Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií
Analýza bezpečnostních hrozeb a rizik uţivatelů sociálních sítí Diplomová práce
Autor:
Zbyněk Marx Informační technologie a management
Praha
Vedoucí práce:
Ing. Antonín Vogeltanz
Odborný konzultant:
Ing. Vladimír Beneš
Duben, 2013
Prohlášení Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze dne 28. 4. 2013
Zbyněk Marx
Poděkování Na tomto místě bych rád poděkoval panu Ing. Antonínu Vogeltanzovi, Ing. Vladimíru Benešovi a konzultantŧm společnosti Risk Analysis Consultants za hodnotné rady, zajímavé podněty a pomoc při psaní této diplomové práce.
Anotace Cílem diplomové práce je analyzovat a zhodnotit bezpečnostní rizika sociálních sítí Facebook a LinkedIn a uvést bezpečnostní doporučení pro jejich uţivatele. Klíčová slova: Bezpečnost, sociální sítě, hrozby, opatření.
Annotation The aim of this thesis is to analyze and assess the security risks of Facebook and LinkedIn social networks and identify coutermeasures for users. Key words: Security, Social networks, Threats, Countermeasures.
Obsah ÚVOD ..................................................................................................................................................................... 7 1
METODIKA ................................................................................................................................................ 8
2
ÚVOD DO SOCIÁLNÍCH SÍTÍ ................................................................................................................. 9 2.1 2.2 2.3 2.4 2.5
3
PŘEHLED NEJPOPULÁRNĚJŠÍCH SOCIÁLNÍCH SÍTÍ ....................................................................................... 9 FACEBOOK............................................................................................................................................... 14 LINKEDIN ................................................................................................................................................ 15 OBSAH SOCIÁLNÍCH SÍTÍ .......................................................................................................................... 15 DŦVODY PRO ZÍSKÁNÍ INFORMACÍ ZE SOCIÁLNÍCH SÍTÍ ........................................................................... 16
HROZBY A RIZIKA SOCIÁLNÍCH SÍTÍ ............................................................................................. 17 3.1 PŘÍKLADY OBECNĚ ZNÁMÝCH HROZEB .................................................................................................... 17 3.1.1 Vědomé prozrazení citlivých osobních informací .......................................................................... 17 3.1.2 Infikace malwarem ........................................................................................................................ 19 3.1.3 Sdílení přístupových údajů ............................................................................................................ 20 3.1.4 Podvodné stránky lákají na nové funkce sociálních sítí ................................................................ 21 3.1.5 Sledování chování uţivatelů .......................................................................................................... 23 3.1.6 Nedostatečně zašifrovaná hesla u provozovatele sociální sítě ...................................................... 24 3.1.7 Prozrazení informací prostřednictvím tlačítek „Like― a sdílených odkazů................................... 24 3.1.8 Prozrazení komunikace ................................................................................................................. 25 3.1.9 Falešná identita ............................................................................................................................. 26 3.1.10 Uměle vytvořená identita .......................................................................................................... 26 3.1.11 Prozrazení citlivých informací třetí osoby ................................................................................ 27 3.1.12 Uměle vyvolané statistiky ......................................................................................................... 28 3.1.13 Vymazání části komunikace ...................................................................................................... 30 3.1.14 Kompromitace dat na straně poskytovatele sluţby ................................................................... 31 3.1.15 Podvrţená zpráva pro změnu přístupových údajů .................................................................... 32 3.1.16 Šíření poplašné zprávy ............................................................................................................. 32 3.1.17 Výpadek sociální sítě ................................................................................................................ 34 3.2 INFOGRAFIKA A SOCIÁLNÍ SÍTĚ ................................................................................................................ 35 3.3 SEZNAM HROZEB ..................................................................................................................................... 36
4
ANALÝZA RIZIK..................................................................................................................................... 41
5
ZHODNOCENÍ ......................................................................................................................................... 46 5.1 5.2 5.3 5.4
6
ZHODNOCENÍ VÝSLEDKŦ ANALÝZY RIZIK................................................................................................ 46 MOŢNÉ DOPADY HROZEB ......................................................................................................................... 49 MOTIVACE BEZPEČNOSTI PROVOZOVATELŦ SOCIÁLNÍCH SÍTÍ.................................................................. 50 BUDOUCNOST BEZPEČNOSTI SOCIÁLNÍCH SÍTÍ ......................................................................................... 50
DOPORUČENÍ PRO UŢIVATELE ........................................................................................................ 52 6.1 PŘIŘAZENÍ OPATŘENÍ K IDENTIFIKOVANÝM RIZIKŦM .............................................................................. 56 6.2 OBECNÁ DOPORUČENÍ ............................................................................................................................. 61 6.3 KONKRÉTNÍ DOPORUČENÍ PRO SOCIÁLNÍ SÍŤ FACEBOOK ......................................................................... 62 6.3.1 Vícefaktorová autentizace s pomocí mobilního telefonu ............................................................... 62 6.3.2 Kontrola viditelnosti obsahu ......................................................................................................... 64 6.3.3 Zákaz vyhledávání ......................................................................................................................... 65 6.3.4 Zabezpečené spojení ...................................................................................................................... 66 6.3.5 Upozornění na přihlášení .............................................................................................................. 67 6.3.6 Kontrola aktivních relací .............................................................................................................. 68 6.3.7 Definování práv pro Timeline ....................................................................................................... 69 6.3.8 Aktivace kontroly příspěvků kde jste označeni .............................................................................. 69 6.3.9 Viditelnost příspěvků na Timeline ................................................................................................. 70 6.3.10 Blokování uţivatelů, aplikací, pozvánek ................................................................................... 71 6.3.11 Monitorování zveřejněných informací na internetu.................................................................. 72 6.4 KONKRÉTNÍ DOPORUČENÍ PRO SOCIÁLNÍ SÍŤ LINKEDIN ........................................................................... 73
6.4.1 Kontrola autorizovaných aplikací ................................................................................................. 73 6.4.2 Nastavení odběru kanálu aktivit .................................................................................................... 74 6.4.3 Sdílení informací s Twitterem........................................................................................................ 75 6.4.4 Správa pluginů LinkedIn ............................................................................................................... 75 6.4.5 Zabezpečené spojení ...................................................................................................................... 76 6.5 OPATŘENÍ PROSTŘEDNICTVÍM INFOGRAFIKY ........................................................................................... 76 ZÁVĚR................................................................................................................................................................. 78 SEZNAM POUŢITÉ LITERATURY ............................................................................................................... 80 SEZNAM POUŢITÝCH OBRÁZKŮ ............................................................................................................... 83 SEZNAM POUŢITÝCH TABULEK ................................................................................................................ 88
Úvod Sociální sítě se staly v desátých letech 21 století fenoménem doby. V polovině roku 2013 pouţívaly sociální sítě více neţ 1,5 miliardy lidí po celém světě a jejich počet stále rostl. Základem sociálních sítí byla interakce mezi uţivateli, kteří navzájem komunikovali prostřednictvím virtuálních uţivatelských identit téţ nazývaných Avatar. V rámci vytvořených uţivatelských identit, které obsahovaly atributy jako reálné jméno a příjmení uţivatele, jeho bydliště, záliby, seznam přátel, jméno zaměstnavatele apod. a zaznamenané komunikace v rámci sociálních sítí, se staly ze sociálních sítí citlivé databáze osobních informací. Ačkoliv provozovatelé sociálních sítí prezentovali jimi provozované sociální sítě jako bezpečné, začaly se časem objevovat faktické zprávy o incidentech, které měly negativní dopad jak na uţivatele sociálních sítí samotné, tak jejich okolí. Postupně, s narŧstajícím mnoţstvím funkcí sociálních sítí a počtem jejich uţivatelŧ, rostl i počet hrozeb a útokŧ. Útočníci začali pouţívat nové typu útokŧ, na které uţivatelé i provozovatelé sociálních sítí nebyli připraveni adekvátně reagovat. V dŧsledku úspěšných útokŧ na sociální sítě, jejich provozovatele a uţivatele, došlo například k četným únikŧm citlivých informací, odcizení autentizačních údajŧ, podvodným jednání, které měli negativní dopad jak na uţivatele sociálních sítí samotné, tak jejich okolí. Cílem této diplomové práce je vytvořit seznam hrozeb, které reálně hrozí sociálním sítím, jejím provozovatelŧm a uţivatelŧm. Následně stanovit velikost rizik na základě dopadŧ, frekvence výskytu a úspěšnosti hrozeb. Vŧči hodnoceným rizikŧm pak stanovit opatření, prostřednictvím kterých lze hodnocená rizika zmírnit, zcela eliminovat, nebo se rizikŧm vyhnout.
7
1 Metodika Cílem diplomové práce je analýza rizik pouţívání sociálních sítí Facebook a LinkedIn a sepsání doporučení, jak tyto rizika eliminovat či se před nimi vyvarovat. Metodika zpracování této diplomové práce se skládá z těchto krokŧ: 1. Sestavení seznamu hrozeb sociálních sítí; 2. Provedení analýza rizik sociálních sítí; 3. Zhodnocení analýzy rizik; 4. Sestavení bezpečnostních doporučení a opatření pro uţivatele sociálních sítí. V kapitole Hrozby a rizika sociálních sítí je probrán výčet moţných hrozeb, které ohroţují uţivatele sociálních sítí. Seznam hrozeb je čerpán z veřejně dostupných zdrojŧ, které o incidentech spojených se sociálními sítěmi informují (internetové zpravodajské webové stránky a zpravodaje informující o bezpečnosti, denní tisk, televizní zpravodajství, bezpečnostní konference), dále z praktických zkušeností uţivatelŧ sociálních sítí a publikací (například norem), které o hrozbách v kyberprostoru pojednávají. V kapitole Analýza rizik jsou na základě seznamu hrozeb, jejich moţného negativního dopadu, velikosti frekvence výskytu a úspěšnosti hrozeb vypočtena rizika, která z uvedených hrozeb vyplývají. Rizika jsou na základě velikosti rizika sestupně seřazena a rozčleněna podle pětistupňové škály do skupin. Roztřídění rizik umoţní jejich prioritizaci při případném řízení rizik. V kapitole Zhodnocení jsou vyhodnocena rizika a dopady, které mohou rizika zpŧsobit, pokud dojde k jejich reálnému naplnění. V kapitole Doporučení pro uţivatele jsou proti jednotlivým rizikŧm navrţena opatření. Díky opatřením by měl být uţivatel schopen výše zmíněná rizika buď zcela potlačit, nebo alespoň částečně zmírnit, případně se rizikŧm vyhnout.
8
2 Úvod do sociálních sítí V desátých letech 21. století se staly sociální sítě celosvětovým fenoménem. Nabídly prostřednictvím internetu bezplatně sluţbu, která registrovaným uţivatelŧm umoţnila vytvářet osobní/firemní profily, sdílet mediální obsah a komunikovat mezi sebou. Sociální sítě patří mezi tzv. technologie Web 2.0 (časové období od roku 2004 do současnosti – roku 2013), které charakterizuje sdílení a společná tvorba webového obsahu. Boom sociálních sítí přetrvává do dnes (rok 2013). Počet uţivatelŧ sociálních sítí neustále roste, rovněţ vznikají nové druhy sociálních sítí. Popularita sociálních vzrostla natolik, ţe z pomyslného trŧnu návštěvnosti na internetu sesadili do té doby dominantní internetové vyhledávače v čele s Googlem.
Bezpečnost sdílení informací Od svého vzniku sociální sítě provází otázka ohledně zneuţití citlivých uţivatelských informací, které obsahují. V prŧběhu let vyplul na světlo ne jeden bezpečnostní incident, včetně únikŧ osobních fotografií samotného Marka Zuckerberga1, zakladatele co do počtu uţivatelŧ největší sociální sítě Facebook.
2.1 Přehled nejpopulárnějších sociálních sítí Od vzniku první sociální sítě, za kterou lze povaţovat projekt Sixdegrees spuštěný v roce 1997, vznikly po celém světě desítky podobných projektŧ. Patnáct nejvíce nenavštěvovaných sociálních sítí je uvedeno níţe v tabulce. Jejich pořadí je uvedeno sestupně dle počtu unikátních návštěvníkŧ za měsíc.
1
ČTK. Unikly soukromé fotky Marka Zuckerberga. Kvŧli chybě Facebooku. Tyden.cz [online]. ©2006 [cit. 2013-04-03]. Dostupné z: http://www.tyden.cz/rubriky/media/internet/unikly-soukrome-fotky-markazuckerberga-kvuli-chybe-facebooku_219466.html
9
15 Nenavštěvovaných sociálních sítí Pořadí
Název sociální sítě
Počet unikátních návštěvníků za měsíc
1
Facebook
750 000 000
2
Twitter
250 000 000
3
LinkedIn
110 000 000
4
Pinterest
85 500 000
5
MySpace
70 500 000
6
Google Plus+
65 000 000
7
DeviantArt
25 500 000
8
LiveJournal
20 500 000
9
Tagged
19 500 000
10
Orkut
17 500 000
11
CafeMom
12 500 000
12
Ning
12 000 000
13
Meetup
7 500 000
14
myLife
5 400 000
15
Multiply
4 000 000
Tabulka 1 15 nejpopulárnějších sociálních sítí (údaje z dubna2013). Zdroj: eBizMBA Inc. Top 15 Most Popular Social Networking Sites | April 201. ebizmba.com [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://www.ebizmba.com/articles/social-networking-websites
Dále je uveden seznam třech nejpopulárnějších sociálních sítí, co do počtu registrovaných uţivatelŧ, ve vybraných zemích v letech 2009, 2010, 2011 a 2012.
10
Tři nejpopulárnější sociální sítě (červen 2009) Jiţ v roce 2009 dominoval kromě Číny (QQ) a Ruska (V Kontakte) sociálním sítím Facebook. Dnes druhou nejpopulárnější síť Twitter lze spatřit aţ na třetích příčkách, dnešní trojka LinkedIn v první trojici nefiguruje vŧbec.
Obrázek 1 Nejpopulárnější sociální sítě v roce 2009, Zdroj: Vincos Blog.World Map of Social Networks. vincos.it [online]. ©2013 [cit. 2013-04-07]. Dostupné z:http://vincos.it/world-map-of-social-networks/
Tři nejpopulárnější sociální sítě (červen 2010) Níţe v tabulce stavu sociálních sítí z června 2010 lze pozorovat vzestup sociální sítě Twitter oproti MySpace (Austrálie, Kanada) a Bebo (Velká Británie) a pomalý, leč stabilní rŧst sítě LinkedIn (Kanada, Velká Británie) oproti minulému roku.
Obrázek 2 Nejpopulárnější sociální sítě v roce 2010, Zdroj: Vincos Blog.World Map of Social Networks. vincos.it [online]. ©2013 [cit. 2013-04-07]. Dostupné z:http://vincos.it/world-map-of-social-networks/
11
Tři nejpopulárnější sociální sítě (červen 2011) V červnu 2011 jiţ byla patrná jasná druhá pozice sociální sítě Twitter (zejména ve Francii, Německu a USA) a také pomalý, ale konstantní rŧst profesní sociální sítě LinkeIn, která se umisťuje na třetích pozicích oblíbenosti (USA, Austrálie).
Obrázek 3 Nejpopulárnější sociální sítě v roce 2011, Zdroj: Vincos Blog.World Map of Social Networks. vincos.it [online]. ©2013 [cit. 2013-04-07]. Dostupné z:http://vincos.it/world-map-of-social-networks/
Tři nejpopulárnější sociální sítě (červen 2012) V červnu 2012 dominoval Facebook kromě Číny (Qzone) a Ruska (Odnoklassniki) ve všech významných zemích. Na druhých pozicích a třetích pozicích setrvávali LinkedIn a Twitter, mnohdy ale téţ bodovalo Badoo.
12
Obrázek 4 Nejpopulárnější sociální sítě v roce 2012, Zdroj: Vincos Blog.World Map of Social Networks. vincos.it [online]. ©2013 [cit. 2013-04-07]. Dostupné z:http://vincos.it/world-map-of-social-networks/
České sociální sítě Za světovým trendem produkce sociálních sítí nezŧstali pozadu ani Češi. Mezi nejznámější ryze české sociální sítě patří: Lidé.cz – internetové fórum, chatovací server, sdílení fotografií; Spoluţáci.cz – určeno pro současné i bývalé spoluţáky, slouţí ke sdílení fotografií a chatování; Líbímseti.cz – seznamka, sdílení fotografií a chat; SitIT.cz – určeno pro vědecké pracovníky v ČR; Šeptter – informace o firmách a ţivnostnících, recenze a zkušenosti; CSFD – hodnocení televizní a filmové tvorby, statistiky, filmotéky, profily hercŧ a tvŧrcŧ.
13
Co se týče návštěvnosti sociálních sítí v České republice, ţebříčku vévodí celosvětový lídr Facebook. České sociální sítě kromě filmově tematicky zaměřené sítě ČSFD pociťují odliv uţivatelŧ. To uvádí i samotná zpráva agentury Mediaresearch z ledna roku 2012, která měří návštěvnost na internetu: „2Zatímco v roce 2010 se české sociální sítě ještě poměrně drţely, v 2011 je uţ pokles návštěvnosti velmi výrazný a týká se i typických představitelů českých komunitních webů, jako jsou Spoluţáci.cz a Lidé.cz―. Kromě zahraničního Facebooku se české přízni těší také LinkedIn a Google+. Dále budou detailněji popsány právě dvě jmenované sociální sítě – Facebook a LinkedIn.
2.2 Facebook Sociální síť Facebook je aktuálně největší sociální sítí, co do počtu registrovaných uţivatelŧ. Facebook je téţ nejpouţívanější sociální sítí v drtivé většině zemí po celém světě, viz kapitola 2.1 Přehled nejpopulárnějších sociálních sítí. Celkový počet uţivatelŧ se blíţí k jedné miliardě. Facebook byl poprvé spuštěn na Harvardově univerzitě svým tvŧrcem Markem Zuckerbergem v únoru roce 2004. Mark Facebook pŧvodně vytvořil pouze pro studenty univerzity. Síť se však během pár měsícŧ stala tak populární, ţe se rychle rozšířila na další univerzity, aţ se v roce 2006 dostala mimo akademickou sféru a stala dostupnou široké veřejnosti. Popularita této sociální sítě šla tak daleko, ţe v roce 2010 vznikl americký film The Social Network, který vznik Facebooku mapuje. Film v roce jeho
premiéry v kinech patřil mezi
nejsledovanější. Facebook ve své podstatě umoţňuje především komunikaci mezi uţivateli a sdílení multimediálního obsahu. Své místo na síti najdou pro své podnikání i firmy, které si zde mohou zakládat své oficiální stránky. Nutno podotknout, ţe dnes jiţ kaţdá větší firma svou stránku na Facebooku má. Vyjma toho si firmy mohou kupovat PPC a bannerovou reklamu, pro prezentaci svých produktŧ. Více na toto téma píše například Daniel Dočekal ve svém článku České firmy na Facebooku a Twitteru v roce 20113 na serveru LUPA.
