Евгений Касперский: Правила безопасности в социальных сетях

[Сергей Ильин 1538]

Евгений Касперский опубликовал открытое письмо основателю популярной в России социальной сети ВКонтакте с предложением повысить уровень безопасности пользователей. Эксперты "Лаборатории Касперского" разработали 7 рекомендаций, которые позволят в краткосрочной перспективе решить самые актуальные вопросы безопасности и приватности для пользователей.

По данным исследования "Дети России онлайн", порядка 86% представителей молодого российского поколения имеют аккаунт в социальной сети ВКонтакте. При этом далеко не все из них осознают, что угрозы в виртуальном мире ничуть не менее опасны, чем в реальном. Многие пользователи все ещё очень далеки от понимания, как защитить себя в Сети и сохранить приватность. В подобной ситуации они могут рассчитывать на помощь самой социальной сети или следовать собственным соображениям в соответствии с жизненным опытом.

"Социальная сеть прекрасна и опасна одним и тем же: своей социальной природой. Как только в центре внимания оказывается человеческий фактор, сразу же появляется бесчисленное число возможностей для злоупотреблений и мошенничества, - уверен Евгений Касперский, генеральный директор "Лаборатории Касперского". - Наша моральная обязанность - обеспечить безопасную и прозрачную программную платформу и создать условия для повышения осведомлённости пользователей и обучения правилам сетевой "гигиены". Социальные сети и специалисты по IT-безопасности, знакомые со спецификой социальных сетей и имеющие опыт анализа веб-угроз, должны объединить усилия во имя нашего подрастающего поколения".

На сегодняшней день практически все социальные сети находятся в постоянном поиске баланса безопасности и приватности пользователей с удобством сервиса и актуальными бизнес-целями. По мнению экспертов "Лаборатории Касперского", реализация предложенных ими рекомендаций позволит поднять систему безопасности на качественно новый уровень, при этом практически не затронув удобство пользования сервисом.

http://e-kaspersky.livejournal.com/70000.html

Вот эти 7 рекомендаций:

1. Новый подход к приватности. Сейчас большинство настроек приватности ВКонтакте по умолчанию позволяют любому пользователю видеть личные данные любых других пользователей (фотографии, видео, список друзей, заметки и пр.). При этом не уверен, что сами пользователи об этом догадываются, одобряют экстремальную сетевую открытость и знают о возможности изменить настройки. В итоге, личная жизнь и конфиденциальные данные могут стать достоянием людей с не самыми дружественными намерениями.

Скажу откровенно, я не приветствую недавнюю реформу приватности (http://vkontakte.ru/note1_11138884). В частности, ограничение приватности списка друзей 20 записями наносит вред как свободе выбора, так и приватности пользователей. Я не исключаю, что такая политика может стать причиной оттока аудитории в соцсети с более толерантными правилами.

В области ИТ-безопасности давно и успешно действует простое правило: сначала всё выключить, потом нужное включить. Мы считаем, что настройки приватности по умолчанию должны обеспечивать максимальную защиту частной жизни и личных данных. В процессе первоначальной настройки учётной записи и работы в социальной сети пользователи могут изменить их по своему усмотрению. Таким образом, можно добиться не только максимальной защиты конфиденциальной информации, но и поднять осведомлённость пользователей о настройках приватности.

Хочу отдельно отметить, что соцсеть не только не должна провоцировать и заставлять пользователей раскрывать свои персональные данные (адрес, телефон и пр.), но наглядно информировать о сопутствующих угрозах при заполнении профиля. Более того, я считаю, что в случае утечки таких данных сеть должна нести ответственность.

2. Полное удаление учётных записей. Потеря пользователей - не в интересах соцсети. Разумеется, с коммерческой точки зрения привлекательность компании прямо пропорциональна количеству учётных записей, даже если они неактивны. Однако этому нельзя приносить в жертву волю пользователя.

