De gevaren van sociale media

© CIDimport

Met meer dan vijfhonderd connecties op LinkedIn en 2606 vrienden op Facebook is de Zweedse David Jacoby, Senior Security Researcher bij Kaspersky Lab, fabrikant van antivirussoftware, niet moeilijk te vinden op sociale media. “Ik moet daar zijn,” zegt-ie, “om op de hoogte te blijven van de laatste dreigingen.”

Computer Idee spreekt Jacoby op de dag dat in de krant staat dat Facebook zogenoemde White Hat hackers – hackers zonder kwade bedoelingen – beloont met een company creditcard. Dit om ze aan te moedigen veiligheidslekken in Facebook op te sporen en te dichten en de gebruikers aldus te behoeden voor identiteitsdiefstallen en ongewenste inhoud op hun pagina’s, als porno en geweld. We hebben Jacoby’s blogs op www.securelist.com nog eens nagelezen en genoteerd dat er heel veel verschillende bedreigingen bestaan op de sociale media, waartoe we uiteraard niet alleen Facebook rekenen, hoewel die de grootste is, maar ook Google+, LinkedIn, Twitter et cetera. We willen dan ook weten welke virussen de sociale media bedreigen en hoe ze zich verspreiden. 

Die eerste vraag is eigenlijk overbodig, weten we van een eerder gesprek met Magnus Kalkuhl, Senior Virus Analist van Kaspersky Lab, over de virussen van de toekomst. Want hoewel virussen constant veranderen, veranderen ze niet in die zin dat ze qua opzet en insteek veranderen. Wormvirussen hebben als doel zich zo snel mogelijk te verspreiden over zo veel mogelijk computers, daarmee tevens de deur openzettend voor trojans die al die computers geheel of gedeeltelijk overnemen met als doel spam te verspreiden of botnetaanvallen te plegen op bedrijfs- en overheidservers. Het doel van virussen is de computers overnemen, waarbij de grootste dreiging voor de toekomst wordt gezien in de toename van het aantal toepassingen van computers, en daarmee de toename van het aantal computergestuurde apparaten (koelkasten, auto’s, vliegtuigen) dat overgenomen, in werking aangepast, kan worden.

David Jacoby buigt met zijn antwoord op het eerste gedeelte van de vraag – welke virussen bedreigen de sociale media? – een beetje om. Ja, er zijn virussen die sociale media bedreigen, maar de virussen zijn niet de ergste bedreiging.

Nieuw tijdperk

De virussen zijn bekend. Er worden voortdurend nieuwe varianten gevonden waarvoor direct nieuwe killers worden gemaakt. Wie een goed antivirusprogramma heeft en een goede firewall, heeft er het minste last van. Dat weet iedereen. Wat weet niet iedereen?

Jacoby: “Veruit de meeste informatie op het www werd tot voor kort gepubliceerd door het bedrijfsleven, overheden, universiteiten, onderzoeksinstanties, de media, betrouwbare partijen die geen baat hadden bij virusverspreiding. De meeste informatie op het www wordt sinds de intrede van sociale media echter gegenereerd door de gebruikers zelf. Steeds meer wordt user-generated information. Wikipedia wordt beschouwd als de ultieme betrouwbare bron van informatie, maar wordt geschreven door gebruikers en gecorrigeerd door gebruikers. Er zit geen gestructureerde redactie of controle op. Op internetfora kan iedereen schrijven wat-ie wil. De informatie kan goed zijn of heel fout, kan verraderlijke code bevatten, het is niet na te gaan. Wie is er dan verantwoordelijk: de publicist of de netwerkbeheerder?

Facebook kan niet beschermen tegen content die mensen op hun pagina’s publiceren, net zo min als LinkedIn of Google+ dat kunnen. Het is te veel. Facebook kan alleen beschermen wat het zelf controleert. Hun security beschermt hun eigen apps, hun netwerk, hun servers. Meer mag u ook niet verwachten. Virussen worden verspreid door mensen uit te nodigen een link aan te klikken naar een webpagina buiten Facebook, naar een Flash-bestand, een pdf…”

Ieder mens leert van zijn ouders/verzorgers dat hij geen snoepjes van vreemden mag aannemen, en doet dat (meestal) ook niet. Maar op sociale media komen de snoepjes niet van onbekenden, maar van bekenden, toch? Ja, of van een virus. Naar Jacoby’s gedachten hierover hoeven we niet te vragen: het snoepje dat je op internet van een bekende krijgt, heeft die bekende – als het hem al is – niet zelf in de winkel gekocht, maar zomaar ergens gevonden. Hoe betrouwbaar is dat snoepje precies? Geschat wordt dan 25% van de ‘leuke content’ virussen bevat.

