Carlos Serrão

as minhas notas e página pessoal…

A Privacidade e a Segurança nas Redes Sociais

| 0 comments

Media_httpwebappsecne_dhwue

Depois de uma época em que a World Wide Web em que os utilizadores da mesma eram simples consumidores da informação que era disponibilizada on-line, e em que este canal de comunicação era na sua essência unidireccional, assistimos hoje a uma nova realidade.

Os utilizadores deixaram de ser passivos e passaram eles próprios a produzirem os seus próprios conteúdos e a disponibilizá-los on-line. Os utilizadores criam comunidades virtuais de interesse entre si, para partilharem gostos, preferências, fazerem amigos, partilharem músicas e fotos de uma forma perfeitamente transparente. Florescem grande comunidades e serviços de partilha, que vulgarmente se designam por redes sociais.

Estas redes sociais apresentam um enorme potencial de crescimento, não apenas do ponto de vista individual assim como oportunidades para implementar inovadores modelos de negócio que podem ser explorados por empresas e empreendedores. Estas redes sociais são reconhecidamente importantes quer pelo seu aspecto lúdico, assim como numa vertente mais profissional de desenvolvimento de redes de contactos/networking, quer na possibilidade oferecida como canal de marketing. Do ponto de vista empresarial estas redes sociais podem determinar ou ajudar a determinar o potencial de negócio de um determinado produto ou serviço.

No entanto, e apesar de todo o potencial apresentado, estas redes sociais são igualmente uma séria ameaça.

Não querendo pintar um cenário demasiado negro, mas tentando ser realista, as redes sociais, em particular aquelas de maior dimensão e que maior representatividade apresentam, são alvo de ataques visando explorar a principal vulnerabilidade destas mesmas redes: os seus utilizadores.

Não posso deixar de confessar que sou um utilizador de redes sociais. Para além de ter conta de em redes sociais como o LinkedIn, Plaxo, Twitter, Facebook, Tumblr e outras, sou igualmente um blogger acérrimo, criando conteúdo para múltiplos sites. Apesar de tudo, tenho a perfeita consciência do grau de exposição que esta situação causa, em particular a exposição a múltiplas ameaças e riscos.

Uma das principais ameaças à segurança e privacidade dos utilizadores, é proveniente do tipo de conteúdos e de informação que os utilizadores partilham nas redes sociais. Um pequeno exemplo: uma foto divertida hoje partilhada no Facebook, pode tornar uma foto comprometedora no futuro. Existe alguma falta de percepção por parte dos utilizadores sobre o impacto que a partilha destes conteúdos e outros pode provocar. Os conteúdos partilhados hoje numa rede social, vão ser distribuídos e partilhados por inúmeros utilizadores e vão persistir na rede social, mesmo que a conta do utilizador seja removida da rede. Não há retorno.

Igualmente, numa perspectiva empresarial e profissional, estas redes sociais podem ser uma ameaça. Hoje em dia, as empresas recorrem frequentemente às redes sociais como uma forma complementar de verificar o perfil dos candidatos a postos de trabalho. Adicionalmente, existe o sério perigo de quebra de confidencialidade pelo facto dos colaboradores de uma organização ao divulgarem informação interna das suas organizações.

Num estudo recente realizado pela Sophos, no qual estiveram envolvidas cerca de 500 empresas em que responderam a um inquérito, cerca de 60% consideraram que o Facebook apresenta-se como um dos principais ameaças à segurança e privacidade da informação das suas organizações (Facebook 60%, Myspace 18%, Twitter 17% e Linkedin 4%).

O Facebook tem vindo a crescer exponencialmente nos últimos tempos passando a ser a maior das redes sociais (com cerca de 400 milhões de utilizadores em 6 anos de existência). A sua dimensão torna-a o alvo preferencial para ameaças de diversos tipos.

Do ponto de vista da privacidade, o Facebook é extremamente agressivo na violação “consentida” dessa mesma privacidade. A mudança da politica de privacidade do Facebook mudou no ano passado, passando a apresentar valores de partilha com o toda a rede social, de informação pessoal. Ou seja, por defeito, se nada for feito por parte do utilizador, todos os seus dados e conteúdos são partilhados com toda a rede, para sempre.