В соответствии с п.4.14 пользовательского соглашения «…удаление персональной страницы Пользователя осуществляется Администрацией Сайта в срок, предусмотренный законодательством Российской Федерации, по личному письменному заявлению Пользователя, направленному на почтовый адрес ООО «В Контакте»…». Простое действие попадает под пресс бюрократической машины, что существенно усложняет и необоснованно затягивает (три месяца) процесс удаления учётной записи.

Мы считаем, что уважение к приватности пользователя требует либерализации процесса. Для предотвращения случайного или несанкционированного удаления страницы необходимо создавать резервные копии и дать возможность восстановления учётной записи в разумные сроки.

3. Специальные условия для несовершеннолетних пользователей. Будучи наиболее незащищённой и уязвимой группой пользователей, дети и подростки требуют особого подхода. Прежде всего, родители должны иметь возможность потребовать удаления, блокировки или получить доступ к учётным записям своих детей. Во-вторых, дети до 12 лет могут создавать страницы ВКонтакте только в виде поддомена страниц своих родителей. В-третьих, «несовершеннолетние» страницы требуют отключения некоторых особенно опасных функций, таких как геолокационные сервисы, подробные личные профили и изменение некоторых настроек приватности.

Разумеется, формальные ограничения и технические средства просто обходятся и не в состоянии в корне изменить положение вещей. Однако, они способны по крайней мере привлечь внимание наших детей к проблеме и задуматься о завтрашних последствиях их неосторожного поведения в сети сегодня.

4. Обучение пользователей. Осведомлён значит защищён. Какими надёжными и инновационными ни были функции безопасности и приватности, они будут бесполезны без адекватной политики их продвижения. Пользователям нужны доступные материалы и курсы для обучения особенностям поведения в социальной сети.

Мы считаем, что существующая страница http://vkontakte.ru/security не соответствует этим требованиям и рекомендуем разработать информационный портал, содержащий интерактивные курсы, справочники, обучающие видео материалы, «живой» чат со специалистами, постоянно обновляющийся список часто задаваемых вопросов, специализированный поисковый сервис, регулярные вебинары и подробный «разбор полётов» по самым актуальным вопросам и последним инцидентам. Мы предлагаем поделиться нашим опытом в развитии образовательных программ и приглашаем к сотрудничеству.

5. Использование протокола HTTPS для шифрования обмена данными между клиентом и сервером. Это обеспечит пользователям конфиденциальность работы в ВКонтакте даже в условиях недоверенных публичных сетей и сведёт на нет попытки несанкционированного перехвата данных при помощи утилит вроде Firesheep (http://en.wikipedia.org/wiki/Firesheep).

Мы рекомендуем пойти дальше и включить эту функцию по умолчанию для всех учётных записей. В обратном случае она останется для большинства пользователей неизвестной галочкой, сокрытой в глубине многоуровневых настроек безопасности. Разумеется, это значительно увеличит нагрузку на ваши серверы, но я уверен, что игра стоит свеч. Такое решение поднимет репутацию ВКонтакте и способствует решению проблемы взлома учётных записей.

6. Двухфакторная аутентификация пользователей при помощи мобильных устройств. Классический способ получения доступа к учётной записи через ввод пароля не выдерживает критики. Простой перехват или подбор пароля или его кража с заражённого компьютера позволяют злоумышленнику взять под полный контроль активность пользователя.

Банковская система и некоторые онлайн сервисы уже ввели дополнительные меры защиты при помощи электронных брелоков (eToken) и одноразовых паролей. Внедрение двухфакторной аутентификации с использованием кода подтверждения, присылаемого на мобильный телефон по SMS или одноразового пароля, генерируемого специальным мобильным приложением значительно повысит безопасность учётных записей ВКонтакте. В таком случае злоумышленникам придётся взломать сразу два устройства, что, согласитесь, задача не из простых даже для опытных хакеров.

Важно, что со стороны пользователя эта функция практически не повлияет на удобство работы. Ему придётся совершить всего одно дополнительное действие в начале работы (ввести код подтверждения или одноразовый пароль).

