Δεν είναι μυστικό ότι το Facebook ήταν απασχολημένο με το να απορρίπτει το απόρρητο που απολάβατε προηγουμένως στον ιστότοπο. Αυτή είναι η συμφωνία που έχουμε κάνει για να συνεχίσουμε να είμαστε χρήστες, αλλά κάθε τόσο συχνά η μάστιγα μιας νέας λειτουργίας ή ενημέρωσης πολιτικής μας στέλνει κατευθύνσεις για τις ρυθμίσεις του λογαριασμού μας, προσπαθώντας τρελά να καταλάβουμε πώς να προστατευθούμε.
Αυτό, ή σταματάτε, παραδώστε και τα παραδώσετε στο Facebook.
Η πιο πρόσφατη κυκλοφορία που έκανε πιο εύκολη από ποτέ την αναζήτηση των προσωπικών σας δεδομένων είναι η Αναζήτηση γραφημάτων. Αν και διασκεδαστικό και απίστευτα αποκαλυπτικό (για καλύτερα ή χειρότερα), δεν έχουμε κατανοήσει πλήρως τις δυνατότητες και το μέγεθος αυτού του εργαλείου - μέχρι τώρα. Έχει αναπτυχθεί λίγο κάτι που ονομάζεται FBStalker και μπορεί να ανακαλύψει ποιες είναι οι αδυναμίες σας και πώς να τις εκμεταλλευτείτε, χρησιμοποιώντας όλα τα Graph Search, καθώς και πληροφορίες που συλλέγονται από τους φίλους σας.
Εάν αυτό δεν σας τρομάζει λίγο, θα πρέπει. Εδώ πρέπει να γνωρίζετε.
Το εργαλείο FBStalker χρησιμοποιεί κυρίως την Αναζήτηση γραφημάτων του Facebook για τη συλλογή δεδομένων, αλλά χρησιμοποιεί κυρίως τις πληροφορίες που μοιράζεστε στο Χρονολόγιο των φίλων σας.
Εάν δεν έχετε συνειδητοποιήσει μέχρι τώρα πόσο ισχυρός (και ενδεχομένως επεμβατικός) είναι ο ενσωματωμένος μηχανισμός αναζήτησης του Facebook, τότε αυτό είναι το κύριο πρόβλημά σας εκεί. Δεν μπορούμε να το τονίσουμε αυτό αρκετά, αλλά πρέπει πραγματικά να είστε προσεκτικοί με τα πράγματα που μοιράζεστε σε ιστότοπους κοινωνικών μέσων όπως το Facebook - ειδικά τώρα που μια σημαντική λειτουργία που σας επιτρέπει να διατηρήσετε την αναζήτηση του λογαριασμού σας έχει κλείσει μόνιμα.
Το FBStalker είναι ένα σενάριο Python που αναπτύχθηκε από τον Keith Lee, έναν αναλυτή της Trustwave με έδρα τη Σιγκαπούρη, μια εταιρεία που προστατεύει τα δεδομένα και αποτρέπει τους κινδύνους ασφαλείας για τους πελάτες τους. Λειτουργεί χρησιμοποιώντας τις διαθέσιμες πληροφορίες όχι μόνο στο προφίλ σας, αλλά και στους φίλους σας. Από αυτά τα δεδομένα, το εργαλείο μπορεί να αναλύσει τις αλληλεπιδράσεις μεταξύ των χρηστών και να συμπεράνει μια λίστα με τους στενούς φίλους σας από τις επισημάνσεις "μου αρέσει", σχόλια, ετικέτες και check-in που δημοσιεύετε στις σελίδες άλλων ατόμων.
Το εργαλείο FBStalker αναπτύχθηκε για να βοηθήσει τους πελάτες να δοκιμάσουν τις δικές τους ρυθμίσεις ασφαλείας.