2
Mediafax. Nejnavštěvovanější sociální sítí v Česku je Facebook, domácí alternativy upadají. Mediafax.cz. [online].[2012-01-17]. Dostupné z: http://www.mediafax.cz/ekonomika/3993732-Nejnavstevovanejsi-socialnisiti-v-Cesku-je-Facebook-domaci-alternativy-upadaji 3 DOČEKAL, Daniel. České firmy na Facebooku a Twitteru v roce 2011. Lupa.cz. [online]. ©1998 – 2012 [2012-01-17]. Dostupné z: http://www.lupa.cz/clanky/ceske-firmy-na-facebooku-a-twitteru-v-roce-2011/
14
2.3 LinkedIn Sociální síť LinkedIn vznikla v roce 2003, o rok dříve neţ Facebook. LinkedIn, s více neţ 135 miliony uţivateli, lze dnes povaţovat za největší profesní síť na světě. Nejvyšší popularitě se těší v USA, čím dál více získává popularitu ale i v České republice. Na síti pŧsobí nejčastěji manaţeři, konzultanti a odborníci z rŧzných oborŧ, nicméně jako stěţejní pracovní nástroj jej pouţívají mnozí headhunteři a personalisté. Ti na profesní síti hledají prostřednictvím uţivatelských ţivotopisŧ vhodné kandidáty na pracovní místa, jelikoţ LinkedIn nabízí velké mnoţství informací o potenciálních zaměstnancích. Kromě fyzických osob, podobně jako na Facebooku, pŧsobí na LinkedIn i firmy. Rŧst uţivatelské základny sítě LinkedIn lze označit za pomalý ale stabilně rostoucí. Pro představu, v říjnu roku 2009 dosáhl LinkedIn 50 milionŧ uţivatelŧ, květnu 2010 jejich počet překročil 70 milionŧ. Co se týče charakteristiky uţivatelŧ, ze 44 % LinkedIn pouţívají Američané, dále pak Indové, Brazilci, v Evropě pak Holanďané, Francouzi a Italové. Profesní síť pouţívají spíše muţi (61 %). Co se věku týče, 36 % uţivatelŧ je ve věku 25-54 let, a 21 % ve věku 18-24 let. Z prŧmyslu jsou nejvíce zastoupeny firmy technologické (17 %), finanční (14 %), obchodní (12 %), výrobní (10 %), akademické (10 %), správní/administrativní (10 %).4
2.4 Obsah sociálních sítí Obsah sociální je velmi rŧznorodý. Pro to, aby bylo moţné definovat hrozby, je nutné vědět, kterých informací se mohou týkat. Níţe jsou uvedeny informace, které sociální sítě mohou obsahovat: •
Osobní identifikační informace jak uţivatele samotného, tak druhých osob – rodné
číslo, jméno, příjmení, místo bydliště, vyznávané náboţenství; •
Osobní citlivé informace jak uţivatele samotného, tak druhých osob – zdravotní stav,
fotografie, videa, zvukové záznamy;
4
Vincos Blog. The State of Linkedin. vincos.it [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://vincos.it/the-state-of-linkedin/
15
•
Autentizační údaje nebo informace, díky nimţ lze autentizační údaje získat – hesla,
jména domácích zvířat, příbuzných, spoluţákŧ, kolegŧ; •
Informace které prozrazují chování jak uţivatele samotného, tak druhých osob –
zvyky, zpŧsob komunikace, koníčky, zaměstnání; •
Geografickou polohu jak uţivatele samotného, tak druhých osob – aktuální polohu
uţivatele, místo a datum plánované dovolené, bydliště přátel a příbuzných, oblíbené restaurace; •
Pracovní informace – informace o struktuře organizace, pracovních kolezích,
dodavatelích, zákaznících, plánech organizace, aktuálních projektech, pracovní dokumentace; •
Záznam komunikace – komunikace s rodinnými příslušníky, známými, kolegy z práce,
zákazníky, dodavateli; •
Informace o majetku jak uţivatele samotného, tak druhých osob – fotografie, videa,
seznamy majetku.
2.5 Důvody pro získání informací ze sociálních sítí Pro definování hrozeb a jejich pravděpodobnosti, je dŧleţité identifikovat dŧvody, proč mŧţe dojít ke zneuţití informací na sociálních či ke kompromitaci uţivatelského účtu či identity. Mezi dŧvody patří: Odcizení majetku; Sledování chování uţivatele nebo druhých osob; Sledování geografické polohy uţivatele nebo druhých osob; Sledování komunikace uţivatele nebo druhých osob; Získání citlivých/kompromitujících informací uţivatele nebo druhých osob; Finanční motivace (prodej či zneuţití identity/uţivatelského účtu).
16
3 Hrozby a rizika sociálních sítí Jelikoţ jsou sociální sítě široce rozšířené a pouţívané, věnují se jejich problematice v nemalé míře média. A právě média nejčastěji informují o jejich kompromitaci, neboť právě tyto informace představují pro senzacechtivé čtenáře lákavé téma. Většinou se totiţ týká právě jich samotných nebo jejich nejbliţších. Mohou se tak dozvědět zajímavé informace ze soukromí hvězd, souseda z protějšího bytu, známých či rodinných příslušníkŧ. Média v tomto případě pŧsobí v rámci zveřejňování zmíněných příspěvkŧ jak negativně, prostřednictvím zveřejnění leckdy citlivých informací, tak edukativně, kdy uţivatele varují před hrozbami a doporučují bezpečné vzorce pro chování na sociálních sítích.
3.1 Příklady obecně známých hrozeb Níţe jsou uvedeny příklady hrozeb a incidentŧ týkající se sociálních sítí, které byly prezentovány veřejně dostupných médiích.
3.1.1 Vědomé prozrazení citlivých osobních informací Uţivatelé sociálních sítí mohou být díky zveřejnění citlivých poškozeni, ať uţ materiálně či psychicky. Mezi extrémní, ale reálné příklady, patří událost, kdy nejmenovaný Švéd zveřejnil informaci o své nemoţnosti chodit. 5
„Švéd upoutaný na lůţko se stal obětí vraţdy jen několik dní poté, co na svém účtu na
Facebooku napsal, ţe je nemocný a kvůli ztrátě citu v noze také nepohyblivý. "Kdyţ jsem jeho příspěvek viděla, povaţovala jsem to za velmi špatný nápad. Neměl to dělat," řekla známá muţe místním novinám Norrländska Socialdemokraten. Dodala, ţe se nemohl nijak bránit proti lidem se zlými úmysly. Policie nalezla 55letého muţe v sobotu ráno zbitého a pobodaného. Jeho stav byl však natolik váţný, ţe těţkým zraněním podlehl. Na místě se jim rovněţ podařilo zadrţet dva silně opilé muţe, které z vraţdy podezírá. Oba však obvinění odmítají.
5
ČTK. Na Facebook napsal, ţe je mrzák. Krátce nato ho zavraţdili. Tyden.cz [online]. ©2006 [cit. 2013-04-7]. Dostupné z: http://www.tyden.cz/rubriky/zahranici/evropa/na-facebook-napsal-ze-je-mrzak-kratce-nato-hozavrazdili_219945.html
17
Policisté ve všech zemích opakovaně varují před tím, co o sobě uţivatelé na sociálních sítích a dalších internetových projektech zveřejní. Statusy o tom, co lidé právě dělají, s oblibou sledují zloději. Řada lidí tak jiţ po příjezdu z dovolené nalezla vykradený byt.― Výše uvedený příklad se týkal prozrazení zdravotního stavu uţivatele. Podobný typ citlivých informací lze v dnešní době celkem snadno díky sociálním sítím zjistit. Existují i sluţby, které se sběrem informací o lidech zabývají. V Americe mezi takové sluţby patří například společnost US Search.com. Na stránce www.ussearch.com stačí zadat jméno, příjmení, případně město, věk a máte moţnost vyhledat o dané osobě další informace viz obrázky níţe.
18
Obrázek 5 Vyhledání osobních informaci o panu Alexandru Čejkovi na stránce společnosti US Search.com. Zdroj: US Search.com. Get a Report on Cejka Alexander. US Search.com [online]. © 2001-2013 [cit.2013-0407]. Dostupné z: http://www.ussearch.com/consumer/peoplesearch/names/nationwide/cejka/alexander.html?cached=1
Zveřejnění osobních a citlivých informací na sociální síti mŧţe mít velmi závaţné dŧsledky, viz příběh o Švédovi výše, jelikoţ informace mohou být zneuţity cizími osobami. Mezi podobně nešťastné zveřejnění informací mŧţe patřit vyzrazení termínu dovolené, kdy lupiči mohou snadno vyloupit prázdný dŧm.
3.1.2 Infikace malwarem Počátkem roku 2011 vydala společnost Seculert zprávu6 o vysoce agresivním malwaru Ramnit, který se síří sociální sítí Facebook. V době vydání zprávy jiţ malware stačil odcizit 6
Seculert. Ramnit Goes Social. Seculert.com[online]. 2013[cit. 2013-04-07]. Dostupné z: http://blog.seculert.com/2012/01/ramnit-goes-social.html
19
přes 45 000 hesel a s nimi související emailové adresy. Ramnit dokázal mimo jiné infikovat spustitelné soubory MS Windows a Office. Securlet ve zprávě uvádí: „Máme podezření, ţe útočníci pouţívají ukradené údaje k přihlášení na Facebook, kde přenášejí škodlivé odkazy na „přátele― původní oběti a tak malware šíří dál. A vyuţívají rovněţ skutečnosti, ţe lidé mají tendenci pouţívat stejná hesla na různých webových sluţbách (Gmail, Outlook a různé firemní sítě), takţe pravděpodobně získali přístup i k nim―. Ramnit byl poprvé registrován na internetu v 2010, kdy ale malware „pouze“ kradl cookies prohlíţečŧ a přihlašovací údaje na FTP. Podle společnosti Securlet musel malware být v prŧběhu jeho ţivotního cyklu modifikován na základě jiných malwarových programŧ typu Zeus. Podobných sofistikovanějších variant malwaru existují desítky, ne-li stovky. 7Některé útoky spočívají v zaslání e-mailu vlastníkovi virtuální identity, ve kterém je zmíněno přijetí poţadavku na zrušení účtu/identity na sociální síti. Pro odvolání zrušení účtu e-mail obsahuje web link, prostřednictvím kterého lze deaktivaci zrušit. Na odkazované stránce se ale nachází například instalační soubor aktualizace pro Adobe Flash/Javy/Silverlight apod. se zranitelností a malwarem, který dané zranitelnosti vyuţívá pro ovládnutí systému, na který bude zmíněný software ze stránky nainstalován. Na stránku infikovanou malwarem mŧţe odkazovat i standardní reklama, která se objevuje na sociálních sítích8. Dŧsledkem instalace malwaru mŧţe být například ovládnutí systému, sledování chování uţivatele (stiskŧ kláves, screenshoty obrazovky), následně pak zneuţití získaných informací.
3.1.3 Sdílení přístupových údajů Podle společnosti Associated Press poţaduje stále více zaměstnavatelŧ po ţadatelích o pracovní místo přístupové údaje do sociálních sítí. Jedná se zejména o společnosti v USA. Ve veřejné správě se jedná zejména o pozice policistŧ a záchranářŧ.
7
WAGENSEIL, Paul. Scary New Facebook Bugs Steal Money, Evade Anti-Virus Software. Technewsdaily.com [online]. ©2013 [cit. 2013-2-17]. Dostupné z: http://www.technewsdaily.com/4317-scary-facebookmalware.html 8 GOODCHILD, Joan. 10 Security Reasons to Quit Facebook (And One Reason to Stay On). Csoonline.com [online]. ©1994 - 2013 [cit. 2013-3-28]. Dostupné z: http://www.csoonline.com/article/584813/10-securityreasons-to-quit-facebook-and-one-reason-to-stay-on-?page=2
20
9
Jako příklad lze uvést příběh Roberta Collinse, který se ke své práci úředníka na ministerstvu
veřejné bezpečnosti a nápravných sluţeb ve státě Maryland vrátil poté, co si vzal dovolenou po smrti své matky. Během opětovného přijímacího pohovoru byl poţádán o své přihlašovací údaje do sociální sítě Facebook, údajně aby agentura mohla zkontrolovat, zdali nemá vztahy se členy gangŧ. Proto, aby práci získal zpět a mohl tak ţivit svou rodinu, nakonec Collins své přihlašovací údaje prozradil. Dŧsledkem sdílení autentizačních údajŧ k uţivatelskému profilu na sociální síti mŧţe být únik citlivých informací, zneuţití virtuální identity, k níţ sdílené autentizační údaje patří. Ohroţeny mohu být i osoby, které jsou s uvedenou identitou v rodinném, příbuzenském, přátelském, pracovním aj. vztahu.
3.1.4 Podvodné stránky lákají na nové funkce sociálních sítí Společnost Eset, která se zabývá bezpečnosti informací, začátkem roku 2012 informovala o podvodných stránkách na Facebooku, které slibovaly uţivatelŧm funkce Facebook Timeline návrat ke starému rozvrţení jejich profilu. Ke starému profilu totiţ Facebook oficiálně návrat neumoţňoval. 10
Některým uţivatelům se grafické rozhraní Timeline profilu nezamlouvala. A právě na nich
se rozhodli parazitovat podvodníci vytvořením facebookových stránek, které slibují návrat starého profilu. Jedna z takových podvodných stránek od lidí vyţadovala kliknutí na tlačítko „To se mi líbí― ještě předtím, neţ se jim zobrazí její obsah. Potom si vyţádala stejný postup u dalších 45 facebookových stránek. Aţ po vyzvání všech jejich přátel k „lajkování― této stránky se uţivateli zobrazil anglický text „Počkejte několik dní, váš poţadavek bude odeslán do Timeline kanceláře―. V konečném důsledku si tedy uţivatel takto „oblíbil― 46 stránek, které mu mohou spamovat zeď na Facebooku, a navíc ještě vyzval k témuţ i své přátele z této sociální sítě.
9
Reed Exhibitions Limited. More employers asking job applicants for Facebook login info. Infosecurity magazine [online]. ©2013 [cit. 2013-3-28]. Dostupné z: http://www.infosecuritymagazine.com/view/24691/more-employers-asking-job-applicants-for-facebook-login-info/ 10
NOSKA, Martin. Podvodné stránky lákají na deaktivaci Facebook Timeline. Computerworld.cz. [online]. 2013 [cit. 2013-3-28]. http://computerworld.cz/bezpecnost/podvodne-stranky-lakaji-na-deaktivaci-facebooktimeline-44395
21
Autoři webu Insidefacebook.com napočítali 16 podobných podvodných stránek. Dohromady vygenerovaly kolem 71 tisíc „lajků―. O jiné podvodné aktivitě na sociální síti Facebook informoval v březnu zpravodajský web www.blesk.cz v článku „11Černému Facebooku se vyhněte, jde o vir! Poradíme vám, jak ho odstranit.“ Autor v článku popsal fungování viru takto: „Určitě uţ i vám na zdi sociální sítě vyskočil obrázek, který láká na černou verzi. Je na něm označen některý z vašich přátel a další uţivatel přikládá do komentáře odkaz do staţení. Pokud na něj kliknete, Facebook se vás dotáţe, zda chcete aplikaci povolit přístup na váš profil. To rozhodně nedělejte! Stačí troška pozornosti Ţádného černého Facebooku se nedočkáte a aplikace začne i s odkazem na aktivování označovat další přátele. Navíc získá všechny vaše osobní údaje včetně hesel! Přitom stačí jenom trošku pozornosti. Na obrázku není napsáno Facebook, ale Facebook. Jak se viru zbavit? Pokud viru přesto poskytnete přístup na svůj profil, nezoufejte. Stačí přejít na stránku s aplikacemi sociální sítě, najít Facebook Black a odstranit ho.― Oficiální zpráva Facebooku zmiňuje, ţe 8,7 % uţivatelských profilŧ na sociální síti Facebook jsou falešné. Obsahují například duplicitní profily uţivatelŧ (4,8 %), profily které nejsou lidské (domácích mazlíčkŧ, smyšlených postav atp., 2,4 %) či profilŧ pro zasílání spamu (1,5 %)12.
11
Blesk. Černému Facebooku se vyhněte, jde o vir! Poradíme vám, jak ho odstranit. Blesk.cz [online]. ©2001 2013 [cit. 2013-04-07]. Dostupné z: http://www.blesk.cz/clanek/digital-internet/193015/cernemu-facebooku-sevyhnete-jde-o-vir-poradime-vam-jak-ho-odstranit.html 12 SWENEY, Mark. Facebook quarterly report reveals 83m profiles are fake. Guardian [online]. ©2013 [cit. 2013-03-28]. Dostupné z: http://www.guardian.co.uk/technology/2012/aug/02/facebook-83m-profiles-bogus-fake
22
3.1.5 Sledování chování uživatelů Podle studie Global Tracker Report13 společnosti Evidon, patří sociální sítě mezi společnosti, které nejvíce sledují chování uţivatelŧ na internetu. Společnost Evidon, vyvíjí bezplatný nástroj, který „špehovací“ nástroje monitoruje a případně blokuje. Mezi takové nástroje patří například pluginy pro webové prohlíţeče, webové skripty a cookies. Ve dnech vydání zprávy, nástroj monitoroval chování „tracking cookies“ více neţ 1,6 milionŧ uţivatelŧ. Z ţebříčku vyplívá, ţe v aktivitě sledování uţivatelŧ jednoznačně vede Google Analytics a Adsence. Hned za ním se ale řadí sociální sítě v čele s Facebook Social Plugins, Google +1, Facebook Connect a Twitter Button. Tedy čtyři z prvních šesti příček patří sociálním sítím.
Obrázek 6 Žebříček služeb pro sledování uživatelů webových stránek. Zdroj: Electronista Staff. Report: Google, Facebook biggest web trackers. Electronista [online]. 2013 [cit. 2013-03-28]. Dostupné z: http://www.electronista.com/articles/12/06/12/net.giants.comprise.all.of.the.top.five.trackers/
Sociální sítě sledují chování uţivatelŧ. Disponují přehledem o stránkách, které uţivatelé navštěvují. Existuje tak riziko zneuţití informací o uţivatelných jak samotným 13
Evidon. Evidon Global Tracker Report. Evidon [online]. 2013 [cit. 2013-04-07]. Dostupné z: http://www.evidon.com/research
23
provozovatelem sociálních sítí, tak jeho zaměstnanci či třetími stranami, kterým jsou data zpřístupněna. Nelze vyloučit ani únik zmíněných informací. V té chvíli se informace dostanou mimo kontrolu sociálních sítí a mŧţe je zneuţít prakticky kdokoli, jakkoli.
