Säkerhetsproblem för sociala media som hanteras ofullständigt


Här tänkte jag diskutera några säkerhetsfrågor avseende sociala media (Twitter, Facebook o.s.v.). Dessa ligger på en grundläggande nivå men hoten verkliga och många av de problem vi sett senaste 12 månaderna tillhör vad dessa åtgärder motverkar.

Att inte se säkerhetsbehov

Många vilka angrepp mot kan orsaka skada har problem att se detta och prioriterar ner säkerhetsnivån. Direkt här nämns kortfattat några saker som kan orsaka missuppfattningar om behov av säkerhet:

  1. Påverkan mellan sajter. 
    • En identitet på en sajt saknar allt faktiskt värde. 
    • Angrepp mot denna identitet kan påverka identiteter på andra sajter. 
  2. Påverkan mellan roller. 
    • En identitet på en sajt saknar tydligt värde. 
    • När personen som använder identiteten tillfälligt växlar roll förändras det. 
  3. Kollektivt värde. 
    • En identitet på en sajt saknar ensamt tydligt värde. 
    • När denna identitet angrips tillsammans med andra orsakas skada. 
  4. Trots att de flesta lätt påverkas irrationellt är det få som inser detta och blir just därför känsliga. 

Respektive problem blir tydligt allt eftersom exempel och djupare diskussion sker längre fram. 

Vilken information ger medarbetare ut?

Vanliga sociala media delar ofta egenskaper med flera av följande tjänster:

  • Diskussionsgrupper. 
  • Telefonkataloger. 
  • “Digg-kloner”. 
  • E-post. 

Sociala media är till sin natur publik och funktionerna väger över till det som finns tidigt på listan. D.v.s. det mesta folk gör på sociala media är läsbart för alla andra. Det innebär att man behöver tänka igenom vad man publicerar:

  • Är ett stycke information olämpligt att publicera? 
  • Är ett stycke information givet ett antal andra stycken information publicerade på samma eller andra sajter eller på annat sätt tillgängligt olämpligt att publicera? 

Några tips på saker att tänka på för en enskild person ges av Robert Siciliano i hans blogg på The Huffington Post:

Social Media Privacy and Personal Security Issues 

Exempel I: Department of Defense

Antalet problem som här kan uppstå blir direkt mycket troligare om identiteten används av en person associerad med en entitet där insatserna är höga. DOD är en aktör med mycket höga säkerhetskrav och där man sett att detta skapar problem. I en artikel på Gcn.com ges ett exempel byggt på information från DOD och en konsult (tidigare medarbetare på DOD) levererande åt DOD:

DOD warns against the dark side of social networking

Ett exempel som uttrycker samma säkerhetsproblem mer komprimerat är:

  • En DOD-medarbetare är registrerad på LinkedIn. 
  • Profilen länkar till dennes blogg. 
  • Bloggen länkar sociala media personer är medlem i. 
  • Foton på FlickrTweets m.m. kontrolleras. 
  • Personen använder samma smeknamn på många saker så information där kan också identifieras. 
  • På en sajt nämner han att ett Starbucks finns nära hans hus. 
  • Angriparen hackar WLAN-anslutningen på Starbucks. 
  • Det gör att angriparen kan fånga information från medarbetarnas iPhone. 
  • Det ger lösenord till sajter med viktigare information. 

Exempel II: Horoskop

En variant av Exempel I är:

  • Identifiera alla medarbetare intresserad av horoskop. 
  • Sätt upp en horoskop sajt. 
  • Kräv registrering. 
  • Tipsa om sajten via sociala media. 
  • Hoppas att lösenord vid ev. registrering liknar det på andra sajter. 

Exempel III: The Huffington Post

Den som analyserar utlänkar från detta inlägg och jämför med äldre kommer se att The Huffington Post är överrepresenterat. Här läcker inte det någon information men i andra situationer kan även sådana små saker ha betydelse. Det är något kanske särskilt investera, företagsledare m.fl. bör tänka.