Ενώ η περιγραφή του εργαλείου μπορεί να ακούγεται τρομακτική, η εταιρεία που το ανέπτυξε το χρησιμοποιεί πραγματικά για πάντα. «[Κάναμε] μια καμπάνια ηλεκτρονικού ψαρέματος με το FBStalker χρησιμοποιώντας απλά email», μοιράζεται ο Jonathan Werrett, Σύμβουλος Διαχείρισης της Trustwave που εδρεύει στο Χονγκ Κονγκ, επίσης συν-ερευνητής και σύμβουλος για το έργο. «Η εταιρεία με την οποία συνεργαζόμασταν ήθελε να μάθει πού η ασφάλειά τους ήταν η πιο αδύναμη. Μέσω του FBStalker, καταφέραμε να αναγνωρίσουμε ότι η σύζυγος ενός υπαλλήλου (μέσω συλλόγων) «άρεσε» σε ένα συγκεκριμένο στούντιο πιλάτες στην περιοχή. Τότε καταφέραμε να διαπιστώσουμε ότι ήταν ιδιοκτήτης του στούντιο pilates, το οποίο μας έδωσε ένα υπέροχο θέμα για να ξεκινήσουμε να μιλάμε μαζί της μέσω email. Ο στόχος ήταν να δούμε αν θα ανοίξει ένα email σχετικά με το θέμα, το οποίο θα μπορούσε τότε να είναι ένα κακόβουλο έγγραφο. "
Σύμφωνα με μια ειδησεογραφική έκθεση, η Trustwave έστειλε ένα email που περιέχει ένα βίντεο, το οποίο άνοιξε η σύζυγος. Το συνημμένο απελευθέρωσε κακόβουλο λογισμικό στον υπολογιστή της, ο οποίος περιείχε τυχαία κωδικούς πρόσβασης που άφησε εκεί ο προηγούμενος ιδιοκτήτης της, ο σύζυγός της (ο οποίος προσέλαβε την Trustwave). Το κακόβουλο λογισμικό μολύνθηκε με επιτυχία τον υπολογιστή και έδωσε στην Trustwave πλήρη πρόσβαση σε αυτούς τους κωδικούς πρόσβασης.
«Παραδοσιακά, οι χάκερ έχουν χρησιμοποιήσει επιθέσεις ηλεκτρονικού ταχυδρομείου« ηλεκτρονικού ψαρέματος »που βασίζονται σε γενικά θέματα για να προσπαθήσουν να πάρουν το ενδιαφέρον του θύματος», εξηγεί ο Werrett. «Χρησιμοποιούν αυτά τα θέματα με σκοπό να κάνουν το θύμα να κάνει κλικ σε έναν σύνδεσμο ή να ανοίξει ένα κακόβουλο ωφέλιμο φορτίο. Έχουμε δει επιθέσεις ηλεκτρονικού ψαρέματος σε θέματα άγριας χρήσης σχετικά με τεχνολογίες, πηγές ειδήσεων που ενδιαφέρονται για άτομα σε μια συγκεκριμένη εταιρεία ή θέματα όπως "Στοιχεία μισθοδοσίας εταιρείας για τον Σεπτέμβριο". "
Ο Werrett επισημαίνει επίσης ότι οι περισσότεροι ιστότοποι κοινωνικών μέσων παρέχουν "ευφυΐα ανοιχτού κώδικα" που ενδέχεται ενδεχομένως να χρησιμοποιηθούν από χάκερ για να δημιουργήσουν πολύ συγκεκριμένες επιθέσεις "ψαρέματος με δόρυ", παρόμοια με το προηγούμενο παράδειγμα πιλάτες.
Το FBStalker έχει τη δυνατότητα να αποκαλύπτει κάθε είδους σχετική ευφυΐα ανοιχτού κώδικα που προηγουμένως νομίζατε ότι ήταν ασήμαντη.
Οποιοσδήποτε διαδικτυακός εισβολέας σε μια αποστολή μπορεί να χρησιμοποιήσει το Facebook ως πόρο για να προσποιείται ότι ξέρει πολλά για εσάς, ενθαρρύνοντας έτσι να ανοίξετε τον εαυτό σας για εισβολή. Ως προληπτικό μέτρο, το FBStalker μπορεί να χρησιμοποιήσει τις πληροφορίες στο Χρονοδιάγραμμά σας για να μάθει ποια ώρα της ημέρας συνήθως δημοσιεύετε στο Facebook και είναι πιο ενεργά στον ιστότοπο - αυτό συχνά συνδέεται με τον χρόνο που περνάτε απαντώντας σε email ή άμεσα μηνύματα, ένα μέρος της ρουτίνας σας που μπορεί να αποδειχθεί χρήσιμο για τους απατεώνες να σας στοχεύσουν μέσω ηλεκτρονικής αλληλογραφίας.