3.1.6 Nedostatečně zašifrovaná hesla u provozovatele sociální sítě Poté, co byla 6. června odcizena hesla ze sociální sítě LinkedIn, ukázalo se, ţe uţivatelé v mnoha případech volili pro přístup do sociální sítě jednoduchá hesla, která lze snadno „zlomit“.
14
Bezpečnostní konzultantská firma KoreLogic analyzovala uniklá hesla a zjistila,
ţe mnoho hesel lze i přes zašifrovanou formu snadno zpětně dešifrovat. Seznam hesel, který unikl, obsahoval 6,5 milionu unikátních zašifrovaných hashŧ hesel. Kaţdý hash tvořilo jedinečné heslo a statický řetězec písmen, číslic, symbolŧ, který měl při pouţití kódovacího algoritmu SHA-1 zajistit, ţe se nepŧjde zašifrované heslo zpětně z hashe modifikovat. Bohuţel, LinkedIn nepouţil při tvorbě hashe kromě statického řetězce znakŧ téţ náhodně generovanou sadu znakŧ, označovanou při šifrování jako „sŧl“. Přidaná sŧl by z hashŧ SHA1udělala daleko silnější typ šifrovaných dat. Jelikoţ LinkedIn sŧl při šifrování ale nepouţil, dle vyjádření senior konzultanta Ricka Redmana ze společnosti KoreLogic, šlo přibliţně 80 % uniklých hesel z LinkedIn zpětně dešifrovat. Zranitelným místem v tomto případě byly nedostatečně zabezpečené (zašifrované) autentizační údaje (jméno, heslo) u provozovatele sociální sítě. Při úniku autentizačních údajŧ hrozí odcizení identity a únik/zneuţití citlivých údajŧ dané identity. Při pouţití stejných autentizačních údajŧ u dalších sluţeb, aplikací, systémŧ atp., hrozí odcizení informací i z těchto aktiv.
3.1.7 Prozrazení informací prostřednictvím tlačítek „Like“ a sdílených odkazů. Během několika let se na internetu rozšířil nový fenomén – uţivatelé mohou sdílet téměř vše, co na internetu vidí. Pro ty, co jsou líní psát ke sdílenému obsahu komentáře, zavedly sociální sítě speciální tlačítka. Sociální síť Facebook například tlačítko „Like“, česky „Líbí se mi“. 14
LEMOS, Robert. LinkedIn Password Theft Underscores Cloud Security Dangers, eWEEK [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://mobile.eweek.com/c/a/Security/LinkedIn-Password-Theft-UnderscoresCloud-Security-Dangers-571992/
24
Tlačítko „Like“, které se nachází poblíţ oblíbeného obsahu, stačí stisknout a ostatní se dozvědí, ţe právě tento obsah se vám líbí. Sdílený obsahu sebou nese ale negativa. V rámci sdílení dáváte okolí najevo, co se vám líbí, tedy se vzdáváte kusu svého soukromí. I kdyţ se mŧţe zdát, ţe informace které sdílíte, mají nízkou informační hodnotu, stačí například k tomu, aby webové stránky vám nabídly personalizovanou reklamu. Ještě více alarmující je trend, kdy je propojují osobní informace s veřejnými. Děje se tak například na stránkách, kde probíhají diskuse prostřednictvím příspěvkŧ ze sociálních sítí, jako jsou například Facebook či Twitter. Pokud například přispějete příspěvkem do diskuse pod článkem, ostatní čtenáři vidí vaše jméno a mohou prostřednictvím prokliku navštívit váš profil na sociální síti. Příspěvky v diskusi se téţ přenáší na stránku sociální sítě (Facebook>Zeď) a mohou tak na ně reagovat vaši přátelé. Některé stránky pak umoţňují sledovat reakce i samotných přátel. Hrozbou v tomto případě je sledování uţivatelského chování, získávání informací o uţivateli, ztráta soukromí. Následně pak hrozba zneuţití získaných informací, případná manipulace uţivatelem. 15
Pro uchování soukromí se při přechodu na webové stránky vţdy odhlašujte ze sociálních
sítí. Odhlášení zabrání jednak, aby webové stránky zjišťovali vaše osobní informace a taktéţ aby sociální sítě sledovali, jaké webové stránky navštěvujete. Mezi další opatření patří automatické mazání cookies pokaţdé, kdy se z webové stránky/sluţby odhlásíte. Moderní prohlíţeče tuto funkci nabízejí pod názvem „private browsing“, neboli „anonymní surfování“.
3.1.8 Prozrazení komunikace Při soukromém chatu na sociálních sítích uţivatel předpokládá, ţe komunikaci mŧţe sledovat pouze on a protistrana, se kterou komunikuje. Realita je však taková, ţe chatová komunikace je poskytovatelem chatovací sluţby sledována a analyzována. Upozorňuje na to například článek renomované agentury Reuters (16Social networks scan for sexual predators, with 15
POREMBA, Sue Marquette. 'Like' or 'Share' Links? You May Be Revealing Personal Info. SecurityNewsDaily [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://www.securitynewsdaily.com/751-like-or-share-links-youmay-be-revealing-personal-info.html 16 MENN, Joseph. Social networks scan for sexual predators, with uneven results. Reuters [online]. 2013 [cit. 2013-04-07]. Dostupné z: http://www.reuters.com/article/2012/07/12/us-usa-internet-predatorsidUSBRE86B05G20120712
25
uneven results), který poukazuje na příznaky chování takového charakteru. V rámci analýzy obsahu chatu jsou stroji sledovány například pouţívané slovní výrazy a věk komunikujících stran. Pokud stroj vyhodnotí, ţe komunikace prostřednictvím chatu jeví známky podezřelého chování, například sexuálního, je automaticky upozorněna příslušná osoba na straně provozovatele soc. sítě. Ta podezřelou komunikaci detailněji přešetří a případně podnikne další kroky. Zaměstnanci, pověřené osoby a třetí strany, které dostanou oprávnění od provozovatele sociálních sítí nahlíţet do chatu na sociálních sítích, mohou s takovými informacemi dále nakládat a zneuţít je. Zdání, ţe chat je zcela privátní, je klamný.
3.1.9 Falešná identita Na sociálních sítích se vyskytuje nepočitatelné mnoţství uţivatelských identit, které se vydávají za populární osobnosti či vizuálně zajímavé lidi. Ve skutečnosti se však jedná o falešné uţivatelské profily, které se skutečnými uţivateli nemají nic společného. Jejich cílem je kompromitovat potencionální oběti17. Útočník, který se za podvrţenou identitou skrývá, se pokouší posílat uţivateli zprávy, obrázky, soubory obsahující nebezpečný malware. Následně, prostřednictvím malwaru odcizit hesla, či číst e-mailovou a jinou digitální komunikaci, ovládnout uţivatelský profil, účet či celý operační systém a počítač. Útočník, tedy uţivatel falešného identity mŧţe téţ pouţít techniky sociálního inţenýrství. S ukradenými profily se obchoduje například na http://www.buyaccountsnow.com/. Ceny ukradených uţivatelských profilŧ se pohybují kolem cca za 6 centŧ za účet, u účtŧ s ověřeným fyzickým uţivatelem, je cena kolem 1,5 dolaru.
3.1.10 Uměle vytvořená identita 18
Kromě podvrţených identit známých osob se lze na sociálních sítích setkat s uměle
vytvořenými identitami, které v reálném světě neexistují. „Virtuální přítelkyni“ na Facebooku si
mŧţete
například
koupit
u
brazilské
společnosti
sídlící
na
webové
adrese
http://www.namorofake.com.br/. Za 20 dolarŧ s vámi na 7 dní uzavře na sociální síti vztah
17
LIEBOWITZ, Matt. Zombie Blondes Invade Facebook with Fake Profiles. SecurityNewsDaily [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://www.securitynewsdaily.com/1889-zombie-blonde-facebook-fakeprofile.html 18 THOMPSON, Cadie. Get a Fake Facebook Girlfriend for $20. CNBC [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://www.cnbc.com/id/100387898/Get_a_Fake_Facebook_Girlfriend_for_20
26
„virtuální ţena“. Kromě statusu „ve vztahu“ vám „virtuální ţena“ napíše 10 deset příspěvkŧ na váš virtuální profil.
Obrázek 7 Na webové stránce http://namorofake.com.br/ si můžete koupit virtuální přítelkyni na Facebooku. Zdroj: Namoro. [online]. 2013 [cit. 2013-04-07]. http://namorofake.com.br/
Uţivatel mŧţe být uveden v omyl ohledně vzájemných osobních vztahŧ a reálnosti uţivatelŧ. Uţivatelský profil mŧţe vykazovat 100vky přátel, ale ani jeden nemusí být reálný. Prostřednictvím zaslaných statusŧ mŧţe být uţivatel zmanipulován „doporučením či většiny“, například statusy dobrého hodnocení jak osob (např. jedná o spolehlivého kamaráda) tak například produktu (např. výrobek je úţasný a bezchybný).
3.1.11 Prozrazení citlivých informací třetí osoby Při komunikaci v rámci specifických profesí, jako je například lékařství, mŧţe dojít k úniku citlivých informací třetích stran, jako jsou například informace o zdravotním stavu pacientŧ. Moţnosti sociálních sítí přímo vybízí ke konzultaci mezi lékaři v rámci lékařské komunity nebo mezi lékaři pacienty. Komunikace však mŧţe obsahovat informace, které mohou být 27
zneuţitelné například v marketingu nabízení léčiv či léčebných praktik, pojištění (změna/vypovězení pojistné smlouvy) či ke kriminálním činŧm (vyuţití alergických reakcí oběti). Pro komunikaci ohledně citlivých informací (zdravotní stav atp.) je třeba pouţívat sítě k tomu určené. Jejich platformy zahrnují potřebnou míru autentizace, autorizace a šifrování neboli celkovou úroveň zabezpečení, kterou například Facebook nebo LinkedIn nezaručují.
19
Mezi
poskytovatele sluţeb bezpečnou pro komunikaci mezi lékaři patří například Sermo a Doximity.
Obrázek 8 Aplikace lékařské sociální sítě Doximity na mobilním zařízení iPhone Zdroj: MEARIAN, Lucas, Facebook and physicians: Not good medicine. Computerworld [online]. ©1994 - 2013 [cit. 2013-04-07]. Dostupné z: http://www.computerworld.com/s/article/9227180/Facebook_and_physicians_Not_good_medicine_?taxonomyId =17&pageNumber=3
3.1.12 Uměle vyvolané statistiky Pro ověření bezpečnosti stránek/aplikací/uţivatelŧ pouţívají často uţivatelé sociálních sítí parametry
počtu
přátel,
statusŧ
oblíbenosti
atp.
Pod
dojmem
„kdyţ
ke
stránce/aplikaci/uţivateli přistupuje tolik uţivatelŧ, musí být bezpečná“ slepě následují chování masy. Velikosti parametrŧ jako jsou počty přátel či statusŧ oblíbenosti aj. lze však uměle navyšovat. Několik firem sluţby ohledně zvyšování těchto parametrŧ nabízí. Reklamy na takové firmy najdete i na dŧvěryhodných stránkách, například na stránkách mezinárodně respektovaného časopisu PCWorld www.pcworld.com viz obrázek. 19
MEARIAN, Lucas, Facebook and physicians: Not good medicine. Computerworld [online]. ©1994 - 2013 [cit. 2013-04-07]. Dostupné z: http://www.computerworld.com/s/article/9227180/Facebook_and_physicians_Not_good_medicine_?taxonomyI d=17&pageNumber=3
28
Obrázek 9 - Reklama na zvýšení popularity účtu sociálních sítí. Zdroj: PCWorld, [online]. © 1998-2013 [cit. 2013-01-07]. Dostupné z: http://www.pcworld.com/article/256240/how_companies_buy_facebook_friends_likes_and_buzz.html
Sluţby navyšování parametrŧ na sociálních sítích najdete například na stránce http://1klike.com/. Lze si koupit navýšení parametrŧ na sociálních sítích Facebook, Twitter, Youtube, Pinterest, Instagram a Google+.
29
Obrázek 10 Stránka, na které si lze koupit statusy "Like" pro stránky na Facebooku. 1KLIKE [online]. 2013 [cit. 2013-01-07]. Dostupné z: Zdroj: http://1klike.com/
3.1.13 Vymazání části komunikace Příspěvky a komentáře lze na některých sociálních sítích zpětně mazat. Patří mezi ně například Facebook. Díky funkci mazání starších příspěvkŧ mŧţe uţivatel měnit význam komunikace a tím fabulovat ostatní.
30
Obrázek 11 Smazání části komunikace. Zdroj: ELLIOTT, Amy-Mae. 10 Awesome Pranks to Play On Your Facebook Friends. Mashable [online]. 2013 [cit. 2013-01-27]. Dostupné z: http://mashable.com/2013/01/26/facebook-pranks.
3.1.14 Kompromitace dat na straně poskytovatele služby Zneuţití zranitelnosti na straně poskytovatele/správce sociální sítě. V lednu 2013 Facebook zveřejnil informaci20, ţe několik počítačŧ zaměstnancŧ Facebooku bylo v lednu napadeno při návštěvě kompromitovaného webu. Na útok se přišlo díky podezřelému DNS záznamu, který vedl k počítačŧm zaměstnancŧ napadených malwarem. Malwaru se do interní sítě Facebooku podařilo dostat navštívením kompromitovaného webu a prostřednictvím „zero-day“ zranitelnosti (zneuţívající bezpečnostní problémy Javy). Dle vyjádření Facebooku, dle šetření, nebyly nalezeny ţádné dŧkazy o tom, ţe by byla kompromitována data uţivatelŧ. Horší případ se stal provozovateli sociální sítě LinkedIn. Do rukou ruských hackerŧ se dostalo 6.5 milionu hesel21 uţivatelŧ zmíněné sluţby. Hackeři následně uloupená hesla zveřejnili na internetovém fóru. Hesla sice unikla v podobně „hashŧ“, nicméně z dŧvodu jejich nedostatečného šifrování není nijak obtíţné z hashŧ získat hesla skutečná.
20
Facebook. Protecting People On Facebook, Facebook.com [online]. ©2013 [cit. 2013-02-16]. Dostupné z: https://www.facebook.com/notes/facebook-security/protecting-people-on-facebook/10151249208250766 21 Hospodářské noviny IHNED. Ruští hackeři na svém fóru zveřejnili miliony hesel z profesní sociální sítě LinkedIn. IHNED [online]. © 1996-2013 [cit. 2013-02-16]. Dostupné z: http://zpravy.ihned.cz/c1-56062710rusti-hackeri-na-svem-foru-zverejnili-miliony-hesel-z-profesni-socialni-site-linkedin
31
Chybu, která dovolovala úplný přístup do cizího uţivatelského profilu, zveřejnil i Facebook22. Zranitelnost byla objevena ve sluţbě OAuth, kterou vyuţívají vývojáři třetích stran pro své aplikace pro přístup k některým funkcím Facebooku (data lokalizace).
3.1.15 Podvržená zpráva pro změnu přístupových údajů Poté, co se médiích objevila zpráva o tom, ţe se hackerŧm podařilo odcizit ze sociální sítě LinkedIn 6,5 milionŧ hesel ve formě hashe, spustila se na uţivatele této sítě další pohroma, v podobě emailového phishingového spamu23. Emailové zprávy uţivatele nabádaly, aby si na základě informace o odcizených heslech změnili heslo. Webový odkaz, prostřednictvím kterého si měl adresát změnit heslo, ale vedl na podvrţenou stránku, kde oběť měla zadat heslo. Uţivatelé tak v dobré víře při změně hesla sami útočníkŧm přístupové heslo prozradili.
Obrázek 12 Phishingový spam který nabádá ke změně hesla k sociální síti LikedIn. Zdroj: Zbartrout. [online]. 2013 [cit. 2013-02-24]. Dostupné z: http://twitter.yfrog.com/ob7d4xp
3.1.16 Šíření poplašné zprávy Renomované tiskové agentury pouţívají sociální sítě stále častěji k šíření aktuálních zpráv. Pokud by se útočník zmocnil uţivatelského profilu tiskové agentury a jim podobným, mohl by vydáním poplašné zprávy zpŧsobit vyvolání paniky. Mezi takové případy lze zařadit například událost, kdy hackeři ovládli Twitterový účet tiskové agentury AP a vydali zprávu 22
LARSON, Eric. Security Flaw Gives Hacker Full Access to Facebook Profiles. Mashable [online]. 2013 [cit. 2013-02-28]. Dostupné z: http://mashable.com/2013/02/23/facebook-security-flaw/ 23 PARNELL, Brid-Aine. LinkedIn users buried in spam after database leak. The Register [online]. 2013 [cit. 2012-02-24]. Dostupné z: http://www.theregister.co.uk/2012/06/07/linkedin_spam_emails_data_breach/
32
o tom, ţe Bílým domem ve Washingtonu otřásly dvě exploze, při nichţ byl zraněn prezident Barack Obama. O incidentu psal například internetový zpravodajský portál tyden.cz. 24
„"Blesková zpráva: dvě exploze v Bílém domě a Barack Obama je zraněn," hlásal vzkaz na
účtu renomované americké agentury, jejíţ mluvčí jej však krátce na to popřel. "Náš účet byl napaden hackery," oznámila AP, jejíţ ţurnalisté v minulosti opakovaně čelili pokusům o krádeţ počítačových hesel. Její twitterový účet byl ale údajně napaden poprvé. Krátce na to reagoval rovněţ mluvčí Bílého domu Jay Carney prohlášením, ţe zpráva byla falešná a Obamovi se daří dobře. Twitterový účet AP sleduje podle agentury DPA 1,9 milionu lidí. Poplašná zpráva se nicméně postarala o rozruch na americkém akciovém trhu a hlavní kurz indexu Dow Jones Industrial se podle agentur krátkodobě propadl do ztráty. "Byla to sice totální blbost, ale trhy jsou citlivé a na něco takové reagují rychlostí větru," citovala DPA nejmenovaného obchodníka―. V tomto případě poplašná zpráva vyvolala rozruch „pouze“ na akciovém trhu. Měla tak dopad na akcionáře, kteří při prodeji akcií mohli utrpět finanční ztrátu. V případě, ţe by útočníci identifikovali ve zprávě fiktivního útočníka (sociální komunitu, menšinu, stát, atp.), mohla zpráva vyvolat sociální nepokoje. Dopady by se v tomto případě mohly dotknout i ztrát na ţivotech.
