Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Sociale netwerken als nieuwe virusbron

 

Computable Expert

Anthony van Geest
Business Architect, Intermedio Information Technology. Expert van Computable voor de topics Digital Transformation en Security.

Steeds meer mensen ontdekken de kracht van sociale netwerken. Zeker in deze tijd waarin veel mensen weer op zoek gaan/moeten naar een nieuwe baan blijken de sociale netwerken erg in trek. Helaas loop je er ook wel eens iets anders op dan een contact.

Onlangs is de BoFace.G-worm ontdekt. Een worm die voorkomt op MySpace en Facebook. De worm plaatst een link naar een nep-YouTube-video op de profielpagina van geïnfecteerde gebruikers. Wanneer een bezoeker op de link klikt en de video wil bekijken, wordt er verbinding gemaakt met een server die allerlei malware installeert.

Het is niet de eerste keer dat sociale interactie via het internet schadelijke gevolgen kan hebben. Al langer zijn we bekend met besmetting via instant messaging en bijvoorbeeld dating sites. Het fenomeen lijkt zich nu echter uit te breiden naar de algemene sociale websites en daarmee wordt de bedreiging ineens een stuk groter.

Overigens is het een zeer natuurlijke trend. Wanneer men in het echte leven veel contact heeft met mensen, dan loopt men ook een grotere kans om uiteindelijk ziek te worden. Om dit te voorkomen is het raadzaam bepaalde voorzorgsmaatregelen te nemen. Dat dit ook geldt voor digitale contacten is wellicht niet voor iedereen logisch, maar wel een duidelijk feit.

Enkele voorkomende situaties met verhoogd risico:

  1. Je ontvangt een YouTube-link. Video blijkt echter niet meer te bestaan. Je krijgt wel reclame te zien of je wordt omgeleid naar een andere site.
  2. Je ontvangt een e-mail of prive bericht van 'Administrator' met verzoek om informatie. Uiteraard wordt je omgeleid naar een andere malwaresite.
  3. Je krijgt een connection request van een onbekende. Je vraagt het profiel op en je komt op een malwaresite.

Dit zijn slechts drie eenvoudige scenarios. Ik ben benieuwd naar de mening en input van de experts en de lezers over dit onderwerp.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2784432). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Dont wake up my fantasie Anthony
Over welk client platform praat je nu?

"Wanneer men in het echte leven veel contact heeft met mensen, dan loopt men ook een grotere kans om uiteindelijk ziek te worden"
Dat hang geheel af van de gezondheid van je vriendenkring en jouw eigen keuze daarin ;-)

@Ronald Vermeij, haha Ronald misschien niet helemaal handig geformuleerd. Ik ben dus benieuwd naar je mening over de veiligheid van sociale netwerk sites (Hyves, LinkedIN, Ning, Naymz, etc) en hoe je je kunt beschermen tegen de bedreigingen die deze sites in zich dragen.

Wat ik ervan vind Anthony..
1 - Technologisch gezien, blijven sociale online netwerken gewoon simpel "Web (2.0?) technology".
Daar kun je je als gewone eindgebruiker goed tegen beschermen met allerhande tools en gezond ict verstand.

2 - Vanuit sociaal oogpunt gezien zijn ze net zo gevaarlijk als de content die JIJ er zelf op zet
Alles wat JIJ immers online post, zegt, filmt, fotografeert vormt (psychologisch) gezien een digitale afdruk van je innerlijke zelf(beeld).

Dus hoe meer je online zegt, doet, vertelt, blootgeeft, des te kwetsbaarder ben je voor aanvallen van:

A - "Privacy Invaders":
Ongewenste individuen die aan de haal gaan met jouw prive gegevens, fotos, filmpjes, gedachten, meningen

B - Psychopaten
Die aan de hand van jouw uitlatingen, meningen of overtuigingen proberen (meestal anoniem) op te fokken of via internet te zieken. Zelf minister Guusje in de kamer klaagt over annomiene "bronnen" die hun ongenoegen uiten op het huidige regeringsbeleid.

C - NSA, CIA, FBI, (andere geheime diensten) AIVD, KLPD, CRI, Digipolitie: Organisaties die ongewenst jouw uitlatingen in de gaten houden onder "de bedreiging van potentieel terrorisme"

D - Potentiele werkgevers:
Tegenwoordig schijnt het al heel normaal te zijn dat je naam "effu ge-googled" word door je aanstaande baas.

E - Overheidsinstanties:
De belastingdienst heeft (al) toegegeven dat ze HYVES (en wie weet nog wel meer andere online netwerken) gebruiken om achter zaken te komen m.b.t. de nederlandsche onderdanen.

F - (bad side)Hackers / Cybercriminelen
Die kunnen mooi gebruik maken van alle prive dingen die jij online hebt gezet om een sociaal profiel van je te construren.. Ik heb zelfs al online gelezen dat er een applicatie bestaat die "je remote emoties" in de gaten houd via analyse van myspace profielen, fotos, krabbel, berichtjes die je post

G - MSN Messenger netwerk
Die "filtert" als "schuttingtaal" als twee personen met elkaar zitten te chatten... en dan vraag ik me af, wat word er nog meer uitgehaald met mijn prive gesprekken?