Как и в п.1 мы рекомендуем включить эту функцию по умолчанию для всех учётных записей, чтобы избежать для неё участи «полезной, но неизвестной фичи».

7. Сертификация приложений. Да, приложения значительно расширяют базисные возможности социальной сети, но их бесконтрольное распространение дискредитирует идею. И хотя администрация проводит предварительную проверку, бывали случаи появления как вредоносных, так и «серых» приложений.

Постоянное совершенствование процедуры сертификации и тщательная оценка безопасности приложений перед их публикацией в официальном каталоге поможет если не исключить, то значительно минимизировать этот риск.

Отдельно отмечу, что для предотвращения фишинга и других типов атак также уместно внедрить проверку внешних ссылок на вредоносность.

[Регион-56 5]

а Почему это чепуха находится в разделе "Интервью с экспертами" к интервью это не имеет никакого отношения, да и заголовок "Правила безопасности в социальных сетях" для кого именно? если речь идет об улучшении защиты социальной сети, а заголовок подразумевает как призыв для всех людей, прочитал и запомнил

p.s. Хотелки касперского и ко, могут не совпасть с мнением дурова.

[GRINDERs 35]

А вообще я согласен с Касперским, контакт совсем офигел уже

[Danilka 678]

А вообще я согласен с Касперским, контакт совсем офигел уже

Аналогично.

Да и все равно он скоро загнется, это не соц сеть, а так неудачная копирка FB..

[Виталий Я. 859]

а Почему это чепуха находится в разделе "Интервью с экспертами" к интервью это не имеет никакого отношения, да и заголовок "Правила безопасности в социальных сетях" для кого именно? если речь идет об улучшении защиты социальной сети, а заголовок подразумевает как призыв для всех людей, прочитал и запомнил

p.s. Хотелки касперского и ко, могут не совпасть с мнением дурова.

Потому что Вы, пардон, себя аки школота проявляете. Именно здесь и место мнению Евгения Валентиновича.

Формат открытого письма подразумевает, что давно пора менять отношение к приватности. Дуров думает, что вся информация общедоступна. Касперский бьет ему по носу за это.

PS: Чтобы Вы понимали мое отношение к privacy - кликните сюда: http://vk.com/id13, в 2006 году я удалил свой ID после 2 недель теста "ВКонтакте" и разругался с Дуровым из-за полной неприватности информации. 5 лет спустя ВК стал снова неприватным. Почти полностью.

[Mr. Justice 771]

Интересные, важные и очень актуальные предложения. Единственная ремарка - п. 6 предполагает (в одном из вариантов реализации идеи) передачу соц. сети сведений о номере телефона (абонентский номер). Думаю не каждый пользователь Вконтакте захочет поделится этой информацией с сец.сетью, которая и без этого располагает значительным объемом приватной информации о пользователях.

[Umnik 997]

Mr. Justice

См. п.1

[Mr. Justice 771]

Mr. Justice

См. п.1

Не понял. Ты имеешь в виду, что эти сведения должны быть "по умолчанию" закрыты для посетителей персональной странички пользователя сети? Это само собой. Я имел в виду, что не каждый захочет предоставлять такие сведения самой сети.

[Umnik 997]

http://e-kaspersky.livejournal.com/70000.html

1. Новый подход к приватности.

...

Хочу отдельно отметить, что соцсеть не только не должна провоцировать и заставлять пользователей раскрывать свои персональные данные (адрес, телефон и пр.), но наглядно информировать о сопутствующих угрозах при заполнении профиля. Более того, я считаю, что в случае утечки таких данных сеть должна нести ответственность.

[Valery Ledovskoy 1082]

Я имел в виду, что не каждый захочет предоставлять такие сведения самой сети.

Именно. При заполнении любой форме в Интернете "звёздочки" снижают вероятность заполнить её до конца

[Регион-56 5]

Именно здесь и место мнению Евгения Валентиновича.

