Rizika sociálních sítí a Webu 3.0 v praxi

Přichází plíživé zlo sociálních sítí, cloud computingu a totální ztráty soukromí. Nevěříte? Za deset let, budeme-li ještě tady a Lupa funkční, si o tom můžeme znovu popovídat. Otázkou je, jestli v té době bude legální se bavit o soukromí a ochraně před Velkým bratrem. Já si myslím, že to bude ilegální.

Pokud jste nebyli na workshopu „Rizika sociálních sítí a Webu 3.0 v praxi“ na konferenci o bezpečnosti, přijdete o některé zábavné ilustrační obrázky. A samozřejmě o mluvené slovo, které k workshopu patřilo – pokusím se ho nahradit textem psaným. A poměrně důkladně se podívat na bezpečnostní rizika sociálních sítí a (hlavně) Webu 3.0. A upozorním předem, že nabídnu zdroj, ve kterém pokročilejší pochopí, že tady to přestává být legrace.

DŮLEŽITÁ POZNÁMKA: Tento text vznikl v listopadu 2010 na základě zmíněného workshopu nakonferenci. Při stěhování obsahu z Bradbury.cz jsme dospěl k názoru, že je dobré ho zachovat a publikovat znovu. Prosím berte v úvahu, že je více než dva roky starý.  Původně vydáno 29. listopadu 2010. 

Sociální sítě = riziko

Sociální sítě jsou rizikové, už ze samotné své povahy. Fungují na základních kamenech sociálního inženýrství – přátelům (zpravidla) věříte víc, než někomu koho neznáte. Byť i to u nemalé části populace není pravidlem. Pokud vám ale něco „doporučí“ známý, přítel, kamarád či kolega, snižuje se tím tolik potřebná opatrnost. Možná i proto si malware i spam už našly svojí cestu na Twitter (spamové i porno účty jsou zcela běžné, automatizace je na vysoké úrovni), Myspace.com (který se Česka zase až tak moc netýká, minul nás), Facebook.com (o podvodných aplikacích a dalších metodách bude řeč právě v tomto článku) i LinkedIn.com (což by sice měla být profesní sociální síť, ale míra spamu a balastu je tam nesmírná).

Nelze se potom ani divit, že v průzkumech se 72% společností domnívá, že sociální sítě jsou pro firmu nebezpečné. A 60% označuje za nejvíce rizikový právě Facebook (následuje MySpace, Twitter a LinkedIN). Nebezpečí je samozřejmě hodnoceno zpravidla i z pohledu případných problémů firemní komunikace a možností „vynášení“ informací zevnitř firmy, které být vyneseny neměly. A protože jde o průzkumy v USA, tak je tam i citlivé to, že projevy řady firem směrem na veřejnost jsou svázány řadou zákonů a regulačních opatření.

Hugo Chávez minulý týden označil Twitter za nástroj teroristů. A jeho Národní shromáždění se začalo velmi rychle zabývat tím, jak odstranit „teroristické hrozby představované sociálnímí sitěmi“. Ano, Twitter má problémy se spamem, reklamou, šířením virů, trojských koňů, hacknutými účty – prostě vším, s čím má problém internet, Facebook a jakékoliv další internetové služby. Ale Hugo je exot, byť můžeme s napětím očekávat, kdy některý z našich zákonodárných exotů dostane podobný nápad. Ostatně EU už podobné nápady má, byť nepoužívá tak „revoluční“ slovník jako Hugo.

CO S TÍM? VŠECHNO ZAKÁZAT!

Co s tím je skutečně podstatná otázka. A v současné době  by ZAKÁZAT bylo pravděpodobně nejlepším řešením. Sociální sítě i Web 2.0 (3.0) jsou v plenkách. A tvůrci webových aplikací se stále učí, jak je dělat bezpečné. A jak se později v článku dozvíte, Facebook je opravdu bezvadná věc. Zejména pokud jste někdo, kdo chce z Facebooku dolovat informace, o kterých si lidé myslí, že je dolovat nejde. A není vůbec nutné k tomu používat klasický PHISHING neboli rhybaření (viz následující obrázek, u kterého si musíte prohlédnout dobře zejména adresu nahoře v prohlížeči).

Sociální inženýrství na sociálních sítích funguje skvěle. A je využíváno hlavně rozesíláním zpráv z hacknutých účtů nebo škodících aplikaci – ty pak zpravidla uživatele dostanou „mimo“ Facebook – stránka na kterou dorazí se ovšem stále tváří „jako“ Facebook. Nejčastěji z uživatele dostanou jméno a heslo pro Facebook. A pokusí se mu zavirovat počítač. Získané jméno a heslo použijí pro přihlášení a další rozesílání. Důvod je prostý – mohou poslat zprávu přátelům takového člověka. A jedinou výhodou naší malé republiky je, že mluvíme česky. Přesto na podobné útoky naletí běžně značné množství lidí. A nakonec skončí s následující lakonickou zprávou při pokusu o příhlášení. Spolu s velkým problémem jak získat jejich účet zpět.

Už někdy loni v říjnu se objevily i viry/trojany, které klasicky (mailem) šířily trojského koně, vydávajícíh se za „změnu hesla na Facebooku“. Příklad vidíte na následujícím obrázku. Důvěřivci si otevřeli ZIP soubor, spustili v něm uložený program a bylo vystaráno. Rootkit na jejich počítači je připojil do Bredolab botnet aktivit.

