Čínský systém společenského kreditu jako mocný nástroj pro ovládání společnosti. Od 1. ledna plně funkční

Protestujete proti autoritám? Nenavštěvujete své staré rodiče? Přecházíte přechod na červenou? Řídíte opilí? Podvádíte v online hrách? Těžko říct kolik věcí vás může připravit o společenský kredit a vy se pak začnete propad v žebříčku. Což může znamenat řadu nepříznivých věcí – nebudete mít nárok na půjčku, nedostanete se k lepšímu ubytování v hotelu či jízdenkám/letenkám v první třídě.

Pokračovat ve čtení „Čínský systém společenského kreditu jako mocný nástroj pro ovládání společnosti. Od 1. ledna plně funkční“

Účtenkovka doplní Pravidla na ochranu soukromí. Na dotazy zjevně nejsou zvyklí

V neděli 1. října večer jsem Účtenkovce poslal e-mailem následující dotazy vyvolané věcmi popsanými vÚČTENKOVKU SI DO MOBILU NEPOUŠTĚJTE. CHCE PRÁVA, KTERÁ ROZHODNĚ NEMÁ MÍT.  Odpověď dorazila až  ve středu v odpoledních hodinách.

Pokračovat ve čtení „Účtenkovka doplní Pravidla na ochranu soukromí. Na dotazy zjevně nejsou zvyklí“

Runkeeper měl sledovat uživatele i bez jejich vědomí a data prodávat inzerentům

Norská organizace na ochranu spotřebitelů loni zjistila, že populární aplikace Runkeeper toho dělala víc, než se na první pohled zdálo. Takový typická ukázka toho, že pokud někomu svěříte informace o vás, tak se bude snažit je využít (a často zneužít). Pokračovat ve čtení „Runkeeper měl sledovat uživatele i bez jejich vědomí a data prodávat inzerentům“

Nejdůležitější způsoby ochrany vašeho soukromí na Facebooku (infografika)

The Most Important Ways to Protect Your Privacy on Facebook  je spíš shrnutí toho, co všechno o nás Facebook ví  a kdo všechno to ví. Snaha na konci infografiky radit jak si máte nastavit profil je samozřejmě správná, ale chybí to nejdůležitější. Facebook (a Internet) je veřejný prostor a žádné soukromí tam mít nelze. Více viz  Průvodce soukromím na Facebooku na @365tipu Pokračovat ve čtení „Nejdůležitější způsoby ochrany vašeho soukromí na Facebooku (infografika)“

Zneužívá Facebook chytré telefony k odposlouchávání lidí?

Je to opět tady, Facebook v roli Velkého Bratra, který nás potajmu nepřetržitě poslouchá. Vrací se to opakovaně a asi bude.

Pokud se vám prý nelíbí, že Facebook používá mikrofon vašeho telefonu, můžete si to vypnout. To je zásadní sdělení, které Facebook má k tomu, na co upozorňovala profesorka Kelli Burns z University Jižní Floridy. Podle ní Facebook naslouchá (či naslouchal, viz níže, má to totiž vývoj) skrz mikrofon mobilního telefonu neustále a může získaná data zneužívat k zjišťování toho, o čem mluvíme.

Což vlastně není nic nového, jde o téma, které se objevuje opakovaně už několik let (viz například 2014 a Facebook navrhuje, abyste se nechali dobrovolně odposlouchávat mobilem) a dá se skoro říci, že Facebook si na tohle postupně řadu let připravoval a připravuje lepší podmínky.

Naposledy se téma věčně naslouchajícího Facebooku objevilo v květnu i v březnu tohoto roku a ještě v červnu nebylo složité dohledat v nápovědě Facebooku otázkuDoes Facebook record conversations when it identifies the things I’m listening to or watching?„.  S poměrně zajímavou odpovědí

Zaznamenává Facebook konverzace při identifikaci věcí, které poslouchám nebo sleduji?

Ne. Vaše konverzace nezaznamenáváme. Když napíšete aktualizaci stavu, použijeme váš mikrofon jenom k tomu, abychom identifikovali, co posloucháte nebo sledujete na základě shod s hudbou a televizními pořady, které jse schopni identifikovat. Poznámka: Tato funkce je momentálně dostupná jen v USA.

