信息安全
- 格式:docx
- 大小:29.51 KB
- 文档页数:6
非传统威胁社交网安全,像微博、腾讯、人人属于关系型的社交性质网络。
传统与非传统社交威胁类型最大的区别是是否与内容相关,基于关系的。
这种关系产生的经济利益和价值是难以想象的,比如说新浪微博有一百万粉丝的人发了一条广告,这个效果很好,这就是一个简单的利益链条。
这是传统的网络达不到的。
这里讲以下几点内容。
首先是关系型网站面临的威胁,如何定义这些威胁?威胁背后的利益,如果说在这些网站上发生的攻击或者是恶意行为有一个利益,那他利益怎么来?如何处理这些威胁?还有趋势案例和分析,我们看到威胁传统的外部攻击像XSS、CSRF、SQLInjection、社交营销、发布垃圾信息。
社交网络现在面临新型的攻击,首先是暴力破解帐号。
如果有个人是你的微博上的好友或者是你的粉丝或者是你收听的人,他如果@了你,你肯定会去看,而这个东西含有宣传性的内容,这就达到了他的目的了。
如果他是你的一个好友,你会去看,如果是一个垃圾用户,你看都不看,如果我利用暴力破解劫持你的帐号发布一些软性的东西,这个效果会非常好。
下面一个是虚假帐号。
僵尸帐号的防御相对比较容易,做一些人工打码,后面的程序不断地跟着跑,你输一个验证码把信息生成,因此验证码到人这块的时候,想要破解就有些难度了,简单的说是机器破解的可能性其实不大的。
还有一些创业网站把信息拿走去做搜索分析,然后做广告。
这些是我说的威胁。
如何定义威胁?首先是威胁的特征。
业务功能遭到攻击,会导致无法正常提供服务。
非传统的威胁,可以寄生在业务中的非法数据流中。
如果大家只是为了追求名,会让蠕虫爆发。
但这个并不可怕,因为通常不会超过10-20分钟我们就能解决了。
我们怕的是他控制了一定量的肉鸡然后隐蔽。
非传统威胁的表现就是系统功能失常无法正常提供服务。
非传统的威胁打破正常秩序,严重影响你的服务体验质量。
传统型威胁是基于系统的设计缺陷产生的,是单一的攻击。
当然有一些不一定是设计的缺陷,比如说DDOS,对这种攻击你一点办法都没有。
后面的非传统威胁基于正常的攻击。
传统型攻击就像中毒或者外伤,其特点是特征突出、反映强烈、迅速致命。
非传统型威胁就像寄生体和毒瘤是不容易被发现的,一旦你的网站有这种被产业链盯上做营销性的东西,你短时间内不容易察觉。
这种威胁越来越不被发现而且会导致你的慢性死亡。
从利益方面来说,传统攻击利益诉求急促,快速、周期短,这种利益发现之后可以立即被斩断。
非传统型利益有长尾效应,他的攻击很全面而且更加隐蔽。
传统型攻击利益薄风险大,因为被发现相当于被废掉,不能在起作用。
防御相对来说比较容易。
我的网站被入侵被挂了恶意组件,像wordpress就是自己集成化的,然后某版本直接把网站防御控制文件给改掉,挂上恶意关键字,你在做恶意代码扫瞄的时候发现不了任何东西。
这个时候你会发现原来这个目录下面增加了一个跳转文件,里面增加这些恶意关键字。
非传统型攻击的另外一种表现形式是把电子营销的方式移到社交网络,说白了就是垃圾邮件。
垃圾邮件如果是少数推荐一些精品的东西,那还可以忍受,如果你的垃圾邮件里面发了一些乱七八糟的东西可不行了。
如果这个时候有人拿你的E-mail,登录你的帐号,通过通讯录、邮件来往等信息,他就可以获得你的社会关系。
这些东西本质是相同的,都是基于关系型营销。
非传统型威胁更加防御困难,首先是基于这种关系的,如果对方在微博或者在人传了一张美女的照片,然后再传一个相册,这个时候很多人会加。
积累人气之后,去发一些淘宝商品信息,这个时候你会去看,这个成本很低,我不需要有技术成本,可能稍微有点人力成本。