Jedním z hezkých příkladů z poslední doby je i červík „My Ex – Girlfriend Cheated on me… Here is my revenge!“ – šířil se uvnitř Facebooku coby stavová zpráva od někoho z vašich přátel (ano, několik mých přátel mu podlehlo). Po kliknutí vedl na web mimo Facebook a výsledkem bylo šíření stejné zprávy (a pochopitelně i nějaký ten přídavek navíc) všem přátelům. Zajímavé na něm hlavně je to, že se tomuto červíkovi podařilo zneužít Facebook API k automatickému šíření – v současnosti už stejná metoda nefunguje, Facebook tomu zamezil. Otázka je na jak dlouho – dříve nebo později bude objevena jíná díra.

Sociální sítě ví více, než si myslíme

„Síť ví o našem chování, zvycích, zálíbách, často i těch nejtajnějších věcech. Naše data, osobní údaje, soubory, e-maily jsou zcela běžně „někde na Sítí“. A my ochotně soukromí vyměňujeme za komfortní služby, zejména proto, že se nám prostě líbí být „alway-connected“. Slovo Síť si můžete v předchozí větě nahradit internetem, Facebookem, ale také třeba Google. A rozebírat to dál nemá smysl, protože se bezprostředně, oslím můstkem, dostaneme k problému jménem Cloud Computing.

Pod falešným příslibem toho, že detailní profil na sociální sítí nabídne lepší možnosti poznávání světa lidé ochotně vyplňují, klikají a sdělují o sobě to, co by veřejně nikdy nesdělovali. Podíváte-li se na následující obrázek, uvidíte příklad mého profilu na Facebooku. A jedno je jisté, žádným způsobem ho Facebook nedokázal využít pro lepší poznání světa – možná byl občas zajímavý pro někoho, kdo se na něj podíval, ale to je asi tak všechno. Můj profil je přitom přeci jenom poněkud řízená záležitost, pokud se po Facebooku občas projdete, najdete profily, kde už snad opravdu chybí jenom číslo bot, podpresenky a případná velikost pe**su.

Nakonec jsou ale stejně za vším peníze, takže je dobré připomenout dvě zásadní věci. První je, že každá síť má své administrátory. A o tom jak fungují ti na Facebooku si můžete počíst v famózním Conversations About the Internet #5: Anonymous Facebook Employee, kde se zkušení nedočtou nic nového. Ti naivní ovšem zjistí, že cokoliv na Facebook dají je přístupné lidem pracujícím pro Facebook. A pak už jenom připomenu, že nejdůležitější na světě jsou nakonec peníze. Ty člověka pracujícího pro Facebook mohou snadno přesvědčit. A nakonec přesvědčily Facebook jako takový, aby podvodem přiměl své uživatele k otevření účtů.

Tento památný „malý krok pro Facebook ale velký krok pro příjmy do kasy od Google“ snad vstoupí do dějin. „Vylepšení ochrany soukromí“ totiž ve skutečnost vedlo k otevření účtů uživatelů pro veřejný přístup. A umožnilo se tak, aby Google získal přístup k desítkám milionů ůčtů, které byly předtím neviditelné.

Cloud Computing aneb Web 3.0

Připadá vám Cloud Computing jako něco, co nepoužíváte? Možná nepoužíváte Amazon EC (to je jasný příklad čirého CC), ale nejspíš používáte Google – tam už to tak jasné není, ale drtivá většina služeb Google je Cloud Computing a používá Cloud Computing – nejmarkantnější je samozřejmě Gmail. A pokud jste uživateli nějakého toho chytrého telefonu, netbooku či tabletu, příliš snadno jste se někdy CC do cesty připletli. A zároveň patříte k „rizikové skupině“. Zejména proto, že své virtuální existence víc a víc přesouváte na Síť. A počet hráčů (ti hlavní na následujícím obrázku) na tomto poli je docela velký.

Cloud Computing není a nikdy nebude bezpečný, tedy pokud nedojde k dramatické proměně „přihlašovacího“ mechanismu – současné jméno/heslo je totiž věc, která je zcela nebezpečná. Ale to nijak nestojí v cestě k tomu, aby se CC stávalo součástí všeho – služby tohoto druhu jsou levné, užitečné a mohou v řadě případů fantasticky pomáhat. Třeba i začínající firmě. A právě i tam začíná další filozofický problém – stírá se rozdíl mezi účty (maily) firemními a soukromými. A selhání jednoho účtu pak paradoxně může vést k selhání celé firmy.

Pokud „Síti“ důvěřujete, tak vás zklamu. A upozorním na jednu zajímavou událost z počátku tohoto roku. Uživatelé v sítí AT&T se nestačili divit, když se jim na Facebooku ukazoval obsah cizího účtu. Jak se nakonec ukázalo, něco bylo v AT&T shnilého a pletly se jim data – výsledek byl ten, že si Facebook myslel, že jste někdo jiný. Nejzábavnější je omluva AT&T:

„In a limited number of instances, a server software connectivity error resulted in some AT&T wireless customers being logged into the wrong Facebook account when they accessed Facebook through their mobile phones.“

Samozřejmě tento „ojedinělý incident“ nějak souvisel s cookies (sušenkami). A nemohu nepřipomenout často opomíjenou maličkost. Vlatně dvě. Jednak, že Facebook už několik let do Cookies ukládá mail aktuálně přihlášeného uživatele. A druhou, že existuje Flash „cookies“ (Local Shared Object, LSO), ve kterých lze najít netušené poklady – a netýká se jich zákazy použití a mazání cookies. A pochopitelně jsou volně přístupné, čitelně, na disku.