Pokud si to přečtete, tak ano, Facebook aktivně poslouchá (nebo spíše poslouchal, viz dále), když píšete příspěvek či komentář. Dělá to ale samozřejmě pro vaše dobro, protože chce zjistit, jestli něco posloucháte či sledujete v televizi. V Česku můžeme být „trochu“ klidní, protože zatím to dělal pouze v USA. To, že Facebook právě naslouchá, se má navíc projevovat jako ikonka „zvukových vln“ v okamžiku, kdy píšete příspěvek.

Mediální kritika nejspíš přinesla změny

Zajímavé na výše uvedené nápovědě je, že se mezitím v tichosti změnila na How do I identify and share songs I’m listening to right now? a přivede vás na How do I identify and share songs I’m listening to right now? kde nakonec je i ona výše uvedená informace, tedy až na to, že se mezitím ztratilo to, že je vše dostupné pouze v USA. A také se to mírně změnilo v tom, že to musíte ručně vyvolat.

Does Facebook Record Conversations When It Identifies What Songs I’m Listening To?

No, we don’t record your conversations. If you choose to turn on song identification, we’ll only use your phone’s microphone to try to identify the song you’re listening to based on the music we’re able to identify. If song identification is turned on, it’s only active if you tap when writing a post and only for the limited time period when you are writing the post.

Konspirace u kterých se nemůžete ničemu divit

Profesorka Kelli Burns ale před pár měsíci byla toho názoru, že Facebook to nedělá jenom aby pomohl se správným výběrem hudby či televize, ale proto, aby mohl cílit lépe inzerci. Zakládá to na tom, že záměrně hovořila při používání Facebooku o určitých věcech aby se vzápětí tyto objevily v inzerci.

Což může mít jeden zásadní háček, možná ty samé věci hledala a tím pádem se stala cílem inzerce. Byť to sama Burns uznává, stále tvrdí, že by ji nepřekvapilo, pokud by Facebook skutečně v konverzaci nacházel inspiraci pro cílení.

Facebook pro The Independent uvedl, že nic takového nedělá, tedy že informace získané přes mikrofon nepoužívá pro cílení inzerce, výběr co ukazovat z příspěvků ani je nepředává inzerentům. Uživatelům nechtějícím být odposlouchávání pak doporučuje, aby si „vypnuli mikrofon na úrovni operačního systému„.

Pokud jste tedy tak nějak doufali v nějaký uchopitelný výsledek, tak na to zapomeňte. Od roku 2014 skutečně Facebook naslouchá či naslouchal (minimálně v USA) přes mikrofon v mobilních telefonech vždy, když píšete (či jste psali). Pokud teď tvrdí, že zjištěné nepoužívá pro cílení reklamy či další podobné účely, tak to nic neznamená. Ať už s ohledem na minulost, ale hlavně budoucnost.

A jestli se vám to nelíbí, tak máte opravdu jedinou možnost, odebrat Facebooku přístup k mikrofonu.

Jak smazat účet na Facebooku (How do i delete my Facebook account) *

Smazat můžete, víte-li kde. Podstatné je ale i to, že nesmíte příliš věřit aktu smazání. Pokud „smažete“ svůj účet, tak sice nebude vidět, ale jakékoliv přihlášení zpět v průběhu příštích dvou týdnů ho přivede zpět do viditelného stavu. A ani potom není jisté, co vlastně opravdu Facebook smazal.

Původní vydání z 31. května 2013 se v březnu dočkalo aktualizace a změnilo působiště. Pokud chcete vědět Jak smazat účet z Facebooku? Tak přejděte na novou verzi. Na @365tipů toho navíc najdete daleko daleko víc.

Co získáte v „rozšířeném“ archivu vašeho účtu staženém z Facebooku? *

To že si můžete stáhnout data z vašeho profilu na Facebooku snad víte (viz Návod: Stáhněte si svůj kompletní Facebookový profil). Při stahování si můžete ale zažádat o „rozšířený“ („expanded“) archiv. Co v něm vlastně získáte?

TIP#073: Stáhněte si data z Facebooku. Skoro všechna je novou aktualizovanou verzí informací o tom, jak můžete z Facebooku získat vaše informace. Toto původní vydání z května 2013 tak nahrazuje plně nová verze z března 2015. 365tipů, kde se nachází nabízí podstatně víc informací.

Návod: Stáhněte si svůj kompletní Facebookový profil *

Pokud chcete  utéct z Facebooku nebo si prostě zálohovat své informace, můžete si  stáhnout svůj (skoro) kompletní profil. Statusy, fotky, poznámky, události, přítele i zprávy. Není to dokonalé, ale pořád je to lepší než to nic.

