Kutak za roditelje

Nova tehnologija firme Facebook za detekciju osoba na slikama stvara burne reakcije po pitanju zaštite privatnosti korisnika. Problem nove funkcionalnosti je taj što automatski digitalno skenira lica svih korisnika i označava ih na fotografijama. Smatra se da bi funkcionalnost trebala biti prilagođena na način da se omogući označavanje samo onih korisnika koji to žele, a ponudi pravo izbora svima. Prilikom svakog postavljanja slika na Facebook račun, spomenuta tehnologija identificira osobe koje korisnik poznaje odnosno sadrži u popisu prijatelja. Prednost novosti je mogućnost skraćivanja procesa označavanja korištenjem napredne obrade slika i usporedbom s postojećom bazom. Nova značajka je slična aplikacijama kao što su Picasa i iPhoto. Bitna razlika spomenutih aplikacija i Facebook detekcije je ta što je baza podataka lica korisnika locirana na Facebook poslužitelju, a ne lokalno na našim računalima. No uz prilične napore moguće je ukinuti detekciju i zatražiti odstranjivanje svojih podataka iz baze firme Facebook. No nameće se pitanje, jesmo li sigurni da je to zaista i učinjeno? Vjerujemo li Facebooku? Detaljnija vijest dostupna je na stranicama portala PC World.

Firma Facebook je najavila objavljivanje sigurnosne nadogradnje sustava, koja između ostalog uključuje uvođenje pristupnih lozinaka za prijavljivanje na račune s drugih uređaja. Korisnici koji pristupaju svom facebook računu s mobilnog uređaja mogu dobiti dotične lozinke putem SMS (eng. Short Message Service) poruka.

Također u suradnji s WoT (eng. Web of Trust) alatom planirani su određeni tehnički zahvati koji će pomoći u suzbijanju širenja zlonamjernih poveznica.  Dosada su korisnici putem elektroničke pošte dobivali obavijest da je njihovom računu pristupano s drugog uređaja, a s nadogradnjom na novu verziju sustava krađa povjerljivih korisničkih informacija bit će otežana. Korisnici koji su prijavili svoj mobilni uređaj i aktivirali dvo-faktorsku autentikaciju će biti primorani upisati zaštitni kod uz korisničku lozinku prilikom prijave s uređaja po prvi put. Zaštita se zasad odnosi samo na izravne napade na glavnu prijavnu točku. Također je u planu suzbijanje tzv. „click-jacking“ napada koji omogućuje slanje poruke svim prijateljima pritiskom samo jednog gumba. Još jedan problem kojem se nastoji stati u kraj upozoravanjem korisnika je pojava XSS (eng. cross-site scripting) napada, koji se ponekad očituju u obliku JavaScript koda u URL (eng. Uniform Resource Locator) adresama. Planirana je suradnja s WoT zajednicom na projektu ocjenjivanja sigurnosne pouzdanosti web stranica koja bi u budućnosti trebala moći filtrirati poveznice na Facebooku. Originalna vijest nalazi se na stranicama portala H-security.

Tradicionalno, centri za slanje naredbi i kontrolu distribucije zlonamjernog sadržaja postavljani su na lažne ISP-ove ili neke druge „podzemne“ mreže. Međutim, prema izvješću istražitelja u RSA, socijalne mreže mogle bi postati nova lokacija za smještaj tih centara.

Računalni kriminalci već distribuiraju trojanskog konja zvanog „Brazilian Banker“ metodama pohrane šifriranog zlonamjernog koda u tekst korisničkog profila. Ta metoda omogućuje napadačima slanje šifriranih naredbi bez zakupljivanja posebnog poslužitelja ili registriranja domene. Može se koristiti na skoro svim socijalnim mrežama i Web 2.0 platformama koje omogućuju gotovo neograničavajuće objavljivanje komentara, kreiranje javnih profila i uspostavu „news“ grupa. Ipak, napadi bankarskog trojanskog konja koji smještaju naredbe za komunikaciju na javnim resursima su još uvijek jako rijetki. Također, nakon detekcije takve prijetnje, uklanjanje centra za naredbe i kontrolu je vrlo jednostavno i brzo. Izvornu vijest s više informacija moguće je pronaći na stranicama portala darkREADING.

Zlonamjerni crv, otkriven na društvenoj mreži Twitter, pokušava namamiti korisnike na posjećivanje web stranice s lažnim antivirusnim programom „Security Shield“. Cilj je navesti korisnika na preuzimanje lažne antivirusne zaštite koja zapravo sadrži zlonamjerni kod.

Crv koristi proizvod organizacije Google za skraćivanje URL adresa „goo.gl“ kako bi smanjio broj znakova. Graham Clueley, stručnjak iz organizacije Sophos, tvrdi da crv pokušava korisnike uvjeriti u postojanje sigurnosnih problema na njihovim računalima. Nakon instaliranja zlonamjernog koda na računalo korisnike se traži da plate za čišćenje sustava. Stručnjaci misle da korisnici prihvaćaju takve ponude jer su uplašeni da su im ukradena korisnička imena i lozinke. Razumna mjera opreza za korisnike koji su primijetili postavljanje goo.gl poveznica na svojim Twitter korisničkim računima je promjena lozinki. Ovakav oblik napada nije novost, isti crv se pojavio ranije ovog mjeseca na Twitteru. Adam Wosotowsky, istražitelj u organizaciji McAfee, tvrdi da je napad vrlo jednostavno izvesti te da se najvjerojatnije radi o trojanskom konju koji je počeo s phishing napadima. Korisnicima se preporuča izbjegavanje posjećivanja skraćenih poveznica, a više informacija mogu pronaći na stranicama portala Technolog.