Ce este o reţea de socializare

7/28/2019 Ce este o reea de socializare

1/6

Ce este o reea de socializare?

O reea de socializare este o reea (informaional) de utilizatori Internet,bazat pe anumite situri web la care utilizatorii se pot nscrie i interaciona cu

ali utilizatori, deja nscrii. Aceste reele sociale fac parte din fenomenulrelativ nou, global, numit Web 2.0. Astfel, membrii unei reele sociale suntlegai ntre ei n mod informal, fr obligaii, dar de obicei contribuie activ lacolectarea i rspndirea informaiilor pe ntregul glob prin intermediulwebului. Eventual denumirea unei astfel de reele (informaionale) deutilizatori s-ar putea echivala cu reea internetic de utilizatori.

Cele mai cunoscute reele de socializare:

facebook - circa 750 mil. membri (septembrie 2011) n toat lumea Flickr - reea mondial pentru informaii de tip imagine i fotografie Hi5 - pe locul 2 dintre cele mai vizitate reele sociale din Romnia LinkedIn - pentru managementul carierei i relaii profesionale Lokalisten - 2,8 mil. n Germania myspace - circa 220 mil. utilizatori pe tot globul (martie 2009) schlerVZ + studiVZ + meinVZ - peste 13,1 mil. elevi i studeni - n

german (VZ este o prescurtare de la Verzeichnis = catalog, index) StayFriends - peste 7,5 mil.

twitter - circa 140 mil. membri (2012) - pentru rspndirea rapid, n mase,a unor tiri textuale scurte wer-kennt-wen - 5,5 mil. n Germania (traducere: cine cunoate pe cine) YouTube - pentru informaii de tip clip video FeteBaieti.com - 1 mil. n Romnia. Reea social romneascPericole:

Pe lng avantajele acestor reele, care faciliteaz de exemplu ntrajutorareamembrilor, formarea de noi cunotine i prieteni, rspndirea rapid a tirilor

i zvonurilor (brfelor), aceste reele ascund i pericole, deoarece de obiceinu se declar explicit care e sursa informaiilor, cine este furnizorul deservicii, i nici dac acesta intenioneaz s utilizeze informaiile i n altescopuri. De multe ori chiar, tergerea informaiilor introduse benevol pur isimplu nu este prevzut, ele rmnnd nregistrate pe vencie, chiar dacsunt greite sau devin cu timpul depite. Aici lipsa de reglementri clare


2/6

deschide poarta pentru abuzuri grave asupra datelor private sau chiar secreteale utilizatorilor, cu att mai mult cu ct majoritatea lor sunt

foarte tineri i nc nefamiliarizai cu pericolele din Internet.

Principalele metode de exploatare a vulnerabilitatilor (atac):1.Atacuri la nivelul infrastructurii reelelor sociale:

Reelele sociale au n prezent milioane sau chiar sute de milioane deutilizatori, oferind servicii ncepnd de la cele de baz, comunicarea, laaplicaii. Se formeaz aadar ocazia perfect pentru atacatori, care,compromind o platform, vor avea milioane de victime, profitnd i detraficul legitim fcut de utilizatori, pentru a ascunde atacul.

Exemplu: Pe 6 August 2009, Twitter, Facebook, LiveJournal, Googles Bloggeri YouTube au fost victimele unui atac de tipDDoS (Distributed Denial ofService). Twitter a avut o pan de serviciu timp de 3 ore, n care niciunuldin cei 44 de milioane de utilizatori, nu au avut acces.

Atacurile DDoS:

Ce sunt atacurile DDoS? nainte de a nelege ce este un atac DDoS, trebuieneles ce este un atac de tip denial-of-service (DoS).

Un atac DoS poate fi definit ca un atac care vine de la o adres IP cu scopul de

a monopoliza o resursa computaional, astfel nct utilizatorii de drept aiaceste resurse s nu o poata folosi. Atacurile DoS ncearc de obicei una dinurmtoarele:

Consumarea resurselor computaionale, cum ar fi limea de band, spaiupe disk sau timp de procesor

ntreruperea informaiilor de configurare, cum ar fi rutarea informaiei ntreruperea informaiilor de stare, cum ar fi resetarea sesiunilor TCP Obstucia comunicrii ntre utilizatori i victim.Un atac DDoS nu este altceva dect o versiune mult mai puternic de DoS. nlocul unui atac care s porneasc de la o singur surs, mai multe surse suntfolosite pentru atacul simultan. Lansnd un astfel de atac, victima estecopleit de requesturi, suprancrcndo. Deasemenea, pornind de la maimulte surse, face ca atacatorul s fie mai greu de depistat.


