ΕΡΓΑΣΙΑ ΜΑΘΗΤΩΝ ΓΥΜΝΑΣΙΟΥ ΖΗΠΑΡΙΟΥ ΓΙΑ ΤΟ ΔΙΑΓΩΝΙΣΜΟ ECOMOBILITY
Security in social media
1. 1
[Type here]
Περίληψη --- Πρόσφατες μελέτες δείχνουν ότι το 80 % των
Αμερικάνων έχουν προφίλ στο διαδίκτυο .Όσο περισσότερο
αυξάνονται οι χρήστες σε έναν ιστότοπο κοινωνικής δικτύωσης
SNS (Social Network Site ) τόσο οι διαδικτυακές αυτές
τοποθεσίες γίνονται ποιο ελκυστικές σε επιθέσεις κακόβουλων
χρηστών και εισβολέων Στην παρούσα εργασία εστιάζουμε
κυρίως στις απειλές στα SNS που σχετίζονται με την
ιδιωτικότητα των αρχείων οπτικοακουστικού υλικού και τους
κινδύνους που ελλοχεύουν από την άκριτη δημοσίευση τους .
Έγινε μια πρόχειρη έρευνα για το πόσο εύκολα ένα
κρυπτογραφημένο μήνυμα σε μια φωτογραφία μπορεί να
«περάσει» υστέρα από την δημοσίευση της σε SNS ή μετά από
αποστολή της μέσω εφαρμογής άμεσων μηνυμάτων .
Παραθέτουμε τις τελευταίες μελέτες όπου επεξεργάζονται
σύγχρονες λύσεις στο ζήτημα της προστασίας της
ιδιωτικότητας όπως η ψηφιακή λήθη και το υδατογράφημα.
Δίνουμε τα κύρια σημεία από 3 έρευνες που σχετίζονται με το
φαινόμενο της πλαστοπροσωπίας καθώς και εξελιγμένους
τρόπους διερεύνησης και ανίχνευσης της .Όλες οι αναφορές της
εργασίας είναι βασισμένες σε έρευνες της τελευταίας πενταετίας
και παρουσιάζουν εξελιγμένες μεθόδους αντιμετώπισης των
κινδύνων από την έκθεση των χρηστών στα SNS μέσω των
πρωτοκόλλων επικοινωνίας και της τεχνητής νοημοσύνης .
Λέξεις κλειδιά SNS , AIS , TIΑS , Aσφάλεια , Κοινωνικά δίκτυα ,
ψηφιακή λήθη ,Ιδιωτικότητα δεδομένων, Υδατογράφημα threshold
group signature, πλαστοπροσωπία , machine learning
I. ΕΙΣΑΓΩΓΗ.
Tα δίκτυα κοινωνικής δικτύωσης SNS είναι πολύ
δημοφιλή σήμερα .Η δημοτικότητα τους και η χρήση τους
συνεχώς αυξάνεται .Έρευνες δείχνουν ότι οι χρήστες δεν
έχουν κοινωνικοοικονομική διαστρωμάτωση αλλά ούτε και
διαχωρίζονται ηλικιακά . Οι κίνδυνοι που προκύπτουν έχουν
να κάνουν με κοινές απάτες όπως υπεξαίρεση χρηματικών
ποσών , δυσφήμηση του χρήστη , παραβίαση της
ιδιωτικότητας προσωπικών δεδομένων κ.α. Θα μπορούσε
βέβαια κάποιος να ισχυριστεί ότι η πλειονότητα των χρηστών
είναι μέσης και νεαρής ηλικίας κυρίως βασικής μόρφωσης
εντούτοις νέες έρευνες έδειξαν ότι η χρήση των SNS από
άτομα προεφηβικής και τρίτης ηλικίας αυξάνεται Εκτός από
τα ευρέως γνωστά .SNS όπως το Facebook, Instagram κτλ.
