社交網絡安全風險分析及探討*

朱曉乾,蔣丹婷,楊馳穎(上海通用識別技術研究所,上海201112)

社交網絡安全風險分析及探討*

朱曉乾,蔣丹婷,楊馳穎
(上海通用識別技術研究所,上海201112)

一些網絡的目的就是用于社交,允許用戶在網上建立朋友或商業關系。雖然社交網站的特點各不相同,但是它們都要求用戶提供真實個人資料,并提供與其他朋友的交流機制。但是,因為這些社交網站賬戶很容易申請,而用戶對它的安全風險又知之甚少,用戶往往會在社交網站上泄露過多的個人資料,從而導致大量的隱私與安全風險。本文指出了社交網絡用戶的主要安全風險,并且分析了這些風險產生的原因,同時提出了規避這些安全風險的方法,從而增強用戶的個人資料安全,防止通過社交網站途徑泄露個人隱私。

社交網站 安全性 隱私信息 攻擊 惡意程序

0 引 言

社交網絡是利用社會網絡關系系統思想,建立起來的網絡關系的一種應用形式,是網絡用戶進行社會交流和信息傳播的應用平臺。社交網絡的大規模普及,給互聯網用戶提供了虛擬世界里的溝通交流平臺,隨著近幾年社交網絡的蓬勃發展,涌現出了一批擁有超大規模用戶群的社交網絡。根據“The Statistics Portal”網站2014年最新的統計數據表明,國外的Facebook活躍用戶群已經率先突破了10個億的規模,達到了將近12億的活躍用戶,而國內QQ空間、騰訊微博等社交網絡用戶群也已經達到了數個億的規模,躋身世界社交網絡用戶數排名前列。活躍用戶數排名前7的社交網絡如圖1所示。

圖1 2014年社交網站活躍用戶數(單位:百萬)Fig.1 2014 social networking active users(inmillions)

社交網絡是一種自下而上的對等網絡,可以讓用戶自主決定分享的內容,提供自己的個人信息、心情與喜好。由于用戶群體的龐大,社交網絡每秒鐘都在生成海量的文本、圖片、應用信息、音樂、視頻等信息。通過深入挖掘這些信息的潛在意義,很容易得出用戶的長期愛好和近期需求。如果對其好友圈進行分析,可以獲得用戶的教育、工作、收入、地理位置等諸多信息,這種挖掘往往比問卷調查得到的結果還要更加全面與真實。

社交網絡開放平臺提供了各種形式的開放接口與框架,開發者只需要按照特定的標準與規則進行開發,便能訪問社交網絡平臺的個人資料、好友圈等核心資源。下面以Facebook的平臺架構為例介紹其工作流程。

Facebook的平臺架構如圖2所示。Facebook的應用程序在開發者的服務器上運行,并且每個應用程序對應特定的URL,Facebook服務器將請求重定向到應用服務器,應用服務器最終向Facebook服務器返回承載應用界面的FBML文件。圖中的API是基于REST架構實現的Web編程接口,可以得到用戶的核心數據,并實現用戶登錄、重定向等核心功能。圖中的FQL可以用來查詢Facebook核心數據,包括用戶資料、好友、參加的群組、相冊等信息。

圖2 Facebook平臺架構Fig.2 Facebook-platform architecture

1 社交網絡面臨的安全風險

隨著社交網站用戶規模的不斷擴大,社交網站的種類也不斷豐富,門戶社交網站、行業社交網站、職場社交網站、婚戀社交網站等層出不窮。各個組織和個人都在充分利用社交網站的便利性加強信息溝通。然而,伴隨著社交網站的發展壯大,安全性問題也不斷凸顯,逐漸引起人們關注。一般社交網站都要求用戶使用真實資料注冊,并在個人主頁上提供了包括身份資料、聯系方式、個人頭像、生活動態等在內的大量真實信息。作為社交網絡信任基礎的用戶個人信息,被利益集團和不法分子持續地發掘和利用,大量的組織機密信息與個人敏感資料通過這個渠道源源不斷地外泄[1]。

根據來自安全軟件公司Webroot的一份最新調查顯示,社交網站用戶容易遭到財務信息丟失、身份信息被盜和惡意軟件感染等安全風險。大約三分之二的受訪者沒有對社交網站的個人信息采取嚴格的保護措施,其他人可以通過搜索引擎方便地查看這些敏感信息,有半數以上受訪者沒有設置個人資料的訪問權限。還有三分之一受訪者的個人資料中包含三種以上個人身份識別信息。另外,三分之一的人允許陌生人加為好友。具體數據如圖3所示。

圖3 社交網站用戶安全意識調查Fig.3 User-safety-awareness survey of socialwebsite

另據香港浸會大學社會科學研究中心對Facebook 1000多名15-70歲的用戶進行調查表明,88%的受訪者會把“性別”資料儲存在帳戶內,另外分別有76%及72%受訪者會把“姓名”及“個人資料相片”儲存在賬戶內。只有3%的受訪者不在Facebook帳戶內存儲任何資料。具體數據如圖4所示。