A isto alia-se o facto de que os utilizadores das redes sociais (extrapolando para a própria utilização da Internet e da WWW) terem muito pouca consciência das implicações da divulgação da sua informação pessoal e privada em redes pessoais. O mesmo estudo realizado pela Sophos, chegou a conclusões assustadoras sobre o comportamento dos utilizadores no Facebook, em relação aos dados que revelam. Assim, conclui-se que:

  • 46% dos utilizadores do FB aceitam pedidos de amizade de estranhos;
  • 89% dos utilizadores da faixa etária dos 20 divulgam a sua data de aniversário;
  • quase 100% dos utilizadores divulgam o seu endereço de email;
  • entre 30-40% dos utilizadores listam dados sobre a sua família e amigos.
O facto dos utilizadores estarem tão disponíveis para partilhar tanta da sua própria informação pessoal no Facebook, faz com que o risco de ocorrência de ataques de roubo de identidade ou de engenharia social aumentem consideravelmente. Um exemplo muito curioso e recentemente relatado na comunicação social dizia respeito a uma história que contava como a esposa do director do MI6 do Reino Unido, tinha colocou no seu perfil no Facebook detalhes sobre a sua morada e sobre os seus amigos, colocando a própria segurança nacional em risco [8].

Media_httpwebappsecne_gcesj

Figura 1. Solicitação de amizade por parte de utilizadores que não conhecemos de lado nenhum

Recomenda-se a utilização das redes sociais de uma forma racional, e acima de tudo perceber quais os dados a partilhar e que tipos de conteúdos disponibilizar e para quem. Um conjunto simples de indicações pode melhorar em muito a privacidade dos utilizadores e reduzir o risco de exposição ao algumas das possíveis ameaças. Estas indicações [3][4] podem ser resumidas no seguinte:
  • Usar correctamente as listas de amigos;
  • Remover-se dos resultados de pesquisa do Facebook;
  • Evitar o tagging em fotos e vídeos (o que pode ser embaraçoso);
  • Proteger os seus álbuns de fotografias;
  • Evitar que as histórias apareçam no feed de news dos seus amigos;
  • Proteger-se contra histórias publicadas por outras aplicações;
  • Tornar a sua informação de contacto privada;
  • Evitar Wall posts que possam ser embaraçosos;
  • Tornar as suas relações privadas;

No entanto as ameaças não estão resumidas à privacidade dos utilizadores. As ameaças que populam as redes sociais, em particular as de maior dimensões, são cada vez mais perigosas. Uma das ameaças mais recentes no Facebook é uma aplicação misteriosa que está a afectar os utilizadores [7]. Os utilizadores estão a ser solicitados por outros utilizadores a instalarem uma aplicação chamada “Unnamed App”. A Sophos já identificou esta ameaça como sendo Mal/FakeVirPk-A.

Media_httpwebappsecne_gtjsf

Figura 2. Alguns dos utilizadores mais activos no Facebook são muitas vezes confrontados com aplicações estranhas que podem ter comportamentos completamente diferentes do esperado

Media_httpwebappsecne_daeau

Figura 3. Inclusive podem enviar “chat requests“ com links para sites que podem conter software malicioso

Media_httpwebappsecne_rdidf

Figura 4. Notificações dessas mesmas aplicações que não são mais do que pedidos “encapuçados” para levar o utilizador para outros sites na Internet

Media_httpwebappsecne_ashai

Figura 5. Alguns desses pedidos servem para bombardear os utilizadores com publicidade não solicitada

No passado ano de 2009 foram duas as principais ameaças que afectaram as principais redes sociais e que estiveram na origem de inúmeros problemas. Uma destas ameaças deu pelo nome de Koobface (um anagrama da palavra Facebook), e que é um worm que ataca directamente os utilizadores de redes sociais como o Facebook, MySpace, hi5, Bebo, Friendster, e Twitter. O Koobface tenta, após infectar o sistema do utilizador, vai tentar obter informação diversa do utilizador, tal como números de cartão de crédito.

