Социалният инженеринг е една от двете най-големи заплахи за потребителите в съвременния свят на цифрови данни и комуникации. Facebook пък е социалната мрежа, където сигурността е най-"ужасяваща". Така мисли Джеймс "Ранди" Абрамс, директор техническо обучение в ESET, един от най-добрите специалисти по кибер-сигурност. Световният експерт, който преди постъпването си в ESET е бил служител на Microsoft в продължение на 12 години, бе гост на семинара "Реалността в облака", организиран тази седмица от Хай Компютърс и нейните партньори ESET, Cyberoam, Qualys, Sonicwall.
.jpg)
Налице са две основни тенденции при заплахите за компютърните потребители, смята Ранди. Първата е социалният инженеринг. "Хората се лъжат да правят неща, които не бива. Те възприемат насериозно фалшиви аларми за наличие на вирус в компютъра си – и предложения за инсталиране на антивирусни програми. Това е голям проблем. Традиционно става така: потребителят отива на страница, която ужким прави сканиране за вируси. Тя му предлага да си инсталира антивирусна програма. Дори е налице диалогов прозорец, приличащ на Windows Security Centre. Уплашени от това, хората приемат и не разбират, че всъщност компютърът им не е заразен – но приемайки предложението, те вече се заразяват".
Друга често срещана атака в днешно време, според Ранди, е свързана с получаването на имейл съобщение, което прилича на служебно писмо от екипа на съответната пощенска услуга (hotmail, gmail и др.) и което приканва потребителя да въведе в бланка своите имейл адрес и парола за достъп. Обикновено се твърди, че това се налага заради възникнал технически проблем с регистрацията.
"Проблемът е, че имейл адресите ти попадат в ръцете на хора, които от твое име изпращат писма до твоите познати", казва Ранди. Един пример, който той посочва, е свързан с жена, чиято електрона поща е била "отвлечена" по подобен начин. Не след дълго всички приятели на жената, които са били записани в адресната й книга, получили "от нея" съобщение, гласящо, че тя се намира на летище, загубила си е багажа и портфейла и има нужда от малко пари, за да се прибере у дома, след което веднага ще върне заема. "Аз знаех, че е измама. Но много хора повярваха на това", казва Ранди.
Втората основна тенденция при заплахите за компютърните потребители е склонността на злонамерените организации да използват слабостите и уязвимостите на софтуер от т. нар. "трети страни".
Хватките на социалния инженеринг се разгръщат и действат много сполучливо в средата на все по-модерните напоследък социални мрежи като Facebook, Twitter, MySpace, LinkedIn, Google Buzz и др. "Google, според мен, има най-добрите параметри на сигурността от всички социални медии", казва Ранди. Той обаче подчертава, че тези параметри не са спасение: "истинските опасности са самите потребители, ако те не знаят как да използват един социален сайт отговорно".
"В Google Buzz има много туитове, защото хората ги пускат там автоматично през Twitter. И така един ден една жена пусна туит, че отива в Ню Джърси. Нейното потребителско име беше съставено от истинските й първо и последно имена – разказва Ранди. – Направих бързо търсене по нейните имена и "Ню Джърси" и моментално намерих още три социални мрежи, в които тази жена е регистрирана, включително и в LinkedIn. А там пък беше публикуван и личният й телефон. Имайки него, разбрах и града и адреса й. Ето, че за нула време вече разполагах с пълната информация за нея – и това само благодарение на от един туит".
Facebook е социалната мрежа, където сигурността представлява най-ужасяващата картина, смята специалистът. А аргументът му е нещо, което излезе наяве наскоро, в началото на май т.г. "Не, не е заради това какви процеси и какви мерки за сигурност прилагат – категоричен е "Ранди". – Става дума за гледната точка на собствениците – основателите на сайта, а именно, че потребителите им са тъпи смотаняци. Наскоро попаднах на един разговор с него (Марк Зукербер, основател на Facebook – б.а.) отпреди няколко години, когато той е бил в Харвард (Facebook е създадена като средство за общуване между състудентите в Харвард). В отговор на поставен въпрос той беше отговорил така: "ако имате нужда от информация за някого в Харвард, обадете ми се – аз ще ви я дам с радост". Тогава го попитали откъде разполага с всичката тази информaция за всекиго в Харвард? А неговият отговор гласеше: "Те ми я дават. Те ми имат пълно доверие. Тъпи смотаняци". Е, ето тази гледна точка на основателите на Facebook, че потребителите са тъпи смотаняци, е проблемът. Когато точно този тип мислене се изповядва от мениджмънта на компанията, това е крайно ужасяващо".
Топ-специалистът по кибер-сигурност в ESET е на мнение, че потребителите трябва да имат базови познания по това как да се погрижат сами за собствената си сигурност, преди да се хвърлят да сърфират в социалните мрежи. Би било прекрасно, ако социалните сайтове – при регистрацията на всеки нов потребител – го принудят да премине през тест по базови правила на сигурността, казва Ранди, макар и да е наясно, че социалните мрежи надали някога ще въведат такава "цедка".
"Ако знаеш какво правиш и можеш да минеш теста по сигурност, тогава следва да получиш акаунт – представя си Ранди. – Ако ли пък си в състояние да напишеш неща, които звучат като "няма ме у дома, елате да ме оберете", то тогава не бива да ти се дава акаунт в сайт за социална мрежа".
Гледната точка на основателя на Facebook всъщност се разчу около 10 май, когато някои от световните ИТ медии публикуваха откъс от негов отдавнашен разговор с негов приятел в програма за моментален обмен на съобщения. Шокиращите реплики на Марк слагат край на споровете относно противоречивата сигурност във Facebook. Ето какво гласи и самият разговор от чата: