Utvecklingen av sociala nätverk och medier har gått i
rasande takt de senaste åren. Det är svårt att föreställa sig att
2006 var året då både Facebook startades och ordet "blogg" kom med
i Svenska Akademins ordlista. Diskussionerna går heta kring för-
och nackdelar med utvecklingen men ett är säkert, de sociala
medierna är här för att stanna. Därför är det viktigt för såväl
privata som offentliga organisationer att ta fram en strategi för
hur man utnyttjar den stora potentialen samtidigt som man
förhindrar problemen.
Tyvärr är det inte bara vänligt sinnade individer som kommit på
att sociala nätverk är smidiga kommunikationskanaler. Kombinationen
av enorma användardatabaser och inneboende förtroende för digitala
"vänner" är en dröm för spammare och virusmakare. Det råder en viss
begreppsförvirring, ordet virus används ofta i samband med sociala
nätverk men det är oftast inte sajten i sig som angrips. Nätverken
används istället för att sprida spam, virus och trojaner och
genomföra dedikerade phishing-attacker. Hoten är absolut inte nya,
de bara paketeras lite annorlunda. Samma försiktighet som gäller
länkar i mejl och IM-meddelanden bör förstås appliceras vid
användning av sociala nätverk.
En faktor som komplicerar bilden är att många sociala nätverk
exponerar API:er för tredjepartsutvecklare. Typiskt finns ingen
kvalitetskontroll av vare sig applikationerna eller utvecklarna
vilket ökar risken för till exempel Cross-Site Scripting
sårbarheter (XSS). Cross-Site Scripting är en attack på klientsidan
som består i att exekverbar kod inkluderas i användargenererat
eller injicerat innehåll och körs automatiskt i andra användares
webbläsare. På detta sätt kan webbläsare automatiskt styras om till
andra sajter med skadlig kod.
Spaltmeter har skrivits om hur bloggar och sociala nätverk hotar
den personliga integriteten och jag ämnar inte sparka in några
öppna dörrar här. Det är dock intressant att titta på
informationsläckage från ett rent IT-säkerhetsperspektiv. Om vi
sätter på oss hackermössan och vill bryta oss in i en godtycklig
organisations interna nätverk är det första steget att kartlägga
organisationen och dess IT-system. Via professionella nätverk som
LinkedIn går det att få fram såväl organisationsstruktur som vilka
nyckelpersoner som bör utsättas för social engineering, alltså
manipulation syftande till att få fram känslig information. När jag
hittat några lämpliga e-postadresser skickar jag över ett mejl med
förfalskad avsändaradress och en pdf-fil speciellt framtagen för
att utnyttja någon av de senaste kritiska sårbarheterna i Acrobat
Reader (under 2009 upptäcktes ungefär 80 stycken). Med hjälp av
informationen funnen på det sociala nätverket kan jag sedan mejla
mina "kollegor" från det hackade kontot och genomföra en så kallad
man-in-the-mailbox attack. Om scenariot låter långsökt så beskriver
rapporten Shadows in the Cloud publicerad av shadowserver.org hur
precis detta förfarande användes av kinesiska hackers för att ta
över tibetanska datorer.
Samma rapport berättar även om hur sociala medier används för att
styra botnät och trojaner. Om vi återigen försöker tänka som en
angripare och vi nu har fått vår trojan på plats på den sårbara
klienten så är nästa mål att kommunicera med omvärlden utan att bli
upptäckta. Vad kunde vara bättre än att använda vanliga
kommunikationsmedel som Twitter, bloggar, Gmail och Yahoo Mail.
Inget IPS-system i världen kommer att betrakta den trafiken som
avvikande och de flesta brandväggar kommer inte att säga ifrån. Det
var precis så botnätet beskrivet i rapporten gjorde. Återigen är
det värt att notera att det inte var de sociala medierna i sig som
var problemet utan deras öppna användningsformat.
Sammanfattningsvis kan man säga att den informationstillgång,
flexibilitet och skalbarhet som finns hos de sociala nätverken inte
har undgått de illvilliga. Användargenererat innehåll och
applikationer utvecklade av tredje part gör att det kanske inte
alltid går att lita på minfavoritsida.com. Samma nätverk som gör
att jag idag har kontakt med den engelska utbytesstudent som gick i
min klass på grundskolan används dagligen för att identifiera
lämpliga mål för social engineering. Den öppna strukturen hos
bloggar lämpar sig inte bara för att kommentera aktuella händelser
utan passar mycket väl för att styra botnät och trojaner.
Från ett säkerhetsperspektiv finns egentligen inga nyheter, samma
typer av attacker används men paketeras lite annorlunda. Den i
särklass viktigaste punkten på agendan bör vara utbildning av
användare i IT-säkerhetsfrågor. För att undvika onödigt
informationsläckage är det också viktigt att ta fram och
kommunicera en gemensam organisationspolicy för användning av
sociala nätverk. Så hoppa på tåget, men glöm inte bort
säkerhetsbältet. Och finns det som på de flesta svenska tåg inget
säkerhetsbälte så glöm inte att kontrollera detta innan du köper
biljetten.
