Zabezpečení sociálních sítí závisí hlavně na rozumu uživatelů

23. 7. 2010

Sdílet

Problémy existují s aplikačními modely založenými na technologii Ajax či na cloudu, které ponechávají aplikace Webu 2.0 otevřené vůči útokům hackerů.

To však není překvapivé – zabezpečení vždy trochu zaostává za inovacemi. Všechny tyto problémy však blednou ve srovnání s hrozbami, kterým se vystavují sami uživatelé. Lidé jsou obecně velmi důvěřiví a podvodníci vždy dokážou takové důvěry zneužít. To bude platit i v den, kdy se podaří vytvořit software bez děr a dodavatelé softwaru budou dokonalí.

K zabezpečení funkcí Webu 2.0 již bylo zveřejněno mnoho námitek. Nedávno měly Facebook i Twitter vážné problémy. Lidé se začínají divit, že antimalwarový průmysl nevěnuje zabezpečení těchto aplikací větší pozornost. To je ale jen část pravdy. Oblast vývoje softwaru má ohledně tvorby zabezpečených programů libovolného druhu zatím opravdu značné nedostatky.

Významnou částí problému je to, že vývojáři nejsou obecně experty na bezpečnost. I v organizacích, kde všichni vývojáři dostávají příslušné školení, si zřídkakdy někdo zapamatuje vše důležité. Firmy považují za nejdůležitější parametr nabízené funkce. Když přijde na zabezpečení, jen zapracují různé návrhy. Možnost přihlásit se heslem je první položka, podpora protokolu SSL další atd. Pro všechny je neobvyklé věnovat dostatek pozornosti řádnému provedení – tedy zpravidla do okamžiku, kdy jsou několikrát veřejně zostuzeni.

Vezměme si například Twitter. Tento web měl v minulosti řadu problémů s bezpečností včetně problémů se závadným skriptováním (XSS, cross-site scripting). Dokud to nebylo zásadní, nikomu zvlášť nevadilo, že se tím u Twitteru moc nezabývali. Vypadalo to, že jsou jeho lidé dost chytří a vyřešili problematiku jako samozřejmost.

Poté, co několik incidentů prokázalo, že dostatečné zabezpečení společnost nezajistila, udělali manažeři Twitteru dobrou věc – nechtěli mít špatnou pověst kvůli ochraně uživatelů, a tak si najali externí konzultanty, aby jim případné chyby skryté v kódu našli. A snažili se najít na plný úvazek i specialistu, který by se postaral o komplexní ochranu produktu.

Když se ale podíváte blíže na Twitter, zjistíte, že mnoho jeho problémů nejsou nutně potíže na straně softwarové platformy (ačkoli některé jednoznačně jsou). Pro osoby se zlými úmysly samozřejmě není vzácností vlámat se na Twitteru do účtu nějaké celebrity (a vložit tam podvodné příspěvky) nebo na profily zaměstnanců Twitteru.

Samozřejmě že se softwarová platforma může pokoušet takovéto hrozby řešit, ale větší část problému je provozní zabezpečení. Zaměstnanci Twitteru si musejí vybírat silná hesla. A měli by co nejvíce povzbuzovat své uživatele k tomu, aby dělali totéž.

Na určité úrovni to již Twitter dělá. Ale i když společnost velmi usiluje o motivaci ke zodpovědnému chování svých zaměstnanců a zákazníků, lidé stále riskují. Někteří lidé používají stejné heslo všude včetně prolomených webů.

Jiní se snaží více, ale stále si volí hesla, která neodolají útokům pomocí hádání. A jiní zase mohou být obětí phishingových podvodů, kdy předají podvodníkům své přihlašující údaje přes falešný webový formulář. Pravdou ale zůstává, že většina prolomení zabezpečení vyžaduje, aby koncový uživatel provedl nebo neprovedl určitý úkon.