Jacoby: “Op internet ben je verantwoordelijk voor jezelf. Wij zijn zelf verantwoordelijk voor de inhoud. Wij denken volgens onze oude denkwijze altijd nog dat de verantwoordelijkheid ligt bij de afzender. Dat is niet meer zo. In de eerste plaats omdat de afzender maar zelden met zekerheid is vast te stellen, in de tweede plaats omdat u nooit weet of de inhoud van een bestand of code of wat dan ook nog origineel is.”

Top 5 bedreigingen via sociale media

1. Social networking worms

De bekendste, die met alle besturingssystemen en alle sociale media overweg kan, luistert naar de naam Koobface (anagram van Facebook). Een social network worm verspreidt zich via berichten binnen de vriendenkring op een sociaal medium, meestal met een link naar een website met ‘iets leuks’ waarvoor dan een update van bijvoorbeeld de vertrouwde Flashplayer moet worden gedownload. We begrijpen: deze Flash-update is iets anders, namelijk een nieuwe worm of een trojan.

2. Phishing

Het heet niet voor niets vissen: men gooit aas uit en hoopt dat iemand bijt. En dat gaat best gemakkelijk als u wordt aangemoedigd door een vriend om in te loggen om uw Facebook-account om ‘iets leuks’ te bekijken en u let niet op de url die geen facebook.com vermeldt, maar bijvoorbeeld fbaction.net. Vul uw inlognaam en wachtwoord in, en u bent uw account kwijt en uw identiteit en privégegevens liggen op straat.

3. Trojans

In het spoor van een worm (die een achterdeur op de computer openzet) volgt meestal een trojan. Trojans maken een computer tot een zombie, deel van een botnet dat gebruikt kan worden voor georganiseerde, massale aanvallen op netwerken, of een willoze distributeur van spam of pop-ups van hoogst smakeloze websites.

4. Datalekken

De idee van sociale media is dat u makkelijk gegevens kunt delen met anderen. Vrijwel niemand – zeker de jeugd niet – schermt zijn accounts goed af of trekt zich er iets van aan dat er mogelijk kwaadwillende elementen meekijken. Bijvoorbeeld naar waar u woont, werkt, op school zit, sport en wanneer u op vakantie gaat en hoelang. Erg makkelijk voor (auto)dieven, inbrekers, kinderlokkers, verkrachters.

5. Verkorte links

Diensten als TinyURL – om lange webadressen heel kort te maken – zijn razend populair, met name op Twitter, waar de berichtruimte is beperkt tot 140 tekens. Maar wie weet – zonder te klikken – of tinyurl.com/6o63paq daadwerkelijk resulteert in de beloofde website? En Twitter-berichten van volstrekt vreemden klikken we zonder aarzelen open…

