facebook
На середину августа пришлись сразу несколько сообщений о проблемах с безопасностью Facebook, причём все они были довольно скандальными. И хотя нельзя сказать, чтобы они имели какие-либо катастрофические последствия для пользователей Сети, недооценивать их не стоит. Это очередной повод поговорить о том, насколько безопасны (или опасны) социальные ресурсы с точки зрения администраторов корпоративных сетей.
Прежде чем перейти непосредственно к инцидентам, необходимо отметить следующее: крупнейшие в мире социальные ресурсы изначально создавались для организации совместной работы и обмена информацией внутри достаточно узкого круга людей (так было с Facebook и Livejournal). Затем за очень непродолжительный период эти ресурсы разрослись до того, что сегодня очертания социальных медиа практически совпадают с очертаниями интернета в целом. И если ещё несколько лет назад социальные сети для коммерческих компаний были скорее проблемой (слишком много рабочего времени уходило у сотрудников на «зависание» в соцсетях, так что проще было вовсе запретить их использование), то сегодня коммерческие компании стремятся использовать сверхпопулярные ресурсы для продвижения своих товаров и брендов. Такая двойственность, впрочем, не облегчает жизнь системным администраторам.
История первая: Странная надпись на стене Цукерберга
Безработный палестинский специалист по информационной безопасности Халиль Шреатэ находит солидную брешь в Facebook, позволяющую публиковать сообщения на стене любого пользователя социальной сети, какие бы тот ни выставил ограничения. Он предпринял ряд попыток проинформировать техслужбы Facebook о найденном баге, однако ему пришлось, в итоге, разместить своё сообщение на стене самого Марка Цукерберга, чтобы технические службы всё-таки поняли, что имеют дело с программной ошибкой.
При этом аккаунт Шреатэ сначала вообще заблокировали, потом вернули ему доступ, но платить положенные 4000 долларов за найденную уязвимость Facebook отказался, ссылаясь на нарушение им регламента, пользовательского соглашения и правил оформления баг-репортов.
Халиль, надо сказать, крепко обиделся и пообещал, что в следующий раз, может быть, продаст информацию о возможных уязвимостях на чёрном рынке. Учитывая популярность Facebook, «товар» оторвут с руками.
Что в результате? Facebook проявил странную негибкость при общении с энтузиастом, захотевшим оказать помощь, пусть даже и небесплатно. История получила широкую огласку: плохая реклама для Facebook, особенно среди благонамеренных энтузиастов и злонамеренных хакеров. Первые получили сигнал, что сотрудничать с Facebook стоит только из чувства социальной ответственности, а у хакеров появился новый повод поискать какую-нибудь серьёзную брешь в Facebook и использовать её против самой популярной социальной сети в мире. Кто пострадает в итоге?
Пользователи, естественно.
История вторая: Массовое отключение приложений
Ближе к середине августа целый ряд вполне легитимных приложений, написанных сторонними разработчиками для Facebook, оказались дезактивированными. Мало того, заблокированы были и аккаунты самих разработчиков.
13 августа в официальном блоге для разработчиков появилось объяснение, почему целый ряд приложений для Facebook и аккаунтов разработчиков оказались без предупреждения дезактивированы.
«Платформа Facebook и наши пользователи постоянно подвергаются атакам со стороны вредоносных приложений, и мы разработали множество автоматизированных систем для защиты платформы и пользователей. Время от времени мы обнаруживаем атаки, которые требуют усиления наших защитных систем. Говоря конкретнее, мы определяем вредоносный паттерн поведения, находим все приложения, которые ему соответствуют, и отключаем их. Обычно это приводит к тому, что тысячи вредоносных приложений оказываются деактивированы, а наши автоматические системы учатся на этом выявлять аналогичные атаки в будущем», — написал автор сообщения Юджин Зараховски. По его словам, 13 августа систему запустили на поиск вредоносных приложений, соответствующих «широкому паттерну»: под нож пошли многие тысячи вредоносных приложений, но, к сожалению, случились и многочисленные ложные срабатывания — система заподозрила во вредоносности целый ряд легитимных сторонних разработок.
«Как только мы обнаружили эту ошибку, мы немедленно остановили процесс и начали работу над восстановлением доступа. Эта работа отняла куда больше времени, чем мы ожидали, из-за количества затронутых приложений и багов, связанных с восстановлением метаданных этих приложений», — пишет Зараховски.
В итоге техслужбы Facebook пообещали, что перестроят методы и технологии, чтобы впредь минимизировать возможность подобных казусов.
«Мы понимаем, что подобные инциденты мешают вашему бизнесу, и мы приносим искренние извинения за доставленные неудобства», — написал Зараховски.
То, что для Facebook пишется большое количество вредоносных приложений, а киберпреступники пытаются использовать популярность этой сети в своих целях, — это, в общем-то, секрет Полишинеля. Любой популярный сервис обязательно становится мишенью для киберкриминала, и чем больше людей им пользуются, тем больше желающих использовать его для распространения вредоносного ПО и прочих неприятных вещей.
В ветке комментариев на Hacker News представитель Facebook написал, что количество ложных срабатываний составило 0,1%.