O Koobface espalha-se através do envio de mensagens do Facebook a pessoas que são “amigas” de um utilizador Facebook que tenha sido previamente infectado. Depois de recebida, a mensagem direcciona o receptora para um site de Web, em que os utilizadores são levados a pensar na existência de uma actualização de uma versão recente do software Flash. Se descarregarem e instalarem este ficheiro, os utilizadores ficam igualmente infectados com o Koobface, passando a estar sob o controlo do mesmo e passando a infectar mais utilizadores. Um sistema infectado com o Koobface possui instalado os seguintes componentes [9]:

  • Componente que permite descarregar mais software Koobface da Internet sem o utilizador se aperceber;
  • Componente de propagação para outras redes sociais;
  • Componente servidor Web;
  • Componente de instalação de um antivírus falso;
  • Componente que quebra CAPTCHA;
  • Componente para roubar informação;
  • Componente modificador de informação de DNS;
  • E outros.

O Koobface é um worm tão sofisticado que é capaz de, entre outras coisas:

  • Registar uma conta no Facebook;
  • Activar essa mesma conta através da confirmação do email enviado para uma conta do Gmail;
  • Fazer-se amigo de várias pessoas na rede social;
  • Juntar-se a múltiplos grupos no Facebook;
  • E colocar posts na Wall de “amigos” com mensagens com links para sites ou para vídeos que são fontes de distribuição de malware;
  • Inteligente ao ponto de não adicionar muitos amigos por dia, para não chamar as atenções para si próprio.

A segunda grande ameaça identificada nas redes sociais foi o worm “stalkdaily” criado por um jovem de 17 anos chamado Mikeyy Mooney. Este worm lançou o pânico no Twitter, enviando mensagens aos utilizadores para visitarem site stalkdaily.com que infectava o perfil do visitante que tivesse uma conta de Twitter associada.

As redes sociais (principalmente o Facebook e o Twitter) tornaram-se assim meios preferenciais para lançar diversos tipo de ataques: phishing, malware, roubo de dados e de identidade, stalking, entre outros. Estes atacam não apenas a ingenuidade dos utilizadores, mas igualmente a própria infra-estrutura onde assentam estas redes sociais, em que as mesmas não são completamente imunes a problemas de segurança, e são susceptíveis a algumas das vulnerabilidades apontadas por organizações como a OWASP (através do OWASP Top 10) e como tal podem ser explorados por atacantes determinados. Aplicações como o Facebook (ou as micro-aplicações dentro do próprio Facebook) são reconhecidamente vulneráveis a alguns tipos de vulnerabilidades, como Cross Side Scripting (XSS) e Cross Site Request Forgery (CSRF).

Mas as ameaças à privacidade dos utilizadores na Internet. O próprio gigante Google está hoje a tornar-se uma séria ameaça à privacidade dos utilizadores. A quantidade de serviços que o Google oferece aos utilizadores (motor de busca, Youtube, Adesense, Adwords, Blogger, DNS, URL shortner, e muitos outros) viram tornar a Google numa empresa com características muito especiais. Nunca antes na história, tanta informação (muita dela pessoal) esteve nas mãos de uma única entidade privada. Quais os perigos que isto pode representar em termos de privacidade para os muitos milhões de utilizadores que usam os serviços/produtos da Google? Fala-se muito do monopólio da Microsoft, mas o verdadeiro monopolista da informação é o Google.

Foi referido que o recente ataque levado a cabo por hackers chineses ao Google (Gmail) assim como a outras empresas norte-americanas e europeias, só ter sido possível porque a Google colocou um backdoor no Gmail para poder ser acedido pelo Governo norte-americano (foi por aí que os atacantes conseguiram entrar)[1][2]. Este backdoor, a confirmar-se, diz muito sobre as intenções da Google, e sobre a forma como a nossa informação é processada pela empresa.