Το FBStalker μπορεί επίσης να μάθει τι τύπο κινητής συσκευής χρησιμοποιείτε, με βάση τις εφαρμογές που έχετε χρησιμοποιήσει στον ιστότοπο κοινωνικής δικτύωσης. Επιπλέον, μπορούν επίσης να μάθουν πού βασίζεστε στα δεδομένα γεωγραφικής τοποθεσίας που το τηλέφωνό σας συνδέει με κάποια από τις δραστηριότητές σας στο Χρονολόγιο. Αυτό μπορεί δυνητικά να οδηγήσει τους χάκερ να ανακαλύψουν πόσο συχνά βρίσκεστε σε ένα συγκεκριμένο μέρος και περίπου σε ποια ώρα. Οι χρήστες μπορούν να μάθουν για το πρόγραμμα εργασίας σας και να συνδυάσουν ολόκληρη την ημέρα σας με την ημέρα. Μπορούν να δημιουργήσουν κατάστημα σε ένα από τα τακτικά hangout σας και να δημιουργήσουν αυτό που ο Werrett αποκαλεί "κακό ασύρματο hotspot", σχεδιασμένο για τη λήψη διαπιστευτηρίων λογαριασμού ή άλλων ευαίσθητων δεδομένων όταν συνδέονται συγκεκριμένα θύματα με αυτό.
Όλες αυτές οι πληροφορίες, μόνο από το smartphone και τον λογαριασμό σας στο Facebook.
Ακόμα κι όταν εσύ νομίζω οι ρυθμίσεις απορρήτου σας είναι κορυφαίες, εφ 'όσον παραχωρείτε στη λίστα φίλων σας πρόσβαση στο περιεχόμενό σας, είστε ευάλωτοι.
Γνωρίζετε το ρητό «Μια αλυσίδα είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος»; Ισχύει πολύ για την ασφάλεια του Facebook - ακόμη και αν έχετε κλειδώσει εντελώς το προφίλ σας στο Facebook, το μόνο πράγμα που δεν μπορείτε να προστατέψετε είναι η φωτογραφία προφίλ σας στο Facebook. Οι φίλοι συχνά σχολιάζουν τη νέα φωτογραφία του προφίλ σας ή κάνουν κλικ στο «μου αρέσει». «Αυτός ο τύπος δραστηριότητας μπορεί να καταγραφεί και να αναλυθεί από το FBStalker και βοηθά να« αναστρέψει »τους φίλους σας στο Facebook», λέει ο Werrett. Μόλις το FBStalker γνωρίζει ποιοι είναι οι φίλοι σας, μπορεί να μάθει ακόμη περισσότερα για εσάς.
Η Trustwave ανέπτυξε επίσης ένα παρόμοιο εργαλείο που ονομάζεται GeoStalker - το οποίο ακριβώς μοιάζει.
Το GeoStalker αναλύει περιεχόμενο που δημοσιεύτηκε στο Foursquare, Flickr, Instagram και Twitter - βασικά οποιονδήποτε κοινωνικό ιστότοπο που μπορεί να περιέχει πληροφορίες γεωγραφικής τοποθεσίας. Το εργαλείο εντοπίζει αυτές τις αναρτήσεις και τις σχεδιάζει σε χάρτη Google, επιτρέποντας σε έναν από τους υπεύθυνους δοκιμών της Trustwave να μετρήσει τη διαδικτυακή δραστηριότητα σε συγκεκριμένες περιοχές.
Αφού το GeoStalker εντοπίσει τους λογαριασμούς ατόμων που έχουν δημοσιεύσει από μια συγκεκριμένη τοποθεσία, το εργαλείο συσχετίζει αυτά τα δεδομένα με άλλους κοινωνικούς ιστότοπους όπως το Youtube, το Google+, το Linkedin, το Facebook, το Twitter, το Instagram και το Flickr για να βρουν περισσότερους λογαριασμούς που μπορούν να συνδεθούν οι χρήστες.
«Μας προσλήφθηκε από έναν βοηθητικό πελάτη για να ελέγξουμε τη φυσική ασφάλεια ενός βιομηχανικού ιστότοπου και να δούμε αν θα μπορούσαμε να έχουμε πρόσβαση στα δίκτυα ελέγχου τους», εξηγεί ο Werrett. «Με τον Geostalker, η Trustwave εντόπισε έναν λογαριασμό κοινωνικών μέσων που δημοσίευε πολλές φωτογραφίες ενώ βρισκόταν στην τοποθεσία και αποδείχθηκε μέλος του προσωπικού. Στη συνέχεια, η Trustwave πραγματοποίησε μια επίθεση ηλεκτρονικού ψαρέματος για να προσπαθήσει να πετύχει το στόχο να ανοίξει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που θα μας έδινε πρόσβαση στις πληροφορίες ή στο δίκτυο της εταιρείας. "
Παρόλο που η Trustwave σχεδίασε κυρίως το εργαλείο για να βοηθήσει τον χρήστη να αναζητήσει λογαριασμούς κοινωνικών μέσων για άτομα που εργάζονται σε μια συγκεκριμένη τοποθεσία, αποκαλύπτει ένα πολύ μεγαλύτερο ζήτημα: ενδέχεται να μην είναι καλή ιδέα να επισημάνετε την τοποθεσία σας συνέχεια στις αναρτήσεις σας στο Instagram. Και σοβαρά, ο καθένας πρέπει να σταματήσει να ελέγχει τον τόπο διαμονής του και να το χαρακτηρίζει «το παχνί μου». Ζητάτε να ληστευθούν, ή χειρότερα.
