Vytvořit softwarově falešný profil a získávat přátele není na Facebooku nic obtížného. Stačí k tomu program, který stojí 29 amerických dolarů a útočník může jednoduše získávat stovky e-mailových kontaktů, adres nebo efektivně spamovat.
Do velmi zajímavého výzkumu se pustili vědci z vancouverské univerzity v Kanadě. Jejich cílem bylo vyzkoumat, do jaké míry je možné efektivně používat Socialboty. Jde o jednoduché agenty, které jsou řízené programem, který je označován jako botmaster. Podle výzkumníků byl použit program, který je možné koupit na ilegálních fórech za 29 amerických dolarů, což je velice malá investice.
Celkem bylo použito 102 Socialbotů, které se během osmi týdnů pokusily navázat přátelství s celkem asi 8570 uživatelů Facebooku. 3055 jich přátelství potvrdilo. Podle očekávání jejich počet časem narůstal, tak jak se zvyšoval počet přátel falešného profilu a jeho aktivita. Vědci si dali záležet na tom, aby byla činnost těchto softwarových agentů co nejméně nápadná a proto byl zvolený režim poměrně malé aktivity. Aby se tým vyhnul podezření ze strany kontrolních mechanismů Facebooku, byl nastavený tak, aby podával maximálně 25 žádostí denně.
A výsledek? Z profilů těch, kteří se s virtuálními Socialboty spřátelili vědci získali 46.500 e-mailových adres a 14.500 adres domů. To jsou obrovská čísla. Ještě zajímavější je, jakým způsobem se hájí Facebook, který tvrdí, že výsledky jsou zkreslené tím, že IP adresa patří prověřené univerzitě, což není běžný případ počítačové kriminality.
Takové vysvětlení je poněkud absurdní a zpochybňuje možnosti jakékoli ochrany před podobnými technikami. Předně není důvodu, aby potenciální útočník nepocházel z akademického prostředí a pak jistě není problém Socialbotů k jednomu botmasteru udělat méně a provozovat celý systém z více míst. Pokud jsou k dispozici techniky jako je maskování IP adresy (NAT, Proxy,...) či možnost provozovat virtuální stroj kdekoli na světě (cloudcomputing), tak je jasné, že s minimálními náklady pod stovky dolarů je možné nepozorovaně spravovat stovky či tisíce Socialbotů.
Cíle Socialbotů?
Jaké jsou vlastně cíle Socialbotů, v čem spočívá jejich nebezpečí? Jak jsme již v článku naznačili, hlavní oblastí zájmů podobných aktivit jsou zatím především aktivní e-mailové adresy. Jde o relativně lukrativní zboží, které slouží pro spam či phishing. Velkou výhodou takto získaných dat je, že není obtížné softwarově analyzovat zájmy jednotlivých osob, jejich věk a další parametry, které mohou vést k tomu, že podvodné praktiky budou o mnoho řádů efektivnější.
Samozřejmě není nijak obtížné vytvořit dojem, že e-mail není spam, ale že pochází od konkrétního přítele. Socialboty dokáží budovat síť kontaktů, které je možné velice jednoduše zneužívat k nejrůznějším účelům.
Poměrně známou věcí je, že s touto technikou již nějaký čas experimentuje americká armáda, která se jí věnuje v rámci širšího projektu studia sociálních aspektů informatiky. Existují názory, že vlna revolucí na středním východě byla spuštěna cílenou akcí speciálně upravených Socialbotů, které vyzývaly ke změnám a budili dojem, že je jde o velké množství osob. Lavinový efekt, který byl prostřednictvím sociálních sítí vyvolán byl pak zcela reálný a hmatatelný. Přitom je třeba říci, že provozovat nějakou podobnou činnost s živými osobami by bylo z hlediska praktického provedení i utajení operace v podstatě nemožné.
Jde tedy o další reálné nebezpečí, které tyto techniky mohou přinášet. Další si lze do budoucna poměrně snadno představit – může jít o manipulace s veřejným míněním a médii, například v období voleb, rozsáhlé krádeže osobních dat, zneužívání digitálních identit, nepříliš etický způsob získávání socio-demografických dat atp. Samozřejmé využití se pak nabízí v oblasti marketingu a reklamy.
V době, kdy se řada firem předhání v tom, kolik má fanoušků na Facebooku, je příchod těchto technik velice zajímavým impulsem pro přehodnocení některých marketingových aktivit. Na tomto místě je spravedlivé říci, že nejde jen o problém Facebooku, ale třeba také Twitteru.
Možnosti ochrany
Zde je dobré se zmínit o tom, jaké existují možnosti ochrany před podobnými technikami. Zde je odpověď ale překvapivě složitá. V prvním pohledu je zde samozřejmě platné doporučení, které říká, že by člověk měl navazovat přátelství jen s lidmi, které skutečně zná. Obecně není příliš snadné pro podobné nástroje se vydávat za skutečně věrohodného přítele, který si právě založil Facebook a kterého znáte již dlouho. Ale ani to nemusí člověka bezpečně ochránit, stačí, když se nechá „ulovit“ některý z jeho přátel a částečný únik osobních údajů je již na světě. Při špatně nastaveném zabezpečení může uživatel snadno přijít o všechny údaje, i když své přátele vybírá velice pečlivě.
Problém spočívá v tom, jak se ubránit manipulativním technikám, které mohou Socialboti přinášet. To je velice obtížné a je dost dobře možné, že pokud se masivně rozšíří (a o jejich skutečném počtu nemá nikdo ani vzdálenou představu), může to vést k pádu celého systému sociálních sítí. Ty by totiž ztratili jeden ze základních parametrů, které jim umožňují rozumnou existenci – důvěryhodnost.
Proti masovějším útokům je tak možné věřit v jedinou možnou obranu a tou je aktivní bezpečnostní politika sociálních sítí, která zatím ale příliš úspěšná není. Zajímavé v tomto ohledu je, že nepopulární CAPTCHA (tj. obrázek s textem, který musí uživatelů přepsat), která by měla být jedním z pilířů bezpečnosti se opět ukázala jako relativně snadno prolomitelná.
Socialboti představují zcela zásadní a reálné nebezpečí, se kterým by měl každý uživatel počítat a to nejen v oblasti osobního přístupu k přátelům, ale také v tom, jakým způsobem bude vyhodnocovat úspěšné a velké kampaně na podporu čehokoliv na internetu. Je totiž možné, že za nimi stojí jen počítačové programy, které se snaží nějakou myšlenku či produkt lépe medializovat.
Pro E-Bezpečí
Bc. Michal Černý
Zdroje:
Cluley Graham: Socialbot Network finds it easy to harvest data from Facebook users. Online. http://nakedsecurity.sophos.com/2011/11/01/socialbot-network-harvest-data-facebook/
Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov, and Matei Ripeanu. The socialbot network: when bots socialize for fame and money. In Proceedings of the 27th Annual Computer Security Applications Conference (ACSAC'11), December 2011. Online http://lersse-dl.ece.ubc.ca/record/264