υπάρχουν και δεκάδες άλλα με στοχευμένη θεματογραφία
κυρίως με ερωτικό και σεξουαλικό περιεχόμενο .Αν σε αυτά
προσθέσουμε και τις εκατοντάδες εφαρμογές περιστασιακών
γνωριμιών όπως το Βadoo , Τinder κ.α. θα
συνειδητοποιήσουμε ότι πραγματικά τα SNS έχουν
κατακλίσει την σύγχρονη εποχή και είναι αναπόσπαστο
κομμάτι του σύγχρονου τρόπου ζωής .Μεγάλα θέματα
ασφάλειας προκύπτουν από το γεγονός ότι τα τελευταία site
είναι μικρής δημοτικότητας και για να γίνουν ποιο ελκυστικά
στους χρήστες δεν τηρούν όλους τους κανόνες ταυτοποίησης
και αυθεντικοποίησης Για την εγγραφή στο Βadoo
απαιτούνται λίγα στοιχεία και τα οποία δεν επαληθεύονται.
Την ίδια πολιτική εγγραφής έχουν τα περισσότερα SNS. Το
2018 στην Κύπρο ο κατά συροην δολοφόνος Ν.Μ με το
ψευδώνυμο « Ορέστης » , εκμεταλλευόμενος τους ελλιπείς
κανόνες ταυτοποίησης της διαδικτυακής πλατφόρμας Badοo
, προσέγγιζε τα υποψήφια θύματα του .Επτά από αυτά
βρήκαν τραγική κατάληψη .Ακόμα μεγαλύτερα προβλήματα
προκύπτουν από το γεγονός ότι οι καινούργιοι χρήστες όπως
προαναφέρομαι δηλαδή αυτοί που ανήκουν στην προεφηβική
και τρίτη ηλικία είναι πληροφοριακά ανώριμοι με
αποτέλεσμα να γίνονται θύματα σε κυβερνοεπιθέσεις και
απάτες βάζοντας σε κίνδυνο την ιδιωτικότητα τους Το 46%
των ατόμων πάνω από 65 χρονών έχει λογαριασμό στο
Facebook. [9] η πανδημία του convid-19 είχε σαν αποτέλεσμα
αυτό το ποσοστό να αυξηθεί .Ενώ όμως για τα άτομα
προεφηβικής ηλικίας υπάρχει το σχολείο το οποίο εκπαιδεύει
και ενημερώνει συντεταγμένα ,οι χρήστες της τρίτης
ηλικίας είναι δύσκολο να εκπαιδευτούν. Η οικονομική τους
επιφάνεια σε συνδυασμό με τον ψηφιακό τους
αναλφαβητισμό τους καθιστά τα ιδανικά θύματα Θα
ξεκινήσουμε την εργασία με αναφορά σε ζητήματα
ασφαλείας σε οπτικοακουστικό υλικό θα προτείνουμε λύσεις
και κατόπιν θα επεξεργαστούμε το μεγάλο ζήτημα των
ψευδών λογαριασμών και σύγχρονες προσεγγίσεις
αντιμετώπισης .
ΑΣΦΑΛΕΙΑ ΣΤΑ ΚΟΙΝΩΝΙΚΑ ΔΙΚΤΥΑ
Εργασία στο μάθημα Ασφάλεια πληροφοριακών Συστημάτων .
Νικολαΐδης Δημήτριος.
Διεθνές Πανεπιστήμιο της Ελλάδος.
Τμήμα Μηχανικών Πληροφορικής και Ηλεκτρονικών συστημάτων.
Θεσσαλονίκη.
d.nikolai@yahoo.gr
2. 2
[Type here]
.
II. ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΣΕ ΟΠΤΙΚΟΑΚΟΥΣΤΙΚΟ ΥΛΙΚΟ .
A. Δημοσίευση φωτογραφιών και video
Κύρια δραστηριότητα στα SNS είναι η δημοσίευση
φωτογραφιών στο χρονολόγιο . Εάν οι φωτογραφίες είναι
μέσα από το σπίτι τότε ένας υποψήφιος διαρρήκτης μπορεί
να εκμαιεύσει πληροφορίες για την εσωτερική διαρρύθμιση
του όπως επίσης και για την οικονομική ευρωστία ( και η
εφορία παραμονεύει επίσης !!!) Ακόμα περισσότερο οι
δημοσιεύσεις με φωτογραφίες διακοπών είναι επικίνδυνες
γιατί δείχνουν το σπίτι δεν κατοικείται κτλ. Έχουμε πάντα
υπόψη ότι οι πληροφορίες που δημοσιεύουμε στις
ιστοσελίδες κοινωνικής δικτύωσης είναι δημόσια
προσπελάσιμες, επομένως, καλό θα ήταν να μη
δημοσιεύουμε στοιχεία και φωτογραφίες που θα βοηθούσαν
κάποιον να μας εντοπίσει στο φυσικό κόσμο
B. . Ζητήματα ιδιωτικότητας
Πριν προχωρήσουμε στην θέματα ασφάλειας θα κάνουμε
μια μικρή αναφορά στο νομικό πλαίσιο που διέπει την κατοχή
μιας φωτογραφία ή video .H φωτογραφία ενός χρήστη
αποτελεί πνευματική του ιδιοκτησία και ο ιδιόκτητης μπορεί
να αξιώσει πνευματικά δικαιώματα .Ο κάτοχος της έχει τα
παρακάτω αποκλειστικά δικαιώματα τα οποία
προστατεύονται από την παραβίαση.
Δικαίωμα αναπαραγωγής.
Δικαίωμα διασκευής.
Δικαίωμα διανομής.
Δικαίωμα δημόσιας παρουσίασης.
Όταν μια παρέα φίλων βγάζουν μια φωτογραφία ,Το υλικό
που προκύπτει ανήκει και σε όλους , μπορεί όμως ένας από
όλους να δημοσιεύσει την φωτογραφία ρυθμίζοντας την
ιδιωτικότητα της δημοσίευσης (privacy sharing ) της χωρίς
να πάρει την άδεια των υπολοίπων .Άλλο ένα μεγάλο ζήτημα
είναι όταν αποβιώσει ένας χρήστης οι φωτογραφίες σε ποιον
ανήκουν και ποιος έχει τα δικαιώματα χρήσης του
λογαριασμού του θανούντος.
C. Στεγανογραφία (Steganography)
Η κρυπτογραφική αυτή μέθοδος δίνει την δυνατότητα σε
ένα χρήστη να κρύψει σε μια φαινομενικά αθώα φωτογραφία
ένα κακόβουλο μήνυμα. Να υπενθυμίσουμε ότι το
στεγανογραφημένο μήνυμα δεν έχει σχέση με τα Metadata που
θα αναφέρουμε παρακάτω
D Επιπρόσθετες πληροφορίες (Metadata
ΚΑΕ φωτογραφία περιέχει επιπλέον πληροφορίες που
αφορούν τον τύπο της κάμερας , τον χρόνο της λήψης , την
τοποθεσία της λήψης αυτές η πληροφορίες αναφέρονται στην
ξένη βιβλιογραφία σαν Metadata παρέχουν ευαίσθητες
πληροφορίες και μπορούν να εκθέσουν τον χρήστη εάν
αποκαλυφθούν .Να σημειώσουμε εδώ ότι η ανίχνευση της
τοποθεσίας όπου έγινε η λήψη γίνεται μέσω του δέκτη GPS
που έχει η κινητή συσκευή. Όμως πολλές φορές αν και το GPS
είναι απενεργοποιημένο η τοποθεσία μπορεί να αποκαλυφθεί
μέσω από το δικτιού του τηλεφωνικού παρόχου .κάθε SNS
χειρίζεται τα metadata διαφορετικά τα περισσότερα SNS
μορφοποιούν συμπιέζουν την φωτογραφία πριν την
δημοσίευση. Προτείνεται όλα τα SNS όπως το Facebook να
αποκόπτει αυτές τις πληροφορίες ώστε να μην είναι
διαθέσιμες .
E Διαβλητότητα και ασφάλεια των κέντρων αποθήκευσης
δεδομένων (data centres).