А почему не собрать все его посты на его сайте, и не скинуть в одну кучу, ведь это его мнение?

[Kapral 311]

А почему не собрать все его посты на его сайте, и не скинуть в одну кучу, ведь это его мнение?

Может не надо из АМ делать дубль блога Е.К.

[Регион-56 5]

1. Новый подход к приватности.

Хочу отдельно отметить, что соцсеть не только не должна провоцировать и заставлять пользователей раскрывать свои персональные данные (адрес, телефон и пр.), но наглядно информировать о сопутствующих угрозах при заполнении профиля.

6. Двухфакторная аутентификация пользователей при помощи мобильных устройств.

Внедрение двухфакторной аутентификации с использованием кода подтверждения, присылаемого на мобильный телефон по SMS или одноразового пароля, генерируемого специальным мобильным приложением значительно повысит безопасность учётных записей ВКонтакте.

В первом пункте одно, в 6 другое. Главное не светить своими личными данными, адрес и телефон, но нужно сделать Двухфакторную аутентификация пользователей при помощи мобильных устройств.

/ Вообще сейчас модно, все советовать, и всем. Почему Касперскому не сделать свою соц сеть, супер защищенную? да еще и с новинкой, в стиле интернет паспорта глядишь годик другой может контакт подтянется. В конце концов Дуров не пишет свое мнение в открытом письме Касперскому, о том как сделать защиту лучше, и чтобы люди не ломали антивирус касперского, не использовали эксплойты с забанеными ключами.

[Mr. Justice 771]

http://e-kaspersky.livejournal.com/70000.html

Дима, речь в моей реплике шла не о раскрытии информации (для всеобщего сведения), а о нежелеании предоставлять информация для сети вообще, пусть даже в приватном (скрытом) виде.

Регион-56, эта тема создана на форуме не для того чтобы потроллить, а для того чтобы обсудить опубликованные предложения. Вам персональное замечание, в следующие раз забаню без разговора за любое нарушение правил форума.

[Регион-56 5]

Регион-56, эта тема создана на форуме не для того чтобы потроллить, а для того чтобы обсудить опубликованные предложения.

Я не троллю, с чего вы это решили? я высказываю своем мнение, если хотите я сравнил продукт касперского, который некие спецы ломают, и выкладывают на торрентах, с незащищенностью соц сети в контакте, в которой некая часть личной информации открыта, где ломают аккаунты итд.

в следующие раз забаню без разговора

Все что вашей душе угодно, мой господин. Прошу меня удалить с сайта, ибо каждодневный слощавый бред в темах меня начинает раздражать.

[Danilka 678]

ибо каждодневный слощавый бред в темах меня начинает раздражать.

Что, читать насильно заставляют?

[Mr. Justice 771]

К сожалению, я вынужден перейти к более суровым мерам для наведения порядка. Регион-56 забанен за неоднократный троллинг и публичное обсуждение действий модератора.

[Виталий Я. 859]

В первом пункте одно, в 6 другое. Главное не светить своими личными данными, адрес и телефон, но нужно сделать Двухфакторную аутентификация пользователей при помощи мобильных устройств.

/ Вообще сейчас модно, все советовать, и всем. Почему Касперскому не сделать свою соц сеть, супер защищенную? да еще и с новинкой, в стиле интернет паспорта глядишь годик другой может контакт подтянется. В конце концов Дуров не пишет свое мнение в открытом письме Касперскому, о том как сделать защиту лучше, и чтобы люди не ломали антивирус касперского, не использовали эксплойты с забанеными ключами.

Вы и вправду так плохо знаете устройство соцсетей? Сравните те же ФБ и ВК - на ФБ есть гид по безопасности и приватности, у ВК - черта в ступе, а не приватность... Про https они и подавно не в курсе.

Включите логику или хотя бы зайдите в любой аккаунт ВК извне по ФИО "Мария Иванова" - большинство "светит" своим номером, адресом, списком родственников и т.п. просто в Интернет.