3/6

Botnet, Puppetnet:

Ce este specific reelelor de socializare? Traficul mare de internet. Cepermite traficul mare de internet? Trafic nelegitim, cum ar fi command andcontrol channel (CNC) pentru un botnet.

Au fost reele sociale folosite ca i botnet? Raspunsul este Da. Twitter a fostfolosit ca i CNC pentru botnet. Un grup de hoi de identitate brazilieni,specializai n Trojani folosii pentru furat loginuri, parole, PIN-uri i alteinformaii, au fost legai de acest botnet. Au creeat un cont de Twitter cuscopul de a trimite comenzi la bots. Ei intrau pe acel cont, i postau update-uri, care erau mai apoi trimise la toate device-urile nregistrate la acel feed.

Volumul foarte mare de trafic n aceste reele, face traficul nelegitim foarte

greu de identificat, iar chiar i n cazul indentificrii, nu se poate rezolvaproblema prin simpla blocare a adresei IP, ci trebuie s ne bazm pe faptul careeaua social terge contul maliios. Pe lng Twitter, au fost gsii botnetspe Google Groups, Jaiku.com si Tumbler.

Un alt atac intrigant a fost Facebot, creat pentru a demonstra c existvulnerabilitate. Cnd utilizatorii deschideau aplicaia pentru a vedea o banalimagine, din browser se lansa un atac. Acest tip de bonet se numetepuppetnet, i dei este mai limitat, are avantajul c utilizatorul nu trebuie s

instaleze nimic.2.Atacuri de tip Malware

Malware-ul este un tip de software proiectat intenionat pentru deteriorareaunui computer sau infiltrarea n el, sau/i deteriorarea ori infiltrarea n ntregireele de computere, fr consimmntul proprietarului respectiv. Noiunease utilizeaz generalizat de ctre informaticieni pentru a desemna orice formostil, intruziv sau suprtoare de software sau cod de program. Termenulde virus din domeniul computerelor este uneori utilizat pentru a desemna nu

numai viruii informatici, ci i toate formele de malware.Exemplu: Koobfaceeste un worm care targeteaz utilizatorii reelelor socialegen Facebook, MySpace, Bebo, Friendster sau Twitter. Odat ce un sistem esteinfectat, acest worm va ncerca s culeaga informaii de la victim, cum ar finumrul cardului de credit. Cum se distribuie? Worm-ul se rspndetencepnd s trimit mesaje prietenilor virtuali ai victimei. Mesajul i trimite


4/6

ctre un Website 3rd party, unde utilizatorilor li se cere s downloadeze unupdate Adobe Flash Player. Odat downloadat, computerul devine infectat.Reelel sociale, sunt foarte interesante pentru atacatori, n primul rnddatorit informaiilor personale. Un Trojan care culege informaii de cont

bancar, distribuit ntr-o reea social cu milioane de utilizatori, ar putea faceravagii. Cum se poate face aa ceva? Cu ajutorul XSS (cross site scripting).

XSS (cross-site scripting)

Ce este XSS? XSS este un atac, care foreaz browserul s execute codul unuiatacator. n alte cuvinte, user-ul este victima, i site-ul web este primitivaatacului. O astfel de vulnerabilitate a reelelor sociale ar oferi atacatoruluimilioane de victime. Atacurile de tip XSS au devenit unul din cele maicommune atacuri ce folosesc reelele sociale.

Samy a fost primul worm XSS cunoscut care s foloseasc reelele sociale. Else rspndea folosind o vulnerabilitate XSS din template-ul de pagina deprofil MySpace. La momentul atacului, cei de la MySpace fceau nite filtrripe datele de intrare pentru a preveni exploiturile XSS, dar erau nc lanceput, i nu erau bune. Autorul worm-ului, Sam Kamkar a reuit s treacde acestea, i a reusit s i uploadeze codul. Cum funciona? Cnd un userautentificat vizita profilul lui Samy, worm-ul fora browserul utilizatorului sl adauge pe Samy ca prieten, s adauge un mesaj care spunea c Samy este

eroul lor, ca i tag, i s altereze codul de profil al utilizatorului cu o copie aworm-ului. De la infectarea primului profil, s-a ajuns la 1.000.000 de profileinfectate n doar 24 de ore. Ce s-a ales cu Samy? MySpace a decis s l dea njudecat, iar verdictul a fost: 3ani de perioad de prob (ca alternativ lanchisoare), 90 de zile munc n folosul comunitii i o sum pltit celor dela MySpace, care nu a fost fcut public o pedeaps nu prea mic pentructeva linii de cod.