Так или иначе, «тысячи вредоносных приложений», упомянутые в официальном блоге, — это лишний повод для системных администраторов корпоративных сетей задуматься о рисках, которые социальные сети могут представлять для корпоративных данных.
Понимание рисков
Facebook — самая популярная, но лишь одна из множества социальных сетей в мире.
Вопрос о том, насколько безопасно для бизнеса в целом и IT-департамента в частности использование сотрудниками социальных сетей на рабочем месте, возник давно и до сих пор стоит весьма остро.
Как ещё в начале июля писал эксперт «Лаборатории Касперского» Кирилл Круглов, по данным опросов, проведенных в Европе и США, сотрудники компаний тратят до 30% рабочего времени «в личных целях». По мнению аналитиков, это может наносить компаниям ущерб в миллионы долларов в год.
Довольно часто компании решают проблему радикальным методом — просто перекрывают доступ к социальным ресурсам. Однако, во-первых, это может, в теории, не лучшим образом сказаться на климате в команде (и опять-таки снизить производительность труда и мотивацию), а во-вторых, как уже сказано в начале, всё большее количество компаний в мире пытаются — с разной степенью успешности, но пытаются — использовать социальные ресурсы для продвижения собственных продуктов и брендов. То есть Facebook, а также LinkedIn, Google Plus и другие ресурсы становятся частью бизнес-процессов, следовательно, просто закрытый доступ к ним уже не может считаться оптимальным решением проблемы.
Вопрос опасности/безопасности социальных сетей делится, в сущности, на два аспекта. Один связан с недостатками самих платформ: например, бреши вроде той, которую нашёл Халиль Шреатэ, не безобидны уже потому, что на месте уважительного письма о проблеме вполне могла оказаться вредоносная ссылка, не будь Шреатэ настроен столь «социально ответственно».
Сетевые злоумышленники активно используют социальные сети для рассылки «нигерийских» и фишинговых писем, а также кражи личных данных: LinkedIn в прошлом году официально признал факт утечки 6,5 млн. пользовательских паролей.
Однако более важным представляется второй аспект — личностный. У пользователей социальных ресурсов в последние годы выработалась стойкая привычка «выставлять всю жизнь напоказ», публикуя массу личной (вплоть до интимной) информации о себе и своей деятельности. Иногда речь идёт не только о личной, но и о профессиональной жизни.
Публикуемая информация может быть совершенно, на первый взгляд, невинной, однако усердному и целеустремлённому киберзлоумышленнику не составит особого труда «нацедить» из разрозненных публикаций «объекта наблюдений» достаточно сведений, чтобы провести успешную спиэр-фишинговую атаку против коллег «объекта». Для усыпления бдительности сотрудников достаточно сообщить в мошенническом письме какие-нибудь подробности, которые, казалось бы, может знать только сотрудник атакованной фирмы. А раскопать эти данные можно много где, вплоть до фотографий из офиса или с последнего корпоративного пикника.
Что с этим делать?
Ответом на этот вопрос становятся сугубо технические меры и инструменты по борьбе с конкретными угрозами.
Если всё-таки руководство компании считает, что ущерб от того, что сотрудники слишком много времени тратят на соцсети, терпеть больше никак нельзя, можно оставить право доступа к социальным ресурсам, например, только за маркетинговым отделом, а всем остальным этот доступ перекрыть. Наша разработка Kaspersky Endpoint Security позволяет ограничить или перекрыть доступ к любым ресурсам на уровне политик безопасности, «белых списков» и, в случае необходимости, функций веб-контроля.
Если доступ решено оставить (всем или только конкретным отделам), то на каждый вид угроз существуют свои ответные меры.
Через социальные ресурсы рассылаются фишинговые письма? Антифишинговые средства развёрнуты по умолчанию. Вредоносные ссылки, заманивающие на ресурсы, с которых осуществляются сетевые атаки? В Kaspersky Endpoint Security для Windows встроены функции защиты от вредоносного ПО и сетевых атак. Дополнительные слои защиты обеспечивают система контроля за запуском приложений, а также система автоматической защиты от эксплойтов.
Если внутри компании действует парадигма Bring Your Own Device (BYOD) и сотрудники используют собственные устройства как для работы, так и для личных нужд, то политики безопасности должны соблюдаться одинаково и на личных, и на корпоративных устройствах. Наши решения позволяют это обеспечить — достаточно установить клиент на личное устройство сотрудника.
Помимо всего прочего, рядовые сотрудники компании должны иметь чёткое представление о том, что мнение о компании складывается ещё и из того, что о ней пишут сотрудники. Насколько допустимо, чтобы работники компании писали про свои рабочие дела, решается индивидуально в каждой фирме. Однако пользователям как минимум следует понимать, к чему может привести даже случайное раскрытие важной корпоративной информации, будь то пост в социальной сети, неправильно «расшаренный» файл в Dropbox или Google Drive, или даже фотография маркерной доски из переговорной.
Попытки приучить сегодняшних пользователей социальных сетей к скрытности едва ли дадут какие-либо результаты, но, по крайней мере, им лучше быть в курсе возможных последствий своих действий в социальных ресурсах.
Советы