Почему Twitter нуждается в защите

Почему Twitter нуждается в защите

Мэттью Д. Саррел

Популярность социальной сети Twitter стремительно растет. В 2008 г. число ее активных пользователей выросло, по официальным данным, на 900 % по сравнению с 2007 г. Основное назначение сайта – организация сетей контактов и обмен очень малыми фрагментами информации (объем публикации ограничен 140 символами), именуемыми микроблогами. На первый взгляд это занятие может показаться бесполезным времяпрепровождением (и зачастую так оно и есть), но сеть Twitter весьма удобна для получения заголовков новостей, рекламирования бизнеса и общения с коллегами и друзьями.

Twitter – очень эффективный инструмент, но у этой сети есть несколько изначально присущих ей крупных недостатков с точки зрения безопасности. Величина каждого сообщения ограничивается 140 символами, поэтому пользователи заменяют настоящие URL-адреса сокращенными, формируемыми, в частности, службами TinyURL и Bit.ly. Сокращенные адреса – серьезное уязвимое место: читатели публикаций не могут узнать, куда ведет ссылка, до тех пор пока не щелкнут на ней. В результате злоумышленникам не составляет труда направить трафик на контролируемые ими Web-узлы, которые затем используются для заражения компьютеров пользователей вредоносными программами. Как проявлять осмотрительность при выборе ссылок, если невозможно выяснить место их назначения? Однако с помощью программ TweetDeck и DestroyTwitter можно увидеть настоящую ссылку. Я настоятельно рекомендую использовать одну из этих программ; щелчок на ссылке, ведущей на сайт, который автоматически загружает в компьютер вредоносную программу, будет иметь катастрофические последствия. Пользователям TweetDeck следует установить флажок Show preview information for short URLs (Предварительно показывать информацию для сокращенных URL) на вкладке General Settings (Общие параметры); чтобы увидеть URL-адрес в DestroyTwitter, нужно щелкнуть на ссылке при нажатой клавише Alt.

Twitter-лента PC Magazine/RE. В ней можно найти краткие анонсы материалов сайта, журнала и специальных проектов

В настоящее время новые пользователи Twitter получают учетные записи без проверки подлинности электронной почты. Например, можно получить учетную запись Twitter от имени Джона Траволты и ввести его адрес электронной почты, зная, что к нему не обратятся за подтверждением. Трудно представить себе систему, в которой было бы проще создавать фальшивые учетные записи. Конечно, это можно сделать и на сайтах других социальных сетей. Однажды в ходе подготовки статьи я «украл» личные данные моего друга, но если это настолько просто, то злоумышленники не заставят себя ждать.

Чтобы воспользоваться Twitter, нужно построить сеть пользователей, за публикациями которых вы следите, и сеть тех, кто отслеживает ваши публикации. Однако открыть учетную запись можно без проверки личности, поэтому неясно, как убедиться в том, что читатель ваших публикаций – тот человек, за которого он себя выдает. Большинство людей настолько рады, когда новый человек проявляет к ним интерес, что автоматически отвечают ему тем же. Пользуясь этим, злоумышленники организуют учетные записи и следят за всеми и каждым. В ответ на их действия у них появляются «последователи», и это вызывает доверие к ним (если у него 250 последователей, значит он настоящий. Но это не так!). В результате им легче завлечь очередного пользователя.

Утилита TweetDesk удобна. К сожалению, она не способна отображать кириллицу, но вполне подойдет как инструмент оперативной проверки корректности ссылок в ленте

Наконец, никогда не забывайте, что весь «щебет» общедоступен, если только не блокировать свой профиль. Но очень немногие пользователи делают это, ведь смысл Twitter – привлечь внимание. Не разрешать никому читать свой «щебет» – не самый лучший способ заинтересовать окружающих. Конечно, вы не хотите, чтобы весь мир прочитал такие сообщения, как: «Только что начал переговоры с клиентом XYZ», «Я живу по адресу 742 Evergreen Terrace и уезжаю из города на месяц» или «Встречаюсь с поставщиком. Ужасно тупой и скучный тип!»

Опасности, подстерегающие пользователя Twitter

Существует множество способов атаковать пользователя Twitter. Первый: у вас появляется новый последователь. Вы обращаетесь к профилю этого человека, содержащему ссылку на блог, а из него загружаются вредоносные программы. Другой способ: от нового последователя приходит прямое предложение бесплатно получить Nintendo Wii, щелкнув на ссылке. На самом деле, единственное, что можно получить таким образом, – опасный вирус.

Web-интерфейс Twitter. Не столь удобен, как специальные утилиты для работы с этой системой

Ссылка в Twitter. Нельзя сказать сразу, ведет ли она на законопослушный сайт или на страницу с вредоносным ПО

Спамеры в Twitter. Не стоит авторизовывать пользователя с «мусорным» именем, скорее всего это спам-бот

Еще один распространенный прием заключается в том, что кто-то публикует ссылку на сайт с «отличной утилитой Twitter». Вы щелкаете на укороченной ссылке (помните, что куда в действительности ведет эта укороченная ссылка, вам неизвестно) и переноситесь на сайт, хозяева которого обещают 1000 новых последователей в течение 24 ч – от вас требуется лишь ввести свое имя пользователя и пароль Twitter. А поскольку, как показали многочисленные исследования, большинство людей используют одинаковое сочетание имени пользователя и пароля на большинстве сайтов, где они регистрируются, то иногда пользователь раскрывает сведения не только об учетной записи Twitter, но и о банковской, брокерской и почтовой учетных записях.

Способы защиты

1.?Выясните, какие учетные записи есть в вашей сети и кому они в действительности принадлежат. Проверяйте каждого нового последователя. Если какие-нибудь их сообщения или информация в профиле выглядят подозрительно, блокируйте их.

2.?Прежде чем щелкнуть на ссылке, выясните ее источник. Используйте клиент Twitter, например TweetDeck, чтобы посмотреть несокращенные URL-адреса, и уясните для себя, что невозможно предотвратить абсолютно все загрузки с Web-узлов, контролируемых злоумышленниками. Даже если вы любопытны, постарайтесь оценить возможные последствия: риск превратиться в спам-робота вряд ли оправдан даже желанием посмотреть захватывающий видеофильм или получить самый дорогостоящий «приз».

3.?Помните, что ваши публикации общедоступны. Не публикуйте конфиденциальную информацию.

4.?Не используйте Twitter для поиска романтических приключений. Поверьте, что каждый профиль привлекательной 18-летней девицы, предлагающей «щелкнуть на этой ссылке, чтобы познакомиться» – мошенничество. В лучшем случае вы финансируете какую-нибудь рекламную аферу, в худшем – заразите свой компьютер опасным вирусом.

5.?Никогда никому не сообщайте свои имя пользователя и пароль Twitter (или любые другие имена и пароли).

6.?Если вы подписались на чьи-то публикации и сразу же получили от этого человека прямое сообщение «как я заработал миллион долларов за 24 часа в Twitter», немедленно блокируйте эту учетную запись.

Twitter предстоит пройти большой путь, прежде чем среда будет безопасной. А пока вам придется самостоятельно позаботиться о своей безопасности.