Za pár let bude stejně všechno jinak

Už jsem tuhle maličkost zmiňoval v článku o ochraně soukromí na Facebooku (Soukromí. Něco, co na Internetu a v sociální siti nečekejte) a musím to zopakovat i zde. Návyky se mění a mění se i vnímání soukromí. Pokračuje výměna soukrmí za služby a komfort. A rok od roku se tak vzdáváme větší části soukromí. A je tak dost dobře možné, že za deset let bude Velký bratr běžnou součástí životů. Postará se o to mlčící a kývající většina – prostředky na ochranu soukromí pak budou postaveny mimo zákon, stejně jako se tomu už dnes děje například v sousedním Slovensku.

Zakladatel Facebooku, Mark Zuckerberg, se nakonec před pár měsící vydal na nejistou cestu prosazování změn -prohlásil tehdy, že je potřeba změnit zaběhnuté vnímání soukromí. Souviselo to pochopitelně s tím, že Facebook trikem přiměl uživatele k otevření účtů pro veřejný přístup (aby je bylo možné indexovat v Google vyhledávání). Aby šel příkladem, nastavil si svůj profil podle „nových pravidel“. Aby vzápěti musel zamknut fotografie. Ty totiž moc veřejné nebyly. A samozřejmě se v médiích novináři bavili tím, že objevili co Zuckerberg pije a čeho je vlastně fanouškem.

Možná právě laxní přístup Zuckerberga je vysvětlením toho, proč v lednu uvedl Facebooku funkčnost jménem Application a Game Dashboard – užitečnou věc umožňující se konečně rozumně podívat na to, jaké aplikace a hry vlastně používáte. Ale bohužel – také se podívat jaké aplikace a hry používají vaši přátele. Po mohutné kritice se na začátku února v „novém“ Facebooku objevila možnost „skrýt“ vybrané aplikace/hry před zviditelněním – jenže, musíte to dělat pro každou aplikaci jednotlivě. Jde tak nakonec jenom o další příklad, že cokoliv „zatím“ bezpečné se rázem může stat nebezpečným (nekříčí teď někdo „Google Buzz“?)

Google a Facebook je nebezpečná kombinace

Právě přítomnost Google v prostoru Facebooku ale přinesla nové netušené možnosti. Facebook dlouho odolával zprovoznění použitelného vyhledávání. V září 2009 sice vyhledávání doplnil, ale moc „to nehledá“. Teprve když přišel Google a otevření profilů, otevřely se netušené možnosti.

Results 1 – 10 of about 72,200,000 from facebook.com for inurl:profile.php. (0.28 seconds)

Síla Google a jeho operátorů prostě nemá chybu. Pokud si v Google vyhledádat profily uživatelů, neobjeví se jich sice očekávatelných 400 milionů, ale přesto budete mít dostatek materiálu pro další zkoumání. Pak už stačí jenom pokračovat na profil. A na něm najdete další možnosti kudy pokračovat.

Není třeba se ani přihlásit a vidíte přátele dotyčné osoby, stejně tak jako její záliby a zájmy. Po přihlášení vidíte vše ještě přehlednějí. A je snad potřeba nějak výrazně říkat, že všechny tyto údaje jsou dolovatelné pomocí skriptů? A že můžete použít řadu dalších operátorů Google pro další zdroje dat?

Results 1 – 10 of about 504,000,000 from facebook.com for inurl:pages

Results 1 – 10 of about 80,600,000 from facebook.com for inurl:group.php

Dolovat data o exotické krásce je samozřejmě krajně nepraktické, ale co třeba pár ukázek užitečných informací z čistě českého prostředí? Veřejněpřístupných, na to musím upozornit předem




Připadají vám podobné údaje jako nepoužitelné? Mýlka, pro sociální inženýrství jsou prostě geniální. A pokud si vzpomenete na posedlost poštovních služeb „kontrolními“ otázkami, tak už budete zase o kousek chytřejší. Podívejte se na „kontrolní otázky“, pak si sedněte k Facebooku a zkuste se podívat, zda na ně u svých přátel najdete odpověď.

Friend Finder jak nástroj marketérů

Facebook Friend Finder je na jednu stranu užitečná věc – pomocí mailové adresy můžete zkusit najít své přátele. Dokonce můžete Facebook nechat přihlásit do svých mailových schránek, kde vyzobá maily se kterými jste si psali a pak se pokusí tyto lidi najít. Zdůrazním že si takto zadaný váš mail bude pamatovat (takže je zde riziko předání třetí osobě). A pochopitelně absolutně netušíte, zda si podobně nezapamatoval i heslo k vaší schránce.