Ένα άλλο μεγάλο ζήτημα που προκύπτει είναι η
αποθήκευση του υλικού .που δημοσιεύονται .Ένα ερώτημα
που προκύπτει είναι :όταν ο χρήστης διαγράφει μια
φωτογραφία αυτή συνεχίζει να υπάρχει στο data centre; Πόσο
ασφαλή είναι τα data centre που φιλοξενούν τα SNS. Aν και οι
μεγάλες γνωστές σελίδες κοινωνικής δικτύωσης έχουν δικά
τους data centre αυτό δεν συμβαίνει με του μικρού μεγέθους
SNS τα οποία φιλοξενούνται σε τρίτους παρόχους. Άρα ο
ίδιος ο πάροχος του SNS δεν ελέγχει τα δεδομένα αυτά. Το
υλικό αυτό αν και είναι προσωπικό μπορεί χρησιμοποιηθεί
εύκολα για εμπορικούς και διαφημιστικούς σκοπούς και για
αυτού τα κάνει ελκυστικά . Άρα είναι επιτακτικό τα δεδομένα
αυτά να αποθηκεύονται σε κρυπτογραφημένη μορφή έτσι ώστε
ακόμα και εάν κάποιος έχει στην κατοχή του το υλικό να μην
μπορεί να έχει πρόσβαση, αφού δεν θα έχει το κλειδί
αποκρυπτογράφησης.
Z Επισημάνσεις σε υλικό και δημοσιεύσεις (Τag).
Τα περισσότερα SNS παρέχουν την δυνατότητα ο χρήστης να
επισημαίνει σε μια φωτογραφία η video ένα πρόσωπο.
Προκύπτει ένα μεγάλο ζήτημα ιδιωτικότητας εάν ένα από τα
πρόσωπα που βρίσκονται στην φωτογραφία είναι ανήλικο και
η δημοσίευση γίνει χωρίς την έγκριση του αυτού η του
κηδεμόνα του. Να υπενθυμίσουμε ότι όσο πιο πολλοίχρήστες
είναι επισημασμένοι σε μια φωτογραφία τόσο περισσότερο
αυτή η φωτογραφία εμφανίζεται στο κοινωνικό δίκτυο και
αυτό γίνεται χωρίς ιδιαιτέρα προσπάθεια. Σύμφωνα με το
προτεινόμενο μοντέλο της Συνιδιοκτησίας (Co-ownership )
αφού μια φωτογραφία ανήκει σε πολλούς χρήστες θα πρέπει
απαραίτητα όλα τα άτομα που απεικονίζονται από κοινού να
ρυθμίζουν τις ρυθμίσεις ιδιωτικότητας της.
II ΔΙΕΡΕΥΝΗΣΗ ΚΙΝΔΥΝΩΝ ΣΤΑ ΜΕΣΑ ΜΑΖΙΚΗΣ
ΔΙΚΤΥΩΣΗΣ ΚΑΙ ΤΡΟΠΟΙ ΑΝΤΙΠΕΤΩΠΙΣΗΣ
A Watermarking (Υδατογράφημα)
Το ψηφιακό υδατογράφημα ,μέθοδος όπου εισάγεις
εμβόλιμα δεδομένα σε ένα αρχείο με οπτικοακουστικού υλικό
με σκοπό να αξιώσει την νόμιμη κατοχή του .Με αυτό τον
τρόπο εμποδίζεται η αναδημοσίευση της φωτογραφίας από
άλλον χρήστη .Υπάρχουν ορατά και μη ορατά
υδατογραφήματα. Υπάρχουν εφαρμογές στο play store όπου
μπορούμε εύκολα να προσθέσουμε υδατογράφημα σε μια
εικόνα .Το υδατογράφημα αυτό είναι δύσκολο να αφαιρεθεί
.Υπάρχουν πλατφόρμες όπως το imatag [6] με το οποίο
μπορούμε να υπογράψουμε ψηφιακά μια φωτογραφία. Τα
