Собственные «пространства» на MySpace, свои видео-клипы на YouTube, персональные блоги на LiveJournal… Социальные сайты, где каждый пользователь может самостоятельно создавать веб-контент, выбирать своё окружение – становятся исключительно популярными. Но их незащищённость вызывает всё большее волнение.
Именно повышенное внимание пользователей к тем сервисам, где аудитория самостоятельно формирует содержание сайта, привело к тому, что всё большее количество злоумышленников хотят «воспользоваться» этими же сервисами – как из хулиганских побуждений, так и с целью наживы. Примеров тому становится всё больше.
В прошлый уикэнд немалая часть пользователей MySpace «подарили» доступ к своим аккаунтам: страницы сервиса были заражены вирусом, который подменил ссылки на страницу, обычно используемую для ввода логина и пароля. В результате на страницах жертв появились видео-материалы непристойного содержания и ссылки на сайты, распространяющие в том числе и детскую порнографию. От имени жертв также рассылаются письма с приглашениями посетить порно-сайты. Злоумышленники использовали как уязвимости самого MySpace, так и недоработки в QuickTime Player компании Apple. В результате заражению подвергаются и «друзья» пострадавших пользователей, которые просматривают в своей «френд-ленте» содержание заражённых страниц.
В прошлом месяце компания Websense сообщила, что на MySpace появились видео-ролики, при просмотре которых на локальный компьютер устанавливается «рекламное программное обеспечение» – adware. Злоумышленники использовали уязвимость в системе управления лицензиями Windows Media Player.
MySpace является «любимой целью» злоумышленников – что неудивительно: его популярность позволяет «охватить» максимальное количество «жертв». К примеру, год назад по страницам пользователей «гулял» java-скрипт, добавлявший в «друзья» пользователя Samy. Тогда администрация сервиса просто удалила пользователя – и отказалась комментировать ситуацию.
Конечно, не только MySpace остаётся уязвимым для подобных атак. Онлайновая энциклопедия, добавлять и редактировать содержание которой может любой желающий – Википедия также сталкивается с подобными проблемами. В ноябре на странице немецкой версии Вики была размещена ссылка на сайт, якобы содержащий «лекарство» от вируса MSBlast. Злоумышленники не ограничились «ссылочным вандализмом»: они разослали электронные письма с приглашением посетить вики-страницу. Пользователи, которые вряд ли поверили бы прямой ссылке на неизвестный сайт, воспользовались данными известной сетевой энциклопедии – и заразили свои компьютеры.
А виртуальный мир сетевой игры Second Life однажды оказался покрыт «серой слизью». В различных частях «мира» начали появляться непонятные золотистые кольца, размножающиеся с большой скоростью. Через некоторое время сервера игры просто перестали справляться с таким количеством новых объектов – и игра приостановилась примерно на полчаса. Опасность была достаточно быстро устранена – но эксперты говорят, что написание нового скрипта для подобного заражения не займёт много времени. Стоит отметить, что только осенью на Second Life уже проведено три атаки, в частности, в сентябре хакеры смогли взломать более 600.000 аккаунтов игроков.
Бесплатные площадки для блогов также легко становятся «разносчиками» мошеннической информации. Специалисты по безопасности компании Microsoft в ходе своих исследований обнаружили целую сеть сайтов, которые при помощи спама (как по email, так и с помощью трэкбеков) заманивали посетителей на сайты, продававшие нелегальное программное обеспечение. Порядка 17.000 таких сайтов располагается на сервисе Blogger. Впрочем, этот сервис компании Google не раз попадался на уязвимостях: пользователи время от времени обнаруживают на своих страницах чужие посты, а однажды злоумышленники смогли разместить ложную информацию в официальном блоге Google.
Разработчики, похоже, не сильно задумываются над вопросом: как контролировать то, что раньше контролировать не требовалось? Контент, размещаемый пользователями, может нести гораздо большую опасность, нежели предполагают владельцы MySpace или Blogger. Уязвимости социальных сайтов приносят убытки не только их владельцам, но и пользователям. Кроме того, они могут принести убытки и сторонним компаниям, поэтому однажды News Corp. или Google вполне могут стать ответчиками в громком судебном процессе, если не начнут действительно серьёзно подходить к вопросам безопасности на своих социальных сервисах.
