Capita selecta Informatiekunde/student contributions/Social Engineering

Uit Werkplaats
< Capita selecta Informatiekunde‎ | student contributions
Versie door Siegert van der Velde (overleg | bijdragen) op 3 jan 2010 om 21:10
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken
Facebook privacy.png

Zorg dat je jezelf niet tegenkomt!

Nijmegen - Een jongeman is opgepakt vanwege mogelijke banden met een groep oplichters. Lastig! Zou hij dit kunnen ontkennen? Het wordt dergelijke partijen ook wel erg gemakkelijk gemaakt wanneer alle persoonsgegevens op internet staan. Hyves of Facebook? Dan kan dit ook jou overkomen! Hoe voorkom je dat je jezelf tegenkomt?

Veel mensen hebben op internet een website met een persoonlijk profiel. Hyves en Facebook zijn hier bekende voorbeelden van, maar er zijn nog veel meer van zulke sites. In deze profielen kan staan wie bevriend is met wie, maar ook wat de interesses, favoriete merken en plaatsen zijn.

Daarnaast is het mogelijk om korte berichten te plaatsen als een soort van online dagboek. Veel mensen realiseren zich niet dat wat er op deze sites staat veelal niet voldoende wordt afgeschermd en iedereen die deze site bezoekt dit kan lezen. Wanneer een malafide persoon deze gegevens bekijkt, leest of overneemt kan hij zich, wanneer hij genoeg informatie heeft, voordoen als de persoon van wie die gegevens eigenlijk waren. Criminelen kunnen op deze manier veel geld verdienen in het verhandelen van deze gekopieerde persoonsgegevens. Ook maak je het inbrekers erg makkelijk door ze te vertellen wanneer je op vakantie bent.

Profielsites zijn leuk en handig, maar als gebruiker van zo'n site moet je enigsinds feeling hebben met hoe internet werkt. Net zoals je niet zonder rijbewijs in een auto gaat rijden, moet je ook niet zonder kennis op internet gaan. Een van de grootste valkuilen, als je niet aangeeft wie iets mag lezen, mag iedereen het lezen. Ook mensen die je helemaal niet kent. Een veelgehoorde opmerking is dat 'de programmeurs' beter hun werk moeten doen. Immers hebben zij de beveiligingslekken gemaakt. Dat is inderdaad zo, echter informatie die de gebruiker niet op internet zet, kan ook niet gelekt worden.

Hier zien we hoe de gebruikers en de programmeurs samen moet werken om informatie te beschermen. Voor de gebruiker is het belangrijk dat hun informatie niet in verkeerde handen komt. Voor programmeurs is het belangrijk dat hun software niet in een slecht daglicht komt te staan door informatielekken.

De programmeurs zijn de enigen die ervoor kunnen zorgen dat de software het mogelijk maakt om informatie te beschermen, zij zijn de makers van de software. De gebruikers zijn de enige die weten wie welke informatie mag zien. Hoe programmeurs en gebruikers dit voor elkaar moeten krijgen is nog onduidelijk. Het internet is een enorm complexe omgeving, niemand weet precies hoe het werkt. Hierdoor is het ook onduidelijk wat de beste manier van samenwerken is.


Schets van het probleem

  • Social Engineering (inbreken door middel van de zwakste schakel, de mens) is al jaren een probleem
  • Tegenwoordig zijn sociale netwerksites als Hyves en Facebook zeer populair.
  • Hierin zijn groepen opgenomen waar personen 'fan' van kunnen zijn, voorbeeld: Rabobank [1]
  • Aan de hand daarvan kun je veel informatie van personen te weten komen
  • Groepeer deze informatie

  • Goede bron om identiteitsfraude of hacking te starten

Probleemstelling

Kwaadwillenden kunnen via sociale netwerksites veel persoonlijke informatie achterhalen, welke te gebruiken is bij social engineering .


Oplossingsrichtingen

  • Awareness
Dit gebeurd tegenwoordig ook al vanuit de overheid [2][3] en ook maken ze de gevolgen daarvan duidelijk[4]
  • Beveiliging
  • 'Social Security'
Alles wat 'geengineerd' oftewel ontwikkeld is heeft een veiligheidsaspect. Het veiligheidsaspect van social engineering noemen wij social security .

Ideeënbus

  • Afweging: vindbaarheid vs veiligheid
  • bel-me-niet-register
  • Microsoft heeft 1,6% van de aandelen facebook. [5]
Wat doet Microsoft met al die data? Of wat zou Microsoft hiermee kunnen (c.q. moeten) doen?
  • Algemene ontwetendheid
mensen hebben een verkeerd beeld van het concept 'internet', voor hen is Internet Explorer 'het internet'.
mensen vertrouwen internet, alles wat op internet staat is waar en alles wat ik op internet zet wordt alleen door 'de goede' mensen gelezen.

Terminologie

Wanneer problemen duidelijk gemaakt moeten worden is het belangrijk dat it-termen uitgelegd worden in taal die ook niet it mensen begrijpen.

  • Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan te vallen object kan komen. [6]
  • Sociale netwerksite Een sociale netwerksite is een website die gebruikers een profiel laat aanmaken, die ze vervolgens kunnen koppelen aan de profielen van anderen binnen hun sociaal netwerk. Veel sociale netwerksites richten zich op vermaak en het in contact blijven met vrienden. Deelnemers kunnen berichten sturen naar contacten, en bijvoorbeeld foto's, video's en internetlinks delen. [7]
  • Social security Maatregelen die ongewenste social engineering tegen gaan. Bijvoorbeeld informatie die wel zichtbaar is voor 'vrienden' maar niet voor iedereen.

