朱曉乾,蔣丹婷,楊馳穎(上海通用識別技術(shù)研究所,上海201112)

社交網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及探討*

朱曉乾,蔣丹婷,楊馳穎
(上海通用識別技術(shù)研究所,上海201112)

一些網(wǎng)絡(luò)的目的就是用于社交,允許用戶在網(wǎng)上建立朋友或商業(yè)關(guān)系。雖然社交網(wǎng)站的特點(diǎn)各不相同,但是它們都要求用戶提供真實(shí)個(gè)人資料,并提供與其他朋友的交流機(jī)制。但是,因?yàn)檫@些社交網(wǎng)站賬戶很容易申請,而用戶對它的安全風(fēng)險(xiǎn)又知之甚少,用戶往往會(huì)在社交網(wǎng)站上泄露過多的個(gè)人資料,從而導(dǎo)致大量的隱私與安全風(fēng)險(xiǎn)。本文指出了社交網(wǎng)絡(luò)用戶的主要安全風(fēng)險(xiǎn),并且分析了這些風(fēng)險(xiǎn)產(chǎn)生的原因,同時(shí)提出了規(guī)避這些安全風(fēng)險(xiǎn)的方法,從而增強(qiáng)用戶的個(gè)人資料安全,防止通過社交網(wǎng)站途徑泄露個(gè)人隱私。

社交網(wǎng)站 安全性 隱私信息 攻擊 惡意程序

0 引 言

社交網(wǎng)絡(luò)是利用社會(huì)網(wǎng)絡(luò)關(guān)系系統(tǒng)思想,建立起來的網(wǎng)絡(luò)關(guān)系的一種應(yīng)用形式,是網(wǎng)絡(luò)用戶進(jìn)行社會(huì)交流和信息傳播的應(yīng)用平臺(tái)。社交網(wǎng)絡(luò)的大規(guī)模普及,給互聯(lián)網(wǎng)用戶提供了虛擬世界里的溝通交流平臺(tái),隨著近幾年社交網(wǎng)絡(luò)的蓬勃發(fā)展,涌現(xiàn)出了一批擁有超大規(guī)模用戶群的社交網(wǎng)絡(luò)。根據(jù)“The Statistics Portal”網(wǎng)站2014年最新的統(tǒng)計(jì)數(shù)據(jù)表明,國外的Facebook活躍用戶群已經(jīng)率先突破了10個(gè)億的規(guī)模,達(dá)到了將近12億的活躍用戶,而國內(nèi)QQ空間、騰訊微博等社交網(wǎng)絡(luò)用戶群也已經(jīng)達(dá)到了數(shù)個(gè)億的規(guī)模,躋身世界社交網(wǎng)絡(luò)用戶數(shù)排名前列?；钴S用戶數(shù)排名前7的社交網(wǎng)絡(luò)如圖1所示。

圖1 2014年社交網(wǎng)站活躍用戶數(shù)(單位:百萬)Fig.1 2014 social networking active users(inmillions)

社交網(wǎng)絡(luò)是一種自下而上的對等網(wǎng)絡(luò),可以讓用戶自主決定分享的內(nèi)容,提供自己的個(gè)人信息、心情與喜好。由于用戶群體的龐大,社交網(wǎng)絡(luò)每秒鐘都在生成海量的文本、圖片、應(yīng)用信息、音樂、視頻等信息。通過深入挖掘這些信息的潛在意義,很容易得出用戶的長期愛好和近期需求。如果對其好友圈進(jìn)行分析,可以獲得用戶的教育、工作、收入、地理位置等諸多信息,這種挖掘往往比問卷調(diào)查得到的結(jié)果還要更加全面與真實(shí)。

社交網(wǎng)絡(luò)開放平臺(tái)提供了各種形式的開放接口與框架,開發(fā)者只需要按照特定的標(biāo)準(zhǔn)與規(guī)則進(jìn)行開發(fā),便能訪問社交網(wǎng)絡(luò)平臺(tái)的個(gè)人資料、好友圈等核心資源。下面以Facebook的平臺(tái)架構(gòu)為例介紹其工作流程。