这时我们防御可以通过提高人力门槛来进行,比如说限制你的数量操作频率,人力的门槛会比较高,但是相对于这个技术成本比较高。
这种基于用户的行为关系的社交平台,我们很难处理。
传统型的就是加强安全规范的实施、加强线上门槛和布控,定期扫瞄打补丁。
处理非传统型首先需要进行行为监控分类,这里面要涉及到统计学的东西。
用户使用的符合统计规律,在某个特殊时段发什么样的内容,你是一个正常用户,你是某一个群体的特定用户。
但是因为垃圾用户发信息的这些人为了卡这个员工上下班,比如说垃圾信息集中在凌晨或者是晚上,可能他觉得晚上夜深人静干坏事,各种各样的人比较疲惫,这个时候传播效果比较好。
比如说淘宝的广告发布,这个系统会检测出来。
而且我们发现基于统一分析的工具,往往和用户的正常行为曲线有很大的出入。
它的利益长尾效应得不到很好的显现。
比如说加粉丝,他没有那么多,他就快速加,这个时候就违背了自然规律,除非是网络红人或者是中央电视台的人,很多时候就发现你不符合行为规范的规律,这个时候简单的处理或者是自动的处理。
其次需要严格给出定义、区分正常和非正常行为。
再次要按照业务布控,业务布控有不同的特点。
还需要分析攻击链条、多点打击等都要兼顾。
现在大家见到最多就是微博、人人、淘宝。
例如淘宝就是拉一些淘宝的正规的店家来谈,有人找他一个点击,按点击来计费。
这个时候从生产者角度来说的话显然是淘宝本身。
这块可能是假货或者是质量不高,这是消费者的担心。
我们面临新的问题是这种类型的,如果传统型的攻击与非传统型的攻击结合在一起非常恐怖的。
以上是本次议题描述的主要内容,现在主要分析一下目前社交网络本身存在的漏洞:社交网站容易遭到的安全风险主要有两类:一类是因为采用Ajax 技术而导致的蠕虫攻击,如Myspace、国内的,校内网都曾经出现过各自的网站蠕虫,这些蠕虫通过利用个人空间、模板上的bug,可以自动向用户的好友发送带毒链接,用户浏览后就会中毒。
另一类是由于社交网站对cookie 的不恰当使用,而导致黑客可以轻易发动CSRF(cross-site request forgery,跨站请求伪造)攻击。
CSRF 攻击也被称成为one click attack 或者session riding,是一种对网站的恶意利用。
有的社交网站为了让用户经常登陆,利用一个永久有效的cookie,让用户永久保持在登陆状态。
这样,用户只要输入网站的网址,不用填写自己的账号和密码,就可以登陆,使用社交网站的各种功能。
只要黑客拿到机器上储存的这个cookie,就可以以用户的身份做任何事情。
用户手机、无线上网等也存在安全隐患,例如手机通话内容被监听、收发短信电话簿就被盗取、下载音乐却让手机中了病毒……这些在手机使用过程中的问题,可能有不少人碰到过。
目前,手机安全问题正面临严峻的挑战,而且随着手机上网的普及,这一现象还将日趋严重。
随着3G 的普及,越来越多的市民喜欢用手机聊QQ、查看邮件、上网,手机或将成为今后病毒传播的最大媒介,成为数量最大的“肉鸡”(在Internet 上被“黑客”任意摆布的电脑)。
病毒除了通过网络传播到手机外,也有可能通过手机程序传播。
如购买的“水货手机”,在出售前就被写入了追踪、窃听等程序,这与用户使用的电话卡无关,只要开机,就可能被人窃听到通话内容。
或者在手机维修时被感染病毒,普通用户难以察觉。
有的人喜欢将手机当成MP3 或者U 盘使用,这样也容易给手机带来染毒的风险。
现在,运营商又开始试水WiFi手机上网业务,更是让无线生活给人们提供了无限遐想。
但是目前被广泛采用的热点(hot-point,即WiFi 接入技术)无线接入技术存在技术漏洞,可以被人轻易地破解,从而让电脑或手机里面的信息被窃取。
类似这样的工具网络上非常方便就可以下载到,加在Google 上输入“WiFi 破解工具”等关键词,很快便能找到多款破解工具。
这些工具中,最常见的是WinAirCrackPack 工具包,还有Omnipeek软件。
网上甚至有如何利用这些工具包破解无线网络,获取他人信息的详细教程。
另外,给企业的网络和系统带来安全隐患。
事实上,当社交网站遭受攻击,给用户带来安全风险的同时,对企业的网络和办公系统也带来一定的安全隐患。
例如大量消耗网络带宽、网络中出现ARP(address resolution protocol)欺骗等,都会影响企业的运作效率。
对于社交网站而言,用户填写的个人资料越详细,就越有商业价值。
因此,几乎所有的社交网站都在鼓励用户填写真实资料,但提供的安全保护却并不充足,容易造成个人隐私泄露。
另外用户在同网友的交流中,也会不经意地透露或者被别有用心的人窃取个人信息,甚至会造成其家庭、单位等私密信息的泄露。
在使用网络的过程中,网民遇到的泄密问题主要有个人资料的泄露,包括手机号泄露、MSN 账号密码(QQ 账号密码)泄露、邮件账号泄露(邮件通讯录泄露)、个人真实信息泄露等。
在遭遇这些信息泄露后,往往会频繁受到各种商业广告、垃圾信息的骚扰,收到各种挂马、钓鱼网站的链接,甚至是收到诈骗、勒索的电话和短信等。
上述这些泄密问题,往往存在于博客、社交网站、论坛上,由于社交网站兼具博客和论坛功能,造成泄密的可能性和危害性也较一般的网站严重许多。
根据瑞星公司的《社交网站与网民隐私报告(2009)》显示,社交网站已成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团.社交网站给个人用户带来的安全风险主要是造成个人隐私的泄露,形式一般有:1)诱导用户填写MSN 和QQ 的账号、密码,易造成私密信息泄露;2)通过提供奖励、优惠等方式,鼓励用户填写自己的真实情况;3)鼓励用户将提供手机等个人信息,建立个人信息资料库,存在隐私泄露风险。
社交网站建设的其中一个理念就是和别人去共享你的信息。
但是对于企业而言,大多数情况下并不希望这么做,因为竞争对手也正期望从它的员工处获取商业机密。
当某位员工为他们公司从事的业务或取得的成果感到自豪,而去告诉其他人的时候,很可能在无意中充当了泄密者的角色。
开心网、校内网等社交网站的兴起是这两年互联网最热门的话题,而社交网站用户规模快速膨胀的过程,可以说,与其疯狂的病毒式营销密不可分。
权威网络流量调查公司Alexa 数据显示,直到2008 年6 月底之前,开心网流量还较小,7 月就出现爆发式增长。
有研究表明,这与开心网展开病毒式营销密切相关。
很多注册了开心网的人都是这样被“诓”进来的———收到好友邮件,声称自己与朋友发现一个好玩的网站,邀请其加入;或者就是MSN 上也有骚扰链接。
在这一过程中,MSN 成为社交网站进行病毒式营销的重要工具,用户在相关社交网站上注册之后,MSN 就会自动发送邀请链接给其MSN 好友。
有时候,MSN 用户会在一天之内收到好几十个链接,邀请其进驻相关的社交网站,直到MSN 用户最终注册———一旦注册,就会自动成为下一个传播节点,这就是爆炸式的病毒传播。
病毒营销在带来不可思议的传播速度的同时,也带来了一系列烦恼,不少网民已将在MSN 上传播的社交网站信息当作病毒对待,恨不能除之而后快。
用户的投诉主要来自两方面:一方面是经常在MSN 和邮件里收到社交网站的相关邀请和广告信息,另一方面是登录相应的社交网站后会经常收到大量的通知和应用程序邀请,开放平台成了骚扰用户的根源。