Literatuuroverzicht

Nieuws

NRC Handelsblad 15 mei 2008 - Ontmaskering van haatmailers

Want behalve een kleine duizend scheldkanonnades omvat Dearest Tinkerbell ook informatie over de afzzenders. Zoals hun namen, leeftijden, woonplaatsen en adressen - soms handig aangeduid met een plattegrond van Google maps.

Artikel 1

Link naar het artikel: Your Contacts Are Belong to Us: Automated Identity Theft Attacks on Social Networks

Abstract

All Your Contacts Are Belong to Us: Automated Identity Theft Attacks on Social Networks

Social networking sites have been increasingly gaining popularity. Well-known sites such as Facebook have been reporting growth rates as high as 3% per week [5]. Many social networking sites have millions of registered users who use these sites to share photographs, contact long-lost friends, establish new business contacts and to keep in touch. In this paper, we investigate how easy it would be for a potential attacker to launch automated crawling and identity theft attacks against a number of popular social networking sites in order to gain access to a large volume of personal user information. The first attack we present is the automated identity theft of existing user profiles and sending of friend requests to the contacts of the cloned victim. The hope, from the attacker’s point of view, is that the contacted users simply trust and accept the friend request. By establishing a friendship relationship with the contacts of a victim, the attacker is able to access the sensitive personal information provided by them. In the second, more advanced attack we present, we show that it is effective and feasible to launch an automated, cross-site profile cloning attack. In this attack, we are able to automatically create a forged profile in a network where the victim is not registered yet and contact the victim’s friends who are registered on both networks. Our experimental results with real users show that the automated attacks we present are effective and feasible in practice.

Relevantie

  • Het geeft een voorbeeld hoe gemakkelijk het kan zijn om aan betrouwbare informatie te komen.
  • Het voorbeeld wordt in praktijk gebracht en blijkt succesvol te zijn.
  • Er worden steeds meer sociale netwerksites geïntroduceerd.

Artikel 2

Link naar het artikel: Facebook: Threats to Privacy

Abstract

Facebook: Threats to Privacy End-users share a wide variety of information on Facebook, but a discussion of the privacy implications of doing so has yet to emerge. We examined how Facebook affects privacy, and found serious flaws in the system. Privacy on Facebook is undermined by three principal factors: users disclose too much, Facebook does not take adequate steps to protect user privacy, and third parties are actively seeking out end-user information using Facebook. We based our end-user findings on a survey of MIT students and statistical analysis of Facebook data from MIT, Harvard, NYU, and the University of Oklahoma. We analyzed the Facebook system in terms of Fair Information Practices as recommended by the Federal Trade Commission. In light of the information available and the system that protects it, we used a threat model to analyze speciffic privacy risks. Speciffcally, university administrators are using Facebook for disciplinary purposes,firms are using it for marketing purposes, and intruders are exploiting security holes. For each threat, we analyze the esocacy of the current protection, and where solutions are inadequate, we make recommendations on how to address the issue.

Relevantie

  • Het is een relatief oud artikel (14 december 2005), maar blijkbaar 4 jaar later nog steeds actueel
  • Ten tijde van schrijven was het al een probleem met 8 miljoen gebruikers, tegenwoordig zijn het er meer dan 350 miljoen.

Verder mogelijk onderzoek

  • Gebruikers beter laten omgaan met computers, of vanaf de andere kant bekeken, computers eenvoudiger maken zodat dit gemakkelijker wordt voor gebruikers.
  • De systemen zo beveiligen dat e-mailadressen van gebruikers goed afgeschermd, of zelfs niet beschikbaar, zijn. (zie onderzoek phishing).
  • De captcha's verbeteren (zie onderzoek captcha) of een alternatief hiervoor vinden zodat het onmogelijk wordt om automatisch profielen te genereren.
  • Het bouwen van gebruiksvriendelijke systemen (zie onderzoek gebruiksvriendelijke systemen). Waarom moeten we op al deze sites inloggen? Zijn er geen die dit niet nodig hebben?

Onze bijdrage in de toekomst

  • Familie, vrienden en kennissen die dit soort sites gebruiken op de hoogte stellen van deze problemen.
Vele mensen zijn niet op de hoogte van welke veiligheidsrisico's dit met zich meebrengt. Mensen hiervan bewust maken zou dan een eerste stap zijn en waarom dan niet beginnen bij diegene waarbij je direct contact hebt. Op deze manier is het in elk geval mogelijk een groep 'aware' te krijgen. Wanneer deze mensen het geleerde doorvertellen en zo voorts wordt er langzaam een proces in ontwikkeling gezet waardoor langzaamaan mensen zich hiervan bewust worden.
  • Later, als groot software-architecten, rekening met deze problematiek houden in nieuwe ontwerpen.
<<wat gaan we hier dan concreet mee doen?>>

Relaties met de gastcolleges

  • Onderzoek Wessel Kraaij kan natuurlijk alleen maar wanneer deze vormen van 'media' er zijn
  • Het onderzoeksgebied van Bart Jacobs is bij dit onderwerp, en uiteraard vele andere, aan de orde van de dag.
  • ... de andere 6 colleges hadden geen directe raakvlakken met dit probleem

Referenties