Именно повышенное внимание пользователей к тем сервисам, где аудитория самостоятельно формирует содержание сайта, привело к тому, что всё большее количество злоумышленников хотят «воспользоваться» этими же сервисами – как из хулиганских побуждений, так и с целью наживы. Примеров тому становится всё больше.
В прошлый уикэнд немалая часть пользователей MySpace «подарили» доступ к своим аккаунтам: страницы сервиса были заражены вирусом, который подменил ссылки на страницу, обычно используемую для ввода логина и пароля. В результате на страницах жертв появились видео-материалы непристойного содержания и ссылки на сайты, распространяющие в том числе и детскую порнографию. От имени жертв также рассылаются письма с приглашениями посетить порно-сайты. Злоумышленники использовали как уязвимости самого MySpace, так и недоработки в QuickTime Player компании Apple. В результате заражению подвергаются и «друзья» пострадавших пользователей, которые просматривают в своей «френд-ленте» содержание заражённых страниц.
В прошлом месяце компания Websense сообщила, что на MySpace появились видео-ролики, при просмотре которых на локальный компьютер устанавливается «рекламное программное обеспечение» – adware. Злоумышленники использовали уязвимость в системе управления лицензиями Windows Media Player.
MySpace является «любимой целью» злоумышленников – что неудивительно: его популярность позволяет «охватить» максимальное количество «жертв». К примеру, год назад по страницам пользователей «гулял» java-скрипт, добавлявший в «друзья» пользователя Samy. Тогда администрация сервиса просто удалила пользователя – и отказалась комментировать ситуацию.
Конечно, не только MySpace остаётся уязвимым для подобных атак. Онлайновая энциклопедия, добавлять и редактировать содержание которой может любой желающий – Википедия также сталкивается с подобными проблемами. В ноябре на странице немецкой версии Вики была размещена ссылка на сайт, якобы содержащий «лекарство» от вируса MSBlast. Злоумышленники не ограничились «ссылочным вандализмом»: они разослали электронные письма с приглашением посетить вики-страницу. Пользователи, которые вряд ли поверили бы прямой ссылке на неизвестный сайт, воспользовались данными известной сетевой энциклопедии – и заразили свои компьютеры.
А виртуальный мир сетевой игры Second Life однажды оказался покрыт «серой слизью». В различных частях «мира» начали появляться непонятные золотистые кольца, размножающиеся с большой скоростью. Через некоторое время сервера игры просто перестали справляться с таким количеством новых объектов – и игра приостановилась примерно на полчаса. Опасность была достаточно быстро устранена – но эксперты говорят, что написание нового скрипта для подобного заражения не займёт много времени. Стоит отметить, что только осенью на Second Life уже проведено три атаки, в частности, в сентябре хакеры смогли взломать более 600.000 аккаунтов игроков.
Бесплатные площадки для блогов также легко становятся «разносчиками» мошеннической информации. Специалисты по безопасности компании Microsoft в ходе своих исследований обнаружили целую сеть сайтов, которые при помощи спама (как по email, так и с помощью трэкбеков) заманивали посетителей на сайты, продававшие нелегальное программное обеспечение. Порядка 17.000 таких сайтов располагается на сервисе Blogger. Впрочем, этот сервис компании Google не раз попадался на уязвимостях: пользователи время от времени обнаруживают на своих страницах чужие посты, а однажды злоумышленники смогли разместить ложную информацию в официальном блоге Google.
Разработчики, похоже, не сильно задумываются над вопросом: как контролировать то, что раньше контролировать не требовалось? Контент, размещаемый пользователями, может нести гораздо большую опасность, нежели предполагают владельцы MySpace или Blogger. Уязвимости социальных сайтов приносят убытки не только их владельцам, но и пользователям. Кроме того, они могут принести убытки и сторонним компаниям, поэтому однажды News Corp. или Google вполне могут стать ответчиками в громком судебном процессе, если не начнут действительно серьёзно подходить к вопросам безопасности на своих социальных сервисах.