圖4 Facebook社交網站用戶的個人資料類別Fig.4 Personal-data categories of facebook users

雖然網上社交網絡與現實生活的社交網絡大同小異,但網上的社交活動會帶來額外風險。風險的產生包括兩個方面:一是被動攻擊風險,二是主動攻擊風險。被動攻擊風險是指由于社交網絡使用者本身缺乏安全意識造成的安全隱患,諸如用戶密碼簡單、沒有及時更換,在沒有任何防范意識前提下提供個人信息而被騙上當的行為等等。主動攻擊風險是指攻擊者利用社交網絡和用戶行為本身可能存在的安全漏洞,對其進行攻擊的威脅。針對這兩種攻擊方式,我們對用戶的隱私泄露、惡意程序、網絡攻擊、身份盜竊等方面的風險進行深入分析,充分了解各種用戶行為潛在的安全風險,并且采取合適的防范措施,以保護個人隱私與身份安全[2]。下面詳細分析各種安全風險的具體表現形式。

1.1 隱私泄露風險

每個社交網站的功能各有千秋。但一般都會提供聊天室、即時通訊、私信、朋友圈等各類溝通工具,并且要求用戶填寫真實個人資料,供其他人閱覽。如果填寫的個人資料過于詳細,可能存在被動攻擊的風險,會被一些不法分子利用,進行網絡欺詐行為[3]。一些不法分子會使用社交網站了解到受害人的居住地(如果你在社交網站公布了你所居住的具體住址)。之后,他們會隨時監視你的情況,包括賬單,稅收等等,還會通過社交網站知道你全家都外出度假了。于是他們就會來到你家,把整個屋子洗劫一空。他們甚至在進入你家之前就知道你大概有哪些財產,以及他們大致放置的位置。因為這都可以通過你在社交網站上發布的圖片和信息獲知。

1.2 惡意程序風險

社交網站一般提供第三方應用程序的下載與安裝,如果網站監管不夠嚴格,可能會夾雜一些惡意程序。此外,一些陌生人甚至是好友會粘貼一些不明來源的鏈接也可能包含某些惡意程序,令人防不勝防。由于社交網站的技術不斷進步,犯罪分子們也可以和合法用戶一樣充分利用這種技術上的便利性。比如在狀態更新中嵌入鏈接,或者直接開發社交網站的第三方應用程序或游戲來散播惡意軟件。需要時刻保持警惕,防范惡意程序的主動攻擊行為。

1.3 網絡攻擊風險

社交網絡是建立在互信基礎上的網絡社交工具。不法分子能夠在受害者毫不知情的情況下,獲取其個人資料,并在這些資料的基礎上,采用社會工程學方法對目標進行有針對性攻擊,使其感染病毒或木馬。和以前的釣魚郵件相類似,犯罪分子在對目標充分了解的基礎上,可以在社交網站上通過一些特殊事件或新聞來吸引受害人點擊他們提供的鏈接。這種攻擊屬于主動攻擊行為。

1.4 身份盜竊風險

身份盜竊是互聯網上的一大產業,特指通過在互聯網上假冒別人身份的欺詐行為。不法分子可能會冒充名人、企業家、政府官員等,從而取得其他人的信任以謀取利益,也有可能竊取普通人的個人資料,在網上冒充并欺騙他周邊的親朋好友,或者通過精心設計的垃圾郵件對特定個人或公司進行攻擊[4]。加拿大警方前些年陸續偵破一些類偽造身份盜竊集團,在查獲的一起利用社交網絡身份盜竊案件中,搜出逾100張光盤,內藏了大量個人數據,包括受害人的名字、電話號碼、出生日期、女士結婚前的名字、配偶名字、子女名字、社會保險卡號碼以及年度收入等,數據相當齊全;而單是其中一張光盤,便藏有2萬人的背景資料,數額相當驚人。可見利用社交網絡的身份盜竊已經呈現規模化、集團化趨勢。用戶必須嚴加防范。

2 對策與建議

2.1 應對隱私泄露風險

1)設定復雜密碼,防止密碼被猜中或破解,如果密碼泄露,其他人就可以非法訪問帳戶,并以此身份來欺騙用戶的好友;

2)“忘記密碼”里的安全問題要設置得有一定復雜度,防止黑客利用社會工程學猜解答案;

3)時刻記住互聯網是公共資源,任何人都可以方便地得到網上的個人資料,即使刪除帳號,任何人還是可以在互聯網上容易地下載照片、文字、圖像與視頻;

4)應進行隱私設置,不要讓所有人都有權限閱覽個人資料;

5)為了防止好友的電子郵件地址泄露,不要允許社交網站掃描電子郵件地址簿;

6)注冊社交網站的電子郵箱不要作其他通訊用途。

2.2 應對惡意程序風險

1)安裝殺毒軟件,并及時更新病毒庫,保證能查殺一般病毒與木馬[5];

2)安裝第三方應用程序時要核實有關資料,確保來源安全,黑客往往在第三方應用程序中嵌入惡意程序,受感染的用戶會通過鏈接與文件分享不知不覺地擴散感染人群;

