بارگیری اطلاعات Capitol Riot در آسیب پذیری های شبکه های اجتماعی چه چیزی را نشان می دهد؟



در جریان حمله به ساختمان کاپیتول در واشنگتن در 6 ژانویه ، شورش ها عکس ها و فیلم های آشوب آنها را در شبکه های اجتماعی منتشر کردند. سیستم عامل هایی که آنها استفاده کردند از سایت های گسترده مانند فیس بوک گرفته تا سایت های معروف مانند Parler ، یک سرویس شبکه اجتماعی محبوب بین گروه های راست ، متغیر بود. بعد از اینکه فهمیدند این مستندات می تواند کار را برای آنها دشوار کند ، بسیاری شروع به حذف پست های خود کردند. اما سو abuse استفاده از اینترنت قبلاً بارگیری مطالب بالقوه متهم کننده را آغاز کرده بود. یک محقق ، که فقط از طریق دستگیره توییترdonk_enby به شناسایی عمومی می پردازد ، تلاش می کند ادعا کند که بیش از 99 درصد از اطلاعات منتشر شده در Parler را قبل از اینکه میزبانی وب آمازون از این سیستم عامل متوقف شود ، بارگیری و بایگانی کرد. آمریکایی علمی آنها چندین بار برای نظر از طریق تیم Parler از طریق ایمیل ارسال کردند ، اما پاسخی در طول ارسال دریافت نکردند.

محققان آماتور و فدرال می توانند اطلاعات زیادی را از این بازی عظیم از جمله مکان و هویت کاربران Parler استخراج کنند. اگرچه بسیاری از کسانی که داده های پارلر را مطالعه می کنند مقامات اجرای قانون هستند که به شورش کاپیتول نگاه می کنند ، این وضعیت نمونه بارزی است که چگونه پست های رسانه های اجتماعی – اعم از شدید یا بی خطر – می توانند به طور ناخواسته اطلاعات بیشتری را نشان دهند. و آسیب پذیری هایی که به طور قانونی توسط محققان مورد سو استفاده قرار می گیرند به همان راحتی توسط شرکت کنندگان بد قابل استفاده هستند.

برای کسب اطلاعات بیشتر در مورد این موضوع ، آمریکایی علمی با راشل توباکو ، یک هکر اخلاقی و مدیرعامل SocialProof Security ، سازمانی که به شرکت ها کمک می کند تا آسیب پذیری های احتمالی حملات سایبری را شناسایی کنند ، صحبت می کند. وی گفت: “افرادی که بیشتر مردم وقتی فکر می کنند یک هکر مجرم هستند ، درباره آنها صحبت می کنند.” “در جامعه هک ، ما سعی می کنیم به مردم کمک کنیم که هکرها را یاری دهند. ما افرادی هستیم که سعی در محافظت از شما داریم. “به همین منظور ، توباکو همچنین توضیح داد که چگونه حتی سایت های رسانه های اجتماعی رام شده می توانند اطلاعات شخصی بیشتری را از آنچه بسیاری از کاربران انتظار دارند ، فاش کنند – و چگونه آنها می توانند از خود محافظت کنند.

[An edited transcript of the interview follows.]

چگونه بارگیری این همه داده از Parler امکان پذیر بود؟

افراد قادر بوده اند بیشتر مطالب Parler را بارگیری و بایگانی کنند. [Parler] آنها پست های خود را از نظر شماره در URL خود رتبه بندی کرده اند تا هر کسی که دانش برنامه نویسی داشته باشد بتواند به راحتی تمام مطالب عمومی را بارگیری کند. این یک آسیب پذیری عمده امنیتی است. ما این را یک مرجع مستقیم ناامن یا IDOR می نامیم: پست های Parler یکی پس از دیگری لیست شده اند ، بنابراین اگر فقط “1” را به [number in the] URL ، سپس می توانید پست بعدی و غیره را خراش دهید. این نوع خاص از آسیب پذیری در سایت های رسانه های اجتماعی گسترده مانند فیس بوک یا توییتر مشاهده نمی شود. به عنوان مثال ، توییتر URL های پست را تصادفی می کند و احتیاج به احراز هویت دارد ، حتی اگر با آن URL های تصادفی کار کند. این [IDOR vulnerability]- همراه با عدم احراز هویت لازم برای مشاهده هر نشریه و عدم محدودیت سرعت (محدودیت سرعت اساساً به معنای تعداد درخواست هایی است که می توانید برای بارگیری داده ها انجام دهید) – به این معنی است که حتی یک برنامه ساده به شخص اجازه می دهد هر پست را خراش دهد ، هر عکس ، هر فیلم ، تمام فراداده های وب سایت.