TIP#073: Stáhněte si data z Facebooku. Skoro všechna je novou aktualizovanou verzí informací o tom, jak můžete z Facebooku získat vaše informace. Toto původní vydání z května 2013 tak nahrazuje plně nová verze z března 2015. 365tipů, kde se nachází nabízí podstatně víc informací.

Rizika sociálních sítí a Webu 3.0 v praxi

Přichází plíživé zlo sociálních sítí, cloud computingu a totální ztráty soukromí. Nevěříte? Za deset let, budeme-li ještě tady a Lupa funkční, si o tom můžeme znovu popovídat. Otázkou je, jestli v té době bude legální se bavit o soukromí a ochraně před Velkým bratrem. Já si myslím, že to bude ilegální.

Pokud jste nebyli na workshopu „Rizika sociálních sítí a Webu 3.0 v praxi“ na konferenci o bezpečnosti, přijdete o některé zábavné ilustrační obrázky. A samozřejmě o mluvené slovo, které k workshopu patřilo – pokusím se ho nahradit textem psaným. A poměrně důkladně se podívat na bezpečnostní rizika sociálních sítí a (hlavně) Webu 3.0. A upozorním předem, že nabídnu zdroj, ve kterém pokročilejší pochopí, že tady to přestává být legrace.

DŮLEŽITÁ POZNÁMKA: Tento text vznikl v listopadu 2010 na základě zmíněného workshopu nakonferenci. Při stěhování obsahu z Bradbury.cz jsme dospěl k názoru, že je dobré ho zachovat a publikovat znovu. Prosím berte v úvahu, že je více než dva roky starý.  Původně vydáno 29. listopadu 2010. 

Sociální sítě = riziko

Sociální sítě jsou rizikové, už ze samotné své povahy. Fungují na základních kamenech sociálního inženýrství – přátelům (zpravidla) věříte víc, než někomu koho neznáte. Byť i to u nemalé části populace není pravidlem. Pokud vám ale něco „doporučí“ známý, přítel, kamarád či kolega, snižuje se tím tolik potřebná opatrnost. Možná i proto si malware i spam už našly svojí cestu na Twitter (spamové i porno účty jsou zcela běžné, automatizace je na vysoké úrovni), Myspace.com (který se Česka zase až tak moc netýká, minul nás), Facebook.com (o podvodných aplikacích a dalších metodách bude řeč právě v tomto článku) i LinkedIn.com (což by sice měla být profesní sociální síť, ale míra spamu a balastu je tam nesmírná).

Nelze se potom ani divit, že v průzkumech se 72% společností domnívá, že sociální sítě jsou pro firmu nebezpečné. A 60% označuje za nejvíce rizikový právě Facebook (následuje MySpace, Twitter a LinkedIN). Nebezpečí je samozřejmě hodnoceno zpravidla i z pohledu případných problémů firemní komunikace a možností „vynášení“ informací zevnitř firmy, které být vyneseny neměly. A protože jde o průzkumy v USA, tak je tam i citlivé to, že projevy řady firem směrem na veřejnost jsou svázány řadou zákonů a regulačních opatření.

Hugo Chávez minulý týden označil Twitter za nástroj teroristů. A jeho Národní shromáždění se začalo velmi rychle zabývat tím, jak odstranit „teroristické hrozby představované sociálnímí sitěmi“. Ano, Twitter má problémy se spamem, reklamou, šířením virů, trojských koňů, hacknutými účty – prostě vším, s čím má problém internet, Facebook a jakékoliv další internetové služby. Ale Hugo je exot, byť můžeme s napětím očekávat, kdy některý z našich zákonodárných exotů dostane podobný nápad. Ostatně EU už podobné nápady má, byť nepoužívá tak „revoluční“ slovník jako Hugo.

CO S TÍM? VŠECHNO ZAKÁZAT!

Co s tím je skutečně podstatná otázka. A v současné době  by ZAKÁZAT bylo pravděpodobně nejlepším řešením. Sociální sítě i Web 2.0 (3.0) jsou v plenkách. A tvůrci webových aplikací se stále učí, jak je dělat bezpečné. A jak se později v článku dozvíte, Facebook je opravdu bezvadná věc. Zejména pokud jste někdo, kdo chce z Facebooku dolovat informace, o kterých si lidé myslí, že je dolovat nejde. A není vůbec nutné k tomu používat klasický PHISHING neboli rhybaření (viz následující obrázek, u kterého si musíte prohlédnout dobře zejména adresu nahoře v prohlížeči).