pixel της φωτογραφίας διαμορφώνονται έτσι ώστε να
μεταφέρουν το κρυμμένο μήνυμα χωρίς ωστόσο το μάτι να
3. 3
[Type here]
μπορεί να διακρίνει τις διαφορές .Το ψηφιακό υδατογράφημα
δεν χάνεται ακόμα και εάν η εικόνα υποστεί επεξεργασία
όπως resize , crop , screenshot. Με τον τρόπο αυτό μπορεί ο
ιδιοκτήτης του υλικού να εντοπίσει εάν το υλικό
αναδημοσιεύεται χωρίς την έγκριση του .Ο τρόπος με τον
οποίο γίνεται ο εντοπισμός της αναδημοσίευσης από την
πλατφόρμα είναι συγκρίνοντας την ψηφιακή υπογραφή της
φωτογραφίας με κάθε φωτογραφία που δημοσιεύεται στο
διαδίκτυο .Να διευκρινίσουμε ότι οι υπηρεσία αυτή προς το
παρόν δεν συμπεριλαβαίνει τα SNS αυτό όμως δεν σημαίνει
ότι στο μέλλον. μπορεί δεν μπορεί να γίνει. Υπάρχουν και
λογισμικό ανοικτού κώδικα όπως το Οpenstego [7] τα οποία
υπογράφουν ψηφιακά μια φωτογραφία. Κάποιοι μελετητές
προτείνουν το ίδιο το SNS να δημιουργεί το υδατογράφημα
και να προστατευτεί την ιδιωτικότητα του χρήστη αυτό όμως
θα καθυστερούσε την διαδικασία δημοσίευσης και θα
εξαντλούσε τους υπολογιστικούς πόρους του παρόχου του
SNS. Στο σχήμα 1 δίνεται παράδειγμα ορατού
υδατογραφήματος
Σχημα 1 .Παράδειγμα ορατού υδατογραφήματος
B Στεγανάλυση ( Steganalysis).
Η στεγανάλυση είναι η αντίστροφη διαδικασία αυτής της
στεγανογραφίας. Μέσω της στεγανογραφίας ένας χρήστης
μπορεί να
κρύψει και να κρύψει κακόβουλες πληροφορίες σε ένα
αρχείο .Στο play store υπάρχουν ελεύθερες εφαρμογές όπως
το steganography master [8] που υλοποιούν τέτοιες
διαδικασίες .Σε μια πρόχειρη δοκιμή με την παραπάνω
εφαρμογή android κρύψαμε μια πληροφορία σε μια
φωτογραφία και στη συνέχεια την δημοσιεύσαμε στο
Facebook και στο Instagram , επίσης την στείλαμε μέσω
ηλεκτρονικού ταχυδρομείου και μερικών εφαρμογών αμέσων
μηνυμάτων του smart phone. Tα αποτελέσματα ήταν τα εξής:
Η συμπίεση που έγινε στο υλικό πριν την δημοσίευση στο
Facebook και στο Instagram είχε σαν αποτέλεσμα το μήνυμα
να χαθεί το ίδιο συνέβη και στο What’s-up και στο Viper.
Αντίθετα , στο e-mail και στις εφαρμογές Μessenger και Snap
shot η πληροφορία «πέρασε» και η φωτογραφία περιέχει το
κρυπτογραφημένο μήνυμα . Έχουν προταθεί πολλοί τόποι
ανίχνευσης τέτοιων υπόπτων αρχείων , ένας τρόπος είναι και
πάλι εντοπισμός μέσω μοντέλων της μηχανικές μάθησης .
(1)
C Ψηφιακή λήθη (Digital oblivion).