Právě pro Friend Finder a pro běžné „Search for People“ (jednorázové zadání mailu) je už hodně dlouho používáno marketéry – prostě vezmou databázi mailů, nakrmí je do Facebooku, získají přehled o profilech. Na ty pošlou další software, které vytáhné údaje o lidech, jejich zálibách a přátelích. A pak se to celé vhodně použije.

Podvodné skupiny, zvláštní kategorie

Aktuální problém českého Facebooku jménem podvodné skupiny se probíral už několikrát, přesto do článku o rizicích patří. Je neuvěřitelné kolik lidí se nechá nachytat. „Cool smajlící v profilu – nastavení zde!“ (22 tisíc), „FotoCheck: Zjisti, kdo si prohlíží tvý fotky + počítadlo shlédnutí! FUNGUJE“ (181 tisíc) či „NEBUDU PLATIT 100 K4 MĚSÍČNE ZA POUŽÍVÁNÍ FACEBOOKU OD 9. ČERVENCE 2010!“ (250 tisíc). Stovky tisíc hloupých lidí se

  • shlukuje u určitého tématu, který je možné využít jako základ pro sociální inženýrství.
  • zapojuje do skupiny, kde je možné jim začít posílat spam.
  • ochotně nechá přesvědčit, aby si stáhli a spustili neznámou aplikaci (program) a pořídí si tak vir.
  • nechá lustrovat stránkou/aplikací, která k nim tak získala či získá přístup.
  • objevuje ve veřejně dostupném seznamu přístupném komukoliv.

Extrémní příklda je „Změn si barvu pozadí a jiné vlastnosti Tvého Facebooku !!!“ kde se 360 tisíc lidí nechá každý den ospamovat Banánovým spamem. Pod každým takovým spamem se pak rozčilují co je to za „kokota“. A ze stránky/skupiny neodejdou.

Zábavné to není, ale poučné to je. Pokud víte, že tohle je „materiál“ se kterým hackeři a sociální inženýři mohou pracovat, tak je snad asi jasné, že mají obrovskou, astronomickou, šanci na úspěch. Vidět je to i na jedné z největších podvodných skupin – „Kdo si prohlíží tvůj profil – STALKER CATCHER“ – s více než 600 tisíci hloupými lidmi. Ani jim nevadí, že odkaz na aplikaci (ve spodní části stránky) nikam nevede. A i přes několik tisíc oznámení skupiny pro podvod skupian stále existuej – několik měsíců. Je to samozřejmě Facebook, který zcela ignoruje nutnost správy vlastního webu. Stejně jako to dříve ignoroval v případě aplikací – do momentu ZYNGAgate (viz Facebook – ráj pro podvodníky aneb společenské hry vládnou světu) a hrozby žalob v USA.

Mimochodem právě aplikace jsou pro Facebook největším zlem. Důvodem je nenápadné varování, které klasicky nikdo nečte. A už vůbec mu nedochází, že se totéž týká i Facebook Connect, který je běžně na webových stránkách.

When you visit a Facebook-enhanced application or website, it may access any information you have made visible to Everyone (Edit Profile Privacy) as well as your publicly available information. This includes your Name, Profile Picture, Gender, Current City, Networks, Friend List, and Pages. The application will request your permission to access any additional information it needs.

Jinými slovy, pokud začnete používat aplikace, dáváte jí přístup ke všemu, co jste zpřístupnili na svém profilu. A co navíc, přístup k podobným informacím o vašich přátelích. Pokud tedy nejsou dost chytří a nezakázali tuhle hrůzku ve svém profilu.

Plíživé znehodnocení mailu a telefonních čísel

E-Mail je to nejcennější co uživatel má. Dnes se ale používá běžně i pro přihlašování k dalším službám. Gmail adresa uživatele ve spojení s informacemi z účtu může vést k velmi snadnému hacku. Spuštění Google Buzz (viz Buzz okolo Google Buzz) přineslo i nemilé překvapení – Google vůbec maily nepovažoval za podstatné a všude je zveřejňoval. World of Warcraft přešel od přihlášení pomocí ID na povinné přihlášení mailem – že tím jenom usnadňuje práci zlodějům účtů? To nikoho nezajímavá.

A Facebook? Až donedávna maily chránil – v profilu byly uvedené jako obrázek. V lednu se tam objevily jako čistý text. Kopírovatelný a pochopitelně automaticky dolovatelný, tedy pokud nejste dostatečně inteligentní a nebráníte se. Aplikace ve Facebooku nyní mohou váš mail získat – pravda, musíte jim k tomu dát svolení, ale to přeci nic neznamená. Stačí něco „nabídnout“ a uživatel ochotně svůj e-mail sdělí, výměnou za „něco“.

Aplikace na Facebooku jsou vůbec bezvadná věc, tedy pokud chcete nasbírat co nejvíce informací – přes jednoho uživatele se dostanete k desítkám i stovkám jeho/jejích přátel. A pokud chcete získat telefonní číslo? To vám Facebook nedá. Ale i tady je řešení. Nalákáte dvě stě tisíc lidí na „SMS zdarma přímo z Facebooku“.  A uživatelé budou naivně sdělovat své mobilní telefonní číslo i s osobními údaji sebe a svých přátel. Zpravidla navíc ani netuší, že na jejich číslo je možné poslat SMS, kterou zaplatí oni. Po reklamaci sice zpět peníze dostanou, ale i tak, dostatek škody už nadělali. A to nemluvě o tom, že tohle je zlatý důl pro marketéry i podvodníky.