24
ČTK. "Exploze v Bílém domě, Obama zraněn!" Twitter AP napaden. Tyden.cz [online]. © 2006 [cit. 2013-0424]. Dostupné z: http://www.tyden.cz/rubriky/zahranici/amerika/exploze-v-bilem-dome-obama-zranen-twitterap-napaden_268064.html
33
Obrázek 13 Zpráva o podvržené zprávě na účtu Twitter agentury AP. Zdroj: ČTK. "Exploze v Bílém domě, Obama zraněn!" Twitter AP napaden. Tyden.cz [online]. © 2006 [cit. 2013-04-24]. Dostupné z: http://www.tyden.cz/rubriky/zahranici/amerika/exploze-v-bilem-dome-obama-zranentwitter-ap-napaden_268064.html
3.1.17 Výpadek sociální sítě Výpadky sociální sítě se nestávají často, ale stávají se. Pokud by měl uţivatel uloţené informace pouze na sociální síti, v případě jejího výpadku by informace staly pro uţivatele nedostupnými. Jelikoţ některé obchody pouţívají sociální sítě jako prodejní či marketingový kanál, mohl by výpadek sociálních sítí pro ně znamenat negativní dopad do trţeb. O výpadku druhé největší sociální sítě Twitter na jaře roku 2013 informoval například portál zive.cz.
Obrázek 14 O výpadku sociální sítě Twitter informoval 23. 4. 2013 například zpravodajský server Živě.cz. Zdroj: ČÍŢEK, Jakub. Twitter hlásí výpadky, Apple také. Zive.cz [online]. ©2013 [cit. 2013-04-24]. Dostupné z: http://www.zive.cz/bleskovky/twitter-hlasi-vypadky-apple-take/sc-4-a168587/default.aspx#utm_medium=selfpromo&utm_source=zive&utm_campaign=RSSfeed
34
3.2 Infografika a sociální sítě Tématu, jak mohou kriminální ţivly zneuţít sociální sítě, se věnují i tvŧrci infografiky. Příklad jednoho listu je uveden níţe. Jedná se graficky poutavé ztvárnění hrozeb a jejich dŧsledkŧ týkajících se sociálních sítí. Je to jedna z cest, jak šířit mezi širokou veřejností informace o moţnostech zneuţití sociálních sítí. Druhá část infografiky, která se věnuje opatřením, se nachází v kapitole 6.5 Opatření prostřednictvím infografiky.
35
Obrázek 15 Doporučení pro uživatele sociálních sítí. Zdroj: FRYE, Selena. Infographic: How social media carelessness can help criminals. Techrepublic. [online]. ©2013 [cit. 2013-04-24]. Dostupné z: http://www.techrepublic.com/blog/security/infographic-how-socialmedia-carelessness-can-help-criminals/6825
3.3 Seznam hrozeb V této kapitole jsou sepsány hrozby, které ohroţují sociální sítě. Seznam hrozeb je dále pouţit pro výpočet velikosti rizik v kapitole 4. Analýza rizik.
Seznam hrozeb sociálních sítí Název hrozby
Popis hrozby
Falšování identity
Podvrţení uţivatelské identity. Pachatel vytvoří na sociální síti uţivatelský účet pod falešnou identitou, v rámci které na sociální síti dále vystupuje. V rámci falešné identity získává od ostatních uţivatelŧ citlivé informace, které pak dále zneuţívá (např. prodej, loupeţ, vydírání, poškozování
36
reputace), či páchá činy ve jménu podvrţené identity. Jeho pravá identita zŧstává skryta. Pokud se jedná o podvrţení reálné identity, mohou být škody provedené v rámci falešné identity, vymáhány po identitě reálné. Uţivatelovi je odcizena identita, kterou si sám na sociální
Odcizení identity
síti
vytvořil.
Pachatel
zpravidla
získá
uţivatelovy
autentizační údaje k uţivatelskému účtu, prostřednictvím kterých se následně identity zmocní. Pŧvodní majitel se o odcizení dozví většinou podle toho, ţe se ke své identitě nepřihlásí, jelikoţ pachatel změnil přístupové údaje. Pokud pachatel přístupové údaje nezmění, dá se předpokládat, ţe pokud
uţivatel
nekontroluje
informace
o
přístupu
k uţivatelskému účtu, tak odcizení přístupových údajŧ vŧbec nezjistí. Díky odcizení uţivatelské identity mŧţe pachatel zneuţít veškeré informace, které obsahuje profil odcizené virtuální identity či páchat činnost v rámci odcizené identity. Moţné dŧsledky z páchané činnosti odcizené identity by ale v tomto případě mohl nést reálný vlastník odcizené identity. Prozrazení
aktuální Pomocí
polohy
uţivatele s ostatními uţivateli informace o poloze, kde se právě
samotným uţivatelem
geolokační
sluţby
mohou
uţivatelé
sdílet
nachází. Na základě informace o poloze uţivatele, mŧţe pachatel například v jeho nepřítomnosti vykrást jeho byt či páchat jinou trestnou činnost.
Prozrazení polohy
aktuální Pomocí geolokační sluţby mohou přátelé uţivatele uvádět
uţivatele
přáteli
jeho na sociální síti informace jeho o poloze a sdílet ji s ostatními uţivateli. Na základě informace o poloze uţivatele, mŧţe pachatel například v jeho nepřítomnosti vykrást jeho byt či páchat jinou trestnou činnost.
Šíření malwaru
Sociální sítě mohou být zneuţity pro šíření malwaru. Malware se šíří sociálními sítěmi několik zpŧsoby:
37
prostřednictvím vloţených odkazŧ ve sdílených příspěvcích uţivatelŧ. Odkazy, které se tváří jako odkaz na zajímavý obsah, vedou ke staţení malwaru,
či
na
webové
stránky
nakaţené
malwarem. prostřednictvím aplikací a her, které jsou ve skutečnosti malwarem, nebo malware stahují. Prostřednictvím malwaru mohou útočníci získat citlivé informace uţivatelŧ včetně autentizačních údajŧ ke sluţbám, bankovním účtŧm apod. Vědomé
zveřejnění Uţivatel zveřejní citlivé informaci na sociální sítě, aniţ by
citlivých
informací tušil moţný negativní dopad jejich zveřejnění. Jedná se
samotným uţivatelem
například o aktuálně vloţené fotky z dovolené z druhé strany planety vzdálené stovky kilometrŧ od jeho bydliště. Pokud takovou informaci zločinec zjistí, mŧţe to být návodná informace proto, aby šel oběti vyloupit dŧm.
Únik citlivých informací Uţivatel sociální sítě chybně nastaví, ať uţ z nedbalosti či prostřednictvím
chyby z neznalosti, přístupová oprávnění pro sdílené citlivé informace. Jedná se například o zveřejnění intimních
uţivatele
fotografií, videí apod. Únik citlivých informací Provozovatel sociální sítě chybně nastaví/nedostatečně prostřednictvím
chyby zabezpečí algoritmus přístupových oprávnění pro sdílené
provozovatele sociální sítě
citlivé informace. Pro útočníka je pak snadné se k citlivým informacím dostat a dále je zneuţít. Jedná se například o zveřejnění
citlivých
informací
z
dŧvodu
změny
přístupových práv sociální sítě. Únik citlivých informací Prozrazení informací třetí stranou. Uţivatel, se kterým prostřednictvím třetí strany
chyby sdílíte citlivé informace, chybně nastaví, ať uţ z nedbalosti nebo z nevědomosti, přístupová oprávnění pro sdílené informace. Pokud útočník nenajde citlivé informace na
38
vašem profilu, mŧţe je najít na profilu vašich přátel. Sdílení
přístupových Autentizační údaje pro přístup k účtu virtuální identity na sociální
údajů
síti
sdílí
pravděpodobnost
více
úniku
fyzických
citlivých
lidí.
údajŧ,
Vyšší
nemoţnost
identifikovat konkrétní odpovědnou osobu za provedené činy. Sledování
chování Provozovatelé sociální sítí či třetí strany mapují chování
uţivatele
uţivatele (jaké má koníčky, přátele, zaměstnání, záliby, vztahy, bydliště, lokální umístění, poţívané prostředky, vlastněná aktiva, pouţívané sluţby atp.). Získané informace ze sledovávání mohou pouţít ve svŧj prospěch či například prodat marketingovým společnostem či jiným stranám, kteří mohou informace dále zneuţít.
Nedostatečné zabezpečení Provozovatel sociální sítě
sítě
má
nedostatečně
zabezpečenou
architekturu a fungování sociální sítě, například slabý autentizační mechanismus nebo nedostatečně zabezpečené (zašifrované) autentizační údaje (jméno, heslo). Při úniku autentizačních údajŧ hrozí odcizení identity a únik/zneuţití citlivých údajŧ dané identity. Při pouţití stejných autentizačních údajŧ u dalších sluţeb, aplikací, systémŧ atp., hrozí odcizení informací i z těchto aktiv.
Vymazání
části Uţivatel zpětně vymaţe část komunikace, coţ pozmění
komunikace
význam vět/komunikace.
Prozrazení
Zmapování potenciálních cílŧ pro získání informací či
organizační/rodinné
případný útok. Zneuţití sociálních vazeb prostřednictvím
struktury
sociálního inţenýrství.
Výpadek sluţby sociální Nemoţnost pouţívat sociální síť nebo její sluţby z dŧvodu sítě
výpadku sociální sítě.
Ztráta informací
Trvalá ztráta informací uloţených na sociální síti.
39
Ztráta
nad Uţivatel ztratí kontrolu nad obsahem uloţeným v sociální
kontroly
obsahem
vloţeným
na síti například díky ztrátě autentizačních údajŧ.
sociální síti bezpečností Sociální
Narušení
sítě
nejsou
obsaţeny organizace.
v
bezpečnostních
strategie/bezpečnosti
pravidlech/politikách
Organizace
nemá
firmy
zmapované hrozby, které hrozí z prostředí sociálních sítí a tedy nemá pokryta ani případná rizika.
Nedostatečná
Nedostatečně dokumentované funkce sociální sítě. Uţivatel
dokumentace
se z nápovědy nedozní, jak nástroje sociální sítě pracují, či kde mŧţe provést potřebná nastavení. Dŧsledkem mŧţe být například prozrazení citlivých informací.
Ztráta/odcizení
zařízení Zařízení (PC, notebook, tablet, smartphone atp.) přihlášené
s přístupem
sociální k uţivatelskému účtu (s autentizačními údaji) sociální sítě
na
je ztraceno anebo odcizeno.
sítě Ponechání
bez
dozoru Zařízení PC, notebook, tablet, smartphone atp.) přihlášené
zařízení s přístupem na k uţivatelskému účtu (s autentizačními údaji) sociální sítě je ponecháno bez dozoru.
sociální sítě
Uzamčení/zrušení účtu na Uţivatelský účet na sociální síti je zrušen či uzamčen. Např. na základě porušení pravidel sociální sítě.
sociální síti Změna
pravidel Sociální síť změní strategii, smluvní podmínky a začne
provozovatele sociální sítě
nabízet uţivatelská data třetím stranám, či bude jinak nakládat s uţivatelskými daty.
Změna nastavení účtu
moţností Sociální síť změní moţnosti nastavení uţivatelského účtu. uţivatelského Oprávnění k uţivatelským datŧm mohou být pozměněna, některá
data
mohou
znepřístupněna).
být
zveřejněna
nebo
naopak
Uţivatel mŧţe díky neznalosti změny
nastavení chybně Vyvolání paniky, šíření Prostřednictvím sociální sítě a jejích uţivatelŧ se mŧţe šířit
40
nepravdivých informací
poplašná zpráva, která mŧţe vyvolat paniku (zákeřná nemoc, počítačový virus, přírodní katastrofa, útok na veřejného činitele, teroristický útok), či zpráva která mŧţe klamavě upozorňovat na nástroje či sluţby se zázračnými účinky (například léčba rakoviny, vypadávání vlasŧ) atp.
Manipulace uţivatelem
Útočník mŧţe na základě informací ze sociální sítě s uţivatelem manipulovat. Například nemocnému člověku nabízet léky, při autonehodě nevýhodnou pomoc odtahové sluţby či servisu, pro cestování pojištění atp.
4 Analýza rizik V této kapitole je na základě hodnocení dopadŧ, pravděpodobnosti výskytu hrozby a pravděpodobností jejího uspění (zranitelnosti) stanovena velikost rizik. Hodnocení dopadŧ je provedeno pomocí vodítek, prostřednictvím kterých se převádí kvalitativní hodnoty na kvantitativní viz tabulky vodítek níţe. Vodítka byla vytvořena na základě příkladŧ z normy 25ISO/IEC 27035, Information technology — Security techniques — Information security incident management, Příloha C.
25
ISO/IEC 27035:2011. Information technology — Security techniques — Information security incident management. ISO. 2011. 50 s.
41
Tabulka 2 Vodítka pro stanovení velikosti dopadu hrozeb Vodítka pro hodnocení velikosti dopadu hrozeb
Ochrana osobních údajů
Ztráta důvěryhodnosti
Finanční ztráty
1
Malé narušení emocionální rovnováhy (zlost, frustrace, zklamání)
Negativní ovlivnění vztahů s blízkými.
Přímo nebo nepřímo vede ke ztrátám do 1 000 Kč.
2
Narušení emocionální rovnováhy
Negativní ovlivnění vztahů s blízkými, veřejností, negativní publicita je omezena pouze na blízké okolí a nebude mít dlouhé trvání.
Přímo nebo nepřímo vede ke ztrátám od 1 000 Kč do 10 000 Kč.
3
Narušení zákonných a etických norem, narušení emocionální rovnováhy
Negativní ovlivnění vztahů s blízkými, veřejností, negativní publicita se dotýká jak blízkého okolí a tak může dosáhnout až všeobecné publicity trvalejšího charakteru.
Přímo nebo nepřímo vede ke ztrátám od 10 000 Kč do 1 00 000 Kč.
4
Narušení zákonných a etických norem, zveřejnění osobních údajů vedoucí k závažnému narušení emocionální rovnováhy skupiny osoby.
Závažné ovlivnění vztahů s blízkými nebo veřejností s následkem všeobecné či celostátní negativní publicity.
Přímo nebo nepřímo vede ke ztrátám od 100 000 Kč do 1 000 000 Kč.
5
Narušení zákonných a etických norem, zveřejnění osobních údajů vedoucí k závažnému narušení emocionální rovnováhy skupiny osob.
Závažné ovlivnění vztahů s blízkými nebo veřejností s následkem všeobecné či nadnárodní negativní publicity.
Přímo nebo nepřímo vede ke ztrátám od 1 000 000 Kč do 10 000 000 Kč.
Tabulka 3 Vodítka pro stanovení číselné škály pravděpodobnosti výskytu hrozeb Vodítka pro pravděpodobnosti výskytu hrozeb
Pravděpodobnost
Popis
1
Velmi nízká
Velmi nepravděpodobné, že se hrozba vyskytne. Ještě se nestalo.
2
Nízká
Nepravděpodobné, že se hrozba vyskytne. Stalo se výjimečně.
3
Střední
Pravděpodobné, že se hrozby vyskytne. Občas se stane.
4
Vysoká
Velmi pravděpodobné, že se hrozba vyskytne. Stává se často.
5
Velmi vysoká
Vysoce pravděpodobné, že se hrozba vyskytne. Stává se velmi často
Tabulka 4 Vodítka pro stanovení číselné škály pravděpodobnosti úspěšnosti hrozeb Vodítka pro pravděpodobnosti úspěchu hrozeb
Pravděpodobnost
Popis
1
Velmi nízká
Velmi nepravděpodobné, že hrozba uspěje. Ještě se nestalo.
2
Nízká
Nepravděpodobné, že hrozba spěje. Stalo se výjimečně.
3
Střední
Pravděpodobné, že hrozba uspěje. Občas se stane.
4
Vysoká
Velmi pravděpodobné, že hrozba uspěje. Stává se často.
5
Velmi vysoká
Vysoce pravděpodobné, že hrozba uspěje. Stává se velmi často
Výpočet rizik je proveden podle modifikované metodiky, která vychází z normy
26
ČSN
ISO/IEC 27005, přílohy E. 2.2 Příklad 2 Třídění hrozeb pomocí míry rizika. Princip
26
ČSN ISO/IEC 27005. Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací. Český normalizační institut. 2008. 50 s.