Säkra lösenord är viktiga

Även om en identitet på en sajt inte är kritisk kan angrepp mot denna orsaka problem om man angriparen vill ha en översiktsbild:

  • En sajt kanske är lätt att göra bruteforce-angrepp mot. 
  • Ett lösenord där kan fungera på andra viktigare sajter. 
  • En sajt kan ha inloggningsuppgifter om andra sajter (väldigt vanligt). 

Exempel IV: Politiker är en stor population

Ett säkerhetsproblem med lösenord menar jag idag ofta hanteras ofullständigt och det har diskuterats i:

SÄKERHETSARKITEKTUR: ANGREPP MOT LÖSENORD I CLOUD COMPUTING

Där såg vi att när antalet möjliga identiteter att angripa är stort möjliggörs en “ny” typ av bruteforce-angrepp mot lösenord. Låt oss göra ett på exempel på detta:

  • Antalet politiker i världen är stort. 
  • Många använder sociala media, e-post m.m. 
  • Att identifiera politiker och åsikter i stora frågor är normalt möjligt. 
  • För en stor fråga rörande internationell politik kan en population med en viss åsikt vara mycket stor. 
  • En population kan också vara alla politiker från ett land eller region. 

Här kan man tänka sig att angreppet riktas mot denna population av politiker. Där man tar sig in kan viktig information tas eller planteras falska “bevis” för att skada politikerns trovärdighet. Ett exempel kan tänkas vara förvalskad e-post vilket nyligen sägs ha drabbat en mycket högt uppsatt politiker i Australien.

Att mäta känslor

Jag menar sedan länge att bloggar, tweets m.m. som publiceras på nätet ger information om humör och känsloläge. Det är ganska självklart. Nyligen har också publicerad forskning kommit som öppet demonstrerat hur enkelt det är att tillämpa automatiskt:

MÄTA HUMÖRET PÅ GRUPPER VIA BLOGGAR

Givetvis kan detta också tänkas beröra säkerhetsfrågor även för enskilda företag och organisationer.

Vem litar du på?

Ett gammalt problem inom säkerhet både avseende konfiguration av datasystem och hur människor agerar är att många alldeles för lätt litar på andra. I Cisco 2009 Midyear Security Report i “Trends to Watch” förklaras problemet bra:

“Criminals prey on a user’s trust in their online community, and on their assumption that the people, companies, and organizations they interact with do not pose a threat to their security. This is why a user is likely to click through a link or download content that was sent to them by a trusted source, and in the process, inadvertently download malware or end up on a fraudulent or malicious website.”

Ingen behöver tycker jag vara rädd och fri diskussion och öppenhet är viktiga värden hos sociala media. Man bör dock vara medveten om att detta problem kan finnas.

En färsk studie pekar på ett likartat problem relevant för sociala media:

Feeling validated versus being correct: A meta-analysis of selective exposure to information.

Pressmeddelandet om studien pekar kortfattat ut vad problemet berör:

[Instead] of reading carefully before forming an opinion, the brain responds intuitively within a mere 200 milliseconds of having more or less grasped what the sentence fragment read so far is suggesting. This response then influences further interpretation.” 

Citerat: Personal Values Color Understanding Of Sentences Within Milliseconds

Samma problem kan gälla när något inte direkt uppfattas vara människa utan mjukvara eller annan sajt:

“Twitter’s spam-monitoring account sent a tweet […] warning anyone who had entered their log-in information into a website called TwitViewer to change their password. 

TwitViewer promised to display the profiles of users who had recently visited your profile.” 

Citerat: Twitter warns TwitViewer users of security risk

Likartade frågor och problem har tidigare diskuterats bl.a. i:

FÖR ALLT VIKTIGT SKA IDENTITET KONTROLLERAS 

SMARTA OCH VETTIGA MÄNNISKOR TYCKER SOM JAG 

VI HAR LÄTT FÖR ATT SE “SAMBAND” SOM INTE FINNS 

DEFENSE SECRETARY ROBERT M. GATES OM SOCIALA MEDIA

Desinformation är vanligt

När vi nu diskuterat riskerna med förtroende är steget inte långt till desinformation och ett av otroligt många möjliga exempel ges av Robert Siciliano i The Huffington Post:

“[…] Sarah Palin has used Twitter and Facebook to communicate with the public. Impostors have taken every opportunity to jack her persona, even hacking into her personal email account.” 