3)及時更新社交網站客戶端軟件,防止客戶端軟件漏洞被黑客利用。

2.3 應對網絡攻擊風險

1)個人資料要設置隱私權限,防止陌生人隨意閱覽信息;

2)保持軟件尤其是網頁瀏覽器是最新的,使攻擊者不能利用已知漏洞進行攻擊,許多操作系統提供了自動更新功能,應該啟用自動更新[6];

3)社交網絡的朋友不要隨便加,只加認識的朋友;

4)不要輕易點擊朋友所發的鏈接,因為鏈接可能指向不法分子構造的釣魚攻擊虛假網站;

5)不要張貼照片、真實姓名、居住地址、工作單位等真實信息,這些信息可以很方便地核實用戶身份,會給網絡攻擊者提供極大便利。

2.4 應對身份盜竊風險

1)不要輕易接受朋友的邀請加入某些不明群組,這些群組有可能是專門用來收集身份信息;

2)添加好友要謹慎,一些不法分子可能會為了得到私人信息而創建虛假個人資料來建立好友關系;

3)不要完全相信社交網站上朋友發送的信息,因為有可能是黑客闖入了朋友的帳戶并發布的信息。如果懷疑某個消息存在欺詐行為,通過其他聯系方式了解真實情況;

4)除非確定所聯絡的是真實用戶,且與對方認識,請不要向對方泄露你的個人資料。

3 結 語

社交網絡提供了非常方便的網上互動與交流平臺,但是同時也帶來了較大的安全風險。本文分析了目前的社交網站使用情況,以及用戶對于隱私保護的安全意識,同時總結了目前主流的幾種安全風險與表現形式,并提出了有針對性的安全措施意見,為人們更見安全地使用社交網站提供一些對策與建議,希望為社交網站用戶的自我保護提供一些幫助。

[1] ABDULLAH AlHasib.Threats of Online Social Networks [J].Seminar on internetworking,2008,T(110):5190.

[2] 曾捷.新一代移動多媒體系統的關鍵技術研究[J].通信技術,2010,43(03):70-71. ZENG Jie,Key Technologies of New-Generation Mobile Multimedia System[J].Communicarions Technology, 2010,43(03):70-71.

[3] 李陽,王曉巖,王昆,沙灜.基于社交網絡的安全關系研究[J].計算機研究與發展,2012(S2):124-130. LIYang,WANGXiao-yan,WANGKun,SHA Ying.Security Relationship Research on Social Networks[J].Research and Development of Computer,2012(S2):124-130.

[4] 崔亞林.社交網絡安全問題研究[J].信息通信,2013 (04):173-174. CUIYa-lin.Social Problems of Network Security Research[j].Information and Communications,2013 (04):173-174.

[5] 曾銘,俞俊生,劉紹華.一種用于社交網站的云安全敏感信息過濾模型[J].華中科技大學學報,2012,40 (12):211-214. ZENG Ming,YU Jun-sheng,LIU Shao-hua.Cloud Security-Sensitive Information Filtering Model for Social Networking Sites[J].Journal of Huazhong University of Science and Technology 2012,40(12):211-214.

[6] 郝文江,李思其,丁文純.遺傳算法在社交網站數據分析中的應用[J].信息網絡安全[J].2013(02):5-8. HAOWen-jiang,LISI,DINGWenchun.Genetic Algorithm Applications on the Social Networking Data Analysis.Information Network Security[J].2013(02):5-8.

ZHU Xiao-qian(1982-),male,graduate student,assistant engineer,majoring in information security.

蔣丹婷(1988—),女,碩士研究生,助理工程師,主要研究方向為信息安全;

JIANG Dan-ting(1988-),female,graduate student,assistant engineer,majoring in information security.

楊馳穎(1990—),男,碩士研究生,助理工程師,主要研究方向為信息安全。

YANG Chi-ying(1990-),male,graduate student,assistant engineer,majoring in information security.

Analysis and Exploration of Social-Network Security Risks

ZHU Xiao-qian,JIANG Dan-ting,YANG Chi-ying
(Shanghai General Recognition Technology Institute,Shanghai201112,China)

Some websites are purely for social contact,allowing users to establish on-line friendships or business connections.Although the socialwebsites are different in characteristics,they all require users to provide true personal information,including communication mechanism that allows users to connect with each others.However,such sites are easily accessible and the users are less aware of the security threats, thus these uses ofter leave toomuch information on socialweibsites,leading privacy information leakage and security risks.In lightof this,major security risks are described,and the fundamental factors behind these threats also discassed.Meanwhile,technicalmethods for avoiding these security risks are proposed,thus to enhance the personal-information security and prevent the personal-privacy leakage by social websites.

SNS;security;privacy information;attack;malware

date：2014-11-18;Revised date：2015-01-07

TP393.08

A

1002-0802(2015)02-0219-04

朱曉乾(1982—),男,碩士研究生,助理工程師,主要研究方向為信息安全;

10.3969/j.issn.1002-0802.2015.02.021

2014-11-18;

2015-01-07