43
výpočtu míry rizika a seřazení hrozeb je zobrazeno v tabulce níţe. Jednotlivé sloupce jsou pro lepší orientaci označeny písmeny. Data v jednotlivých sloupcích znamenají: a) Název hrozby, která je hodnocena. Názvy hrozeb jsou čerpány ze Seznamu hrozeb z kapitoly 3.3 Seznam hrozeb; b) Velikost dopadu (škála 1-5) při uskutečnění hrozby. Stanovuje se na základě vodítek z Tabulka 2 Vodítka pro stanovení velikosti dopadu hrozeb. Číselná velikost dopadu se určuje na základě scénáře (vodítka), který je k dané velikosti dopadu přiřazen; c) Pravděpodobnost výskytu hrozby (škála 1-5). Stanovuje se na základě vodítek z Tabulka 3 Vodítka pro stanovení číselné škály pravděpodobnosti výskytu hrozeb. Pravděpodobnost výskytu hrozby se vyjadřuje číselně na základě scénáře, který je k danému číslu číselné škály přiřazen; d) Pravděpodobnost úspěchu hrozby (škála 1-5). Stanovuje se na základě vodítek z Tabulka 4 Vodítka pro stanovení číselné škály pravděpodobnosti úspěšnosti hrozeb. Pravděpodobnost úspěšnosti hrozby se vyjadřuje číselně na základě scénáře, který je k danému číslu číselné škály přiřazen; e) Velikost míry rizika je vypočítávána vynásobením sloupce b, c, d, tedy hodnotami Velikosti dopadu, Pravděpodobnosti výskytu a Pravděpodobnosti úspěšnosti hrozby popsanými výše; f) Ve sloupci „e“ jsou pak hrozby seřazeny sestupně dle vypočtené velikosti rizik. Čím je větší velikost rizika, tím má niţší pořadové číslo. Prostřednictvím
této
metodiky
jsou
seřazeny
hrozby
s rozdílnými
dopady,
pravděpodobností výskytu a úspěchu dle míry rizik. Tabulka 5 Příklad výpočtu rizik a jejich hrozeb dle velikosti rizik
(a)
(b)
(c)
(d)
(e)
(f)
Popis hrozby
Velikost dopadu
Pravděpodobnost výskytu hrozby
Pravděpodobnost úspěchu hrozby
Seřazení hrozeb
Hrozba A
5
2
4
Velikost rizika b×c×d=e 40
Hrozba B
2
4
3
24
4
Hrozba C
3
5
4
60
1
Hrozba D
1
3
2
6
6
Hrozba E
4
1
3
12
5
Hrozba F
2
4
5
40
2-3
2-3
Pro větší přehlednost velikostí rizik, jsou rizika rozdělena do barevné pětistupňové škály. Barevné označení jednotlivých rizikových skupin znamená:
44
Tabulka 6 Pětistupňová škála pro určování velikosti rizik Stupeň
Popis velikosti rizika
Vypočtená velikost
rizika
míry rizika
5
Velmi vysoké riziko
50-60
4
Vysoké riziko
30-40
3
Střední
20-30
2
Malé riziko
10-20
1
Velmi malé riziko
0-10
Níţe je uveden výpočet míry rizik pro hrozby sociálních sítí uvedené v kapitole 3.3 Seznam hrozeb. Tabulka 7 Výpočet velikosti rizik sociálních sítí Výpočet rizik Název hrozby
Velikost dopadu
Pravděpodobnost Pravděpodobnost výskytu hrozby úspěchu hrozby
Velikost rizika
Seřazení hrozeb
Falšování identity
3
4
3
36
1-2
Sledování chování uživatele
3
4
3
36
1-2
Šíření nepravdivých informací, vyvolání paniky
4
4
2
32
3
3
3
3
27
4
3
3
2
18
5-9
3
3
2
18
5-9
Narušení bezpečností strategie/bezpečnosti firmy
3
3
2
18
5-9
Vědomé zveřejnění vlastních citlivých informací samotným uživatelem
3
3
2
18
5-9
Prozrazení aktuální polohy uživatele jeho přáteli
3
3
2
18
5-9
4
2
2
16
10-12
4
2
2
16
10-12
4
2
2
16
10-12
2
3
2
12
13-17
3
2
2
12
13-17
3
2
2
12
13-17
Šíření malwaru Sledování chování lidí Únik citlivých informací prostřednictvím chyby třetí strany
Prolomení/nedostatečné zabezpečení sociální sítě Ztráta/odcizení zařízení s přístupem na sociální sítě Odcizení identity Změna možností nastavení uživatelského účtu Únik citlivých informací prostřednictvím chyby uživatele Sdílení přístupových údajů
45
Výpočet rizik Název hrozby Prozrazení aktuální polohy uživatele samotným uživatelem
Velikost dopadu
Pravděpodobnost Pravděpodobnost výskytu hrozby úspěchu hrozby
Velikost rizika
Seřazení hrozeb
3
2
2
12
13-17
3
2
2
12
13-17
Ponechání bez dozoru zařízení s přístupem na sociální sítě
2
2
2
8
18-21
Ztráta kontroly nad obsahem
2
2
2
8
18-21
2
2
2
8
18-21
2
2
2
8
18-21
Prozrazení organizační/rodinné struktury
1
3
2
6
22
Vymazání části komunikace
1
2
2
4
23
3
1
1
3
24
Výpadek služby sociální sítě
2
1
1
2
25
Nedostatečná dokumentace
1
2
1
2
26
Ztráta informací
2
1
1
2
27
Manipulace uživatelem
Uzamčení/zrušení účtu na sociální síti Změna pravidel provozovatele sociální sítě
Únik citlivých informací prostřednictvím chyby provozovatele sociální sítě
5 Zhodnocení Tato kapitola zahrnuje hodnocení výsledkŧ analýzy rizik z kapitoly 4. Dále pak rozebírá moţné dopady hrozeb, pokud by se jejich realizace naplnila. Dává výčet prvkŧ, které vedou k motivaci bezpečného chování, a poskytuje pohled do budoucnosti bezpečnosti sociálních sítí.
5.1 Zhodnocení výsledků analýzy rizik Z výše uvedeného hodnocení rizik viz Tabulka 7 Výpočet velikosti rizik sociální sítí, vyplývá, ţe třemi největšími riziky sociálních sítí jsou Falšování identity, Sledování chování uţivatele a Šíření nepravdivých informací, vyvolání paniky. S ohledem na velikost vypočtených rizik zmíněná tři rizika spadají do kategorie Vysokých rizik viz Tabulka 6 Pětistupňová škála pro určování velikosti rizik. Kromě třech zmíněných Vysokých rizik, které přesáhly hranici 30 bodŧ v parametru Velikost rizika, je třeba zmínit ještě riziko, které dosáhlo 27 bodŧ. Na základě dosaţeného hodnocení bylo riziko Šíření malwaru hodnoceno jako Střední riziko. Ostatní rizika nepřesáhla hranici 20 bodŧ, tedy jsou
46
hodnocena jako Malá či Velmi malá rizika. Níţe jsou podrobněji rozebrána čtyři největší rizika. Vysoké riziko
Riziko falšování identity
Vysoké riziko falšování identity vyplývá z četnosti výskytu dané hrozby, která je na sociálních sítích celkem častá. Falešné identity se týkají zejména známých osobností, u kterých lze najít na sociálních sítích i několik uţivatelských účtŧ, ale většinou všechny jsou falešné. Nicméně, není vyloučeno, ţe potenciální útočník cíleně vytvoří falešnou identitu například vašeho blízkého známého, kterého najde ve vašem profilu na sociální síti v „Přátelích“. Po vytvoření falešné identity vašeho blízkého jiţ útočníkovi stačí vás kontaktovat s tím, ţe je dotyčná „falešná osoba“, jen si vytvořila nový uţivatelský profil a pokud dotyčná oběť nerozená falešnou identitu, mŧţe začít útočník „dolovat“ z oběti citlivé informace, které pak následně mŧţe zneuţít ve svŧj prospěch. Ověření pravosti identity se mŧţe zdát na jednu stranu jednoduché, například díky odkazu z oficiálních stránek uţivatele. Nicméně i webové stránky lze podvrhnout falešnými a oficiální stránky je moţno hacknout a vloţit na ně odkaz na falešnou identitu v sociální síti. Za efektivní zpŧsob ověření identity lze doporučit pouţití jiného informačního kanálu. Ideálně
prostřednictvím
osobního
kontaktu,
telefonicky,
ověřeným
emailem,
videohovorem či doporučením/zaručením od dŧvěryhodné osoby. Tomuto riziku se nelze obecně vyhnout. Vysoké riziko
Sledování chování uživatele
Díky informacím, které uţivatelé na sociální sítě dávají, lze snadno sledovat jejich chování a na základě pozorování pak lehce sestavit vzorec charakteristického chování, který lze pouţít například k vytvoření dŧvěryhodné falešné identity. Sledováním chování uţivatele lze dále například vysledovat uţivatelovi zvyklosti, koníčky, přátele, zdravotní stav a na základě těchto informací s dotyčným dále manipulovat. Například nabízet cíleně reklamu, vytvářet „řízené náhody“ atp. Sledování uţivatele mohou provádět i samotní provozovatelé sociálních sítí tak jiné smluvní strany. Na základě získaných informací pak mohou zkoušet ovlivnit uţivatele, jeho chování či rozhodování, například při koupi nového produktu. Získané informace téţ mohou prodat třetím stranám, které mohou informace dále vyuţít ve svŧj prospěch. 47
Obranou proti sledování je nepublikování osobních informací na sociálních sítích, či pouţívání bezpečného módu webového prohlíţeče při surfování internetem. Vyhnutí tomuto riziku je nepouţívání sociálních sítí. Vysoké riziko
Šíření nepravdivých informací, vyvolání paniky
Riziko Šíření nepravdivých informací, vyvolání paniky vyplývá z vysoké četnosti nepravdivých zpráv, které na sociálních sítích kolují. Jejich nepravdivost se mnohdy sloţitě odhaluje. V případě dŧvěryhodně napsané podvodné zprávy, mŧţe být zmanipulována, díky rychlému sdílené informací prostřednictvím sociálních sítí, velká masa lidí. V dŧsledku zprávy je moţné, ţe by vypukla panika velkého rozsahu, která by mohla zpŧsobit velký dopad, případně i ztráty na ţivotech. Šíření nepravdivých informací lze předejít jejich ověřováním z více zdrojŧ. Například z denního tisku, dŧvěryhodných zpravodajských webŧ. Při ověřování je však nutné ověřovat pŧvodní zdroj zprávy, jelikoţ mnohé informace dnešní „novináři“ přebírají právě ze sociálních sítí. Pro získání dŧvěryhodné informace je nejlepší kontaktovat přímo toho, koho se zpráva týká, tedy konkrétní společnost, organizaci, člověka, například zákaznickou linku, help-linku, oddělení pro styk s veřejností či konkrétní dotčenou osobu. Střední riziko
Šíření malwaru
Pro šíření malwaru jsou sociální sítě „populární platformou“. Jelikoţ uţivatelé sociálních mezi sebou sdílí velký objem mediálního obsahu, je velice jednoduché vytvořit stránku se zábavnou tématikou, jejíţ obsah budou během pár dnŧ odebírat stovky uţivatelŧ. Pak jiţ pouze stačí do jednoho příspěvku zařadit odkaz na webovou stránku, která obsahuje nebezpečný kód případně i instalátor zranitelné aplikace (hra, ovladač, mediaplayer), a infikovaní uţivatelé jsou na světě. Do infikovaného zařízení uţ je pak pro útočníka hračkou zanést například keyloger (aplikace pro sledování a odesílání stiskŧ kláves zařízení) a odcizit autentizační údaje například do internetového bankovnictví. Jelikoţ útočnici jsou stále vynalézavější, malware maskují například do her či „pseudo nových“ funkcí sociální sítí. Obranou proti tomuto riziku je instalace antimalwarového řešení, otevírání pouze dŧvěryhodných odkazŧ či obecné vzdělávání ohledně nových hrozeb na sociálních sítích.
48
5.2 Možné dopady hrozeb Hrozby, uvedené v kapitole 3.3 Seznam hrozeb, mohou mít ve svém dŧsledku na uţivatele a jeho okolí rŧzný dopad. Typy dopadŧ, které s hrozbami mohou souviset, jsou: Finanční odcizení peněz z bankovního účtu – prozrazení autentizačních údajŧ (hesla) nebo údajŧ pro resetování autentizačních údajŧ (typicky např. jméno domácího mazlíčka/oblíbeného učitele/jméno matky za svobodna atp.); sankce od úřadŧ/firem na základě prozrazení tajných/citlivých – prozrazení citlivých informací jako jsou rodná čísla klientŧ, obchodní tajemství. Hmotný odcizení majetku – prozrazením své aktuální polohy zjednodušení krádeţe/zneuţití vzdáleného majetku. Psychický/poškození reputace prozrazení vlastních citlivých/intimních informací – intimní fotografie, video, záznam intimní komunikace; prozrazení cizích citlivých/intimních informací – intimní fotografie, video, záznam intimní komunikace. Ztráta zaměstnání prozrazení tajných/interních firemních informací – prozrazení citlivých informací jako jsou rodná čísla klientŧ, obchodní tajemství; citlivých/intimních osobních informací – intimní fotografie, video, záznam intimní komunikace.
49
5.3 Motivace bezpečnosti provozovatelů sociálních sítí Co odrazuje/demotivuje provozovatele sociálních sítí aby udrţovaly sociální sítě bezpečné: Náklady na zaměstnance a pouţité technologie; Úprava/změna kódu aplikace; Moţné problémy s kompatibilitou; Náklady na testování Změna chování aplikací; Moţná ztráta uţivatelŧ díky jinému (horšímu) ovládání. Co nutí/motivuje provozovatele sociálních sítí aby udrţovaly sociální sítě bezpečné: Pozornost a zájem uţivatelŧ; Regulatorní poţadavky státu a úřadŧ; Image a reputace sociální sítě; Sociální/veřejná odpovědnost, strategie společnosti.
5.4 Budoucnost bezpečnosti sociálních sítí Dle prŧzkumu kterého se podrobilo 1000 respondentŧ ve Velké Británii27, dŧvěra v bezpečnost sociálních sítí je nízká a stále klesá. Pouhé 3.2 % respondentŧ označila sociální stě jako nejbezpečnější platformu, přičemţ 38,2 % uvedla, ţe k sociálním sítím mají menší dŧvěru neţ před rokem. Sociální sítě jsou dle 15,9 % respondentŧ druhou platformou po emailu, kde se nejčastěji setkávají s bezpečnostními hrozbami. Z provedeného prŧzkumu vyplívá, ţe sociální sítě čeká v budoucnosti moţný odliv uţivatelŧ z dŧsledku vzrŧstajícího počtu bezpečnostních incidentŧ na sociálních sítích. Toto tvrzení ale nemusí být aţ tak zcela pravda. Lidé budou sociální sítě pouţívat za 27
Help Net Security. The decline of trust in social networking platforms. Help Net Security [online]. ©19982013 [cit. 2013-04-07]. Dostupné z: http://www.net-security.org/secworld.php?id=12542
50
pŧlroku, za rok, víceméně stále, jen se přesunou na ty sociální sítě, kdy se budou cítit více „bezpeční“. Jak upozorňuje například Daniel Dočekal ve svém článku Facebook začíná mladé nudit, do čeho se vrhnou po něm28. Autor se zaměřuje zejména na sociální síť, která co do počtu uţivatelŧ, všem sociálním sítím vévodí. Hned z několika médií zaznívá, ţe uţivatele jiţ Facebook unavuje. Jak jeho komplikovaností nastavení, tak na příklad sledováním, platí zejména pro děti, jejichţ rodiče na sociálních sítích pozorují jejich chování. O bezpečnostních rizicích ani nemluvě. Autor se zmiňuje například o sociální síti Instagram, která mezi Čechy příliš rozšířená není, ale například v Americe zaţívá boom. „Je velmi pravděpodobné, ţe stejně jako americká, i česká mládeţ objeví Instagram. Právě ten se pro řadu dospívajících stal místem, kam z Facebooku utekli. Trochu paradoxně, protoţe Instagram uţ nějaký ten měsíc Facebooku patří. Je na něm ale viditelný jasný rozdíl, který je také důvodem toho, ţe stoupá oblíbenost Twitteru. Na nic si totiţ nehraje, hlavně ne v otázce soukromí. Ţádní přátelé, viditelnost, neviditelnost, nastavování toho, co kdo vidí nebo nevidí. Ţádné falešné sliby, ţe „vaše soukromí je u nás v bezpečí“.“, píše Dočekal. Zde autor trefně poukazuje na přílišnou sloţitost Facebooku a moţný dŧvod, proč jej uţivatelé opouštějí. Dále v článku pak poukazuje, ţe únik mimo mainstreamové sociální sluţby (Facebook) mŧţe znamenat vysvobození z nemilé kontroly rodičŧ. Instagram je podle amerických médií populární i mezi dětmi mladšími třinácti let. Tedy těmi, které by teoreticky ţádné sociální sítě pouţívat neměly. A k popularitě podle všeho přispívá i to, ţe rodiče jim Facebook zakazují a hlídají je. Zatímco o Instagramu nemají prozatím příliš ponětí. Samozřejmě, i tahle „hodně mladá― skupina dělá na sociálních sítích stále totéţ: zachycuje vše kolem sebe v podobě obrázků. Ale zatímco ti starší fotí to, co jedí (a ještě později spíš svět okolo sebe), tihle hodně mladí fotí hlavně sebe a své vrstevníky. Masově, bez rozmyslu, bez opatrnosti. A na rozdíl od těch starších, kteří Instagram chápou jako náhradu aplikace pro focení z mobilu, je pro děti a mládeţ Instagram skutečně sociální sítí.―, všímá si Dočekal.
28
DOČEKAL, Daniel. Facebook začíná mladé nudit, do čeho se vrhnou po něm. Lupa.cz [online]. ©2013 [cit. 2013-03-13]. Dostupné z: http://www.lupa.cz/clanky/facebook-zacina-mlade-nudit-do-ceho-se-vrhnoupo-nem/?labelsBox-labelId=97&do=labelsBox-switch
51
Podobně jako děti, mohou chtít zmizet dohledu například zaměstnanci, ţivotní partneři atp. Dá se tedy předpokládat, ţe uţivatelé nebudou chtít zŧstat u jedné sociální sítě a budou v prŧběhu času migrovat do jiných sociální, kde najdou poţadované soukromí či svou komunitu.
6 Doporučení pro uživatele Tato kapitola obsahuje doporučená opatření pro uţivatele sociálních sítí, které vyplývají se Seznamu hrozeb kap. 3.3, Analýzy rizik kap. 4. a Zhodnocení rizik kap. 5.1.
Seznam opatření pro bezpečnost sociálních sítí Název opatření Hodnocení
Popis opatření citlivosti Uţivatel by měl zhodnotit informace, které je vhodné na sociálních sítích zveřejňovat s ohledem na moţné riziko
informací
jejich
veřejného
prozrazení,
zneuţití,
krátkodobé/dlouhodobé nedostupnosti či jejich úplné ztráty. Vytvoření skupin přátel
Uţivatel by měl vytvořit skupiny uţivatelŧ, se kterými chce informace sdílet. Například na skupiny: Veřejnost, Rodina, Přátelé, Známí, Pracovní kolegové. A následně jasně definovat, jaké informace s určenými skupinami bude sdílet, viz opatření „Hodnocení bezpečnosti informací“. Při komunikaci s neznámi uţivateli na sociálních sítích by měl uţivatel prověřit reálnost uţivatele a jeho přátel. Měl by brát i v potaz, ţe si lze virtuální přátele vytvořit nebo koupit.
Definování informací pro Uţivatel by měl informace, které vyhodnotil z pohledu sdílení uţivatelů
se
skupinami jejich citlivosti jako přípustné pro sdílení na sociální síti dle opatření „Hodnocení informací“, dále rozdělit pro sdílení mezi skupinami uţivatelŧ, které definoval v opatření Vytvoření skupin přátel.
52
Například rodinné fotografie sdílet pouze se skupinou Rodina, pracovní dokumenty pouze se skupinou Pracovní kolegové, oblíbený článek zveřejněný na internetu se skupinou Veřejnost atp. Při komunikaci s neznámi uţivateli na sociálních sítích by měl uţivatel prověřovat reálnost uţivatele, jeho přátel a brát v potaz, ţe si lze virtuální přátele vytvořit nebo koupit. Kontrola práv sdílených Uţivatel by měl kontrolovat nastavení účtu na sociální síti, zejména nastavení sdílení obsahu s veřejností. V rámci
informací
kontroly by měl jako nepřihlášený a přihlášený cizí uţivatel sociální sítě zkontrolovat rozsah svých informací, které jsou ostatním viditelné, aby si prakticky ověřil správnost pravidel pro sdílení informací na sociální síti. Přístup k účtu pouze
Uţivatel by měl povolit přístup k uţivatelskému účtu pouze
důvěryhodným aplikacím
bezpečným aplikacím třetích stran. Jedná se například miniaplikace třetích stran pro systém Windows, či mobilní platformy Android, iOS a Mobile Phone. Týká se to téţ například her nabízených Facebooku.
pouze
z Uţivatel by měl povolit přístup k uţivatelskému účtu
bezpečných zařízení
sociální sítě pouze bezpečným zařízením. Za nebezpečné
Přístup
zařízení lze označit například sdílené PC na pracovišti či kavárně, cizí mobilní telefon/tablet. Taktéţ by měl v nastavení sociální sítě kontrolovat nastavená pravidla a povolená zařízení. Při odcizení či ztrátě zařízení, by měl ze seznamu dŧvěryhodných zařízení sociální sítě zařízení neprodleně odebrat. Šifrované spojení
Datové spojení mezi koncovou uţivatelskou aplikací a provozovatelem sociální sítě by mělo být šifrováno (SSL, TLS) alespoň šifrováním 128 bit AES nebo jiným ekvivalentním šifrováním.