Sociální inženýrství na sociálních sítích funguje skvěle. A je využíváno hlavně rozesíláním zpráv z hacknutých účtů nebo škodících aplikaci – ty pak zpravidla uživatele dostanou „mimo“ Facebook – stránka na kterou dorazí se ovšem stále tváří „jako“ Facebook. Nejčastěji z uživatele dostanou jméno a heslo pro Facebook. A pokusí se mu zavirovat počítač. Získané jméno a heslo použijí pro přihlášení a další rozesílání. Důvod je prostý – mohou poslat zprávu přátelům takového člověka. A jedinou výhodou naší malé republiky je, že mluvíme česky. Přesto na podobné útoky naletí běžně značné množství lidí. A nakonec skončí s následující lakonickou zprávou při pokusu o příhlášení. Spolu s velkým problémem jak získat jejich účet zpět.

Už někdy loni v říjnu se objevily i viry/trojany, které klasicky (mailem) šířily trojského koně, vydávajícíh se za „změnu hesla na Facebooku“. Příklad vidíte na následujícím obrázku. Důvěřivci si otevřeli ZIP soubor, spustili v něm uložený program a bylo vystaráno. Rootkit na jejich počítači je připojil do Bredolab botnet aktivit.

Jedním z hezkých příkladů z poslední doby je i červík „My Ex – Girlfriend Cheated on me… Here is my revenge!“ – šířil se uvnitř Facebooku coby stavová zpráva od někoho z vašich přátel (ano, několik mých přátel mu podlehlo). Po kliknutí vedl na web mimo Facebook a výsledkem bylo šíření stejné zprávy (a pochopitelně i nějaký ten přídavek navíc) všem přátelům. Zajímavé na něm hlavně je to, že se tomuto červíkovi podařilo zneužít Facebook API k automatickému šíření – v současnosti už stejná metoda nefunguje, Facebook tomu zamezil. Otázka je na jak dlouho – dříve nebo později bude objevena jíná díra.

Sociální sítě ví více, než si myslíme

„Síť ví o našem chování, zvycích, zálíbách, často i těch nejtajnějších věcech. Naše data, osobní údaje, soubory, e-maily jsou zcela běžně „někde na Sítí“. A my ochotně soukromí vyměňujeme za komfortní služby, zejména proto, že se nám prostě líbí být „alway-connected“. Slovo Síť si můžete v předchozí větě nahradit internetem, Facebookem, ale také třeba Google. A rozebírat to dál nemá smysl, protože se bezprostředně, oslím můstkem, dostaneme k problému jménem Cloud Computing.

Pod falešným příslibem toho, že detailní profil na sociální sítí nabídne lepší možnosti poznávání světa lidé ochotně vyplňují, klikají a sdělují o sobě to, co by veřejně nikdy nesdělovali. Podíváte-li se na následující obrázek, uvidíte příklad mého profilu na Facebooku. A jedno je jisté, žádným způsobem ho Facebook nedokázal využít pro lepší poznání světa – možná byl občas zajímavý pro někoho, kdo se na něj podíval, ale to je asi tak všechno. Můj profil je přitom přeci jenom poněkud řízená záležitost, pokud se po Facebooku občas projdete, najdete profily, kde už snad opravdu chybí jenom číslo bot, podpresenky a případná velikost pe**su.

Nakonec jsou ale stejně za vším peníze, takže je dobré připomenout dvě zásadní věci. První je, že každá síť má své administrátory. A o tom jak fungují ti na Facebooku si můžete počíst v famózním Conversations About the Internet #5: Anonymous Facebook Employee, kde se zkušení nedočtou nic nového. Ti naivní ovšem zjistí, že cokoliv na Facebook dají je přístupné lidem pracujícím pro Facebook. A pak už jenom připomenu, že nejdůležitější na světě jsou nakonec peníze. Ty člověka pracujícího pro Facebook mohou snadno přesvědčit. A nakonec přesvědčily Facebook jako takový, aby podvodem přiměl své uživatele k otevření účtů.

Tento památný „malý krok pro Facebook ale velký krok pro příjmy do kasy od Google“ snad vstoupí do dějin. „Vylepšení ochrany soukromí“ totiž ve skutečnost vedlo k otevření účtů uživatelů pro veřejný přístup. A umožnilo se tak, aby Google získal přístup k desítkám milionů ůčtů, které byly předtím neviditelné.