Vedle nebezpečí plynoucího z Facebooku je v tomto momentu nutné upozornit na nebezpečí Google – je všudypřítomný, stává se službou pro unifikované přihlášení a tím se jedno heslo stává branou k obrovskému množství dalších služeb. Možná si vzpomenete na hack Twitteru před pár měsící – The Twitter Attack: How The Ecosystem Failed je poučené čtení o tom, o čem poměrně zeširoka píšu v tomto článku. Hlavní roli hraje Google, bezpečnostní otázka pro získání hesla k mailovému účtu, trocha sociálního inženýrství a umění získat ty správné informace.

Ke spamu už není potřeba posílat maily

Spam sice tvoří většinu elektronické pošty, ale na sociálních sítích se dnes spamuje přímo. Stačí posílat uživtelům DM (Twitter) nebo zprávy ve vnitřní poště. Můžete jim vkládat informace na zeď, nebo je dostat do skupiny a pak je spamovat jedním kliknutím v počtech stovek tisíc. Módou letošního roku je zneužitívání funkce „tagging“ – tedy označení fotografie nebo poznámky (note) vaším jménem.

Do pasti s označováním fotografií nakonec spadla i reklamní aplikace „Za tučňáky na Antarktidu“ (Škoda Auto) která do fotografie automaticky generovala fotografie přátel, které si někdo vybral jako „spolucestující“. Až do tohoto okamžiku budiž, byť i to je takové trochu zvláštní (ale jde o profilové fotografie, tedy veřejné fotografie). Bohužel zároveň s tím byla fotografie doplněna o jména lidí (tagging) a rázem se staly spamem – objevily se na zdech lidí, kterých se to týkalo (a kteří nebyli dostatečně chytří a nezakázali to). Tvůrci aplikace si chvíli mnuli ruce, protože lepší „virální“ způsob šíření si přeci nemohli přát – jedna fotka, na ní deset obětí, každá má desítky až stovky přátel = všichni to uvidí. Nakonec ale aplikace musela tuto podivnou funkčnost zrušit.

Vyšší dívčí hackingu Facebooku

Teď prozradím jednu adresu, která je zcela perfektní, pokud se chcete trochu více věnovat „hackingu“ na Facebooku – http://theharmonyguy.com.  Dozvíte se tam takové drobnosti jak odkrýt skryté přátele (u někoho kdo je nechce ukazovat), jak se podívat na „nepřístupné“ fotoalbum. A The Month of Facebook Bugs Report je extrémně poučné čtení. Dozvíte se něco, co je „samozřejmostí“, ale jak pro koho. A The Harmony Guy se pro vás může stát velmi dobrým zdrojem informací.

  • Facebook aplikace postrádají nejzákladnější bezpečností opatření (nakonec i servery Zynga byla hacknuty a zneužity pro šíření virů)
  • Facebook i aplikace jsou napadnutelné s pomocí XSS (Cross Site Scripting)
  • Není problém bezpečnostní nedostatky využít pro spouštění JavaScriptu a tím i šíření virů/malware
  • Přes bezpečnostní nedostatky se lze dostat k údajům v profilech, statusům, fotografiím i přátelům
  • Za uživatele je možné vkládat statusy, odkazy, fotografie
  • Pokud všechno takovéto selže, Facebook nemá žádnou obranu proti clickjackingu
  • Údaje získáváne aplikacemi pouze „nesmí“ ukládat – podobné „smluvní“ omezení ovšem pro škodící aplikaci neplatí
  • Řešení těchto problémů vyžaduje spolupráci Facebooku a tvůrců aplikací (a o té si můžete nechat jenom zdát).

Nebezpečnost Facebooku je dána vrozenou nebezpečností Web 2.0/3.0 aplikací – AJAX a všechny další podobné věci jsou totiž zpravidla zneužitelné někým, kdo se dokáže vyznat v komunikaci na úrovni XML/RPC a JavaScriptu. Není tak pro něj problém si napsat potřebný skript. A pak už třeba není problém na Stránce(Page) Facebooku dolovat seznam fanoušků – což je, mimochodem, obtížně dostupná věc pro samotného správce/vlastníka Stránky.

Řešení místo strašení?

Inu, řešení neexistuje. Tedy lépe řečeno, existuje – nepoužívejte sociální sítě. Nebo ještě lépe, nepoužívejte vůbec Internet. Nebo, někdo sice bude mít námitky, LŽETE Z PLNA HRDLA. A taky nezapomeňte vyhodit mobilní telefon. Ten je totiž ještě horší než všechny sociální sítě.

A mimochodem, bude hůř. Přichází Google Buzz, Google Wave, Google Phone, Google Phone with Translation, Location Based Services, Facebook Mail … a řada dalších věcí, které teprve čekají na masivní zneužívání.

DŮLEŽITÁ POZNÁMKA: Tento text vznikl v listopadu 2010 na základě zmíněného workshopu nakonferenci. Při stěhování obsahu z Bradbury.cz jsme dospěl k názoru, že je dobré ho zachovat a publikovat znovu. Prosím berte v úvahu, že je více než dva roky starý.