چه چیزی داده های بایگانی شده را بسیار آشکار می کند؟

تصاویر و فیلم ها هنگام اتصال به وب هنوز حاوی فراداده GPS هستند ، به این معنی که اکنون همه می توانند نقشه دقیق GPS همه کاربران ارسال شده را نقشه برداری کنند. این به این دلیل است که تلفن هوشمند ما مختصات GPS و سایر داده ها مانند لنز و زمان عکس و فیلم را ثبت می کند. ما به این داده های EXIF ​​می گوییم – می توانیم این را در تلفن های خود خاموش کنیم ، اما بسیاری از افراد نمی دانند که چگونه آنها را خاموش کنند. و بنابراین آنها آن را در پرونده هایی که بارگذاری می کنند ، مانند یک فیلم یا عکس ، جاسازی می کنند و ناآگاهانه اطلاعات مکان خود را فاش می کنند. افراد در اینترنت ، اجرای قانون ، FBI می توانند از این اطلاعات برای تعیین محل زندگی ، کار ، گذراندن وقت یا کجا بودن این کاربران خاص هنگام انتشار این محتوا استفاده کنند.

آیا محققان می توانند چنین اطلاعاتی را از نشریات در سیستم عامل های گسترده تری استخراج کنند؟

این داده های EXIF ​​در مکان هایی مانند فیس بوک و توییتر مالش داده می شود ، اما هنوز هم تعداد زیادی از افراد هستند که نمی دانند هنگام ارسال پست ها ، چه مقدار از موقعیت مکانی خود و اطلاعات مربوط به خود به خطر می افتند. حتی اگر پارلر واقعاً داده های EXIF ​​را پاک کرده باشد ، در بسیاری از پست های این رویداد مشاهده کردیم که افراد داستان های اینستاگرام خود را در آن روز در ساختمان Capitol جغرافیایی می کنند یا اقدامات خود را به صورت عمومی از طریق Facebook Live پخش می کنند و مکان آنها را علامت گذاری می کنند. من فکر می کنم این یک عدم درک عمومی یا شاید عدم درک میزان نشت اطلاعات است. و من فکر نمی کنم بسیاری از مردم نیز فهمیده باشند که ممکن است در طول این رویداد نخواهند یک مکان جغرافیایی را مشخص کنند.

در شرایط عادی تر ، آیا علامت گذاری در موقعیت جغرافیایی مشکلی دارد؟

بسیاری از مردم فکر می کنند ، “خوب ، من هیچ کار اشتباهی انجام نمی دهم ، پس چرا من برایم مهم است که عکسی را پست کنم؟” اما بیایید یک مثال بی خطر مانند رفتن به تعطیلات را بیاوریم. [If] شما موقعیت جغرافیایی هتل را علامت گذاری می کنید ، چه کاری می توانم به عنوان یک مهاجم انجام دهم؟ خوب ، بدیهی است که شما در خانه نیستید. اما احساس می کنم اکثر مردم این موضوع را درک می کنند. چیزی که آنها احتمالاً دریافت نمی کنند این است که من می توانم یک مهندس اجتماعی باشم: من می توانم از طریق سیستم های انسانی در این هتل به اطلاعات مربوط به شما دسترسی پیدا کنم. من می توانم به هتل وانمود کنم که تو هستم و از برنامه های سفرت اطلاعات کسب کنم. من می توانم امتیاز هتل شما را بدزدم. من می توانم اتاق شما را عوض کنم من می توانم همه این کارهای نفرت انگیز را انجام دهم. ما می توانیم کارهای بسیار زیادی انجام دهیم و واقعاً دستکاری کنیم زیرا ارائه دهندگان خدمات ما روشی را که من توصیه می کنم از طریق تلفن تأیید کنم تأیید نمی کنند. آیا می توانید با استفاده از آدرس فعلی ، نام خانوادگی و شماره تلفن خود به سیستم حساب Gmail ، تقویم یا موارد مشابه خود وارد شوید؟ اما این نحوه کار با بسیاری از این شرکت های مختلف است. آنها از پروتکل های احراز هویتی مشابه استفاده نمی کنند ، مثلاً در یک وب سایت.