53
pouze Uţivatel by měl navštěvovat pouze bezpečné odkazy.
Návštěva bezpečných odkazů
Pokud uţivateli pošle neznámý uţivatel odkaz, dá se předpokládat, ţe právě tento odkaz mŧţe vést na nebezpečnou stránku, například obsahující malware. Nelze ale spoléhat ani na odkazy od dŧvěryhodných přátel. Odkaz na nebezpečnou stránku mohou dŧvěryhodné osoby odeslat buď z neznalosti nebezpečnosti stránky, nebo jejich účet jiţ mŧţe být zneuţit a odkaz odeslán útočníkem s cílem získání další oběti.
Nezveřejňování
aktuální Uţivatel by neměl na sociální síti zveřejňovat svoji aktuální
polohy uţivatele
polohu, pokud si není vědom moţných dopadŧ (vykradení bytu atp.).
Vypnutí
moţnosti Vypnutí moţnosti zjišťování a zveřejňování polohy
určování
geolokační uţivatele třetí stranou. Jedná se například o moţnost
polohy
ostatním lokalizovat uţivatele bez jeho vědomí ať uţ uţivateli
uţivatelům/aplikacím
sociální sítě nebo aplikacemi. Týká se to taktéţ aplikací třetích stran (hry, aplikace).
Ověření
totoţnosti Při navazování prvního kontaktu přes sociální síť s novým
uţivatele
uţivatelem se doporučuje ověřit jeho pravou identitu. Například přes telefonní hovor nebo na základě informací, které mohou znát jen dvě komunikující osoby (záţitky z dětství, interní pracovní specifikum atp.). Téţ lze nového uţivatele ověřit pomocí doporučení od dŧvěryhodné osoby.
Silné heslo
Pro přihlášení k účtu sociální sítě se doporučuje poţívat alespoň 10místné heslo, které obsahuje velká, malé písmena, číslice a alespoň jeden speciální znak. Heslo by se mělo alespoň čtvrtletně měnit a nemělo by se opakovat.
Vícefaktorová autentizace
K přihlášení k účtu sociální sítě by měl uţivatel pouţívat vícefaktorovou
autentizaci
(prostřednictvím
SMS,
generátoru hesla, atp.) pokud to nastavení autentizace
54
umoţňuje. Aktualizované aplikace
Uţivatel by měl udrţovat operační systém a aplikace stále aktuální. Doporučuje se mít stále zapnuté automatické stahování a spouštění aktualizací.
aplikačních Uţivatel by měl před instalací aplikace zjistit přístupová
Kontrola
oprávnění aplikace a aţ po zhodnocení rizik se rozhodnout,
oprávnění
zdali si aplikaci nainstaluje. Na zváţení jsou zejména atributy jako přístup do kalendáře, kontaktŧ, určování polohy, posílání zpráv (SMS, email, instant messaging apod.),
pouţití
přihlašovacích
údajŧ,
vytváření
uţivatelských účtŧ, přístup do paměti zařízení aj. Oprávnění
by
měl
uţivatel
kontrolovat
i
v rámci
aktualizací, jelikoţ se oprávnění mohou s verzemi aplikace měnit. Uzamčení obrazovky
Uţivatel by měl na zařízení, kde pouţívá aplikaci pro přístup do sociální sítě, pouţívat automatické uzamykání obrazovky PINem či heslem. Obrazovka zařízení by se měla automaticky uzamknout po jedné minutě nečinnosti.
Antimalwarová ochrana
Uţivatel by měl na zařízení, prostřednictvím kterého přistupuje do sociální sítě, mít nainstalovanou a aktivní antimalwarovou ochranu.
Vzdělávání
v rámci Uţivatel by měl sledovat dění ohledně bezpečnosti na
bezpečnosti
sociálních sítích aby dokázal adekvátně reagovat na nové bezpečnostní hrozby. Například čtením zpravodajských webŧ jako jsou Lupa.cz, Zive.cz atp.
Hledání podvrţené
a
zneplatnění Uţivatel by měl kontrolovat, zdali se za jeho identitu uţivatelské nevydává někdo cizí. Pokud falešnou identitu najde, měl by
identity
poţádat provozovatele sociální sítě o její smazání.
Zálohování informací
Uţivatel by měl zálohovat informace, které jsou uloţené na sociální síti. Jednak pro případ jejich úplné ztráty, nebo pro
55
případ výpadku sociální sítě. Záloţní plán pro výpadek Pro případ výpadku sociální sítě by mělo být definováno záloţní řešení, jak funkci sociální sítě nahradit. Týká se
sociální sítě
zejména firem a jejich plánŧ Business Continuity. Ověřování zpráv
Pravdivost a dŧvěryhodnost zpráv, které se šíří sociální sítí, by měl uţivatel prověřovat, aby nenaletěl na podvodné nabídky, či na poplašené zprávy a taktéţ aby je dál nešířil, případně na jejich nebezpečí upozornil ostatní.
Znalost
pravidel
nastavení sociální sítě
a Uţivatel by měl znát pravidla a moţnosti nastavení sociální sítě. Měl by téţ předpokládat, ţe provozovatel sociální sítě mŧţe prŧběţně pravidla a moţnosti nastavení uţivatelského účtu měnit.
6.1 Přiřazení opatření k identifikovaným rizikům V této kapitole jsou k vypočteným rizikŧm z kapitoly 4. Analýza rizik přiřazena doporučená opatření. V tabulce doporučených opatření níţe jsou v levém sloupci uvedeny názvy hrozeb, v horním zeleném řádku pak názvy opatření. Prostřednictvím znaménka x jsou vytvořeny vazby mezi riziky a opatřeními, kterými lze rizika buď zmírnit, nebo zcela eliminovat. Pokud se uţivatel rozhodne rizika hodnocená v kapitole 4Analýza rizik řídit, měl by pro minimalizaci či úplnou eliminaci rizik pouţít opatření podle níţe v tabulce uvedeného klíče.
56
Tabulka 8 Vazby doporučených opatření vůči hodnoceným rizikům Doporučená opatření část 1.
Název hrozby
Definování informací Kontrola Přístup k účtu Přístup Návštěva Vypnutí možnosti Hodnocení Vytvoření Nezveřejňování Ověření pro sdílení práv pouze pouze z Šifrované pouze určování geolokační citlivosti skupin aktuální polohy totožnosti se sdílených důvěryhodným bezpečných spojení bezpečných polohy ostatním informací přátel uživatele uživatele skupinami informací aplikacím zařízení odkazů uživatelům/aplikacím uživatelů
Falšování identity Sledování chování uživatele
x
x
x
x
x
x
x
x
x x
x
x x
x
x
x
x
x
x x
Šíření nepravdivých informací, vyvolání paniky
x
x
x
x
x x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Šíření malwaru Sledování chování lidí Únik citlivých informací prostřednictvím chyby třetí strany Narušení bezpečností strategie/bezpečnosti firmy Vědomé zveřejnění vlastních citlivých informací samotným uživatelem Prozrazení aktuální polohy uživatele jeho přáteli Prolomení/nedostatečné zabezpečení sociální sítě Ztráta/odcizení zařízení s přístupem na sociální sítě
x
x x x x
Odcizení identity Změna možností nastavení uživatelského účtu
x
x
x
x
x
x x
x
x
x
x
Doporučená opatření část 1.
Název hrozby
Definování informací Kontrola Přístup k účtu Přístup Návštěva Vypnutí možnosti Hodnocení Vytvoření Nezveřejňování Ověření pro sdílení práv pouze pouze z Šifrované pouze určování geolokační citlivosti skupin aktuální polohy totožnosti se sdílených důvěryhodným bezpečných spojení bezpečných polohy ostatním informací přátel uživatele uživatele skupinami informací aplikacím zařízení odkazů uživatelům/aplikacím uživatelů
Únik citlivých informací prostřednictvím chyby uživatele
x
Sdílení přístupových údajů
x
Prozrazení aktuální polohy uživatele samotným uživatelem Manipulace uživatelem
x x
x
x
x
x
x
x
x
Ponechání bez dozoru zařízení s přístupem na sociální sítě
x
Ztráta kontroly nad obsahem Uzamčení/zrušení účtu na sociální síti Změna pravidel provozovatele sociální sítě Prozrazení organizační/rodinné struktury
x x x
x
x
x
Vymazání části komunikace Únik citlivých informací prostřednictvím chyby provozovatele sociální sítě Výpadek služby sociální sítě Nedostatečná dokumentace Ztráta informací
x x
x
x
x
x
Doporučená opatření část 2.
Název hrozby
Znalost Hledání a Záložní pravidel Kontrola Vzdělávání zneplatnění plán pro Silné Vícefaktorová Aktualizované Uzamčení Antimalwarová Zálohování Ověřování a aplikačních v rámci podvržené výpadek heslo autentizace aplikace obrazovky ochrana informací zpráv nastavení oprávnění bezpečnosti uživatelské sociální sociální identity sítě sítě
Falšování identity Sledování chování uživatele
x
x
x
x
x
x
x
Šíření nepravdivých informací, vyvolání paniky
x
Šíření malwaru Sledování chování lidí Únik citlivých informací prostřednictvím chyby třetí strany Narušení bezpečností strategie/bezpečnosti firmy
x
x
x
x
x x
Vědomé zveřejnění vlastních citlivých informací samotným uživatelem
x
x
Ztráta/odcizení zařízení s přístupem na sociální sítě
x
x
x
x
Změna možností nastavení uživatelského účtu
x
x
Prozrazení aktuální polohy uživatele jeho přáteli Prolomení/nedostatečné zabezpečení sociální sítě
Odcizení identity
x
x
x x
x x
x
x
x
x
x
x
x
x
x x
x x
x
x
x
x
x
x
x
x
x
x
x x
Doporučená opatření část 2.
Název hrozby
Znalost Hledání a Záložní pravidel Kontrola Vzdělávání zneplatnění plán pro Silné Vícefaktorová Aktualizované Uzamčení Antimalwarová Zálohování Ověřování a aplikačních v rámci podvržené výpadek heslo autentizace aplikace obrazovky ochrana informací zpráv nastavení oprávnění bezpečnosti uživatelské sociální sociální identity sítě sítě
Únik citlivých informací prostřednictvím chyby uživatele Sdílení přístupových údajů
x x
x
x
Prozrazení aktuální polohy uživatele samotným uživatelem
x
Manipulace uživatelem Ponechání bez dozoru zařízení s přístupem na sociální sítě
x
x
Ztráta kontroly nad obsahem
x
x
Uzamčení/zrušení účtu na sociální síti Změna pravidel provozovatele sociální sítě Prozrazení organizační/rodinné struktury
x
x
x
x x
x
x
x
x
x
x
x
x
x
x
Vymazání části komunikace
x
Únik citlivých informací prostřednictvím chyby provozovatele sociální sítě Výpadek služby sociální sítě Nedostatečná dokumentace Ztráta informací
x
x
x x
x
6.2 Obecná doporučení Tato kapitola obsahuje obecná doporučení pro uţivatele sociálních sítí. 1.
29
Pokud chcete, aby informace (například citlivé nebo tajné informace) byly
v bezpečí, neumisťujte tyto informace na sociální sítě. 2. Přesvědčte se, jaké informace sdílíte veřejně a to tím, ţe se podíváte na svŧj účet bez přihlášení (jako cizí osoba). Tedy tak, jak jej vidí ostatní uţivatelé. 3. Jasně si definujte uţivatele, se kterými chcete sdílet neveřejné informace. 4. Přístup k účtu sociální sítě povolte pouze dŧvěryhodným aplikacím a zařízením (PC, notebook, tablet, mobilní tel. apod.) 5. K sociálním sítím přistupujte prostřednictvím zabezpečeného připojení HTTPS. 6. Navštěvujte pouze odkazy zaslané od dŧvěryhodných uţivatelŧ. 7. Ani zprávy zasílané od dŧvěryhodných přátel nemusí být bezpečné. Nikdy nevíte, zdali jejich účet nebyl kompromitován, a zdali vám útočník nezaslal nebezpečný odkaz prostřednictvím dŧvěryhodné identity. Taktéţ předpokládejte, ţe legitimní uţivatel vám mŧţe zaslat nebezpečnou zprávu v dobré víře, bez vědomí jeho hrozícího nebezpečí. 8. Zakaţte sociálním sítím, případně aplikacím třetích stran mobilních zařízení lokalizovat a zveřejňovat vaši aktuální polohu. 9. Nezveřejňujte konkrétní informace typu plánování osobního času, citlivé osobní informace týkající se například resetování hesla (jméno psa, rodné jméno matky…) atp. 10. Při komunikaci přes sociální sítě si ověřte, zdali komunikujete opravdu s osobou, za kterou se avatar (digitální identita) vydává. 11. Pro přihlášení pouţívejte silná hesla, popřípadě více faktorovou autentizaci30.
29
Technewsdaily. 10 Tips for Staying Safe on Twitter. Technewsdaily [online]. ©2013 [cit. 2013-03-13]. Dostupné z: http://www.technewsdaily.com/7880-10-twitter-safety-tips.html
61
12. Pouţívejte aktualizovaný operační systém, webový prohlíţeč a antivirový program. 13. Měňte často (alespoň čtvrtletně) přístupové heslo 14. Prŧběţně se vzdělávejte, například prostřednictvím jednoduchých kvízŧ viz např. http://www.technewsdaily.com/quizzes/31
6.3 Konkrétní doporučení pro sociální síť Facebook Níţe jsou uvedena konkrétní doporučení pro uţivatele sociální Facebook.
6.3.1 Vícefaktorová
autentizace
s pomocí
mobilního
telefonu Pro větší bezpečnost přihlašování do sociální sítě zapněte funkci vícefaktorové autentizace, například přihlášení prostřednictvím generovaného kódu dŧvěryhodnou aplikací, zpravidla poskytovanou provozovatelem sociální sítě. Například na Facebooku zapnete vyţadování bezpečnostní kódu pro přístup k účtu na kartě Zabezpečení, aktivací volby Schválené přihlášení. Při aktivaci funkce budete provedeni prŧvodcem aktivací generátoru kódŧ a otestováním funkčnosti autentizace, viz obrázky níţe.
Obrázek 16Nastavení vyžadování bezpečnostního kódu při přihlašování do sociální sítě Facebook. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security 30
ROSENCRANCE, Linda. 11 Facebook Privacy Steps to Take Now. SecurityNewsDaily [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://www.technewsdaily.com/7832-11-facebook-privacy-steps.html 31 SecurityNewsDaily. Quizzes. SecurityNewsDaily [online]. ©2013 [cit. 2013-02-10]. Dostupné z: http://www.technewsdaily.com/quizzes/
62
Obrázek 17 Popis autentizace zadáváním kódu při přihlašování do sociální sítě Facebook. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security
Obrázek 18 Aktivace generátoru kódů pro přihlašování do sociální sítě Facebook. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security
63
Obrázek 19 Vložení kódu z mobilní aplikace do přihlašovacího dialogu sociální sítě Facebook. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security
6.3.2 Kontrola viditelnosti obsahu Pro budoucí příspěvky, které budete na Facebook vkládat, lze přednastavit jejich viditelnost (Nastavení soukromí -> Soukromí -> Kdo můţe vidět můj obsah? -> Kdo uvidí vaše budoucí příspěvky?). Pokud nechcete, aby vaše příspěvky nebyly primárně zobrazovány jako Veřejné (příspěvky budou přístupné veřejnosti), mŧţete jejich viditelnost zúţit například pouze vybrané uţivatelské skupiny, například na Přátele či jinou vámi definovanou uţivatelskou skupinu. V nejstriktnějším případě lze nastavit viditelnost pouze na vaši osobu, tedy viditelnost Pouze já.
64
Obrázek 20 Nastavení viditelnosti budoucích vložených příspěvků. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=privacy§ion=composer&view
Pokud byste chtěli zkontrolovat, či změnit viditelnost jiţ vloţených příspěvkŧ, lze jejich editaci provést prostřednictvím volby Zkontrolujte si všechny příspěvky a obsah, ve kterém jste označeni. (Nastavení soukromí -> Soukromí -> Kdo můţe vidět můj obsah?). Mŧţete tak změnit zpětně viditelnost příspěvkŧ, které jste vloţili v minulosti, nebo příspěvky zcela vymazat.
Obrázek 21 Možnost editace viditelnosti příspěvků vložených v minulosti. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=privacy&view
6.3.3 Zákaz vyhledávání Pokud chcete, aby identita na sociální síti nebyla dohledatelná mimo sociální síť, například přes vyhledávače Google či Seznam, zakaţte moţnost její veřejné vyhledání přes volbu Soukromí -> Kdo mě můţe vyhledat? -> Chcete, aby ostatní vyhledávače uváděly odkaz na váš profil Timeline? Nutno podotknout, ţe konkrétně tato volba na Facebooku pouze znemoţní vyhledání samotné identity. Veškerá data, která jsou danou identitou na sociální síti veřejná, dále veřejná zŧstanou, tudíţ budou volně přístupná všem uţivatelŧm kyberprostoru.
65
Obrázek 22 Pokud chcete, aby váš profil na Facebooku nebyl dohledatelný přes internetové vyhledávače (např. Google, Seznam atp.), nezaškrtávejte zatržítko u možnosti "Umožnit ostatním vyhledávačům propojení s vaším profilem Timeline" Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com
Pokud si nepřejete, aby vás mohli vyhledat podle e-mailu nebo telefonního čísla, které jste zadali do svého pofilu na Facebooku,
pouze Přátelé, nikoli uţ Přátelé přátel nebo
dokonce všichni uţivatelé Facebooku, vyberte u poloţky Kdo vás můţe vyhledat podle zadaného e-mailu nebo telefonního čísla? (Nastavení soukromí -> Kdo mě můţe vyhledat?) volbu Přátelé.
Obrázek 23 Určení skupiny uživatelů Facebooku, kteří váš uživatelský profil budou moci vyhledat podle vašeho emailu nebo telefonního. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=privacy§ion=findcontact&view
6.3.4 Zabezpečené spojení Pro bezpečné datové spojení mezi servery poskytovatele sociální sítě Facebook a uţivatelskou koncovou aplikací (webový prohlíţeč, miniaplikace Windows, mobilní aplikace pro Android, iOS atp.) zapněte poţadavek na šifrované spojení https. Aktivaci šifrování provede zatrţením volby Nastavení zabezpečení -> Zabezpečené procházení.