Мобильный для внутренней верификации - самое разумное. Не в телефонной книге же регистрируются.

[Сергей Ильин 1538]

а Почему это чепуха находится в разделе "Интервью с экспертами" к интервью это не имеет никакого отношения, да и заголовок "Правила безопасности в социальных сетях" для кого именно? если речь идет об улучшении защиты социальной сети, а заголовок подразумевает как призыв для всех людей, прочитал и запомнил facepalm.gif

Во-первых, это совсем не чепуха, а очень серьезная тема, заслуживающая внимание. И очень хорошо, что Е.К. ее поднял публично от своего имени. Есть шанс, что кто-то все же прислушается.

А во-вторых, не интересно - проходите мимо, нефиг тут писать откровенную бредятину. Типа такого:

А почему не собрать все его посты на его сайте, и не скинуть в одну кучу, ведь это его мнение?

В первом пункте одно, в 6 другое. Главное не светить своими личными данными, адрес и телефон, но нужно сделать Двухфакторную аутентификация пользователей при помощи мобильных устройств. facepalm.gif

Вы хоть сами то поняли, что написали в последней цитате? Знаете что такое двухфакторная аутентификация то хотя бы и в чем ее смысл? Как это работает при помощи мобильных устройств? Если да, то попробуйте переосмыслить знания, посмотрите как это реализовано, например, в интернет-банкинге или для некоторых функций (есть даже в Gmail).

Мобильный для внутренней верификации - самое разумное. Не в телефонной книге же регистрируются.

Круче было бы сделать при помощи устройств типа eTocken, ну или простой флешки на худой конец.

[Виталий Я. 859]

Круче было бы сделать при помощи устройств типа eTocken, ну или простой флешки на худой конец.

Круче - это для банка, который на клиенте так или иначе заработает. Для соцсети - нереально все, кроме авторизации по номеру мобильного.

[Сергей Ильин 1538]

Круче - это для банка, который на клиенте так или иначе заработает. Для соцсети - нереально все, кроме авторизации по номеру мобильного.

Так можно было бы сделать опционально. Понятно, что всем по свитку не раздашь и не заставишь его купить, но продвинутые люди могли бы использовать такой метод авторизации.

[SDA 750]

Так можно было бы сделать опционально. Понятно, что всем по свитку не раздашь и не заставишь его купить, но продвинутые люди могли бы использовать такой метод авторизации.

Я думаю Дурову глубоко фиолетово по поводу этого письма, у него другие задачи http://www.webplanet.ru/news/business/2011/06/24/vk_ipo.html

[OlegAndr 236]

У них регистрация по мобильнику. Хорошо у меня была помирающая симка, с нее оправлял уведомления, потому что регаясь я абсолютно не имею понятия что и кому будет доступно.

Двухфакторная авторизация -конечно не прокатит здесь. Хотя ОПЦИЯ ее иметь может быть полезна.

Например была история с активисткой движения Наши, которая внедрялась в оппозиционную группу, и как-то зашла в свой вконтактик (или почту) на квартире у активиста. Когда он потом включил комп, то попал в ее профиль и увидел там сообщения, разоблачающие засланца...

ЗЫ,И решать за пользователя -зло.

Вот например сейчас гугл спрашивает меня, хочу ли я слить свой профиль в гугле и ютубе, (или пикассе). и я отвечаю нет, хотя де-факто там ни о какой анонимности уже речи не идет- слишком много кросс-ссылок

.

[shaana 10]

Абсолютно поддерживаю все предложения.

Но, боюсь, большая часть из них останется нереализованными. Возможно кое-что, частично.

[RuNetting 0]

Абсолютно поддерживаю все предложения.

Но, боюсь, большая часть из них останется нереализованными. Возможно кое-что, частично.

Согласен, Дуров, судя по всему, не уважает своих пользователей.

С ним нельзя толком связаться, даже сообщить о фишинге

Люди его религии часто такие, извиняюсь