PC Magazine/RE - Журнал PC Magazine/RE №10/2009

Популярность социальной сети Twitter стремительно растет. В 2008 г. число ее активных пользователей выросло, по официальным данным, на 900 % по сравнению с 2007 г. Основное назначение сайта – организация сетей контактов и обмен очень малыми фрагментами информации (объем публикации ограничен 140 символами), именуемыми микроблогами. На первый взгляд это занятие может показаться бесполезным времяпрепровождением (и зачастую так оно и есть), но сеть Twitter весьма удобна для получения заголовков новостей, рекламирования бизнеса и общения с коллегами и друзьями.

Twitter – очень эффективный инструмент, но у этой сети есть несколько изначально присущих ей крупных недостатков с точки зрения безопасности. Величина каждого сообщения ограничивается 140 символами, поэтому пользователи заменяют настоящие URL-адреса сокращенными, формируемыми, в частности, службами TinyURL и Bit.ly. Сокращенные адреса – серьезное уязвимое место: читатели публикаций не могут узнать, куда ведет ссылка, до тех пор пока не щелкнут на ней. В результате злоумышленникам не составляет труда направить трафик на контролируемые ими Web-узлы, которые затем используются для заражения компьютеров пользователей вредоносными программами. Как проявлять осмотрительность при выборе ссылок, если невозможно выяснить место их назначения? Однако с помощью программ TweetDeck и DestroyTwitter можно увидеть настоящую ссылку. Я настоятельно рекомендую использовать одну из этих программ; щелчок на ссылке, ведущей на сайт, который автоматически загружает в компьютер вредоносную программу, будет иметь катастрофические последствия. Пользователям TweetDeck следует установить флажок Show preview information for short URLs (Предварительно показывать информацию для сокращенных URL) на вкладке General Settings (Общие параметры); чтобы увидеть URL-адрес в DestroyTwitter, нужно щелкнуть на ссылке при нажатой клавише Alt.

В настоящее время новые пользователи Twitter получают учетные записи без проверки подлинности электронной почты. Например, можно получить учетную запись Twitter от имени Джона Траволты и ввести его адрес электронной почты, зная, что к нему не обратятся за подтверждением. Трудно представить себе систему, в которой было бы проще создавать фальшивые учетные записи. Конечно, это можно сделать и на сайтах других социальных сетей. Однажды в ходе подготовки статьи я «украл» личные данные моего друга, но если это настолько просто, то злоумышленники не заставят себя ждать.

Чтобы воспользоваться Twitter, нужно построить сеть пользователей, за публикациями которых вы следите, и сеть тех, кто отслеживает ваши публикации. Однако открыть учетную запись можно без проверки личности, поэтому неясно, как убедиться в том, что читатель ваших публикаций – тот человек, за которого он себя выдает. Большинство людей настолько рады, когда новый человек проявляет к ним интерес, что автоматически отвечают ему тем же. Пользуясь этим, злоумышленники организуют учетные записи и следят за всеми и каждым. В ответ на их действия у них появляются «последователи», и это вызывает доверие к ним (если у него 250 последователей, значит он настоящий. Но это не так!). В результате им легче завлечь очередного пользователя.

Наконец, никогда не забывайте, что весь «щебет» общедоступен, если только не блокировать свой профиль. Но очень немногие пользователи делают это, ведь смысл Twitter – привлечь внимание. Не разрешать никому читать свой «щебет» – не самый лучший способ заинтересовать окружающих. Конечно, вы не хотите, чтобы весь мир прочитал такие сообщения, как: «Только что начал переговоры с клиентом XYZ», «Я живу по адресу 742 Evergreen Terrace и уезжаю из города на месяц» или «Встречаюсь с поставщиком. Ужасно тупой и скучный тип!»

Существует множество способов атаковать пользователя Twitter. Первый: у вас появляется новый последователь. Вы обращаетесь к профилю этого человека, содержащему ссылку на блог, а из него загружаются вредоносные программы. Другой способ: от нового последователя приходит прямое предложение бесплатно получить Nintendo Wii, щелкнув на ссылке. На самом деле, единственное, что можно получить таким образом, – опасный вирус.

Еще один распространенный прием заключается в том, что кто-то публикует ссылку на сайт с «отличной утилитой Twitter». Вы щелкаете на укороченной ссылке (помните, что куда в действительности ведет эта укороченная ссылка, вам неизвестно) и переноситесь на сайт, хозяева которого обещают 1000 новых последователей в течение 24 ч – от вас требуется лишь ввести свое имя пользователя и пароль Twitter. А поскольку, как показали многочисленные исследования, большинство людей используют одинаковое сочетание имени пользователя и пароля на большинстве сайтов, где они регистрируются, то иногда пользователь раскрывает сведения не только об учетной записи Twitter, но и о банковской, брокерской и почтовой учетных записях.

1. Выясните, какие учетные записи есть в вашей сети и кому они в действительности принадлежат. Проверяйте каждого нового последователя. Если какие-нибудь их сообщения или информация в профиле выглядят подозрительно, блокируйте их.

2. Прежде чем щелкнуть на ссылке, выясните ее источник. Используйте клиент Twitter, например TweetDeck, чтобы посмотреть несокращенные URL-адреса, и уясните для себя, что невозможно предотвратить абсолютно все загрузки с Web-узлов, контролируемых злоумышленниками. Даже если вы любопытны, постарайтесь оценить возможные последствия: риск превратиться в спам-робота вряд ли оправдан даже желанием посмотреть захватывающий видеофильм или получить самый дорогостоящий «приз».