MySpace nu este singura reea de socializare care s-a ntlnit cu acest tip de

atacuri. Twitter a avut numeroase atacuri de tip XSS, cum ar fi Net-Worm.JS.Twettir i StalkDaily, iar nici Facebook i Yahoo nu au fost cruate.

Atacurile XSS sunt de dou tipuri:


5/6

Non-persistente (reflexive) cnd se bazeaz pe caracterul reflexiv alsiturilor (de exemplu un motor de cutare, care va ntoarce input-ul primitde la utilizator )

Persistente cnd codul maliios se afl pe serverCele mai comune metode de atac sunt:

Tag-uri HTML Embedded JavaScript i DOM XmlHttpRequestCRSF (cross-site request forgery)

n 2009, cercettorul Ronen Zilberman a gsit o vulnerabilitate n Facebook, imai exact n API-ul Facebook pentru aplicaii. Aceast vulnerabilitate

permitea contruirea de aplicaii maliioase care s colecteze datele personaleale utilizatorilor, fr ca acetia s afle. Acest atac folosea un tag HTML de tipIMG. Prin folosirea acestui tag, nu era nevoie ca victima s acceseze un sitemaliios. Era nevoie doar de un forum care permitea folosirea de tag-uri IMGn coninut. Diferena ntre CRSF i XSS, este c, CRSF nu folosete scripting,astfel c, utilizatorul nu se poate proteja prin simpla dezactivare a limbajelorde scripting din browser.

3.Atacuri de tip Phising

Atacurile de tip Phising se bazeaz pe obinuina oamenilor, cu lucruri dejacunoscute (clonarea unui site web). Ele iau de obicei forma unui mesaje, e-mail, sau o aplicaie social care au scopul de a te face s scapi informaiepersonal, de care ei ar avea nevoie, de obicei urgent: utilizatorii acioneazde obicei fr s stea prea mult pe gnduri. De cele mai multe ori, nici mcarnu i dau seama ca au fost victima unui atac.

Atac Phising mpotriva Twitter:

In 2009, Twitter a fost victima unui astfel de atac. Utilizatorii erau ndreptaictre un link postat de un prieten al victimei care i redirecta apoi spre opagina clon Twitter, care le cerea autentificarea din nou, furnd numele deutilizator i parola.

4.Atacuri de tip Evil-Twin


6/6

Fiecare utilizator al unei reele sociale, are cateva zeci sau chiar sute deprieteni, dar este fiecare din aceast persoan, cine spune c este? La o primvedere, aproape oricine ar spune c da. Pentru a ti cu certitudine, ar trebui svorbeti personal cu fiecare persoan n parte, nainte de a cere / aproba

prietenia.Atacurile Evil-Twin sunt originare din lumea Wi-Fi. Atacatorii creau reeleWi-Fi deghizate ca reele legitime, pentru a putea porni atacuri de tip man-in-the-middle, care s le permita culegerea de informaii.

Aceste atacuri au fost portate i n lumea reelelor de socialzare, cuurmtoarele scopuri:

Ctiguri financiare, obinute de la prietenii persoanei ntruchipate

Defimare, prin postarea de comentarii n numele persoanei ntruchipate Agresiune virtual (cyber-bullying), prin postarea de comentarii negative

unor alte persoane, cu scopul de a le face ru.

5.Furtul identitii

Prin furtul identitii, atacatorul se paote folosi de bunvoina prietenilorvictimei, prin intermediul reelelor sociale.

Un astfel de eveniment a avut loc in 2009 pe Facebook, unde dei a observat oschimbare a statusului care spune ca este n nevoie urgent de ajutor, nu a

putut face nimic, pentru c atacatorul i-a schimbat credenialele. Prietenii si,au rspuns atacatorului cu ajutoare n bani. Facebook i-a rspuns victimei abiadupa 40 de ore, timp n care nu a reuit s i avertizeze prietenii.

Bibliografie:

www.wikipedia.org http://namb.la/popular/tech.html www.esecurityplanet.com/news/article.php/3835646/Hackers-Attack-

Facebook- Steal-Info.htm http://idtheft.gov Carl Timm Seven deadliest Social Network Attacks

Ce este o reţea de socializare

Documents

Transcript of Ce este o reţea de socializare