No caso das redes sociais, aqui ficam algumas recomendações sobre privacidade/segurança em redes sociais. Nem todas se aplicam em todos os casos, mas aqui ficam alguns desses mesmos conselhos:

  • Se usar um sistema operativo Windows, deve usar um antivírus, que consiga detectar ameaças na Web e que funcione igualmente como firewall e anti-spyware;
  • Cuidado com a informação que partilha e com quem assim como com os conteúdos que coloca nas redes sociais
  • Reveja as politicas de partilhas e âmbito das mesmas no Facebook;
  • Nunca revelar informação pessoal (detalhes de morada, etc.) ou de negócio através de redes sociais;
  • Cuidado com fotos e outros conteúdos que se colocam nas redes sociais – o que é giro hoje pode ser comprometedor no futuro;
  • Desconfiar sempre dos links e outras mensagens que sejam partilhados por “amigos” conhecidos e desconhecidos;
  • Isto é particularmente difícil, pois os serviços de redução das URL escondem os detalhes da URL original.
  • Não instalar discriminadamente aplicações no Facebook, sem saber do que se trata primeiro. Nunca, mas mesmo nunca instalar aplicações desconhecidas!
  • Em resumo: usar as redes sociais **SIM**, mas com **RESPONSABILIDADE**!

[1] Alvy/Microsiervos, “China vs. Google: los atacantes aprovecharon una “puerta trasera” en GMail pensada para el gobierno americano”, lainformacion.com, 25 Janeiro 2010, http://noticias.lainformacion.com/arte-cultura-y-espectaculos/internet/china-vs-google-los-atacantes-aprovecharon-una-puerta-trasera-en-gmail-pensada-para-el-gobierno-americano_xYmT4AxRsa69E4HY9LmKr/
[2] Bruce Schneier, “U.S. enables Chinese hacking of Google”, CNN, 23 Janeiro 2010, http://edition.cnn.com/2010/OPINION/01/23/schneier.google.hacking/index.html
[3] Nick O’Neill, “10 Privacy Settings Every Facebook User Should Know”, Fevereiro 2009, http://www.allfacebook.com/2009/02/facebook-privacy/
[4] SARAH PEREZ, “The 3 Facebook Settings Every User Should Check Now”, The New York Times, Janeiro 2010, http://www.nytimes.com/external/readwriteweb/2010/01/20/20readwriteweb-the-3-facebook-settings-every-user-should-c-29287.html?em
[5] Kevin Bankston, “Facebook’s New Privacy Changes: The Good, The Bad, and The Ugly”, EFF, Dezembro 2009, http://www.eff.org/deeplinks/2009/12/facebooks-new-privacy-changes-good-bad-and-ugly
[6] Marshall Kirkpatrick, “Privacy, Facebook and the Future of the Internet”, Read Write Web, Janeiro 2010, http://www.readwriteweb.com/archives/privacy_facebook_and_the_future_of_the_internet.php
[7] David Neal, “Mystery app plagues Facebook users”, Yahoo! News, Janeiro 2010, http://uk.news.yahoo.com/16/20100128/ttc-mystery-app-plagues-facebook-users-6315470.html
[8] Michael Evans, “Wife of Sir John Sawers, the future head of MI6, in Facebook security alert”, Times Online, July 2009, http://technology.timesonline.co.uk/tol/news/tech_and_web/article6644199.ece
[9] Jonell Baltazar, Joey Costoya, and Ryan Flores, “The Real Face of KOOBFACE: The Largest Web 2.0 Botnet Explained”, Trend Micro Threat Research, 2009, http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/the_real_face_of_koobface_jul2009.pdf
[10] Lidija Davis, “StalkDaily: A New Twitter Virus on the Loose?”, ReadWriteWeb, 2009, http://www.readwriteweb.com/archives/stalkdaily_a_new_twitter_virus_on_the_loose.php
[11] Sophos, “Security Threat Report:2010”, Sophos, 2010, http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jan-2010-wpna.pdf

  • RSS
  • Twitter
  • Buzz
  • LinkedIn
  • Flickr