7 правил безопасности в социальных сетях. Открытое письмо Касперского Дурову.

Евгений Касперский опубликовал открытое письмо основателю популярной в России социальной сети ВКонтакте с предложением повысить уровень безопасности пользователей.

Евгений Касперский опубликовал открытое письмо основателю популярной в России социальной сети ВКонтакте с предложением повысить уровень безопасности пользователей. Эксперты «ЛК» разработали 7 рекомендаций, которые позволят в краткосрочной перспективе решить самые актуальные вопросы безопасности и приватности для пользователей.

По данным исследования «Дети России онлайн», порядка 86% представителей молодого российского поколения имеют аккаунт в социальной сети ВКонтакте. При этом далеко не все из них осознают, что угрозы в виртуальном мире ничуть не менее опасны, чем в реальном. Многие пользователи все ещё очень далеки от понимания, как защитить себя в Сети и сохранить приватность. В подобной ситуации они могут рассчитывать на помощь самой социальной сети или следовать собственным соображениям в соответствии с жизненным опытом.

«Социальная сеть прекрасна и опасна одним и тем же: своей социальной природой. Как только в центре внимания оказывается человеческий фактор, сразу же появляется бесчисленное число возможностей для злоупотреблений и мошенничества, — уверен Евгений Касперский, генеральный директор «Лаборатории Касперского». — Наша моральная обязанность — обеспечить безопасную и прозрачную программную платформу и создать условия для повышения осведомлённости пользователей и обучения правилам сетевой «гигиены». Социальные сети и специалисты по IT-безопасности, знакомые со спецификой социальных сетей и имеющие опыт анализа веб-угроз, должны объединить усилия во имя нашего подрастающего поколения«.

На сегодняшней день практически все социальные сети находятся в постоянном поиске баланса безопасности и приватности пользователей с удобством сервиса и актуальными бизнес-целями. По мнению экспертов «Лаборатории Касперского», реализация предложенных ими рекомендаций позволит поднять систему безопасности на качественно новый уровень, при этом практически не затронув удобство пользования сервисом.

 

Те самые рекомендации:

 