Cloud Computing aneb Web 3.0

Připadá vám Cloud Computing jako něco, co nepoužíváte? Možná nepoužíváte Amazon EC (to je jasný příklad čirého CC), ale nejspíš používáte Google – tam už to tak jasné není, ale drtivá většina služeb Google je Cloud Computing a používá Cloud Computing – nejmarkantnější je samozřejmě Gmail. A pokud jste uživateli nějakého toho chytrého telefonu, netbooku či tabletu, příliš snadno jste se někdy CC do cesty připletli. A zároveň patříte k „rizikové skupině“. Zejména proto, že své virtuální existence víc a víc přesouváte na Síť. A počet hráčů (ti hlavní na následujícím obrázku) na tomto poli je docela velký.

Cloud Computing není a nikdy nebude bezpečný, tedy pokud nedojde k dramatické proměně „přihlašovacího“ mechanismu – současné jméno/heslo je totiž věc, která je zcela nebezpečná. Ale to nijak nestojí v cestě k tomu, aby se CC stávalo součástí všeho – služby tohoto druhu jsou levné, užitečné a mohou v řadě případů fantasticky pomáhat. Třeba i začínající firmě. A právě i tam začíná další filozofický problém – stírá se rozdíl mezi účty (maily) firemními a soukromými. A selhání jednoho účtu pak paradoxně může vést k selhání celé firmy.

Pokud „Síti“ důvěřujete, tak vás zklamu. A upozorním na jednu zajímavou událost z počátku tohoto roku. Uživatelé v sítí AT&T se nestačili divit, když se jim na Facebooku ukazoval obsah cizího účtu. Jak se nakonec ukázalo, něco bylo v AT&T shnilého a pletly se jim data – výsledek byl ten, že si Facebook myslel, že jste někdo jiný. Nejzábavnější je omluva AT&T:

„In a limited number of instances, a server software connectivity error resulted in some AT&T wireless customers being logged into the wrong Facebook account when they accessed Facebook through their mobile phones.“

Samozřejmě tento „ojedinělý incident“ nějak souvisel s cookies (sušenkami). A nemohu nepřipomenout často opomíjenou maličkost. Vlatně dvě. Jednak, že Facebook už několik let do Cookies ukládá mail aktuálně přihlášeného uživatele. A druhou, že existuje Flash „cookies“ (Local Shared Object, LSO), ve kterých lze najít netušené poklady – a netýká se jich zákazy použití a mazání cookies. A pochopitelně jsou volně přístupné, čitelně, na disku.

Za pár let bude stejně všechno jinak

Už jsem tuhle maličkost zmiňoval v článku o ochraně soukromí na Facebooku (Soukromí. Něco, co na Internetu a v sociální siti nečekejte) a musím to zopakovat i zde. Návyky se mění a mění se i vnímání soukromí. Pokračuje výměna soukrmí za služby a komfort. A rok od roku se tak vzdáváme větší části soukromí. A je tak dost dobře možné, že za deset let bude Velký bratr běžnou součástí životů. Postará se o to mlčící a kývající většina – prostředky na ochranu soukromí pak budou postaveny mimo zákon, stejně jako se tomu už dnes děje například v sousedním Slovensku.

Zakladatel Facebooku, Mark Zuckerberg, se nakonec před pár měsící vydal na nejistou cestu prosazování změn -prohlásil tehdy, že je potřeba změnit zaběhnuté vnímání soukromí. Souviselo to pochopitelně s tím, že Facebook trikem přiměl uživatele k otevření účtů pro veřejný přístup (aby je bylo možné indexovat v Google vyhledávání). Aby šel příkladem, nastavil si svůj profil podle „nových pravidel“. Aby vzápěti musel zamknut fotografie. Ty totiž moc veřejné nebyly. A samozřejmě se v médiích novináři bavili tím, že objevili co Zuckerberg pije a čeho je vlastně fanouškem.

Možná právě laxní přístup Zuckerberga je vysvětlením toho, proč v lednu uvedl Facebooku funkčnost jménem Application a Game Dashboard – užitečnou věc umožňující se konečně rozumně podívat na to, jaké aplikace a hry vlastně používáte. Ale bohužel – také se podívat jaké aplikace a hry používají vaši přátele. Po mohutné kritice se na začátku února v „novém“ Facebooku objevila možnost „skrýt“ vybrané aplikace/hry před zviditelněním – jenže, musíte to dělat pro každou aplikaci jednotlivě. Jde tak nakonec jenom o další příklad, že cokoliv „zatím“ bezpečné se rázem může stat nebezpečným (nekříčí teď někdo „Google Buzz“?)