Facebook的平臺(tái)架構(gòu)如圖2所示。Facebook的應(yīng)用程序在開發(fā)者的服務(wù)器上運(yùn)行,并且每個(gè)應(yīng)用程序?qū)?yīng)特定的URL,Facebook服務(wù)器將請求重定向到應(yīng)用服務(wù)器,應(yīng)用服務(wù)器最終向Facebook服務(wù)器返回承載應(yīng)用界面的FBML文件。圖中的API是基于REST架構(gòu)實(shí)現(xiàn)的Web編程接口,可以得到用戶的核心數(shù)據(jù),并實(shí)現(xiàn)用戶登錄、重定向等核心功能。圖中的FQL可以用來查詢Facebook核心數(shù)據(jù),包括用戶資料、好友、參加的群組、相冊等信息。

圖2 Facebook平臺(tái)架構(gòu)Fig.2 Facebook-platform architecture

1 社交網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)

隨著社交網(wǎng)站用戶規(guī)模的不斷擴(kuò)大,社交網(wǎng)站的種類也不斷豐富,門戶社交網(wǎng)站、行業(yè)社交網(wǎng)站、職場社交網(wǎng)站、婚戀社交網(wǎng)站等層出不窮。各個(gè)組織和個(gè)人都在充分利用社交網(wǎng)站的便利性加強(qiáng)信息溝通。然而,伴隨著社交網(wǎng)站的發(fā)展壯大,安全性問題也不斷凸顯,逐漸引起人們關(guān)注。一般社交網(wǎng)站都要求用戶使用真實(shí)資料注冊,并在個(gè)人主頁上提供了包括身份資料、聯(lián)系方式、個(gè)人頭像、生活動(dòng)態(tài)等在內(nèi)的大量真實(shí)信息。作為社交網(wǎng)絡(luò)信任基礎(chǔ)的用戶個(gè)人信息,被利益集團(tuán)和不法分子持續(xù)地發(fā)掘和利用,大量的組織機(jī)密信息與個(gè)人敏感資料通過這個(gè)渠道源源不斷地外泄[1]。

根據(jù)來自安全軟件公司W(wǎng)ebroot的一份最新調(diào)查顯示,社交網(wǎng)站用戶容易遭到財(cái)務(wù)信息丟失、身份信息被盜和惡意軟件感染等安全風(fēng)險(xiǎn)。大約三分之二的受訪者沒有對社交網(wǎng)站的個(gè)人信息采取嚴(yán)格的保護(hù)措施,其他人可以通過搜索引擎方便地查看這些敏感信息,有半數(shù)以上受訪者沒有設(shè)置個(gè)人資料的訪問權(quán)限。還有三分之一受訪者的個(gè)人資料中包含三種以上個(gè)人身份識別信息。另外,三分之一的人允許陌生人加為好友。具體數(shù)據(jù)如圖3所示。

圖3 社交網(wǎng)站用戶安全意識調(diào)查Fig.3 User-safety-awareness survey of socialwebsite

另據(jù)香港浸會(huì)大學(xué)社會(huì)科學(xué)研究中心對Facebook 1000多名15-70歲的用戶進(jìn)行調(diào)查表明,88%的受訪者會(huì)把“性別”資料儲(chǔ)存在帳戶內(nèi),另外分別有76%及72%受訪者會(huì)把“姓名”及“個(gè)人資料相片”儲(chǔ)存在賬戶內(nèi)。只有3%的受訪者不在Facebook帳戶內(nèi)存儲(chǔ)任何資料。具體數(shù)據(jù)如圖4所示。

圖4 Facebook社交網(wǎng)站用戶的個(gè)人資料類別Fig.4 Personal-data categories of facebook users