Citerat: Sarah Palin Victim of Social Media Identity Theft, LaRussa Drops Suit

Att politiker, viktiga medarbetare hos företag o.s.v. verifierar sina identiteter är därför viktigt. Det är ännu inte möjligt på alla sajter. Twitter är relativt tidigt ute och testar just nu funktioner för detta:

What is a verified account?

Ofta lär detta bli betaltjänster vilket ger en till möjlig intäktskälla för många sajter.

Att hantera sociala media

Rätt sätt att hantera social media för stora organisationer med höga säkerhetskrav jag tror är rätt är inte att stänga ut det. Medarbetare kommer alltid vara sociala på nätet även om det är utanför arbetstid. Därför krävs en policy och vettiga råd för hur man gör rätt. Exempel på detta sätt att tänka ges t.ex. av DOD (USA) och brittiska myndigheter:

USA 

Homeland Security Gets Web 2.0 Overhaul (InformationWeek) 

Social Media And The Gov’t: A Brief Introduction for Managers

UK 

Template Twitter strategy for Government Departments (PDF)

Beredskap istället för rädsla

Avseende inställning hos viktiga personer ska jag understryka att jag inte tror på rädsla eller överdriven försiktighet. Det är väldigt vanligt att tro att man löser säkerhetsproblem genom att sprida rädsla. Att detta är effektivt kring vissa frågor på en stor population är mycket möjligt (jag kan inte bedöma om så är fallet) men för nyckelpersoner vet jag säkert att rädsla inte är effektivt. Istället vad man vill uppnå är lugn beredskap. Lugn beredskap innebär:

  • Att man agerar rationellt och tänker medvetet. 
  • Man reagerar inte instinktivt utan att tänka. 

Klarar man att uppnå det har direkt flera angrepp blivit mycket svårare. Särskilt viktigt blir det när angriparen försöker utnyttja “irrationella” funktioner i hjärnan för att du ska reagera snabbt innan du hinner inse att du fattar fel beslut. 

För mig är det svårt att förstå att detta tankesätt har svårt att sprida sig. Men idéerna sprider sig allt mer därför att de är mer effektiva och senast såg jag att Janet Napolitano (United States Secretary of Homeland Security) tänker i de här banorna:

“[…] the goal was to ‘get to a point where we are in a constant state of preparedness, not a constant state of fear.’ 

Napolitano emphasized the need to share information […]; to pay attention to threats in places like the cyber world as well as biological or chemical attacks, and to secure borders as well as monitor home-grown threats.” 

Citerat: Napolitano says public vital in fighting terrorism

Följande artiklar tar kanske inte direkt upp detta men rör sig i området runt den här frågan:

The Art of Mindful Tweeting . . . 

Zen ökar din motståndskraft mot trender & distraktion 

Pseudonymity Slouches Toward Anti-Social Media

Denna artikel diskuterar egentligen just denna fråga men är mest lämpad för den som har avancerade behov av att prioritera detta för egen del:

TAO OCH FLOW

Mer att läsa

Många frågor har inte alls beröts i detta inlägg. Ett fåtal av dessa berörs av följande artiklar:

Tech gadgets help corporate spying surge in tough times 

Facebook, Twitter Attacks Keep Coming 

Cyber Criminals ‘Launching Twitter Attacks’

“Påverkan mellan roller” berördes knappt alls och kan därför tydliggöras med följande exempel:

  • Du har en privat e-post-adress bara för att registrera dig när risk för spam finns. 
  • En dag på jobbet fungerar inte er e-post och istället använder du denna e-post-tjänst. 

Ytterligare om säkerhetsfrågor kring sociala media:

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA I SAMMANFATTNING