Google a Facebook je nebezpečná kombinace

Právě přítomnost Google v prostoru Facebooku ale přinesla nové netušené možnosti. Facebook dlouho odolával zprovoznění použitelného vyhledávání. V září 2009 sice vyhledávání doplnil, ale moc „to nehledá“. Teprve když přišel Google a otevření profilů, otevřely se netušené možnosti.

Results 1 – 10 of about 72,200,000 from facebook.com for inurl:profile.php. (0.28 seconds)

Síla Google a jeho operátorů prostě nemá chybu. Pokud si v Google vyhledádat profily uživatelů, neobjeví se jich sice očekávatelných 400 milionů, ale přesto budete mít dostatek materiálu pro další zkoumání. Pak už stačí jenom pokračovat na profil. A na něm najdete další možnosti kudy pokračovat.

Není třeba se ani přihlásit a vidíte přátele dotyčné osoby, stejně tak jako její záliby a zájmy. Po přihlášení vidíte vše ještě přehlednějí. A je snad potřeba nějak výrazně říkat, že všechny tyto údaje jsou dolovatelné pomocí skriptů? A že můžete použít řadu dalších operátorů Google pro další zdroje dat?

Results 1 – 10 of about 504,000,000 from facebook.com for inurl:pages

Results 1 – 10 of about 80,600,000 from facebook.com for inurl:group.php

Dolovat data o exotické krásce je samozřejmě krajně nepraktické, ale co třeba pár ukázek užitečných informací z čistě českého prostředí? Veřejněpřístupných, na to musím upozornit předem




Připadají vám podobné údaje jako nepoužitelné? Mýlka, pro sociální inženýrství jsou prostě geniální. A pokud si vzpomenete na posedlost poštovních služeb „kontrolními“ otázkami, tak už budete zase o kousek chytřejší. Podívejte se na „kontrolní otázky“, pak si sedněte k Facebooku a zkuste se podívat, zda na ně u svých přátel najdete odpověď.

Friend Finder jak nástroj marketérů

Facebook Friend Finder je na jednu stranu užitečná věc – pomocí mailové adresy můžete zkusit najít své přátele. Dokonce můžete Facebook nechat přihlásit do svých mailových schránek, kde vyzobá maily se kterými jste si psali a pak se pokusí tyto lidi najít. Zdůrazním že si takto zadaný váš mail bude pamatovat (takže je zde riziko předání třetí osobě). A pochopitelně absolutně netušíte, zda si podobně nezapamatoval i heslo k vaší schránce.

Právě pro Friend Finder a pro běžné „Search for People“ (jednorázové zadání mailu) je už hodně dlouho používáno marketéry – prostě vezmou databázi mailů, nakrmí je do Facebooku, získají přehled o profilech. Na ty pošlou další software, které vytáhné údaje o lidech, jejich zálibách a přátelích. A pak se to celé vhodně použije.

Podvodné skupiny, zvláštní kategorie

Aktuální problém českého Facebooku jménem podvodné skupiny se probíral už několikrát, přesto do článku o rizicích patří. Je neuvěřitelné kolik lidí se nechá nachytat. „Cool smajlící v profilu – nastavení zde!“ (22 tisíc), „FotoCheck: Zjisti, kdo si prohlíží tvý fotky + počítadlo shlédnutí! FUNGUJE“ (181 tisíc) či „NEBUDU PLATIT 100 K4 MĚSÍČNE ZA POUŽÍVÁNÍ FACEBOOKU OD 9. ČERVENCE 2010!“ (250 tisíc). Stovky tisíc hloupých lidí se

  • shlukuje u určitého tématu, který je možné využít jako základ pro sociální inženýrství.
  • zapojuje do skupiny, kde je možné jim začít posílat spam.
  • ochotně nechá přesvědčit, aby si stáhli a spustili neznámou aplikaci (program) a pořídí si tak vir.
  • nechá lustrovat stránkou/aplikací, která k nim tak získala či získá přístup.
  • objevuje ve veřejně dostupném seznamu přístupném komukoliv.

Extrémní příklda je „Změn si barvu pozadí a jiné vlastnosti Tvého Facebooku !!!“ kde se 360 tisíc lidí nechá každý den ospamovat Banánovým spamem. Pod každým takovým spamem se pak rozčilují co je to za „kokota“. A ze stránky/skupiny neodejdou.