66
Obrázek 24 Aktivace zabezpečeného spojení v rámci protokolu https, který znemožní potecionálním útočníkům odposlech komunikace mezi serverem poskytovatele sociální sítě Facebook a uživatelskou aplikací. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security§ion=browsing&view
6.3.5 Upozornění na přihlášení Pro případ, ţe by se vašich autentizačních údajŧ zmocnila cizí osoba a přihlásila se k vašemu uţivatelskému profilu, je dobré mít aktivovanou funkci Upozornění na přihlášení (Nastavení zabezpečení). V rámci funkce je majitel uţivatelského profilu vţdy informován, buď prostřednictvím e-mailu nebo SMS, o připojení k uţivatelskému účtu ze zařízení, které se do té doby k uţivatelskému profilu nepřipojilo. Uţivatel je tak při moţné kompromitaci uţivatelského profilu ihned informován. Mŧţe tak okamţitě reagovat na nastalou situaci například změnou autentizačních údajŧ.
Obrázek 25 Nastavení zasílání upozornění při přístupu k uživatelskému profilu z dosud nepoužitého zařízení. Uživatel tak může ihned reagovat na možnou kompromitaci uživatelského účtu. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security§ion=notifications&view
Lze téţ spravovat jiţ rozpoznaná zařízení a to v nabídce Rozpoznaná zařízení (Nastavení zabezpečení). Je vhodné seznam rozpoznaných zařízení prŧběţně kontrolovat. Kontrolou mŧţe být odhaleno neţádoucí zařízení, prostřednictvím kterého mŧţe například probíhat kompromitace uţivatelského profilu.
67
Obrázek 26 Seznam rozpoznaných zařízení, kterým je povolen přístup k uživatelskému profilu. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security§ion=devices&view
6.3.6 Kontrola aktivních relací Uţivatel by měl pravidelně kontrolovat relace (čas, místo a typ zařízení) v rámci kterých je přistupováno k uţivatelskému profilu (Nastavení zabezpečení -> Aktivní relace). Pravidelnou kontrolou lze předejít či včasně zakročit proti případné kompromitaci uţivatelského profilu. Neţádoucí relace je moţné v případě potřeby neodkladně ukončit kliknutím na volbu Ukončit aktivitu viz obrázek.
Obrázek 27 Kontrola aktivních relací. Jejich kontrolou lze zamezit případné kompromomitaci uživatelského profilu. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security§ion=sessions&view
68
6.3.7 Definování práv pro Timeline Definujte skupinu dŧvěryhodných uţivatelŧ (Timeline označování -> Kdo můţe přidávat obsah na můj profil Timeline?), kterým dovolíte vkládat příspěvky na vaši Timeline. Předejdete tak tomu, ţe vám někdo cizí na Timeline vloţí příspěvek s nevhodnou tématikou či dokonce s nebezpečným obsahem. Nevhodný/nebezpečný obsah by mohl poškodit vaši pověst před ostatními uţivateli či veřejností. V horším případě by mohl vést aţ k zablokování vašeho uţivatelského profilu z dŧvodu šíření nebezpečného/nelegálního obsahu.
Obrázek 28 Nastavení oprávnění pro vkládání příspěvků na Timeline. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-24]. Dostupné z: https://www.facebook.com/settings?tab=timeline§ion=posting&view
6.3.8 Aktivace kontroly příspěvků kde jste označeni Aktivujte si kontrolu příspěvkŧ (Timeline označování -> Kdo můţe přidávat obsah na můj profil Timeline?), v rámci které musíte ručně schvalovat příspěvky, v nichţ jste označeni, předtím, neţ se objeví na vašem profilu Timeline. Předejte tak zveřejňováním příspěvkŧ, které byste rádi viděli pouze jako privátní.
Obrázek 29 Nastavení ručního schvalování příspěvků na nichž jste označeni. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-24]. Dostupné z: https://www.facebook.com/settings?tab=timeline§ion=review&view
69
Berte ale na vědomí, ţe toto nastavení se týká pouze vašeho profilu Timeline. Příspěvky, ve kterých jste označeni, se stále mohou objevovat ve vyhledávání, kanálu vybraných příspěvkŧ a na dalších místech na Facebooku.
6.3.9 Viditelnost příspěvků na Timeline Pro příspěvky, na kterých jste označeni, nastavte viditelnost (Timeline označování -> Kdo uvidí obsah na mém profilu Timeline? -> Kdo můţe vidět příspěvky, ve kterých jste byli ve svém profilu Timeline označeni?) pouze pro ty osoby/skupiny, kterým mŧţete dŧvěřovat, ţe daný příspěvek nezneuţijí. Popřípadě zvolte nastavení Jenom já, příspěvky, v rámci kterých jste označeni na Timeline pak uvidíte jenom vy.
Obrázek 30Nastavení viditelnosti příspěvků, na kterých jste označeni. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-24]. Dostupné z: https://www.facebook.com/settings?tab=timeline§ion=tagging&view
Pro viditelnost příspěvkŧ, které na váš profil Timeline přidají ostatní uţivatelé, nastavte téţ oprávnění dle návodu výše (Timeline označování -> Kdo uvidí obsah na mém profilu Timeline? -> Kdo můţe vidět příspěvky, které na váš profil Timeline přidají ostatní uţivatelé?).
70
Obrázek 31Nastavení viditelnosti příspěvků, které na vaši Timeline vložili ostatní uživatelé. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-24]. Dostupné z: https://www.facebook.com/settings?tab=timeline§ion=tagging&view
6.3.10 Blokování uživatelů, aplikací, pozvánek V případě, ţe váš obtěţuje některý uţivatel sociální sítě, jeho pozvánky na aplikace a události, či samotné aplikace, mŧţete jej zablokovat v rámci Správy blokování viz obrázek. Zamezíte tím komunikaci s uţivatelem samotným (funkce Zablokovat uţivatele), zablokujete zasílání pozvánek do aplikací od uţivatele (funkce Zablokovat pozvánky aplikací), zablokujete zasílání pozvánek na události od uţivatele (funkce Zablokovat pozvánky na události), či zablokujete aplikaci (funkce Zablokovat aplikace), která jiţ vás nebude moci kontaktovat ani shromaţďovat vaše neveřejné informace na Facebooku.
71
Obrázek 32 Správa blokování uživatelů sociální sítě, pozvánek a aplikací. Zdroj: Facebook. [online]. ©2013 [cit. 2013-04-24]. Dostupné z: https://www.facebook.com/settings?tab=blocking
6.3.11 Monitorování
zveřejněných
informací
na
internetu Sledujte informace, které se o vás šíří po internetu. Například prostřednictvím sluţby Google Upozornění (www.google.cz/alerts) mŧţete pravidelně dostávat e-mailové zprávy o nejnovějších výsledcích vyhledávání Google (na webu, ve zprávách, atd.) na základě vašich dotazŧ.
72
Obrázek 33 Příklad nastavení zasílání pravidelných informací o nových výskytech jména "Jan Přenosil" na internetu u služby Google Upozornění. Zdroj: Google. [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://www.google.cz/alerts
6.4 Konkrétní doporučení pro sociální síť LinkedIn Níţe jsou uvedena konkrétní doporučení pro uţivatele sociální LinkedIn.
6.4.1Kontrola autorizovaných aplikací Pravidelně kontrolujte na záloţce Autorizované aplikace (Nastavení->Skupiny, společnosti, aplikace->Aplikace->Zobrazit Vaše aplikace) aplikace, které mají přístup k vašemu účtu na sociální síti LinkedIn. Pokud v seznamu naleznete aplikace, které neznáte anebo je povaţujete za nedŧvěryhodné, odeberte je. Zamezíte tak neţádoucím aplikacím přístup k vašim informacím na LinkedIn a tím i šíření informací mimo LinkedIn.
73
Obrázek 34 Seznam autorizovaných aplikací, které mají povolený přístup k informacím uživatelského účtu na sociální síti LinkedIn. Zdroj: LinkedIn. [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/secure/settings?userAgree=&goback=%2Enas_*1_*1_*1
Pokud chcete přístup k informacím na sociální síti LinkedIn zakázat všem aplikacím třetích stran, mŧţete tak učinit na záloţce Sdílení údajů s aplikacemi třetích stran (Nastavení>Skupiny, společnosti a aplikace->Nastavení ochrany osobních údajů-> Zapnout/vypnout sdílení údajů s aplikacemi třetích stran).
Obrázek 35 Zapnutí/vypnutí sílení údajů s aplikacemi třetích stran. Zdroj: LinkedIn. [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs
6.4.2 Nastavení odběru kanálu aktivit Na kartě Vybrat, komu se zobrazuje informační kanál o vašich aktivitách (Nastavení>Profil-> Nastavení ochrany osobních údajů) definujete skupinu uţivatelŧ, kterým bude dovoleno zobrazovat akce, které vykonáváte na LinkedIn. Jedná se například o seznam přátel, informace o vašem uţivatelském profilu a další informace které píšete na sociální sít LinkedIn. Určíte tím skupinu uţivatelŧ sociální sítě LinkedIn, která bude mít přístup k vašemu kanálu aktivit. Ostatním uţivatelŧm mimo definovanou skupinu nebudou informace zobrazovány.
74
Obrázek 36 Nastavení skupiny uživatelů, která bude moci odebírat informace o aktivitách daného uživatele. Zdroj: LinkedIn. [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs
6.4.3 Sdílení informací s Twitterem LinkedIn umoţňuje sdílet informace (Nastavení->Profil->Nastavení->Nastavení pro Twitter) se sociální sítí Twitter. Pokud se rozhodne uvedené sociální sítě propojit, je před zrealizováním toho propojení potřeba vzít na vědomí rizika, která dŧsledku propojení vzniknou. Jedná se zejména o riziko prozrazení citlivých informací cizím osobám.
Obrázek 37 Nastavení sdílení informací se sociální sítí Twitter. Zdroj: LinkedIn. [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs
6.4.4 Správa pluginů LinkedIn Sociální sít LinkedIn automaticky po vytvoření uţivatelského účtu zapíná automatické mapování stránek, které uţivatel navštíví. Sledování navštívených stránek probíhá prostřednictvím pluginŧ, které navštívené stránky obsahují. Pokud uţivatel nechce, aby sociální síť LinkedIn mapovala navštívené webové stránky mimo síť LinkedIn, měl by deaktivovat tuto funkci v okně Spravovat nastavení pluginů pro LinkedIn na webových stránkách třetích stran (Nastavení->Skupiny, společnosti a aplikace-> Nastavení ochrany osobních údajů-> Spravovat nastavení pluginů pro LinkedIn na webových stránkách třetích stran) a to odškrtnutím zatrţítka viz obrázek níţe.
75
Obrázek 38 Odtržením zatržítka zakážete sociální síti LinkedIn sledovat vámi navštívené stránky. Zdroj: LinkedIn. [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs
6.4.5 Zabezpečené spojení Pro bezpečné datové spojení mezi servery poskytovatele sociální sítě LinkedIn a uţivatelskou koncovou aplikací (webový prohlíţeč, miniaplikace Windows, mobilní aplikace pro Android, iOS atp.) zapněte poţadavek na šifrované spojení https. Aktivaci šifrování provede zatrţením volby v okně Nastavení zabezpečení (Nastavení->Účet>Nastavení-> Správa nastavení zabezpečení) viz obrázek níţe.
Obrázek 39 Aktivaci šifrovaného spojení při používání sociální stí LinkedIn ztržením zatržítka. Zdroj: LinkedIn. [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc
6.5 Opatření prostřednictvím infografiky Bezpečnostní doporučení nemusejí být prezentovány pouze textovou formou ale i grafickou. Jeden z příkladŧ, kdy je pro prezentaci protiopatření pouţita infografiky, je uveden níţe. Tato forma sdělení mŧţe být daleko efektivnější neţ strohé testové sdělení.
76
Obrázek 40 Příklad opatření pro uživatele sociálních sítí prostřednictvím infografiky. Zdroj: FRYE, Selena. Infographic: How social media carelessness can help criminals. Techrepublic. [online]. ©2013 [cit. 2013-04-24]. Dostupné z: http://www.techrepublic.com/blog/security/infographic-howsocial-media-carelessness-can-help-criminals/6825
77
Závěr Cílem diplomové práce bylo zanalyzovat a zhodnotit bezpečnostní rizika sociálních sítí LinkedIn, Facebook a uvést bezpečnostní doporučení pro jejich uţivatele. V první kapitole 1 Metodika byla popsána metodika, podle které byla tato diplomová práce napsána. V kapitole Úvod do sociálních sítí byl vypracován popis, charakteristika a trendy sociálních sítí, konkrétněji pak popsány sociální sítě LinkedIn a Facebook, které patří ohledně počtu uţivatelŧ mezi nevětší sociální sítě. V kapitole 3 Hrozby a rizika sociálních sítí byly vyjmenovány známé incidenty a události, které se týkaly sociálních sítí. Na základě zmíněných incidentŧ a událostí byl pak v kapitole 3.3 sestaven seznam hrozeb, který byl dále vyuţit v následující v analýze rizik. V kapitole 4 Analýza rizik byla provedena analýza rizik sociálních sítí, která vycházela ze seznamu hrozeb sociálních sítí z kapitoly 3.3, z určené velikosti dopadu hrozeb, pravděpodobnosti jejich výskytu a pravděpodobnosti jejich úspěšnosti. Uvedené tři parametry byly stanoveny na základě pravděpodobných scénářŧ a jejich následného převedení na kvantitativní hodnoty pětistupňové škály prostřednictvím vodítek z tabulek: Tabulka 2 Vodítka pro stanovení velikosti dopadu hrozeb, Tabulka 3 Vodítka pro stanovení číselné škály pravděpodobnosti výskytu hrozeb a Tabulka 4 Vodítka pro stanovení číselné škály pravděpodobnosti úspěšnosti hrozeb. Po stanovení parametrŧ velikosti dopadu, pravděpodobnosti výskytu a pravděpodobnosti úspěšnosti hrozeb, byly číselné hodnoty těchto tří parametrŧ vynásobeny, čímţ byla stanovena hodnota velikosti rizika. Po výpočtu byla rizika dle jejich vypočtené velikosti sestupně seřazena a pro větší přehlednost dále rozčleněna viz Tabulka 7 Výpočet velikosti rizik podle pětistupňové škály viz Tabulka 6 Pětistupňová škála pro určování velikosti rizik. V kapitole 5 Zhodnocení bylo provedeno zhodnocení vypočtených rizik z předešlé kapitoly. Podle pětistupňové škály velikosti rizik, byla tři nejvyšší rizika vyhodnocena jako Vysoká rizika. Jednalo se o rizika Falšování identity, Sledování chování uţivatele a Šíření nepravdivých informací, vyvolání paniky. Jedno riziko, a to Šíření malwaru, bylo vyhodnoceno jako Střední riziko. Zbylá rizika byla vyhodnocena jako Malá či Velmi malá.
78
Podrobnější informace o zhodnocení rizik jsou uvedeny v kapitole 5.1 Zhodnocení výsledků analýzy rizik. V kapitole 5 byla tak provedena první část cíle této diplomové práce. V kapitole 6 Doporučení pro uţivatele byl sestaven Seznam opatření pro bezpečnost sociálních sítí, který obsahuje opatření pro minimalizaci či úplné potlačení výše hodnocených rizik. V tabulce Tabulka 8 Vazby doporučených opatření vůči hodnoceným rizikům pak byla na hodnocená rizika namapována relevantní opatření. Tím byla stanovena konkrétní opatření, v rámci kterých lze minimalizovat či zcela potlačit konkrétní rizika. V rámci praktické realizace řízení rizik sociálních sítí lze Tabulka 8 Vazby doporučených opatření vůči hodnoceným rizikům pouţít jako východisko. V kapitole 6.2 Obecná doporučení byl vytvořen seznam obecných doporučení pro uţivatele, který má slouţit jako základní uţivatelský manuál pro bezpečné chování na sociální síti. V kapitole 6.3 a 6.4 pak byla stanovena konkrétní doporučení pro sociální sítě LinkedIn a Facebook. Záměrem zmíněných dvou kapitol je poskytnout uţivatelŧm uvedených dvou sociálních sítí doporučení pro dŧleţitá bezpečnostní nastavení. V rámci kapitoly 6 tak byla zpracována i druhá, tedy závěrečná část cíle této diplomové práce.
79
Seznam použité literatury [1] ČTK. Unikly soukromé fotky Marka Zuckerberga. Kvŧli chybě Facebooku. Tyden.cz [online].
©2006
[cit.
2013-04-03].
Dostupné
z: http://www.tyden.cz/rubriky/media/internet/unikly-soukrome-fotky-marka-zuckerbergakvuli-chybe-facebooku_219466.html [2] Mediafax. Nejnavštěvovanější sociální sítí v Česku je Facebook, domácí alternativy upadají.
Mediafax.cz.
[online].[2012-01-17].
Dostupné
z: http://www.mediafax.cz/ekonomika/3993732-Nejnavstevovanejsi-socialni-siti-v-Ceskuje-Facebook-domaci-alternativy-upadaji [3] DOČEKAL, Daniel. České firmy na Facebooku a Twitteru v roce 2011. Lupa.cz. [online]. ©1998 – 2012 [2012-01-17]. Dostupné z: http://www.lupa.cz/clanky/ceske-firmyna-facebooku-a-twitteru-v-roce-2011/ [4] Vincos Blog. The State of Linkedin. Vincos [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://vincos.it/the-state-of-linkedin/ [5] ČTK. Na Facebook napsal, ţe je mrzák. Krátce nato ho zavraţdili. Tyden.cz [online]. ©2006 [cit. 2013-04-7]. Dostupné z: http://www.tyden.cz/rubriky/zahranici/evropa/nafacebook-napsal-ze-je-mrzak-kratce-nato-ho-zavrazdili_219945.html [6] Seculert. Ramnit Goes Social. Seculert.com[online]. 2013[cit. 2013-04-07]. Dostupné z: http://blog.seculert.com/2012/01/ramnit-goes-social.html [7] WAGENSEIL, Paul. Scary New Facebook Bugs Steal Money, Evade Anti-Virus Software.
Technewsdaily.com
[online].
©2013
[cit.
2013-2-17].
Dostupné
z: http://www.technewsdaily.com/4317-scary-facebook-malware.html [8] GOODCHILD, Joan. 10 Security Reasons to Quit Facebook (And One Reason to Stay On).
Csoonline.com
[online].
©1994
-
2013
[cit.
2013-3-28].
Dostupné
z: http://www.csoonline.com/article/584813/10-security-reasons-to-quit-facebook-andone-reason-to-stay-on-?page=2
80
[9] Reed Exhibitions Limited. More employers asking job applicants for Facebook login info.
Infosecurity
magazine
[online].
©2013
[cit.
2013-3-28].
Dostupné
z: http://www.infosecurity-magazine.com/view/24691/more-employers-asking-jobapplicants-for-facebook-login-info/ [10] NOSKA, Martin. Podvodné stránky lákají na deaktivaci Facebook Timeline. Computerworld.cz.
[online].
2013
[cit.