  1. Новый подход к приватности. Сейчас большинство настроек приватности ВКонтакте по умолчанию позволяют любому пользователю видеть личные данные любых других пользователей (фотографии, видео, список друзей, заметки и пр.). При этом не уверен, что сами пользователи об этом догадываются, одобряют экстремальную сетевую открытость и знают о возможности изменить настройки. В итоге, личная жизнь и конфиденциальные данные могут стать достоянием людей с не самыми дружественными намерениями.
    Скажу откровенно, я не приветствую недавнюю реформу приватности (http://vkontakte.ru/note1_11138884). В частности, ограничение приватности списка друзей 20 записями наносит вред как свободе выбора, так и приватности пользователей. Я не исключаю, что такая политика может стать причиной оттока аудитории в соцсети с более толерантными правилами.
    В области ИТ-безопасности давно и успешно действует простое правило: сначала всё выключить, потом нужное включить. Мы считаем, что настройки приватности по умолчанию должны обеспечивать максимальную защиту частной жизни и личных данных. В процессе первоначальной настройки учётной записи и работы в социальной сети пользователи могут изменить их по своему усмотрению. Таким образом, можно добиться не только максимальной защиты конфиденциальной информации, но и поднять осведомлённость пользователей о настройках приватности.
    Хочу отдельно отметить, что соцсеть не только не должна провоцировать и заставлять пользователей раскрывать свои персональные данные (адрес, телефон и пр.), но наглядно информировать о сопутствующих угрозах при заполнении профиля. Более того, я считаю, что в случае утечки таких данных сеть должна нести ответственность.
  2. Полное удаление учётных записей. Потеря пользователей — не в интересах соцсети. Разумеется, с коммерческой точки зрения привлекательность компании прямо пропорциональна количеству учётных записей, даже если они неактивны. Однако этому нельзя приносить в жертву волю пользователя.
    В соответствии с п.4.14 пользовательского соглашения «…удаление персональной страницы Пользователя осуществляется Администрацией Сайта в срок, предусмотренный законодательством Российской Федерации, по личному письменному заявлению Пользователя, направленному на почтовый адрес ООО «В Контакте»…». Простое действие попадает под пресс бюрократической машины, что существенно усложняет и необоснованно затягивает (три месяца) процесс удаления учётной записи.
    Мы считаем, что уважение к приватности пользователя требует либерализации процесса. Для предотвращения случайного или несанкционированного удаления страницы необходимо создавать резервные копии и дать возможность восстановления учётной записи в разумные сроки.
  3. Специальные условия для несовершеннолетних пользователей. Будучи наиболее незащищённой и уязвимой группой пользователей, дети и подростки требуют особого подхода. Прежде всего, родители должны иметь возможность потребовать удаления, блокировки или получить доступ к учётным записям своих детей. Во-вторых, дети до 12 лет могут создавать страницы ВКонтакте только в виде поддомена страниц своих родителей. В-третьих, «несовершеннолетние» страницы требуют отключения некоторых особенно опасных функций, таких как геолокационные сервисы, подробные личные профили и изменение некоторых настроек приватности.
    Разумеется, формальные ограничения и технические средства просто обходятся и не в состоянии в корне изменить положение вещей. Однако, они способны по крайней мере привлечь внимание наших детей к проблеме и задуматься о завтрашних последствиях их неосторожного поведения в сети сегодня.
  4. Обучение пользователей. Осведомлён значит защищён. Какими надёжными и инновационными ни были функции безопасности и приватности, они будут бесполезны без адекватной политики их продвижения. Пользователям нужны доступные материалы и курсы для обучения особенностям поведения в социальной сети.
    Мы считаем, что существующая страница http://vkontakte.ru/security не соответствует этим требованиям и рекомендуем разработать информационный портал, содержащий интерактивные курсы, справочники, обучающие видео материалы, «живой» чат со специалистами, постоянно обновляющийся список часто задаваемых вопросов, специализированный поисковый сервис, регулярные вебинары и подробный «разбор полётов» по самым актуальным вопросам и последним инцидентам. Мы предлагаем поделиться нашим опытом в развитии образовательных программ и приглашаем к сотрудничеству.
  5. Использование протокола HTTPS для шифрования обмена данными между клиентом и сервером. Это обеспечит пользователям конфиденциальность работы в ВКонтакте даже в условиях недоверенных публичных сетей и сведёт на нет попытки несанкционированного перехвата данных при помощи утилит вроде Firesheep (http://en.wikipedia.org/wiki/Firesheep).
    Мы рекомендуем пойти дальше и включить эту функцию по умолчанию для всех учётных записей. В обратном случае она останется для большинства пользователей неизвестной галочкой, сокрытой в глубине многоуровневых настроек безопасности. Разумеется, это значительно увеличит нагрузку на ваши серверы, но я уверен, что игра стоит свеч. Такое решение поднимет репутацию ВКонтакте и способствует решению проблемы взлома учётных записей.
  6. Двухфакторная аутентификация пользователей при помощи мобильных устройств. Классический способ получения доступа к учётной записи через ввод пароля не выдерживает критики. Простой перехват или подбор пароля или его кража с заражённого компьютера позволяют злоумышленнику взять под полный контроль активность пользователя.
    Банковская система и некоторые онлайн сервисы уже ввели дополнительные меры защиты при помощи электронных брелоков (eToken) и одноразовых паролей. Внедрение двухфакторной аутентификации с использованием кода подтверждения, присылаемого на мобильный телефон по SMS или одноразового пароля, генерируемого специальным мобильным приложением значительно повысит безопасность учётных записей ВКонтакте. В таком случае злоумышленникам придётся взломать сразу два устройства, что, согласитесь, задача не из простых даже для опытных хакеров.
    Важно, что со стороны пользователя эта функция практически не повлияет на удобство работы. Ему придётся совершить всего одно дополнительное действие в начале работы (ввести код подтверждения или одноразовый пароль).
    Как и в п.1 мы рекомендуем включить эту функцию по умолчанию для всех учётных записей, чтобы избежать для неё участи «полезной, но неизвестной фичи».
  7. Сертификация приложений. Да, приложения значительно расширяют базисные возможности социальной сети, но их бесконтрольное распространение дискредитирует идею. И хотя администрация проводит предварительную проверку, бывали случаи появления как вредоносных, так и «серых» приложений.
    Постоянное совершенствование процедуры сертификации и тщательная оценка безопасности приложений перед их публикацией в официальном каталоге поможет если не исключить, то значительно минимизировать этот риск.
    Отдельно отмечу, что для предотвращения фишинга и других типов атак также уместно внедрить проверку внешних ссылок на вредоносность.

Оригинал письма: http://e-kaspersky.livejournal.com/70000.html