应对网络网关的方法来得到他们想要的内容。这确实很令人担忧"。