2013-3-28].
http://computerworld.cz/bezpecnost/podvodne-stranky-lakaji-na-deaktivaci-facebooktimeline-44395 [11] Blesk. Černému Facebooku se vyhněte, jde o vir! Poradíme vám, jak ho odstranit. Blesk.cz
[online].
©2001
-
2013
[cit.
2013-04-07].
Dostupné
z: http://www.blesk.cz/clanek/digital-internet/193015/cernemu-facebooku-se-vyhnete-jdeo-vir-poradime-vam-jak-ho-odstranit.html [12] SWENEY, Mark. Facebook quarterly report reveals 83m profiles are fake. Guardian [online].
©2013
[cit.
2013-03-28].
Dostupné
z: http://www.guardian.co.uk/technology/2012/aug/02/facebook-83m-profiles-bogus-fake [13] Evidon. Evidon Global Tracker Report. Evidon [online]. 2013 [cit. 2013-04-07]. Dostupné z: http://www.evidon.com/research [14] LEMOS, Robert. LinkedIn Password Theft Underscores Cloud Security Dangers, eWEEK
[online].
©2013
[cit.
2013-04-07].
Dostupné
z: http://mobile.eweek.com/c/a/Security/LinkedIn-Password-Theft-Underscores-CloudSecurity-Dangers-571992/ [15] POREMBA, Sue Marquette. 'Like' or 'Share' Links? You May Be Revealing Personal Info.
SecurityNewsDaily
[online].
©2013
[cit.
2013-04-07].
Dostupné
z: http://www.securitynewsdaily.com/751-like-or-share-links-you-may-be-revealingpersonal-info.html [16] MENN, Joseph. Social networks scan for sexual predators, with uneven results. Reuters
[online].
2013
[cit.
2013-04-07].
z: http://www.reuters.com/article/2012/07/12/us-usa-internet-predatorsidUSBRE86B05G20120712
81
Dostupné
[17] LIEBOWITZ, Matt. Zombie Blondes Invade Facebook with Fake Profiles. SecurityNewsDaily
[online].
©2013
[cit.
2013-04-07].
Dostupné
z: http://www.securitynewsdaily.com/1889-zombie-blonde-facebook-fake-profile.html [18] THOMPSON, Cadie. Get a Fake Facebook Girlfriend for $20. CNBC [online]. ©2013 [cit.
2013-04-07].
Dostupné
z: http://www.cnbc.com/id/100387898/Get_a_Fake_Facebook_Girlfriend_for_20 [19]
MEARIAN,
Computerworld.com
Lucas,
Facebook
[online].
©1994
and -
physicians: 2013
[cit.
Not
good
medicine.
2013-04-07].
Dostupné
z: http://www.computerworld.com/s/article/9227180/Facebook_and_physicians_Not_good _medicine_?taxonomyId=17&pageNumber=3 [20] Facebook. Protecting People On Facebook, Facebook.com [online]. ©2013 [cit. 201302-16]. Dostupné z: https://www.facebook.com/notes/facebook-security/protecting-peopleon-facebook/10151249208250766 [21] Hospodářské noviny IHNED. Ruští hackeři na svém fóru zveřejnili miliony hesel z profesní sociální sítě LinkedIn. IHNED [online]. © 1996-2013 [cit. 2013-02-16]. Dostupné
z:
http://zpravy.ihned.cz/c1-56062710-rusti-hackeri-na-svem-foru-zverejnili-
miliony-hesel-z-profesni-socialni-site-linkedin [22] LARSON, Eric. Security Flaw Gives Hacker Full Access to Facebook Profiles. Mashable
[online].
2013
[cit.
2013-02-28].
Dostupné
z: http://mashable.com/2013/02/23/facebook-security-flaw/ [23] PARNELL, Brid-Aine. LinkedIn users buried in spam after database leak. The Register
[online].
2013
[cit.
2012-02-24].
Dostupné
z: http://www.theregister.co.uk/2012/06/07/linkedin_spam_emails_data_breach/ [24] ČTK. "Exploze v Bílém domě, Obama zraněn!" Twitter AP napaden. Tyden.cz [online].
©
2006
[cit.
2013-04-24].
Dostupné
z: http://www.tyden.cz/rubriky/zahranici/amerika/exploze-v-bilem-dome-obama-zranentwitter-ap-napaden_268064.html [25] ISO/IEC 27035:2011. Information technology — Security techniques — Information security incident management. ISO. 2011. 50 s.
82
[26] ČSN ISO/IEC 27005. Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací. Český normalizační institut. 2008. 50 s. [27] Help Net Security. The decline of trust in social networking platforms. Help Net Security
[online].
©1998-2013
[cit.
2013-04-07].
Dostupné
z:
http://www.net-
security.org/secworld.php?id=12542 [28] DOČEKAL, Daniel. Facebook začíná mladé nudit, do čeho se vrhnou po něm. Lupa.cz
[online].
©2013
[cit.
2013-03-13].
Dostupné
z: http://www.lupa.cz/clanky/facebook-zacina-mlade-nudit-do-ceho-se-vrhnou-ponem/?labelsBox-labelId=97&do=labelsBox-switch [29]
ROSENCRANCE,
SecurityNewsDaily
Linda.
[online].
11
Facebook
©2013
Privacy [cit.
Steps
to
2013-04-07].
Take
Now.
Dostupné
z: http://www.technewsdaily.com/7832-11-facebook-privacy-steps.html [30] SecurityNewsDaily. Quizzes. SecurityNewsDaily [online]. ©2013 [cit. 2013-02-10]. Dostupné z: http://www.technewsdaily.com/quizzes/
Seznam použitých obrázků Obrázek 1 Nejpopulárnější sociální sítě v roce 2009. Zdroj: Vincos Blog.World Map of Social
Networks.
Vincos
[online].
©2013
[cit.
2013-04-07].
Dostupné
z:http://vincos.it/world-map-of-social-networks/ Obrázek 2 Nejpopulárnější sociální sítě v roce 2010. Zdroj: Vincos Blog.World Map of Social
Networks.
Vincos
[online].
©2013
[cit.
2013-04-07].
Dostupné
z:http://vincos.it/world-map-of-social-networks/ Obrázek 3 Nejpopulárnější sociální sítě v roce 2011. Zdroj: Vincos Blog.World Map of Social
Networks.
Vincos
[online].
©2013
[cit.
2013-04-07].
Dostupné
z:http://vincos.it/world-map-of-social-networks/ Obrázek 4 Nejpopulárnější sociální sítě v roce 2012. Zdroj: Vincos Blog.World Map of Social
Networks.
Vincos
[online].
©2013
z:http://vincos.it/world-map-of-social-networks/
83
[cit.
2013-04-07].
Dostupné
Obrázek 5 Vyhledání osobních informaci o panu Alexandru Čejkovi na stránce společnosti US Search.com. Zdroj: US Search.com. Get a Report on Cejka Alexander. US Search.com [online].
©
2001-2013
[cit.2013-04-07].
Dostupné
z: http://www.ussearch.com/consumer/peoplesearch/names/nationwide/cejka/alexander.html?cached=1 Obrázek 6 Ţebříček sluţeb pro sledování uţivatelŧ webových stránek. Zdroj: Electronista Staff. Report: Google, Facebook biggest web trackers. Electronista [online]. 2013 [cit. 2013-03-28].
Dostupné
z: http://www.electronista.com/articles/12/06/12/net.giants.comprise.all.of.the.top.five.trac kers/ Obrázek 7 Na webové stránce http://namorofake.com.br/ si mŧţete koupit virtuální přítelkyni na Facebooku. Zdroj: Namoro. Namoro [online]. 2013 [cit. 2013-04-07]. http://namorofake.com.br/ Obrázek 8 Aplikace lékařské sociální sítě Doximity na mobilním zařízení iPhone. Zdroj: MEARIAN, Lucas, Facebook and physicians: Not good medicine. Computerworld [online].
©1994
-
2013
[cit.
2013-04-07].
Dostupné
z: http://www.computerworld.com/s/article/9227180/Facebook_and_physicians_Not_good _medicine_?taxonomyId=17&pageNumber=3 Obrázek 9 - Reklama na zvýšení popularity účtu sociálních sítí. Zdroj: PCWorld. PCWorld [online].
©
1998-2013
[cit.
2013-01-07].
Dostupné
z: http://www.pcworld.com/article/256240/how_companies_buy_facebook_friends_likes_ and_buzz.html Obrázek 10 Stránka, na které si lze koupit statusy "Like" pro stránky na Facebooku. Zdroj:1KLIKE. 1KLIKE [online]. 2013 [cit. 2013-01-07]. Dostupné z: http://1klike.com/ Obrázek 11 Smazání části komunikace. Zdroj: ELLIOTT, Amy-Mae. 10 Awesome Pranks to Play On Your Facebook Friends. Mashable [online]. 2013 [cit. 2013-01-27]. Dostupné z: http://mashable.com/2013/01/26/facebook-pranks.
84
Obrázek 12 Phishingový spam který nabádá ke změně hesla k sociální síti LikedIn. Zdroj: Zbartrout.
Zbartrout
[online].
2013
[cit.
2013-02-24].
Dostupné
z: http://twitter.yfrog.com/ob7d4xp Obrázek 13 Zpráva o podvrţené zprávě na účtu Twitter agentury AP. Zdroj: ČTK. "Exploze v Bílém domě, Obama zraněn!" Twitter AP napaden. Tyden.cz [online]. © 2006 [cit. 2013-04-24]. Dostupné z: http://www.tyden.cz/rubriky/zahranici/amerika/exploze-vbilem-dome-obama-zranen-twitter-ap-napaden_268064.html Obrázek 14 O výpadku sociální sítě Twitter informoval 23. 4. 2013 například zpravodajský server Ţivě.cz. Zdroj: ČÍŢEK, Jakub. Twitter hlásí výpadky, Apple také. Zive.cz [online]. ©2013
[cit.
2013-04-24].
Dostupné
z:
http://www.zive.cz/bleskovky/twitter-hlasi-
vypadky-apple-take/sc-4-a168587/default.aspx#utm_medium=selfpromo&utm_source=zive&utm_campaign=RSSfee d Obrázek 15 Doporučení pro uţivatele sociálních sítí. Zdroj: FRYE, Selena. Infographic: How social media carelessness can help criminals. Techrepublic [online]. ©2013 [cit. 2013-04-24]. Dostupné z: http://www.techrepublic.com/blog/security/infographic-howsocial-media-carelessness-can-help-criminals/6825 Obrázek 16 Nastavení vyţadování bezpečnostního kódu při přihlašování do sociální sítě Facebook. Zdroj: Facebook. Facebook [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security Obrázek 17 Popis autentizace zadáváním kódu při přihlašování do sociální sítě Facebook. Zdroj:
Facebook.
Facebook
[online].
©2013
[cit.
2013-04-07].
Dostupné
z: https://www.facebook.com/settings?tab=security Obrázek 18 Aktivace generátoru kódŧ pro přihlašování do sociální sítě Facebook. Zdroj: Facebook.
Facebook
[online].
©2013
[cit.
2013-04-07].
Dostupné
z: https://www.facebook.com/settings?tab=security Obrázek 19 Vloţení kódu z mobilní aplikace do přihlašovacího dialogu sociální sítě Facebook. Zdroj: Facebook. Facebook [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com/settings?tab=security
85
Obrázek 20 Nastavení viditelnosti budoucích vloţených příspěvkŧ. Zdroj: Facebook. Facebook
[online].
©2013
[cit.
2013-04-07].
Dostupné
z: https://www.facebook.com/settings?tab=privacy§ion=composer&view Obrázek 21 Moţnost editace viditelnosti příspěvkŧ vloţených v minulosti. Facebook.
Facebook
[online].
©2013
[cit.
2013-04-07].
Zdroj:
Dostupné
z: https://www.facebook.com/settings?tab=privacy&view Obrázek 22 Pokud chcete, aby váš profil na Facebooku nebyl dohledatelný přes internetové vyhledávače (např. Google, Seznam atp.), nezaškrtávejte zatrţítko u moţnosti "Umoţnit ostatním vyhledávačŧm propojení s vaším profilem Timeline" Zdroj: Facebook. Facebook [online]. ©2013 [cit. 2013-04-07]. Dostupné z: https://www.facebook.com Obrázek 23 Určení skupiny uţivatelŧ Facebooku, kteří váš uţivatelský profil budou moci vyhledat podle vašeho emailu nebo telefonního. Zdroj: Facebook. Facebook [online]. ©2013
[cit.
2013-04-07].
Dostupné
z: https://www.facebook.com/settings?tab=privacy§ion=findcontact&view Obrázek 24 Aktivace zabezpečeného spojení v rámci protokolu https, který znemoţní potecionálním útočníkŧm odposlech komunikace mezi serverem poskytovatele sociální sítě Facebook a uţivatelskou aplikací. Zdroj: Facebook. Facebook [online]. ©2013 [cit. 201304-07].
Dostupné
z: https://www.facebook.com/settings?tab=security§ion=browsing&view Obrázek 25 Nastavení zasílání upozornění při přístupu k uţivatelskému profilu z dosud nepouţitého zařízení. Uţivatel tak mŧţe ihned reagovat na moţnou kompromitaci uţivatelského účtu. Zdroj:
Facebook.
Facebook
[online].
©2013
[cit.
2013-04-07].
Dostupné
z: https://www.facebook.com/settings?tab=security§ion=notifications&view Obrázek 26 Seznam rozpoznaných zařízení, kterým je povolen přístup k uţivatelskému profilu. Zdroj:
Facebook.
Facebook
[online].
©2013
[cit.
2013-04-07].
z: https://www.facebook.com/settings?tab=security§ion=devices&view
86
Dostupné
Obrázek 27 Kontrola aktivních relací. Jejich kontrolou lze zamezit případné kompromomitaci uţivatelského profilu. Zdroj: Facebook. Facebook [online]. ©2013 [cit. 2013-04-07].
Dostupné
z: https://www.facebook.com/settings?tab=security§ion=sessions&view Obrázek 28 Nastavení oprávnění pro vkládání příspěvkŧ na Timeline. Zdroj: Facebook. Facebook
[online].
©2013
[cit.
2013-04-24].
Dostupné
z: https://www.facebook.com/settings?tab=timeline§ion=posting&view Obrázek 29 Nastavení ručního schvalování příspěvkŧ Facebook.
Facebook
[online].
©2013
[cit.
na nichţ jste označeni. Zdroj: 2013-04-24].
Dostupné
z: https://www.facebook.com/settings?tab=timeline§ion=review&view Obrázek 30Nastavení viditelnosti příspěvkŧ, na kterých jste označeni. Zdroj: Facebook. Facebook
[online].
©2013
[cit.
2013-04-24].
Dostupné
z: https://www.facebook.com/settings?tab=timeline§ion=tagging&view Obrázek 31Nastavení viditelnosti příspěvkŧ, které na vaši Timeline vloţili ostatní uţivatelé. Zdroj: Facebook. Facebook [online]. ©2013 [cit. 2013-04-24]. Dostupné z: https://www.facebook.com/settings?tab=timeline§ion=tagging&view Obrázek 32 Správa blokování uţivatelŧ sociální sítě, pozvánek a aplikací. Zdroj: Facebook.
Facebook
[online].
©2013
[cit.
2013-04-24].
Dostupné
z: https://www.facebook.com/settings?tab=blocking Obrázek 33 Příklad nastavení zasílání pravidelných informací o nových výskytech jména "Jan Přenosil" na internetu u sluţby Google Upozornění. Zdroj: Google. Google [online]. ©2013 [cit. 2013-04-07]. Dostupné z: http://www.google.cz/alerts Obrázek 34 Seznam autorizovaných aplikací, které mají povolený přístup k informacím uţivatelského účtu na sociální síti LinkedIn. Zdroj: LinkedIn. LinkedIn [online]. ©2013 [cit.
2013-04-20].
Dostupné
z: https://www.linkedin.com/secure/settings?userAgree=&goback=%2Enas_*1_*1_*1 Obrázek 35 Zapnutí/vypnutí sílení údajŧ s aplikacemi třetích stran. Zdroj: LinkedIn. LinkedIn
[online].
©2013
[cit.
2013-04-20].
z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs
87
Dostupné
Obrázek 36 Nastavení skupiny uţivatelŧ, která bude moci odebírat informace o aktivitách daného uţivatele. Zdroj: LinkedIn. [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs Obrázek 37 Nastavení sdílení informací se sociální sítí Twitter. Zdroj: LinkedIn. LinkedIn [online].
©2013
[cit.
2013-04-20].
Dostupné
z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs Obrázek 38 Odtrţením zatrţítka zakáţete sociální síti LinkedIn sledovat vámi navštívené stránky. Zdroj: LinkedIn. LinkedIn [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc&urlhash=IjHB&_l=cs Obrázek 39 Aktivaci šifrovaného spojení při pouţívání sociální stí LinkedIn ztrţením zatrţítka. Zdroj: LinkedIn. LinkedIn [online]. ©2013 [cit. 2013-04-20]. Dostupné z: https://www.linkedin.com/settings/?trk=hb_acc Obrázek 40 Příklad opatření pro uţivatele sociálních sítí prostřednictvím infografiky. Zdroj: FRYE, Selena. Infographic: How social media carelessness can help criminals. Techrepublic.
[online].
©2013
[cit.
2013-04-24].
Dostupné
z: http://www.techrepublic.com/blog/security/infographic-how-social-media-carelessnesscan-help-criminals/6825
Seznam použitých tabulek Tabulka 1 15 nejpopulárnějších sociálních sítí (údaje z dubna2013). Zdroj: eBizMBA Inc. Top 15 Most Popular Social Networking Sites | April 201. ebizmba.com [online]. ©2013[cit. 2013-04-07]. Dostupné z: http://www.ebizmba.com/articles/social-networkingwebsites
88
Slovník odborných termínů Analýza rizik Klasifikuje nebezpečnost jednotlivých hrozeb, slabá místa a odhaduje moţné ztráty. Bezpečnostní opatření Prostředek ke zmírnění hrozby či sníţení zranitelnosti. Dostupnost Zajištění, ţe informace je pro oprávněné uţivatele přístupná v okamţiku její potřeby. Hrozba Událost, která mŧţe zpŧsobit, ţe informace nebo prostředky zpracovávající informace budou záměrně nebo náhodně ztraceny, modifikovány, stanou se nedostupnými nebo budou jinak negativně ovlivněny ve vztahu k společnosti. Informační systém (IS) Představuje soubor lidí, metod a technických prostředkŧ zajišťujících sběr, přenos, uchování, zpracování a prezentaci dat, jehoţ cílem je tvorba a poskytování informací podle potřeb jejich příjemcŧ, činných v systémech řízení. Riziko Vyjadřuje míru ohroţení/nebezpečí, ţe daná hrozba nastane a následně dojde ke vzniku škod. Zranitelnost Slabé místo, které sniţuje bezpečnost daného aktiva.
89