雖然網(wǎng)上社交網(wǎng)絡(luò)與現(xiàn)實(shí)生活的社交網(wǎng)絡(luò)大同小異,但網(wǎng)上的社交活動(dòng)會(huì)帶來額外風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的產(chǎn)生包括兩個(gè)方面:一是被動(dòng)攻擊風(fēng)險(xiǎn),二是主動(dòng)攻擊風(fēng)險(xiǎn)。被動(dòng)攻擊風(fēng)險(xiǎn)是指由于社交網(wǎng)絡(luò)使用者本身缺乏安全意識造成的安全隱患,諸如用戶密碼簡單、沒有及時(shí)更換,在沒有任何防范意識前提下提供個(gè)人信息而被騙上當(dāng)?shù)男袨榈鹊取Ｖ鲃?dòng)攻擊風(fēng)險(xiǎn)是指攻擊者利用社交網(wǎng)絡(luò)和用戶行為本身可能存在的安全漏洞,對其進(jìn)行攻擊的威脅。針對這兩種攻擊方式,我們對用戶的隱私泄露、惡意程序、網(wǎng)絡(luò)攻擊、身份盜竊等方面的風(fēng)險(xiǎn)進(jìn)行深入分析,充分了解各種用戶行為潛在的安全風(fēng)險(xiǎn),并且采取合適的防范措施,以保護(hù)個(gè)人隱私與身份安全[2]。下面詳細(xì)分析各種安全風(fēng)險(xiǎn)的具體表現(xiàn)形式。

1.1 隱私泄露風(fēng)險(xiǎn)

每個(gè)社交網(wǎng)站的功能各有千秋。但一般都會(huì)提供聊天室、即時(shí)通訊、私信、朋友圈等各類溝通工具,并且要求用戶填寫真實(shí)個(gè)人資料,供其他人閱覽。如果填寫的個(gè)人資料過于詳細(xì),可能存在被動(dòng)攻擊的風(fēng)險(xiǎn),會(huì)被一些不法分子利用,進(jìn)行網(wǎng)絡(luò)欺詐行為[3]。一些不法分子會(huì)使用社交網(wǎng)站了解到受害人的居住地(如果你在社交網(wǎng)站公布了你所居住的具體住址)。之后,他們會(huì)隨時(shí)監(jiān)視你的情況,包括賬單,稅收等等,還會(huì)通過社交網(wǎng)站知道你全家都外出度假了。于是他們就會(huì)來到你家,把整個(gè)屋子洗劫一空。他們甚至在進(jìn)入你家之前就知道你大概有哪些財(cái)產(chǎn),以及他們大致放置的位置。因?yàn)檫@都可以通過你在社交網(wǎng)站上發(fā)布的圖片和信息獲知。

1.2 惡意程序風(fēng)險(xiǎn)

社交網(wǎng)站一般提供第三方應(yīng)用程序的下載與安裝,如果網(wǎng)站監(jiān)管不夠嚴(yán)格,可能會(huì)夾雜一些惡意程序。此外,一些陌生人甚至是好友會(huì)粘貼一些不明來源的鏈接也可能包含某些惡意程序,令人防不勝防。由于社交網(wǎng)站的技術(shù)不斷進(jìn)步,犯罪分子們也可以和合法用戶一樣充分利用這種技術(shù)上的便利性。比如在狀態(tài)更新中嵌入鏈接,或者直接開發(fā)社交網(wǎng)站的第三方應(yīng)用程序或游戲來散播惡意軟件。需要時(shí)刻保持警惕,防范惡意程序的主動(dòng)攻擊行為。

1.3 網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)

社交網(wǎng)絡(luò)是建立在互信基礎(chǔ)上的網(wǎng)絡(luò)社交工具。不法分子能夠在受害者毫不知情的情況下,獲取其個(gè)人資料,并在這些資料的基礎(chǔ)上,采用社會(huì)工程學(xué)方法對目標(biāo)進(jìn)行有針對性攻擊,使其感染病毒或木馬。和以前的釣魚郵件相類似,犯罪分子在對目標(biāo)充分了解的基礎(chǔ)上,可以在社交網(wǎng)站上通過一些特殊事件或新聞來吸引受害人點(diǎn)擊他們提供的鏈接。這種攻擊屬于主動(dòng)攻擊行為。

1.4 身份盜竊風(fēng)險(xiǎn)