چگونه مردم می توانند از خود محافظت کنند؟

فکر نمی کنم عادلانه باشد که به مردم بگوییم نمی توانند منتشر کنند. من روزی چندین بار در توییتر می نویسم! به جای اینکه بگویید “شما نمی توانید این کار را انجام دهید” ، توصیه می کنم همان چیزی باشد که من آن را “مودبانه پارانویا” می نامم در مورد آنچه ما در اینترنت ارسال می کنیم. به عنوان مثال ، ما می توانیم برای تعطیلات ارسال کنیم ، اما برچسب های موقعیت مکانی یا برچسب خدمات را در پست نمی خواهیم. پس چگونه می توانید عکسی از غروب آفتاب و دیزی را ارسال کنید ، اما آیا مکان جغرافیایی هتل را علامت گذاری نمی کنید؟ این تغییرات بسیار کوچک می تواند به افراد کمک کند تا در طولانی مدت از حریم خصوصی و امنیت خود محافظت کنند ، در حالی که هر آنچه را که می خواهند از رسانه های اجتماعی خارج کنند. اگر واقعاً یک نشانگر موقعیت جغرافیایی می خواهید ، می توانید شهری را که در آن هستید نجات دهید نه هتل: [then] نمی توانم با شهر تماس بگیرم و سعی کنم به نقاط هتل شما دسترسی پیدا کنم یا برنامه های شما را تغییر دهم.

آیا سایت های رسانه های اجتماعی باید به راحتی از موقعیت جغرافیایی جلوگیری کنند؟ سیستم عامل ها برای محافظت از کاربران خود چه مسئولیت هایی دارند؟

من فکر می کنم بسیار مهم است که همه سیستم عامل ها ، از جمله سیستم عامل های رسانه های اجتماعی ، برای محافظت از کاربران خود ، بهترین اقدامات امنیتی و حفظ حریم خصوصی را دنبال کنند. همچنین بهترین روش این است که قبل از ارسال عکس یا فیلم ، برای کاربر خود متاداده جستجو کنید تا ناخودآگاه مصالحه نکنید. همه اینها به عهده سیستم عامل است. ما باید به آن پایبند بمانیم [and] اطمینان حاصل کنید که آنها این کارها را انجام می دهند. سپس من می گویم که مردم می توانند انتخاب کنند که چه تعداد ریسک می خواهند انجام دهند. من سخت کار می کنم تا اطمینان حاصل کنم که افرادی که مطمئن نیستند خطرات را درک می کنند: مواردی مانند مارک موقعیت جغرافیایی ، [mentioning] ارائه دهندگان خدمات [and] گرفتن عکس از پروانه ، کارتهای اعتباری ، کارتهای هدیه ، گذرنامه ، بلیط هواپیما – اکنون کارتهای واکسیناسیون COVID-19 را با اطلاعات محرمانه مشاهده می کنیم. به نظر من مسئولیت یک شرکت رسانه های اجتماعی این نیست که مثلاً وقتی شخصی به عکس های سفر خود می رسد آنچه را ممکن است ارسال یا ارسال نکند ، تعیین کند. من فکر می کنم که این به کاربر بستگی دارد که چگونه می خواهد از این سیستم عامل استفاده کند. و من فکر می کنم این به ما بستگی دارد [information security] متخصصانی که این خطرات را به وضوح بیان می کنند تا افراد بتوانند تصمیم آگاهانه بگیرند.


منبع: khabar-nab.ir

دیدگاهتان را بنویسید

Comment
Name*
Mail*
Website*