Smartphone en tablets

Jacoby: “Het is de mindset die veranderen moet. Mensen moeten worden opgevoed. Een telefoon is een telefoon en geen computer? Fout! Een telefoon is geen telefoon meer, maar een bellende computer. Een tablet is niet alleen een eReader, het is een computer. Hebben de meeste mensen nog wel een antivirusprogramma draaien op hun pc, wie heeft dat voor zijn smartphone of tablet? Zelfs gratis antivirusprogramma’s tref je zelden aan. En dan te bedenken dat de computer thuis nog aan een niet te kraken kabel hangt of een beveiligde draadloze verbinding. Met die smartphones en tablets gaan we overal en altijd onbeveiligd het internet op, met name via de sociale media! Weten sommige mensen nog wel iets van Windows of Mac of Linux – net waar ze mee werken – veruit de meeste mensen weten helemaal niets van de besturingssystemen van hun smartphone. Er is geen standaard: iPhone, Android, Blackberry, het is one big mess. Als jij Ikea een bank koopt, zit daar een handleiding bij. Als je een smartphone koopt, zit daar een gebruiksaanwijzing bij, maar geen woord over encryptie, beveiligingscertificaten, de manier waarop de telefoon met de provider communiceert, wanneer wifi wordt gebruikt en wanneer 3G. Er is geen base-line die je kunt volgen om gegarandeerd veilig te zijn. Het is zelfs zo dat de standaardinstellingen van een telefoon en zéker de apps altijd automatisch contact zullen proberen te maken met hun server: e-mail, Twitter, Facebook, Wordfeud, Whatsapp. Met open wifi-netwerken wordt automatisch verbonden, sociale netwerk-apps proberen altijd te updaten. Wie veilig wil zijn, zet een goede antivirusbeveiliging op zijn telefoon en schakelt zijn wifi en automatische updates uit zodra hij uit de buurt is van een bekende beveiligde verbinding. Mensen zijn zich niet bewust van deze dreigingen en dat is de reden dat sociale media juist via mobiele apparaten zo aantrekkelijk zijn voor kapers.”

Onbewust in gevaar

Jacoby: “Dit is niet direct gerelateerd aan sociale media, maar hoe meer dataverkeer er onbeschermd door de ruimte vliegt, hoe groter de kans dat dit onderschept wordt, en dan moet je maar hopen dat je niks verstuurt of op je sociale media hebt staan dat het daglicht niet kan verdragen, bijvoorbeeld omdat het wel erg privé is. Hoe een hacker zijn slag slaat? Bijvoorbeeld door zich voor te doen als accesspoint. Communicatie via de smartphone van het slachtoffer verloopt via de smartphone/tablet/laptop van de hacker, die alles onderschept alvorens het door te sturen, zodat je niet eens iets in de gaten hebt. Daar gaan je wachtwoorden, je berichten en je foto’s. En dat is er nog de PwnPhone. Voor de Nokia N900 is een complete softwarebundel beschikbaar bomvol hacktools voor verborgen draadloze toegang tot ethernet, wireless, en 3G/gsm-netwerken. Daartegen is bijna iedereen kansloos. Maar het zit ook in simpele dingen, zoals ik ontdekte met mijn HTC Desire met daarop de Google+-app die zonder dat ik het wist alle foto’s die ik maak met mijn telefoon meteen uploadt naar mijn Google+. Daar worden ze niet meteen aan iedereen getoond, maar ze staan wel al op een Google-server.”

En wat staat er in de voorwaarden van Google (www.google.nl/accounts/TOS, punt 11)?

“Door het verschaffen, posten of afbeelden van de Content verleent u Google een eeuwigdurende, onherroepelijke, wereldwijde, royaltyvrije en niet-exclusieve licentie om Content die u verschaft, post of afbeeldt door of via de Diensten, te verveelvoudigen, bewerken, wijzigen, vertalen, openbaar maken, in het openbaar uit te voeren en te verspreiden.”

En let wel, dat gaat dus niet alleen over wat u bewust op Google+ plaatst, maar met een beetje pech (niet alle smartphones doen het) over elke foto die u met uw smartphone met Google+-app maakt. Tenzij u razendsnel uw instellingen aanpast.

Life-, Like- en clickjacking

Symantec schatte in september 2011 dat 15 procent van alle video’s op Facebook pogingen waren tot het overnemen van de identiteit van de benaderde persoon. Dat kan met geweld via wormvirussen en trojans, maar ook subtieler. Videobestanden (bijvoorbeeld) verwijzen door naar een externe webpagina waarop de lollige/sexy/spannende video bekeken kan worden. Eerst even bevestigen dat je ouder dan 18 bent door de klikken op OK.

Eh, nee. De pagina die je ziet, ligt als een ondoorzichtig vlies boven op de echte pagina, en recht onder de OK-knop zit de Like-button van Facebook. En zo ben je op je Facebook-pagina ineens fan van een website die je misschien wel helemaal niks vindt, of heb je hem gratis gepubliceerd via Hyves, LinkedIn, eKudos, Twitter…

Tekst: Michiel Heemskerk

Dit artikel komt uit Computer Idee 8, jaargang 2012