Социальные сети, одна из «инкарнаций» Web 2.0, уже приобрели миллионы поклонников. Однако возможность публиковать на сайте информацию, которую просматривают другие пользователи, чревата серьезными проблемами безопасности как технического, так и социального характера. Дело в том, что недоброжелатели могут легко подсунуть «простым» посетителям вредоносный HTML-код или же каким-либо иным образом ввести их в заблуждение.
Пароль от человека
Большинство сайтов социальных сетей узнают своих пользователей по специальному идентификационному коду, который обычно хранится в браузере пользователя в виде cookie — объекта, привязанного к доменному имени сервера. В некоторых случаях похищение идентификационного кода позволяет злоумышленнику войти на сайт под чужим именем, а добавить вредоносную ссылку в сообщение или паспорт пользователя можно всего за несколько минут. Украсть же подобный идентификатор можно с помощью XSS-нападения с использованием сайта социальной сети. (Подробно о нападениях см. «Атака через сайт».)
Есть и другой прием, который также позволяет выудить у посетителя идентификационную информацию. В тексте комментария злоумышленник вставляет изображение, которое подгружается с сайта нападающего. Однако этот внешний сайт просит у браузера аутентификации на загрузку картинки. Когда владелец дневника читает такой комментарий, у него возникает окно примерно такого содержания: «Сайт запросил авторизацию на доступ к информации. Введите свой логин и пароль». Большинство пользователей, считая, что аутентификацию запросил портал социальной сети, введут идентификационные данные в этом портале. Картинка в комментарии будет загружена, а конфиденциальная информация пользователя сохранится у злоумышленника. К сожалению, защититься от такого нападения сложно — нужно помнить, что современные порталы практически не пользуются всплывающими окнами для запроса пароля, а средства аутентификации интегрированы в Web-интерфейс портала.
Хакеры могут также пользоваться приемами социальной инженерии. Например, предложить в книге отзывов поместить на сайт специальный код, который якобы ускорит загрузку страниц сайта. На самом же деле он является кодом, использующим недостатки системы безопасности браузера.
Наиболее распространенное применение чужих идентификационных данных — изменение содержания страниц пользователя, чтобы всем их посетителям загружались какие-нибудь вредоносные коды. Это можно сделать как с помощью сценариев JavaScript, так и с помощью «зараженных» картинок, флэш-роликов, музыкальных файлов и других данных, которые могут вызвать переполнение буфера в браузере или установленных в нем модулей расширения. Результатом таких действий является подключение компьютеров посетителей ресурса к зомби-сети. Также на сайт могут быть помещены картинки с паролями для проведения ранее описанного нападения на друзей владельца ресурса и выведывания их паролей.
Опасности электронного социума
Большинство современных атак на частных пользователей производится с целью похищения личной информации. Впрочем, на сайтах социальных сетей скапливается огромное количество информации, для получения которой совсем не обязательно прибегать к вредоносным программам — достаточно обмануть систему аутентификации. Поэтому сайты социальных сетей очень привлекательны для злоумышленников. «То, что троянские программы собирают на компьютерах частных пользователей, люди готовы сами публиковать на сайтах социальных сетей», — пояснил ситуацию Александр Гостев, старший эксперт «Лаборатории Касперского».
Часто кажется, что переданная на сайты социальных сетей информация не несет опасности. Однако в некоторых случаях это не так. Например, сейчас информацию из социальных сетей начали использовать работодатели, чтобы составить представление о претенденте на работу. Причем оцениваются такие характеристики, как время заведения учетной записи, адекватность имени, орфографические ошибки и многое другое. Вот как рекомендуют использовать социальные сети авторы книги «Оптимизация и продвижение сайтов в поисковых системах» Игорь Ашманов и Андрей Иванов: «Если соискатель не входит ни в одно из профессиональных сообществ, то это повод задуматься: почему человек избегает общения с людьми из своей области деятельности? Недостаточно «общественен» или недостаточно профессионален? Задайте ему этот вопрос, и многое станет понятно».
Раз уж информация, опубликованная в социальных сетях, влияет и на прием на работу, то взлом учетной записи и изменение информации может иметь также серьезные финансовые последствия для пользователей. В частности, публикация от имени известной персоны каких-то сведений с последующей перепечаткой их в СМИ может скомпрометировать саму персону. Так, Евгений Чичваркин, совладелец и председатель совета директоров «Евросети», планировал подать в суд на портал «Одноклассники.Ру» за публикацию фальшивых анкет от его имени. «Два персонажа используют фотографии с моими изображениями, явно им не принадлежащие, состоят в сообществах учебных заведений, в которых я обучался, ведут переписку от моего имени и вводят в заблуждение реальных пользователей этого ресурса,» — так комментирует Чичваркин свою позицию.
Впрочем, социальные сети идеально подходят для проведения атак, относящихся к типу социальной инженерии. Андрей Соколов, консультант по информационной безопасности компании «ДиалогНаука», специализирующийся на тестах на проникновения, отметил, что проникновения удаются лучше всего в том случае, если в корпоративной сети установлен сервер знакомств «Мамба». Такой сервер позволяет вступить в диалог от имени сотрудников компании. Доверие к нему, как правило, достаточно высокое, поэтому корпоративные пользователи не испытывают никаких сомнений по поводу сообщений, пришедших с такого сервера.
Один из сценариев атак, который использовал Соколов для проникновения в корпоративную сеть заказчика, базировался как раз на использовании сайта знакомств. Тогда ему заказали взломать пароль от конкретной системы, расположенной на конкретном сервере, который контролировался достаточно опытным администратором. Однако удалось установить, что этот администратор имеет анкету на сайте знакомств — это и позволило провести успешную атаку. Однажды от одной из знакомых администратор получил фото в формате RAW, который обрабатывает только Adobe Photoshop. Администратор загрузил это фото, но оно оказалось испорченным — картинка была показана только до половины.
«Дело в том, что на тот момент была найдена уязвимость в Photoshop, которая позволяла вызвать переполнение буфера и исполнение вредоносного кода, — поясняет Соколов. — Над троянской программой, использующей эту уязвимость, я работал десять дней». Впрочем, сам Соколов называет этот сценарий атаки самым сложным случаем в его практике тестов на проникновение.