Návod: Jak znemožnit zneužívání označování (tagging) ve fotografiích na Facebooku

Kdokoliv vám může na váš profil podstrčit fotografie, které byste tam velmi neradi viděli. A ještě méně můžete být rádi, pokud je uvidí vaši přátelé. Proto je dobré vědět, jak se můžete bránit.

Stačí nastavit viditelnost fotografií „ve kterých jste označeni“ pouze na vás – neuvidí je tedy nikdo jiný, než právě a jenom vy. Pak budete moci předmětnou fotku nahlásit za zneužívání či spam, případně jenom odstranit vaše označení (tag).

Přes Účet -> Nastavení Soukromí se dostanete k Timeline a označování a zde najdete několik nastavení, které se týkají označování a viditelnosti označených příspěvků (i fotografií).

Zajímavé je, že Facebook za poslední dva roky výrazně rozšířil možnosti označování. A také výrazně zkomplikoval nastavení soukromí v této oblasti.

Chcete kontrolovat příspěvky, v nichž vás přátelé označí, než se objeví na vašem profilu Timeline? nastavit na Povoleno (Zapnuto). Budete tak moci ovlivnit, co se objeví na vašem profilu Timeline.

Kdo může vidět příspěvky, ve kterých jste byli ve svém profilu Timeline označeni? můžete nastavit na Přátelé, případně pokud vůbec nechcete aby příspěvky na Timline kde jste označeni byly viditelné, tak zvolte Jenom já.

Kdo může vidět příspěvky, které na váš profil Timeline přidají ostatní uživatelé? se označování netýká, ale je vhodné opět nastavit na Přátelé, případně Jenom já.

Chcete kontrolovat označení, která lidé přidávají k vašim příspěvkům, než se označení objeví na Facebooku? umožňuje zapnout kontrolu označení, které někdo cizí přidal k vašim příspěvkům. Opět vhodné nastavit na Povoleno (Zapnuto)

Když jste označeni v příspěvku, koho chcete přidat do okruhu uživatelů, pokud tam ještě není? opět vhodné nastavit na Přátelé, případně Jenom já.

Kdo může vidět návrhy na označení při nahrávání fotek, na nichž je osoba, která vypadá jako vy? se týká situace, kdy někdo nahrává fotografii a Facebook přes rozpoznávání obličejů nabízí možnost označit v ní uvedené lidi. Pokud můžete tuto volbu nastavit (po nedávných problémech Facebooku se soukromím může být nastavení nedostupné), tak je vhodné toto nastavit na Pouze já.

 

 

 

Návod: Nechcete o sobě Facebooku nic říkat? Neříkejte. *

Nebýt na Facebooku je „in“, odmítači jsou v kurzu a z „nejsem na Facebooku“ je jejich nové životní heslo. Málokdy ale tuší, že na Facebooku být mohou. Dokonce mu mohou poskytnout dostatek potravy. A potutelně se k tomu usmívat.

Původně tento text vyšel v květnu 2013, ale v dubnu 2015  ho postihlo velké stěhování těch opravdu užitečných věcí na @365tipu. Takže se omlouváme, skočte na aktualizovanou verzi, tu najdete v TIP#113: Nechcete o sobě Facebooku nic říkat? Neříkejte. A plati to i pro další sociální sítě.

Návod: Jak zamezit Facebooku aby vás využíval v reklamě *

Vaše profilová fotografie je pro Facebook velmi důležitý nástroj. Používá (a ještě víc jí chce používat) v inzerátech – vládne přesvědčení, že inzerát doprovázený vaší fotografií má na vaše přátele vyšší vliv. A proto je potřeba něco takového patřičně zpeněžit. Zamezte tomu včas, pokud vám to připadá jako cosi nevhodné a nepatřičné. Měli byste ale vědět, že to má nějaké ty další háčky. Nejenom, že vaše fotka a jméno jsou veřejné a zneužívané, ale sám Facebook si z nás dělá šprťouchlata.

Ale protože rok 2015 přinesl @365tipů, tak tento tip z 28. května 2013 má aktualizovanou a doplněnou podobu. Tu najdete v Jak zamezit Facebooku aby vás využíval v reklamě na novém webu s tipy a triky.

 

Děti na Facebooku? Neměly by tam být. Ale co naděláte

Facebook je od třinácti výše, ale povídejte to dětem. Jejich spolužáci a spolužačky tam jsou. Chtějí tam být také.A  nakonec ani „náct“ není věk, kdy by bylo vhodné dítě „bez dozoru“ pouštět na Facebook. Praktické rady jak se s tím vyrovnat.

POZNÁMKA: Toto je mírně aktualizované vydání textu z března 2011. Doplnil jsem  nové screenshoty (od té doby se Facebook výrazně změnil) a pokusil se správně aktualizovat text, tam kde to  bylo nutné. Principy staré dva roky ale stále platí. Pokud narazíte na nějakou chybičku, omlouvám se za ni, přesouvám nějaký starý obsah z Bradbury.cz na Justit.cz (takový co má smysl zachovat). 