身份盜竊是互聯(lián)網(wǎng)上的一大產(chǎn)業(yè),特指通過在互聯(lián)網(wǎng)上假冒別人身份的欺詐行為。不法分子可能會(huì)冒充名人、企業(yè)家、政府官員等,從而取得其他人的信任以謀取利益,也有可能竊取普通人的個(gè)人資料,在網(wǎng)上冒充并欺騙他周邊的親朋好友,或者通過精心設(shè)計(jì)的垃圾郵件對特定個(gè)人或公司進(jìn)行攻擊[4]。加拿大警方前些年陸續(xù)偵破一些類偽造身份盜竊集團(tuán),在查獲的一起利用社交網(wǎng)絡(luò)身份盜竊案件中,搜出逾100張光盤,內(nèi)藏了大量個(gè)人數(shù)據(jù),包括受害人的名字、電話號碼、出生日期、女士結(jié)婚前的名字、配偶名字、子女名字、社會(huì)保險(xiǎn)卡號碼以及年度收入等,數(shù)據(jù)相當(dāng)齊全;而單是其中一張光盤,便藏有2萬人的背景資料,數(shù)額相當(dāng)驚人?？梢娎蒙缃痪W(wǎng)絡(luò)的身份盜竊已經(jīng)呈現(xiàn)規(guī)?；⒓瘓F(tuán)化趨勢。用戶必須嚴(yán)加防范。

2 對策與建議

2.1 應(yīng)對隱私泄露風(fēng)險(xiǎn)

1)設(shè)定復(fù)雜密碼,防止密碼被猜中或破解,如果密碼泄露,其他人就可以非法訪問帳戶,并以此身份來欺騙用戶的好友;

2)“忘記密碼”里的安全問題要設(shè)置得有一定復(fù)雜度,防止黑客利用社會(huì)工程學(xué)猜解答案;

3)時(shí)刻記住互聯(lián)網(wǎng)是公共資源,任何人都可以方便地得到網(wǎng)上的個(gè)人資料,即使刪除帳號,任何人還是可以在互聯(lián)網(wǎng)上容易地下載照片、文字、圖像與視頻;

4)應(yīng)進(jìn)行隱私設(shè)置,不要讓所有人都有權(quán)限閱覽個(gè)人資料;

5)為了防止好友的電子郵件地址泄露,不要允許社交網(wǎng)站掃描電子郵件地址簿;

6)注冊社交網(wǎng)站的電子郵箱不要作其他通訊用途。

2.2 應(yīng)對惡意程序風(fēng)險(xiǎn)

1)安裝殺毒軟件,并及時(shí)更新病毒庫,保證能查殺一般病毒與木馬[5];

2)安裝第三方應(yīng)用程序時(shí)要核實(shí)有關(guān)資料,確保來源安全,黑客往往在第三方應(yīng)用程序中嵌入惡意程序,受感染的用戶會(huì)通過鏈接與文件分享不知不覺地?cái)U(kuò)散感染人群;

3)及時(shí)更新社交網(wǎng)站客戶端軟件,防止客戶端軟件漏洞被黑客利用。

2.3 應(yīng)對網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)

1)個(gè)人資料要設(shè)置隱私權(quán)限,防止陌生人隨意閱覽信息;

2)保持軟件尤其是網(wǎng)頁瀏覽器是最新的,使攻擊者不能利用已知漏洞進(jìn)行攻擊,許多操作系統(tǒng)提供了自動(dòng)更新功能,應(yīng)該啟用自動(dòng)更新[6];

3)社交網(wǎng)絡(luò)的朋友不要隨便加,只加認(rèn)識的朋友;

4)不要輕易點(diǎn)擊朋友所發(fā)的鏈接,因?yàn)殒溄涌赡苤赶虿环ǚ肿訕?gòu)造的釣魚攻擊虛假網(wǎng)站;

5)不要張貼照片、真實(shí)姓名、居住地址、工作單位等真實(shí)信息,這些信息可以很方便地核實(shí)用戶身份,會(huì)給網(wǎng)絡(luò)攻擊者提供極大便利。

2.4 應(yīng)對身份盜竊風(fēng)險(xiǎn)

1)不要輕易接受朋友的邀請加入某些不明群組,這些群組有可能是專門用來收集身份信息;

2)添加好友要謹(jǐn)慎,一些不法分子可能會(huì)為了得到私人信息而創(chuàng)建虛假個(gè)人資料來建立好友關(guān)系;

3)不要完全相信社交網(wǎng)站上朋友發(fā)送的信息,因?yàn)橛锌赡苁呛诳完J入了朋友的帳戶并發(fā)布的信息。如果懷疑某個(gè)消息存在欺詐行為,通過其他聯(lián)系方式了解真實(shí)情況;

