Utvecklingen av sociala nätverk och medier har gått i rasande takt de senaste åren. Det är svårt att föreställa sig att 2006 var året då både Facebook startades och ordet “blogg” kom med i Svenska Akademins ordlista. Diskussionerna går heta kring för- och nackdelar med utvecklingen men ett är säkert, de sociala medierna är här för att stanna. Därför är det viktigt för såväl privata som offentliga organisationer att ta fram en strategi för hur man utnyttjar den stora potentialen samtidigt som man förhindrar problemen.
Tyvärr är det inte bara vänligt sinnade individer som kommit på att sociala nätverk är smidiga kommunikationskanaler. Kombinationen av enorma användardatabaser och inneboende förtroende för digitala “vänner” är en dröm för spammare och virusmakare. Det råder en viss begreppsförvirring, ordet virus används ofta i samband med sociala nätverk men det är oftast inte sajten i sig som angrips. Nätverken används istället för att sprida spam, virus och trojaner och genomföra dedikerade phishing-attacker. Hoten är absolut inte nya, de bara paketeras lite annorlunda. Samma försiktighet som gäller länkar i mejl och IM-meddelanden bör förstås appliceras vid användning av sociala nätverk.
En faktor som komplicerar bilden är att många sociala nätverk exponerar API:er för tredjepartsutvecklare. Typiskt finns ingen kvalitetskontroll av vare sig applikationerna eller utvecklarna vilket ökar risken för till exempel Cross-Site Scripting sårbarheter (XSS). Cross-Site Scripting är en attack på klientsidan som består i att exekverbar kod inkluderas i användargenererat eller injicerat innehåll och körs automatiskt i andra användares webbläsare. På detta sätt kan webbläsare automatiskt styras om till andra sajter med skadlig kod.
Spaltmeter har skrivits om hur bloggar och sociala nätverk hotar den personliga integriteten och jag ämnar inte sparka in några öppna dörrar här. Det är dock intressant att titta på informationsläckage från ett rent IT-säkerhetsperspektiv. Om vi sätter på oss hackermössan och vill bryta oss in i en godtycklig organisations interna nätverk är det första steget att kartlägga organisationen och dess IT-system. Via professionella nätverk som LinkedIn går det att få fram såväl organisationsstruktur som vilka nyckelpersoner som bör utsättas för social engineering, alltså manipulation syftande till att få fram känslig information. När jag hittat några lämpliga e-postadresser skickar jag över ett mejl med förfalskad avsändaradress och en pdf-fil speciellt framtagen för att utnyttja någon av de senaste kritiska sårbarheterna i Acrobat Reader (under 2009 upptäcktes ungefär 80 stycken). Med hjälp av informationen funnen på det sociala nätverket kan jag sedan mejla mina “kollegor” från det hackade kontot och genomföra en så kallad man-in-the-mailbox attack. Om scenariot låter långsökt så beskriver rapporten Shadows in the Cloud publicerad av shadowserver.org hur precis detta förfarande användes av kinesiska hackers för att ta över tibetanska datorer.
Samma rapport berättar även om hur sociala medier används för att styra botnät och trojaner. Om vi återigen försöker tänka som en angripare och vi nu har fått vår trojan på plats på den sårbara klienten så är nästa mål att kommunicera med omvärlden utan att bli upptäckta. Vad kunde vara bättre än att använda vanliga kommunikationsmedel som Twitter, bloggar, Gmail och Yahoo Mail. Inget IPS-system i världen kommer att betrakta den trafiken som avvikande och de flesta brandväggar kommer inte att säga ifrån. Det var precis så botnätet beskrivet i rapporten gjorde. Återigen är det värt att notera att det inte var de sociala medierna i sig som var problemet utan deras öppna användningsformat.
Sammanfattningsvis kan man säga att den informationstillgång, flexibilitet och skalbarhet som finns hos de sociala nätverken inte har undgått de illvilliga. Användargenererat innehåll och applikationer utvecklade av tredje part gör att det kanske inte alltid går att lita på minfavoritsida.com. Samma nätverk som gör att jag idag har kontakt med den engelska utbytesstudent som gick i min klass på grundskolan används dagligen för att identifiera lämpliga mål för social engineering. Den öppna strukturen hos bloggar lämpar sig inte bara för att kommentera aktuella händelser utan passar mycket väl för att styra botnät och trojaner.
Från ett säkerhetsperspektiv finns egentligen inga nyheter, samma typer av attacker används men paketeras lite annorlunda. Den i särklass viktigaste punkten på agendan bör vara utbildning av användare i IT-säkerhetsfrågor. För att undvika onödigt informationsläckage är det också viktigt att ta fram och kommunicera en gemensam organisationspolicy för användning av sociala nätverk. Så hoppa på tåget, men glöm inte bort säkerhetsbältet. Och finns det som på de flesta svenska tåg inget säkerhetsbälte så glöm inte att kontrollera detta innan du köper biljetten.
Thomas Nilsson