Chce být vaše náctileté (či dokonce méně leté) dítko na Facebooku? První zásadní pravda je, že mu v tom nemůžete zabránit – zakážete-li mu to doma, založí si účet někde jinde. Ve škole nebo u kamarádů. A zaděláte si na první základní problém, nebudete o tom vědět. A už vůbec nebudete mít šanci případné úlety vašeho dítka na Facebooku nějak citlivě ovlivnit.

Zkuste to jinak, pomozte mu založit účet na Facebooku sami. Budete mít alespoň základní šanci mu správně nastavit soukromí na účtu. A vysvětlit některé drobnosti, které by možná vědět mělo. Byť vás stejně nebude moc poslouchat a myslet si svoje. Něco o otravných staromódních rodičích. Ale pořád máte alespoň nějakou šanci.

Pokud začnete od toho nejzákladnějšího, mělo by vaše dítko mít „soukromí“ ve Facebooku nastavené zásadně na „Přátelé„.  Nezabráníte samozřejmě tomu, aby si to dítko později nezměnilo – ale ve vlastním zájmu by úroveň důvěry mezi vámi a dítětem (čím starší, tím méně tohle samozřejmě platí) být taková, aby bylo možné se kdykoliv podívat na nastavení Facebooku a zkontrolovat cokoliv.

Nastavení na „pouze přátelé“ je poměrně zásadní a snadno vysvětlitelné – dítko si tak bude moci na Facebooku komunikovat „s kým chce“, za předpokladu, že si je přidá mezi přátele – máte zde jasnou šanci mu vysvětlit, jak to vlastně s oním „přátelstvím“ na Facebooku je. A zkusit ho přesvědčit, ať si mezi přátelé opravdu přidává pouze spolužáky a lidi, které opravdu zná – nemělo by to být až tak obtížné a je velká pravděpodobnost, že něco takového bude schopno přijmout jako užitečné pravidlo.

V nastavení soukromí je vhodné ještě poněkud pozměnit i další nastaevení, všude tam kde není omezení na „Přátele“ ho nastavit. . A v okamžiku nastavování těchto vlastností budete mít příležitost dítku vysvětlit, že to nejlepší co může na Facebooku udělat je nic konkrétního o sobě nevyplňovat – případně to udělat tak, jak to dělá většina jeho spolužáka. Vyplnit vlastní profil hloupostmi.

 

Řada dalších nastavení je rozstrkána po různých dalších místech na Facebooku, zejména přímo na profilu TIMELINE. Je tedy vhodné si projít i tato nastavení a odpovídajícím způsobem je pozměnit tak, aby umožňovala minimální veřejnou viditelnost.

Nezapomeňte na poměrně důležité údaje týkající se kontaktů – u těch platí, že vaše dítko by nemělo mít na Facebooku uvedeny žádné reálné kontaktní údaje – není zde místo pro hazard s uváděním telefonního čísla, nepatří tam adresa bydliště.

  • Číslo mobilního telefon – Jenom já
  • Jiné telefonní číslo – Jenom já
  • Adresa – Jenom já
  • Přezdívka IM – Jenom já
  • E-maily – Jenom já

Poslední co je potřeba nastavit jsou pravidla pro „Aplikace“.

  • Údaje dostupné prostřednictvím vašich přátel – zrušit zaškrtnutí u kompletně všech nabízených možnosti (viz obrázek vpravo).
  • Okamžité přizpůsobení – Pokud je volba dostupná, tak ji odškrtnout

O čem byste ještě měli vědět (a případně poučit dítko)

Facebook není bezpečné místo a už vůbec neznamená, že je na něm jakékoliv soukromí – není a nikdy nebude. Čím méně konkrétního toho o sobě dítko Facebooku sdělí, tím lépe to bude. V praxi je samozřejmě něco takového něco na pomezí nemožného a zázraku. Ale stejně jako své děti učíte, že si „nemají brát od neznámých lidí bonbony“ či „chodit s neznámými lidmi do sklepa“, tak to samé musí nutně platit pro Facebook (a Internet). A je na vás, jak dobře je dokážete poučit (a naučit).

Facebook vyžaduje, aby uživatel používal své reálné jméno – v tomto případě se chovejte zodpovědněji a klidně nechte dítko, ať použije přezdívku. Případně podobu jména neodpovídající tomu co má opravdu napsáno v rodném listě.  Dítka na Facebooku to dělají běžně, včetně stovek tisíc bývalých uživatelů Libimseti.cz – na Facebook přešli i se svými (poněkud šílenými přezdívkami).

Lhát se nemá, což jste jistě své dítko učili dlouhá léta. Bohužel, tady budete mít trochu problém, v případě Facebooku je nutné lhát – žádné pravé datum narození, žádné pravé bydliště, žádné pravé informace o tom odkud pochází. Facebooku do toho nic není. A těm kdo z Facebooku tyto informace dolují už vůbec ne.

Mírně pořešit byste měli o otázku používaného hesla – pokud bude příliš zjevné a jednoduché, přijde vaše dítko o Facebook účet velmi brzy – a to nechcete ani vy, natož vaše dítko. Takže zcela jistě pochopí, že heslo by mělo být aspoň trochu složité. A také, že by ho nemělo nikomu dalšímu říkat.

