30 Květen 2007
Uživatelé internetu se postupně podrobněji seznámili s fenoménem zvaným Web 2.0. Používají servery, jako je Myspace a Flickr, jejichž obsah a růst řídí spíše samotní uživatelé než tvůrci či správci. Současně se však objevilo nové bezpečnostní riziko.
Část rizika Webu 2.0 vyplývá z jeho neformální povahy založené na vzájemné důvěře.V důsledku toho zde uživatelé mají tendenci nepřemýšlet o zabezpečení stejným způsobem jako u tradičnějších internetových aplikací typu elektronické pošty. V prostředí spolupráce lidé umisťují data na webové stránky, aby je sdíleli navzájem. Již se ovšem vyskytly případy serverů, které se dat zmocní a dále je prodávají.
Spolu s postupem od koncepce Web 2.0 k jeho nástupci (tzv. Web 3.0) přináší internet novou generaci obchodních aplikací. To však současně znamená, že pro firmy se zde objevují stále různorodější hrozby, jejichž nebezpečnost navíc roste. „V souvislosti
s fenoménem Web 2.0/3.0 existují dva hlavní druhy rizik“, říká Vladimír Brož, zástupce McAfee v ČR.
První hrozí od aplikací typu instant messaging, chatů a blogů. Tato prostředí přinášejí pocit nezávazné konverzace, a proto mají uživatelé tendenci zapomínat, kolik se zde naskýtá možností zachytit a zaznamenat citlivé informace, například hesla.“
V jiné podobě se zde objevují dobře známé otázky:
- Jak můžeme vědět, komu lze ve virtuálním světě důvěřovat?
- Jak můžeme vědět, zda jsou lidé opravdu těmi, za něž se vydávají?
Zatímco většina z nás používá aplikace instant messagingu k soukromým účelům, mnoho firem je implementuje i jako standardní součást svých komunikačních nástrojů, což přináší další příležitosti pro „špionážní“ techniky. Hackeři a obchodníci se soukromými daty navíc mohou prohledávat servery sociálních sítí a vytvářet na jejich základě rozsáhlé databáze. Podíváme-li se na profily uživatelů, často zde najdeme jejich koníčky, domácí mazlíčky, oblíbené celebrity nebo týmy – a příslušná slova se běžně používají také jako hesla. Lidé zde často uvádějí, kolik vydělávají (kdyby tak tyto informace začali používat zaměstnanci finančních úřadů!), což hackerům minimálně napovídá, kdo je a kdo není slibných cílem jejich aktivit. I zdánlivě základní informace mohou hackerům stačit ke krádeži identity. Také sféra hackingu tak dospěla do dalšího stupně: není už nutné hledat důvěrné informace
v odpadkových koších, často stačí podívat se na veřejně přístupné on-line profily.
Druhý okruh rizik přichází v podobě spywaru. Servery sociálních sítí, jako je například Myspace, rychle rostou. Tyto servery přitom často umožňují instalovat přenašeče spywaru nebo jiných škodlivých kódů podobným způsobem, jako to činili červi šířící se prostřednictvím e-mailu. Problémem je také spam; diskusní skupiny, blogy a volně použitelné webové služby se pro odesilatele nevyžádané pošty stávají hlavním zdrojem informací. Samotné blogy nebo spam umístěný v komentářích k nim mohou být zaměřeny na přilákání návštěvníků na další servery; v rámci zdarma dostupných webových služeb zde pak často existují webové stránky vydávající se za servery renomovaných institucí. Vývoj těchto technik, které bývají obvykle spojeny s phishingem, je varovný.
Otázka, zda je na shromažďování veřejně publikovaných informací samo o sobě vůbec něco špatného, je samozřejmě komplikovaná. Vladimír Brož dále dodává: „My v McAfee jsme přesvědčeni, že problém s přístupem ke službám Webu 2.0 spočívá hodně v tom, že tato data jsou často používána, aniž by to uživatelé původně zamýšleli a měli o tom přehled.“
Chcete-li se dozvědět další informace o hrozbách spojených s technologiemi Web 2.0 a Web 3.0, kontaktujte odborníky na zabezpečení ze společnosti McAfee (724 090 814).
Příklad:
Při jednom z nedávným incidentů spammer umístil do encyklopedie Wikipedia stránku, která odkazovala na externí server skrývající trojského koně. Tato technika byla zkombinována
s e-mailem, který se tvářil, jako by byl odeslán od Wikipedie, a opět uživatele směřoval na příslušný server.
Komentář:
Kombinace webového a e-mailového spamu je pro doručení nevyžádaného obsahu mnohem účinnější než obě metody realizované odděleně. Odborníci ze společnosti McAfee proto předpokládají, že se s touto kombinací budeme v budoucnu setkávat stále častěji.
O společnosti McAfee, Inc.
Společnost McAfee, Inc., se sídlem v Santa Clara v Kalifornii, je renomovaným specialistou na technologickou bezpečnost. Dodává proaktivní osvědčená řešení a služby, které chrání systémy a sítě na celém světě. McAfee díky svým bezkonkurenčním odborným znalostem a zaměřením na inovace umožňuje domácím uživatelům, firmám, veřejné správě a providerům blokovat útoky, předcházet poruchám, a průběžně sledovat a zdokonalovat jejich bezpečnost. www.mcafee.com