4)除非確定所聯(lián)絡(luò)的是真實(shí)用戶,且與對方認(rèn)識,請不要向?qū)Ψ叫孤赌愕膫€(gè)人資料。

3 結(jié) 語

社交網(wǎng)絡(luò)提供了非常方便的網(wǎng)上互動(dòng)與交流平臺(tái),但是同時(shí)也帶來了較大的安全風(fēng)險(xiǎn)。本文分析了目前的社交網(wǎng)站使用情況,以及用戶對于隱私保護(hù)的安全意識,同時(shí)總結(jié)了目前主流的幾種安全風(fēng)險(xiǎn)與表現(xiàn)形式,并提出了有針對性的安全措施意見,為人們更見安全地使用社交網(wǎng)站提供一些對策與建議,希望為社交網(wǎng)站用戶的自我保護(hù)提供一些幫助。

[1] ABDULLAH AlHasib.Threats of Online Social Networks [J].Seminar on internetworking,2008,T(110):5190.

[2] 曾捷.新一代移動(dòng)多媒體系統(tǒng)的關(guān)鍵技術(shù)研究[J].通信技術(shù),2010,43(03):70-71. ZENG Jie,Key Technologies of New-Generation Mobile Multimedia System[J].Communicarions Technology, 2010,43(03):70-71.

[3] 李陽,王曉巖,王昆,沙灜.基于社交網(wǎng)絡(luò)的安全關(guān)系研究[J].計(jì)算機(jī)研究與發(fā)展,2012(S2):124-130. LIYang,WANGXiao-yan,WANGKun,SHA Ying.Security Relationship Research on Social Networks[J].Research and Development of Computer,2012(S2):124-130.

[4] 崔亞林.社交網(wǎng)絡(luò)安全問題研究[J].信息通信,2013 (04):173-174. CUIYa-lin.Social Problems of Network Security Research[j].Information and Communications,2013 (04):173-174.

[5] 曾銘,俞俊生,劉紹華.一種用于社交網(wǎng)站的云安全敏感信息過濾模型[J].華中科技大學(xué)學(xué)報(bào),2012,40 (12):211-214. ZENG Ming,YU Jun-sheng,LIU Shao-hua.Cloud Security-Sensitive Information Filtering Model for Social Networking Sites[J].Journal of Huazhong University of Science and Technology 2012,40(12):211-214.

[6] 郝文江,李思其,丁文純.遺傳算法在社交網(wǎng)站數(shù)據(jù)分析中的應(yīng)用[J].信息網(wǎng)絡(luò)安全[J].2013(02):5-8. HAOWen-jiang,LISI,DINGWenchun.Genetic Algorithm Applications on the Social Networking Data Analysis.Information Network Security[J].2013(02):5-8.

ZHU Xiao-qian(1982-),male,graduate student,assistant engineer,majoring in information security.

蔣丹婷(1988—),女,碩士研究生,助理工程師,主要研究方向?yàn)樾畔踩?

JIANG Dan-ting(1988-),female,graduate student,assistant engineer,majoring in information security.

楊馳穎(1990—),男,碩士研究生,助理工程師,主要研究方向?yàn)樾畔踩?/p>

YANG Chi-ying(1990-),male,graduate student,assistant engineer,majoring in information security.

Analysis and Exploration of Social-Network Security Risks

ZHU Xiao-qian,JIANG Dan-ting,YANG Chi-ying
(Shanghai General Recognition Technology Institute,Shanghai201112,China)

Some websites are purely for social contact,allowing users to establish on-line friendships or business connections.Although the socialwebsites are different in characteristics,they all require users to provide true personal information,including communication mechanism that allows users to connect with each others.However,such sites are easily accessible and the users are less aware of the security threats, thus these uses ofter leave toomuch information on socialweibsites,leading privacy information leakage and security risks.In lightof this,major security risks are described,and the fundamental factors behind these threats also discassed.Meanwhile,technicalmethods for avoiding these security risks are proposed,thus to enhance the personal-information security and prevent the personal-privacy leakage by social websites.

SNS;security;privacy information;attack;malware

date：2014-11-18;Revised date：2015-01-07

TP393.08

A

1002-0802(2015)02-0219-04

朱曉乾(1982—),男,碩士研究生,助理工程師,主要研究方向?yàn)樾畔踩?

10.3969/j.issn.1002-0802.2015.02.021

2014-11-18;

2015-01-07