Možná je zbytečné se o tom zmiňovat, ale domácí počítač, ze kterého vaše dítko bude chodit na Facebooku, nutně potřebuje antivirové software s anti-malware software (samotný antivir nestačí). A také správné nastavení případného uživatelského účtu, pokud používáte doma Windows – praxe kdy účet má práva správce je pro dítě na Facebook nepřijatelná věc. Je více než jisté, že vaše dítko dříve nebo později otevře nějaký odkaz od kamarádů, který ho okamžitě přivede na zavirované stránky.

I to byste měli zkusit vysvětlit, že bezhlavé klikání na odkazy od kamarádů (v chatu, poště i na zdi) může být velmi nebezpečné – zejména pokud na ně náhle jejich kamarád či kamarádka mluví anglicky. Moc ale nepočítejte s tím, že dosáhnete nějakého výrazného úspěchu. Typické dítko na Facebooku během jednoho roku přijde o Facebook účet mnohokrát. A moc to neřeší, prostě si založí nový a „jede dál“.

Vysvětlete mu také, že Facebook je mimořádně hloupá firma, která mu ochotně smaže účet za cokoliv, co vypadá jenom „trochu podezřele“ – příliš  mnoho příspěvku, příliš mnoho Líbí, nahrávání nahatých fotek (ne, tomu prostě nezabránit normální cestou, ale hrozba zrušení účtu může pomoci), sprosté, vulgární komentáře. A přijít o účet s pracně posbíranými přáteli může být dostatečným důvodem k tomu, aby některé věci dítko nedělalo – nevysvětlujete mu to proto, aby se na Facebooku chovalo slušně (ne, nebude), ale proto, aby nepřímou cestou nedošlo k nejhoršímu.

Zkuste také vysvětlit, jaké to případně může být nevhodné, pokud bude na Facebook nahrávat své fotky, fotky z bytu či domu kde bydlí (nejlépe ještě s adresou), uvádět nějaké detaily, které jsou z oblasti financí, zaměstnání rodičů, věcí které by mohl někdo snadno zneužít – stejně jako se mu to snažíte vysvětlit ve vztahu k „povídání si s neznámými lidmi“. Moc úspěšní asi nebudete, ale snad se vám podaří zasadit aspoň semínko nedůvěry k podobným aktivitám.

Důvěra … důvěra … důvěra

Znáte to, vaše dítko by vám mělo věřit a v okamžiku, kdy si něčím není jisté nebo má z něčeho obavy, by se vám nemělo váhat svěřit. Zeptat se. Požádat o radu. Utopie, to ale taky asi v mnoha případech víte. A čím starší (více náctileté) to dítko bude, tím hůře se něco takového realizuje. Přesto se to vyplácí zkoušet.

Zákazy v praxi nic neřeší, dobře míněné dotazy, které nevypadají jako od typického rodiče (co většinou pochází z nějaké divné planety) mohou pomoci více.

Infografika: Historie selhání Facebooku v otázkách soukromí

Je až překvapivé, jak málo lidí tuší, že cokoliv zveřejňují na Facebooku zveřejňují ve veřejném prostoru. Poslední kdo se o tom poučil byla sestra Marka Zuckerberga. Její „privátní“ fotografie si z Facebooku našla cestu na celý Internet. Stačilo aby jeden člověk na fotografii označil jednu z osob a přes dalšího člověka se pak fotografie stala masově sdílenou.

Zdroj. TopWebdesignSchools.org

Infografika: Jak hodně touží aplikace na Faceboku po vašem soukromí

ZoneAlarm v Data-Hungry Apps kupodivu neřeší jak hodně dat stahují aplikace na mobilních telefonech. Řeší daleko podstatnější věc – jako hodně jsou aplikace na Facebooku hladové po vašich osobních informacích, po vašem soukromí. Pokračovat ve čtení „Infografika: Jak hodně touží aplikace na Faceboku po vašem soukromí“

Infografika: Rizika publikování na sociálních sítích

Trend Micro se v infografice věnuje rizikům publikování na sociálních sítích. Mimo jiné řeší, jestli na sociálních sítích zveřejňujete věci jako veřejné či soukromé. A mimo jiné je to základní nedostatek v uvažování – cokoliv zveřejňujete na Internet zveřejňujete do veřejného prostoru. A pokud se nedokážete začít řídit tímto pravidlem, budete narážet na problémy. Paradoxně vám v tom nepomůže ani software, které právě společnosti jako Trend Micro chtějí prodávat.

Každopádně, infografika je užitečná, třeba tím, že upozorňuje na různou úroveň „hladu“ po informací u různých sociálních sítích. A také třeba tím, že jako Trend Micro konečně (a jedna z mála) upozorňuje na to, že „bezpečnostní otázky“ jsou v době sociálních sítí absurdní. 

TIP: Jak skrýt seznam přátel na Facebooku před dalšími lidmi *

Čas od času se mě někdo zeptá, jak je možné, že na mém profilu na Facebooku „nevidí mé přátele“. Odpověď je přitom velmi jednoduchá, paradoxně ale toto základní nastavení účtu mají lidé problém na Facebooku najít.

A protože v lednu 2015 vznikl projekt @365tipů, tak tento tip (původně ze září 2012) od května najdete tam. Račte pokračovat do Jak skrýt seznam přátel na Facebooku před dalšími lidmi kde je nová aktualizovaná verze. A to si pište, že se to za ty nějaké tři roky změnilo.