Ό, τι εσείς και οι φίλοι σας δημοσιεύετε στο Facebook μπορείτε (και πιθανότατα) να χρησιμοποιηθούν εναντίον σας.
Σοβαρά, αν υπήρχε ένα μάθημα για να πάρετε σπίτι από όλα αυτά, πρέπει να είστε επιφυλακτικοί σχετικά με αυτό που δημοσιεύετε εσείς και οι φίλοι σας στο Facebook (καθώς και σε άλλους ιστότοπους κοινωνικών μέσων - και ναι, το λέμε ξανά). Το κλείδωμα των ρυθμίσεων απορρήτου σας δεν πρέπει να είναι το μόνο βήμα που θα κάνετε για να διασφαλίσετε την ασφάλεια των πληροφοριών σας.
Η Trustwave συνιστά επίσης να προσέχετε ποιος αποδέχεστε ως επαφές σε αυτούς τους ιστότοπους και να ειδοποιείτε τους πιο ενεργούς διαδικτυακούς φίλους σας που αφήνουν τα προφίλ τους δημόσια στο γεγονός ότι δεν θέτουν μόνο το απόρρητό τους σε κίνδυνο, αλλά και το δικό σας. Τέλος, απενεργοποιήστε την πρόσβαση τοποθεσίας στις εφαρμογές κοινωνικών μέσων που χρησιμοποιείτε στις κινητές συσκευές σας.
Προς το παρόν, μόνο οι χρήστες με μηχανήματα Linux μπορούν να χρησιμοποιήσουν το εργαλείο FBStalker.
Ωστόσο, από την κυκλοφορία της την περασμένη εβδομάδα, μέλη της κοινότητας προγραμματιστών έχουν φτάσει στην ομάδα και ενδιαφέρονται να προσπαθήσουν να μεταφέρουν τα εργαλεία στα Windows. Μέχρι τότε, περιορίζεστε σε έναν υπολογιστή που υποστηρίζει Linux και κάποια γενική τεχνογνωσία κωδικοποίησης (η εμπειρία της Python θα βοηθήσει). Είχαμε έναν προγραμματιστή να κοιτάξει το σενάριο και είδε ότι ενώ όλοι μπορούν να κατευθυνθούν στο Github και να κατεβάσουν το σενάριο, θα τους ζητηθεί κωδικός πρόσβασης χρήστη πριν αναλύσουν ένα προφίλ. Αυτό σημαίνει ότι όλα όσα θα χρειαστείτε για να εκτελέσετε σάρωση ο καθενας είναι μια σύνδεση στο Facebook.
Τουλάχιστον για τώρα; ποιος ξέρει αν το Trustwave θα το αναπτύξει σε ένα πρόγραμμα που σαρώνει όλα τα προφίλ, είτε έχετε λογαριασμό στο Facebook είτε όχι. Ή, ακόμα πιο τρομακτικό, τώρα που ο κώδικας είναι εκεί έξω, ο καθένας μπορεί να δημιουργήσει ένα ακόμη πιο αποτελεσματικό εργαλείο χρησιμοποιώντας πιο εξελιγμένη και παραβίαση της ιδιωτικής ζωής. Το μόνο που κάνει το FBStalker είναι να αυτοματοποιήσει τα ερωτήματα αναζήτησης γραφήματος χρησιμοποιώντας πληροφορίες που έχουν ήδη ρυθμιστεί για να ξεκινήσει από το κοινό, αλλά λαμβάνοντας υπόψη ότι οι άνθρωποι συνήθως είναι χαλαροί όσον αφορά τις ειδοποιήσεις, τις ετικέτες και τις εκτυπώσεις, αυτός ο τύπος δεδομένων είναι σίγουρα τροφή για εγκλήματα στον κυβερνοχώρο. Κατώτατη γραμμή: απλώς και μόνο επειδή οι καλοί ανέπτυξαν αυτό το εργαλείο πρώτα (ή τουλάχιστον το ανακοίνωσαν) δεν σημαίνει ότι οι απατεώνες εκεί έξω δεν κάνουν το ίδιο ακριβώς πράγμα.
