Foto: Getty
Sikkerhed forskere udgivet et værktøj, der i denne uge, der giver mulighed for at indsamle sociale medier profiler af en massiv mængde af mennesker, der bruger ansigtsgenkendelse. Mens det kan lyde som en frygtelig idé, af skabere siger, at det vil hjælpe sikkerhed fagfolk ved at give dem de samme værktøjer som de onde.
Det værktøj, Sociale Mapper, er open-source, og kan samle nogen oplysninger fra LinkedIn, Facebook, Twitter, Instagram, Google+, og Kinesiske microblogging sites Weibo og Douban, og russisk tjeneste, sociale medier, Facebook.
Sociale Mapper, der blev skabt af forskere på TrustWave, et vagtselskab, der er udviklet af overvejende for penetration test, eller en autoriseret simulerede angreb formål at afprøve et systems sikkerhed. De indsamlede oplysninger er ikke særlig invasive—en amatør internet sleuth kan nemt finde en person, sociale medier profiler, især hvis de har deres navn og foto, som er det Sociale Mapper ikke—men på en lidt skræmmende omfang.
Sociale Mapper scanninger en stor skala af de enkelte profiler ved at udføre ansigtsgenkendelse kontrol af profil billeder af “target”, der er baseret på toppen søgeresultaterne i deres navn. Det er ikke ligefrem hurtig—forskerne anslår, at det kunne tage over 15 timer til lister over 1.000 mennesker—men det er en automatiseret og effektiv måde at behandle en dusør på folks sociale medier profiler.
Programmet derefter genererer en rapport konsolidering af alle data, som indeholder links til de mål, som’ sociale medier profiler. Forskerne bemærk i et blog-indlæg beskriver det værktøj, det kan også oprette lister til hver af de sociale medier websteder kontrolleres med navnet på målet samt deres eventuelle arbejde e-mail.
Det erklærede formål med dette værktøj er at strømline etiske hackere’ sociale medier phishing-kampagner, hvilket betyder, phishing-kampagner, de blev betalt til løn for at teste deres kunders sikkerhed—ved effektivt at indsamle og generere mål lister. Forskerne nævner et par eksempler på, hvad pen testere kan være i stand til at gøre med deres værktøj, såsom venner med mål på sociale medier med en falsk profil, og derefter at sende dem links til malware.
Det er ikke svært at forestille sig, hvordan sådan et værktøj, til rådighed for offentligheden, kan udnyttes af dårlige skuespillere, der kunne bruge det til mere effektivt løn phishing og ransomware angreb. En Trustwave talsmand skudt ned af denne kritik, der siger, at Sociale Mapper, der er beregnet til “pen-testere og red teamers”, hvis opgave er “at finde sårbarheder ved hjælp af værktøjer og teknologier, Sorte Hatte, som allerede bruger eller mest sandsynligt har.”
Med andre ord, værktøjer, som denne allerede findes, men Trustwave er at gøre det tilgængeligt for alle, som “hjælper med selv de spilleregler,” talsmand sagde. Frigiver værktøjer som Sociale Mapper, tilføjede de er “meget almindeligt i sikkerheds-branchen-og hjælper med de gode fyre.”
Okay.
[Randen]