Hoe je je kunt beschermen?
1. Wees je er dondersgoed van bewust dat iedereen die aan het internet is aangesloten en op zo'n sociaal netwerk site kan komen, van allerhande (ongevraagde) dingen kan doen met jouw
- uitspraken
- meningen
- foto's
- filmpjes
en andere zaken

2. Geef jezelf niet (te veel) bloot aan de wereld.

3. Hou er rekening mee, dat jouw "digitale zelf" in verkeerde handen kan vallen (geheime dienst, terrorisme bestrijders, lokale overheid, cybercrimineel, zieke geest) en wees erop voorbereid

Er kijken meer (cyber) oogjes en oortjes (en automatische detectie systemen) over je keyboard en internet communication flow mee, dan jij je NU bewust bent. Om af te sluiten met een citaat uit menig bekende amerikaanse politie serie:

"Anything that you say of do online, can and (eventually) will be used against you in a court of law"

Dank ze de "ijzeren digitale bewaarplicht" van alle Internet Service Providers of via een dump van logfiles van internet switches, routers, gateways, firewalls, websites en online communities


Heb je hieraan nog wat toe te voegen "Zowiezo"??

Ik zie het gevaar van de sociale netwerksites nog niet eens zozeer op technisch gebied maar veel meer in de menselijke factor. De informatie die ontsloten wordt is zichtbaar voor zo goed als iedereen en kan dus ook misbruikt worden voor social engineering. Ons bedrijf gebruikt bij een social engineering opdracht ook de informatie die op sites als Plaxo en LinkedIn wordt geplaatst. De meest interessante ervaringen over normaal gesproken geclassificeerde projecten voor bijvoorbeeld defensie, AIVD, departementen en banken worden hier ontsloten. Welliswaar worden er meestal geen inhoudelijke feiten genoteerd maar de persoon die deze kennis heeft maakt zich via het sociale netwerk wel kenbaar en kwetsbaar want iedereen is chantabel. De mens is en blijft de zwakste schakel in informatiebeveiliging.

Het grootste risico van sociale netwerken is in mijn ogen niet virusverspreiding, maar dat ze steeds vaker als extra bron worden gebruikt om persoonlijke informatie te vergaren. Dit kan zowel door verzekeraars, werkgevers of de overheid gebeuren maar ook door criminelen t.b.v. identiteitsdiefstal. Informatie op sociale netwerken wordt steeds vaker als waarheid beschouwd, ten gevolge van een maatschappelijke ontwikkeling waarbij het internet steeds belangrijker wordt bij het vergaren van nieuws en opinie vorming.

Als gebruiker van zo'n sociale netwerk dien je er bewust van zijn wat je wel en niet van jezelf (en anderen) blootgeeft. Tevens dien je er van bewust te zijn dat sociale netwerk sites gehacked kunnen worden, waarbij ongemerkt persoonlijke informatie veranderd kan worden. Ook met de archivering van websites door Google en de bewaarplicht die internet providers hebben, dien je rekening te houden: oude informatie is nog steeds terug te vinden. Het beste advies is eigenlijk om weg te blijven bij sociale websites.

Het is een prachtig onderwerp dat zich uitstekend leent voor een goed gesprek bij een glas wijn.

Het punt van techniek zijn we snel voorbij, we zullen doorlopend sleutelen aan de balans van functionaliteit, vriendelijkheid en veiligheid. Technisch kunnen we veel beschermen maar dat gaat ten koste van de functionalitiet en vriendelijkheid. Veel mensen hebben niet zo'n moeite met de veiligheid (onwetendheid of gewoon een andere kijk op de wereld) en wensen de gebruiksgemak en functionaliteit. Daar speel natuurlijk elke social networkingsite op in en die krijgt op dat moment weer de meeste aandacht en bezoekers. Dus tenzij je van bovenaf limieten gaat opleggen en regels gaat stellen zal de veiligheid altijd achter alles aan hollen.

Het fenomeen social networking sites zelf is van een heel andere aard. Dat er veel informatie bewust gedeeld wordt is duidelijk, en dat er veel instanties en personen daar potentieel gebruik van kunnen en zullen maken is ook duidelijk. Maar stel je voor dat dit fenomeen uitgroeit zodat 80% van de mensen op social networking sites zit, maar ik niet. Ben ik dan als niet-publicerende persoon niet een beetje verdacht? Een sollicitant die niet te vinden is op het internet, wil mijn nieuwe werkgever die wel? Of die geen sociaal leven lijkt te hebben? Die nooit uitgaat, geen vrienden heeft waar hij op vakantiefoto's in een licht kennelijke staat een feestje viert?

Misschien is het wel een bijzonder ontspannen gedachte dat je eindelijk gewoon mag laten zien wie je bent, omdat iedereen het doet. Een interessante keerzijde nietwaar?

En het misbruik door de AIVD en andere vergelijkbare instellingen... als die wil weten waar jij uitgaat in het weekend hebben ze daar geen Hyves voor nodig.

