警惕社交網(wǎng)絡(luò)陷阱

隨著基于Web 2.0的社交網(wǎng)絡(luò)在人際交往中發(fā)揮的作用越來(lái)越大，其中隱藏的安全隱患也成為安全專家們關(guān)注的焦點(diǎn)，社交網(wǎng)絡(luò)的開放和共享為病毒的滋生和黑客的攻擊提供了溫床。

社交網(wǎng)絡(luò)有多大影響力？

如果你還沒(méi)有意識(shí)到這種基于Web2.0的網(wǎng)絡(luò)應(yīng)用模式的重要性，那么可以瀏覽一下YouTube上關(guān)于2008年美國(guó)總統(tǒng)初選的視頻，或訪問(wèn)一下Facebook上美國(guó)一些政治團(tuán)體的主頁(yè)，候選人和他們的競(jìng)選班子正在利用社交網(wǎng)絡(luò)宣揚(yáng)競(jìng)選理念，希望年輕一代的選民為自己投上一票。

從企業(yè)到政府，越來(lái)越多的組織機(jī)構(gòu)將社交網(wǎng)絡(luò)作為個(gè)人和團(tuán)體對(duì)內(nèi)對(duì)外交流和共同的渠道。在社交網(wǎng)絡(luò)成為人們溝通平臺(tái)的同時(shí)，安全專家們開始擔(dān)憂，F(xiàn)acebook、LinkedIn等社交網(wǎng)絡(luò)網(wǎng)站（SNS）可能成為惡意軟件的傳播載體，方便黑客竊取信息、發(fā)動(dòng)有目標(biāo)的攻擊，對(duì)企業(yè)和其他機(jī)構(gòu)造成嚴(yán)重的安全威脅。

防不勝防

利用ActiveX控件進(jìn)行攻擊是最常見的攻擊手段，根據(jù)賽門鐵克的數(shù)據(jù)，僅去年上半年，就發(fā)現(xiàn)了210個(gè)ActiveX漏洞，這是IE成為常見攻擊目標(biāo)的主要原因。在Uploader和Yahoo Music Jukebox漏洞被披露以后，美國(guó)國(guó)土安全部下屬的美國(guó)計(jì)算機(jī)緊急安全救援小組（US-CERT）就建議IE用戶禁用ActiveX。

除了利用IE控件，很多攻擊者可能還正在竭力設(shè)計(jì)新的方法，以誘騙用戶泄露自己或所在公司的信息。安全專家認(rèn)為，對(duì)日益增多的社交網(wǎng)絡(luò)公司而言，安全問(wèn)題只會(huì)越來(lái)越嚴(yán)重。

在MySpace上，曾經(jīng)有人把“Sammy是我的大英雄”這條消息植入到了成千上萬(wàn)個(gè)用戶頁(yè)面上。而在最近一次黑客通過(guò)MySpace進(jìn)行的攻擊中，用戶訪問(wèn)一個(gè)被修改的網(wǎng)頁(yè)，就會(huì)看到安裝Windows更新軟件的提醒信息，用戶只要點(diǎn)擊，就會(huì)被帶到一個(gè)受惡意軟件感染的網(wǎng)站。

即使像eBay這樣擁有強(qiáng)大財(cái)力和技術(shù)專長(zhǎng)的公司，在截?fù)羲锌缇W(wǎng)站腳本攻擊時(shí)尚顯得力不從心，那么，像Facebook、MySpace這樣網(wǎng)頁(yè)數(shù)量龐大的網(wǎng)站，要找出所有潛藏在頁(yè)面上的安全威脅，幾乎是不可能的。

托管式安全服務(wù)供應(yīng)商ScanSafe公司的產(chǎn)品戰(zhàn)略副總裁Dan Nadir說(shuō): “全球有1.5億多個(gè)網(wǎng)站，而僅僅MySpace就有約兩億多個(gè)網(wǎng)頁(yè)。任何安全軟件廠商都無(wú)法遍查所有這些鏈接并將其放入一個(gè)數(shù)據(jù)庫(kù)中，用白名單或黑名單這樣的方法來(lái)保證安全?！?/p>

由于惡意軟件、廣告和垃圾郵件的傳播者能夠利用這類網(wǎng)站作為傳播載體，網(wǎng)絡(luò)犯罪分子也可以利用從Web 2.0網(wǎng)站的個(gè)人簡(jiǎn)介中獲取的信息發(fā)起非常有目標(biāo)的攻擊，因此社交網(wǎng)絡(luò)正在迅速成為一個(gè)嚴(yán)重的安全問(wèn)題發(fā)源地。

積極應(yīng)對(duì)

根據(jù)Forrester Research最近公布的一份研究報(bào)告顯示，在150位參與面談的IT專業(yè)人員中，有96%表示，使用社交網(wǎng)絡(luò)和其他Web 2.0網(wǎng)站非常有價(jià)值，但是只有不到5%的人表示，他們已經(jīng)為使用Web 2.0技術(shù)的用戶采取了具體的安全保護(hù)措施。

“我們已經(jīng)看到，這些網(wǎng)站受到了極度復(fù)雜和設(shè)計(jì)精良的攻擊，大量網(wǎng)頁(yè)被篡改以欺騙最終用戶。社交網(wǎng)絡(luò)正在成為‘眾矢之的’，企業(yè)必須認(rèn)清形勢(shì)，保護(hù)自己?！?Web和電子郵件過(guò)濾技術(shù)廠商Marshal的全球支持副總裁Michael Whitehurst說(shuō)。

不過(guò)，IT部門必須做好準(zhǔn)備，以應(yīng)對(duì)使用這類網(wǎng)站可能造成的各種安全威脅，如惡意軟件和有目標(biāo)的網(wǎng)釣欺詐。

“企業(yè)需要調(diào)整自己的安全策略，以適應(yīng)今天的Web 2.0世界，他們需要定制自己的互聯(lián)網(wǎng)使用策略，為使用社交網(wǎng)絡(luò)網(wǎng)站、博客和所有其他類型網(wǎng)站制訂規(guī)則，使用策略需要解釋清楚并付諸實(shí)施?！?網(wǎng)絡(luò)網(wǎng)關(guān)制造商Secure Computing公司的技術(shù)宣傳副總裁Paul Henry說(shuō)，“除了上述工作，他們還需要采取保證安全的技術(shù)措施，以支持這些策略的執(zhí)行，但是所有這一切的前景仍相當(dāng)不樂(lè)觀。大多數(shù)公司目前還只是勉強(qiáng)能對(duì)Web 1.0環(huán)境提供充分保護(hù)?！?/p>