Zábavné to není, ale poučné to je. Pokud víte, že tohle je „materiál“ se kterým hackeři a sociální inženýři mohou pracovat, tak je snad asi jasné, že mají obrovskou, astronomickou, šanci na úspěch. Vidět je to i na jedné z největších podvodných skupin – „Kdo si prohlíží tvůj profil – STALKER CATCHER“ – s více než 600 tisíci hloupými lidmi. Ani jim nevadí, že odkaz na aplikaci (ve spodní části stránky) nikam nevede. A i přes několik tisíc oznámení skupiny pro podvod skupian stále existuej – několik měsíců. Je to samozřejmě Facebook, který zcela ignoruje nutnost správy vlastního webu. Stejně jako to dříve ignoroval v případě aplikací – do momentu ZYNGAgate (viz Facebook – ráj pro podvodníky aneb společenské hry vládnou světu) a hrozby žalob v USA.

Mimochodem právě aplikace jsou pro Facebook největším zlem. Důvodem je nenápadné varování, které klasicky nikdo nečte. A už vůbec mu nedochází, že se totéž týká i Facebook Connect, který je běžně na webových stránkách.

When you visit a Facebook-enhanced application or website, it may access any information you have made visible to Everyone (Edit Profile Privacy) as well as your publicly available information. This includes your Name, Profile Picture, Gender, Current City, Networks, Friend List, and Pages. The application will request your permission to access any additional information it needs.

Jinými slovy, pokud začnete používat aplikace, dáváte jí přístup ke všemu, co jste zpřístupnili na svém profilu. A co navíc, přístup k podobným informacím o vašich přátelích. Pokud tedy nejsou dost chytří a nezakázali tuhle hrůzku ve svém profilu.

Plíživé znehodnocení mailu a telefonních čísel

E-Mail je to nejcennější co uživatel má. Dnes se ale používá běžně i pro přihlašování k dalším službám. Gmail adresa uživatele ve spojení s informacemi z účtu může vést k velmi snadnému hacku. Spuštění Google Buzz (viz Buzz okolo Google Buzz) přineslo i nemilé překvapení – Google vůbec maily nepovažoval za podstatné a všude je zveřejňoval. World of Warcraft přešel od přihlášení pomocí ID na povinné přihlášení mailem – že tím jenom usnadňuje práci zlodějům účtů? To nikoho nezajímavá.

A Facebook? Až donedávna maily chránil – v profilu byly uvedené jako obrázek. V lednu se tam objevily jako čistý text. Kopírovatelný a pochopitelně automaticky dolovatelný, tedy pokud nejste dostatečně inteligentní a nebráníte se. Aplikace ve Facebooku nyní mohou váš mail získat – pravda, musíte jim k tomu dát svolení, ale to přeci nic neznamená. Stačí něco „nabídnout“ a uživatel ochotně svůj e-mail sdělí, výměnou za „něco“.

Aplikace na Facebooku jsou vůbec bezvadná věc, tedy pokud chcete nasbírat co nejvíce informací – přes jednoho uživatele se dostanete k desítkám i stovkám jeho/jejích přátel. A pokud chcete získat telefonní číslo? To vám Facebook nedá. Ale i tady je řešení. Nalákáte dvě stě tisíc lidí na „SMS zdarma přímo z Facebooku“.  A uživatelé budou naivně sdělovat své mobilní telefonní číslo i s osobními údaji sebe a svých přátel. Zpravidla navíc ani netuší, že na jejich číslo je možné poslat SMS, kterou zaplatí oni. Po reklamaci sice zpět peníze dostanou, ale i tak, dostatek škody už nadělali. A to nemluvě o tom, že tohle je zlatý důl pro marketéry i podvodníky.

Vedle nebezpečí plynoucího z Facebooku je v tomto momentu nutné upozornit na nebezpečí Google – je všudypřítomný, stává se službou pro unifikované přihlášení a tím se jedno heslo stává branou k obrovskému množství dalších služeb. Možná si vzpomenete na hack Twitteru před pár měsící – The Twitter Attack: How The Ecosystem Failed je poučené čtení o tom, o čem poměrně zeširoka píšu v tomto článku. Hlavní roli hraje Google, bezpečnostní otázka pro získání hesla k mailovému účtu, trocha sociálního inženýrství a umění získat ty správné informace.