Ontwikkelingen die m.i. veel zorgwekkender is de informatieverstrekking die je NIET bewust publiceert. Zoals de RFID ontwikkelingen, maar ook de opslag van de telefoongegevens, straks van de intelligente routeplanners, Smartphones met GPS, surfinformatie en noem maar op. Die informatie is veel gelijkvormiger en kan bijzonder simpel massaal verwerkt en doorzocht worden (wie waren er op plek A op tijd B die ook op plaats X waren op moment Y) stellen je in staat een individu te identificeren op basis van gedrag...

Social networks zijn een vreemd verschijnsel.

We sluiten onze huizen en brievenbussen. We groeten onze buren zelden meer. We wantrouwen een onbekende die op straat hallo zegt. We lopen niet te koop met onze privacy gegevens.

Telefonisch verstrekken we elk callcenter al onze vertrouwelijke gegevens. Bijna niemand maakt zich zorgen over EPD's.

Bij Social Networks gaan onbewust alle beperkingen overboord. Naw gegevens, achtergrond, geboorte data enzovoorts. Alles is online beschikbaar in de honger naar hits en virtuele vrienden. Dit is de ideale bron voor cybercime activiteiten, dus ook voor virussen.

Het grootste risico is echter de gebruiker van Social Networks zelf. De buurman van vlees en bloed is een vreemdeling, maar online krijg iedere wwwereldburger blindelings allerlei vertrouwelijke gegevens te zien.

Wat iemand thuis op zijn computer doet, moet je niet willen controleren. Iedereen is zelf verantwoordelijk voor het eigen internetgebruik en de mate van beveiliging. Als bedrijf wil je je security goed geregeld hebben en voorkomen dat virussen en malware via sociale netwerken je bedrijf binnenkomen. Tot voor kort betekende dit dat je als bedrijf moest besluiten uberhaupt geen YouTube, Facebook of andere applicaties toe te staan. Niet handig, want in de praktijk hebben veel medewerkers deze applicaties nodig. De HR afdeling voor het checken van sollicitanten, marketingmedewerkers voor hun marketingplannen, etc. Een echte next generation firewall kan filteren op applicatie (los van poortnummers), content en gebruiker. De beheerder kan zelf beslissen welke zaken binnen een applicatie hij wel of niet wil toelaten. Het is dan bijvoorbeeld wel toegestaan om YouTube te bekijken, maar niet om video's te plaatsen. Bovendien wordt de content real time gescand op malware, verdachte links en verdachte afzenders. Een betere bedrijfsbeveiliging bij gebruik van sociale netwerken kan iedereen dus regelen.

Jaren geleden moest ik, als systeembeheerder van een gezin, verschrikkelijk veel moeite doen om mijn gebruikers (tieners) wat dit betreft in het gareel te houden. Tot aan vrij draconische maatregelen toe. Zaken de-installeren, poorten dichtzetten. Klinkt het bekend? Tegenwoordig heet het Hyves maar er zijn er (veel) meer.
Wat dat betreft zou ik de parallel willen trekken met het bedrijfsleven of de overheid.
Ook de gebruikers in die organisaties 'willen niet deugen'. De bekende regel is dat 80 procent van de bedreigingen van binnenuit komt en dat zal wel maar het ergste is dat het niemand, in bedrijfsleven, overheid en in mijn gezin, ene snars kan schelen. Men heeft een behoefte, aan informatie, sociaal contact etc. en die gaat bevredigd worden. Liefst snel.
We maken kinderen al op vrij jonge leeftijd vertrouwd met het medium ict. Dat is goed, moeten we vooral mee doorgaan. Maar omdat degenen die hen onderwijzen zelf net weten hoe ze een muis vasthouden krijgen onze kids een scholing die bij de techniek ophoudt. Waar ze niet mee om leren gaan is het enorme informatieaanbod en dus ook niet met de risico's die er verbonden zijn aan de grote boze elektronische buitenwereld. Als je hoort wat voor risico?s kinderen nu lopen hou je je hart vast. We leren ze wel fietsen maar iets wat veel meer schade kan aanrichten blijft grotelijks onderbelicht. Het zou bijzonder goed zijn om daar eens aandacht aan te besteden als we weer eens praten over het invullen van lespakketten en urennormen.

Dit is een fenomeen dat we al langer zien. Met name MySpace staat hier om bekend door het toestaan van JavaScripts. Er zijn voorbeelden van het verspreiden van malware via social network sites die terug gaan naar begin 2007. De malware zelf wordt in negen van de tien gevallen zelf niet op de site geplaatst. Enige wat benodigd is, is een link naar een website waar de malware wordt gehost en een nieuwsgierige gebruiker die op de link klikt.

Een misschien veel groter securityprobleem met social network sites is dat deze steeds vaker worden gebruikt voor gepersonaliseerde spam en
whaling. Hierbij wordt informatie die vrij beschikbaar is over personen op social network sites gebruikt om een gericht spam of phising bericht te versturen naar met name managers van bedrijven (Cx0 level) met als doel hun pc te infecteren.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×