Ke spamu už není potřeba posílat maily

Spam sice tvoří většinu elektronické pošty, ale na sociálních sítích se dnes spamuje přímo. Stačí posílat uživtelům DM (Twitter) nebo zprávy ve vnitřní poště. Můžete jim vkládat informace na zeď, nebo je dostat do skupiny a pak je spamovat jedním kliknutím v počtech stovek tisíc. Módou letošního roku je zneužitívání funkce „tagging“ – tedy označení fotografie nebo poznámky (note) vaším jménem.

Do pasti s označováním fotografií nakonec spadla i reklamní aplikace „Za tučňáky na Antarktidu“ (Škoda Auto) která do fotografie automaticky generovala fotografie přátel, které si někdo vybral jako „spolucestující“. Až do tohoto okamžiku budiž, byť i to je takové trochu zvláštní (ale jde o profilové fotografie, tedy veřejné fotografie). Bohužel zároveň s tím byla fotografie doplněna o jména lidí (tagging) a rázem se staly spamem – objevily se na zdech lidí, kterých se to týkalo (a kteří nebyli dostatečně chytří a nezakázali to). Tvůrci aplikace si chvíli mnuli ruce, protože lepší „virální“ způsob šíření si přeci nemohli přát – jedna fotka, na ní deset obětí, každá má desítky až stovky přátel = všichni to uvidí. Nakonec ale aplikace musela tuto podivnou funkčnost zrušit.

Vyšší dívčí hackingu Facebooku

Teď prozradím jednu adresu, která je zcela perfektní, pokud se chcete trochu více věnovat „hackingu“ na Facebooku – http://theharmonyguy.com.  Dozvíte se tam takové drobnosti jak odkrýt skryté přátele (u někoho kdo je nechce ukazovat), jak se podívat na „nepřístupné“ fotoalbum. A The Month of Facebook Bugs Report je extrémně poučné čtení. Dozvíte se něco, co je „samozřejmostí“, ale jak pro koho. A The Harmony Guy se pro vás může stát velmi dobrým zdrojem informací.

  • Facebook aplikace postrádají nejzákladnější bezpečností opatření (nakonec i servery Zynga byla hacknuty a zneužity pro šíření virů)
  • Facebook i aplikace jsou napadnutelné s pomocí XSS (Cross Site Scripting)
  • Není problém bezpečnostní nedostatky využít pro spouštění JavaScriptu a tím i šíření virů/malware
  • Přes bezpečnostní nedostatky se lze dostat k údajům v profilech, statusům, fotografiím i přátelům
  • Za uživatele je možné vkládat statusy, odkazy, fotografie
  • Pokud všechno takovéto selže, Facebook nemá žádnou obranu proti clickjackingu
  • Údaje získáváne aplikacemi pouze „nesmí“ ukládat – podobné „smluvní“ omezení ovšem pro škodící aplikaci neplatí
  • Řešení těchto problémů vyžaduje spolupráci Facebooku a tvůrců aplikací (a o té si můžete nechat jenom zdát).

Nebezpečnost Facebooku je dána vrozenou nebezpečností Web 2.0/3.0 aplikací – AJAX a všechny další podobné věci jsou totiž zpravidla zneužitelné někým, kdo se dokáže vyznat v komunikaci na úrovni XML/RPC a JavaScriptu. Není tak pro něj problém si napsat potřebný skript. A pak už třeba není problém na Stránce(Page) Facebooku dolovat seznam fanoušků – což je, mimochodem, obtížně dostupná věc pro samotného správce/vlastníka Stránky.

Řešení místo strašení?

Inu, řešení neexistuje. Tedy lépe řečeno, existuje – nepoužívejte sociální sítě. Nebo ještě lépe, nepoužívejte vůbec Internet. Nebo, někdo sice bude mít námitky, LŽETE Z PLNA HRDLA. A taky nezapomeňte vyhodit mobilní telefon. Ten je totiž ještě horší než všechny sociální sítě.

A mimochodem, bude hůř. Přichází Google Buzz, Google Wave, Google Phone, Google Phone with Translation, Location Based Services, Facebook Mail … a řada dalších věcí, které teprve čekají na masivní zneužívání.

DŮLEŽITÁ POZNÁMKA: Tento text vznikl v listopadu 2010 na základě zmíněného workshopu nakonferenci. Při stěhování obsahu z Bradbury.cz jsme dospěl k názoru, že je dobré ho zachovat a publikovat znovu. Prosím berte v úvahu, že je více než dva roky starý.