Στην σημερνή εποχή οι χρήστες του διαδικτύου και
ειδικότερα οι έφηβοι δημοσιοποιούν ευαίσθητες πληροφορίες
χωρίς να έχουν συνειδητοποιήσει ότι οι πληροφορίες αυτές
είναι διατηρούνται στο διαδίκτυο και μπορούν να είναι
επιβλαβής για την μελλοντική τους ζωή και καριέρα. Η
μέθοδος της ψηφιακής λήθης δίνει λύση σε τέτοιου είδους
προβλήματα. Το καινοτόμο σύστημα X-pire 2.0 παρέχει
ψηφιακή ημερομηνία λήξης και προστασία από αντιγραφή [2]
. Το σύστημα X-pire 2.0 σχεδιάστηκε για συσκευές android και
χρησιμοποιείτε στα SNS Google+ ( δεν υπάρχει πλέον ) και
Flickr..Το υλικό που δημοσιεύεται στο διαδίκτυο έχει
ημερομηνία λήξης κανένας δεν μπορεί να έχει προσπελάσει
στα αρχεία μετά την παρέλευση της ημερομηνίας λήξης
.Επιπρόσθετα κανένας χρήστης του διαδικτύου δεν μπορεί
να κάνει download το υλικό ακόμα και πριν από την
ημερομηνία λήξης . Για να γίνει αυτό χρησιμοποιείται ένας
ενδιάμεσος διακομιστής. Κατά την φάση της δημοσίευσης
γίνεται κρυπτογράφηση της εικόνας με συμμετρικό κλειδί .Το
κλειδί και η εικόνα αποθηκεύονται σε διαφορετικό διακομιστή
και το κλειδί έχει ημερομηνία λήξης .Σημαντικό ρόλο στο
σύστημα X-pire 2.0 κατέχει το T.E.E . .To T.E.E (trusted
execution environment ) είναι ένα μέρος του hardware όπου
διενεργούνται σημαντικές διεργασίες Το κλειδί
κρυπτογράφησης βρίσκεται στο Τ.Ε.Ε και καμιά εφαρμογή
4. 4
[Type here]
του κινητού δεν έχει πρόσβαση έτσι ενώ μπορεί να την δει
δεν μπορεί να την αντιγράψει .Αν και το σύστημα X-pire 2.0
βρίσκεται ακόμα σε αρχικό στάδιο ωστόσο τα αποτελέσματα
για χρήση στο μέλλον. σε ποιο μεγάλη κλίμακα είναι
ενθαρρυντικά Στο σχήμα 2 δίνεται το διάγραμμα από της
φάσης και τα πρωτοκόλλα του Χ-pire 2
D Επίθεση μέσω διπλότυπων λογαριασμών ( Doppelgänger
Bot Attack).
Σε αυτό το είδος της απειλής ο επιτιθέμενος δημιουργεί
ένα πανομοιότυπο προφίλ με αυτό του θύματος
χρησιμοποιώντας φωτογραφίες από τον προσωπικό του
λογαριασμό του θύματος στο ιδικό η σε διαφορετικό SNS [4].
Κάνοντας χρήση του κλωνοποιημένου λογαριασμού στέλνει
αιτήματα φιλίας στους φίλους του πραγματικού χρήστη. Ο
επιτιθέμενος αποσκοπεί είτε στην δυσφήμηση του θύματος
είτε στην απόκτηση (αλίευση) ευαίσθητων πληροφοριών (
phishing ) τρίτων . Nα σημειώσουμε ότι στο Facebook δυο
λογαριασμού μπορούν να έχουν ακριβές το ίδιο όνομα ενώ
στο Instagram κάθε όνομα λογαριασμού είναι μοναδικό .Στο
σχήμα 3 δίνουμε ένα παράδειγμα πολλαπλών λογαριασμών
του τραγουδιστή Νίκου Βέρτη στο Facebook
Σχήμα 3 : Πολλαπλοί λογαριασμοί του τραγουδιστή Νίκου
Βέρτη.
(Ιούνιος 2020).Θα μπορούσε βέβαια κανένα προφίλ από τα 5
να είναι πλαστό και όλα να έχουν δημιουργηθεί από τον μεγάλο
καλλιτέχνη
Η περίπτωση αυτή δηλαδή δυο η περισσότεροι λογαριασμοί
να έχουν δημιουργηθεί από τον ίδιο νόμιμο χρήστη
αναφέρονται στην ξένη βιβλιογραφία ως avatar to avatar . Σε
έρευνα που έγινε το 2015 [4] στο twitter έδειξε ότι σε πλήθος
16572 διπλοτύπων προφίλ τα 3639 έχουν δημιουργηθεί από το
ίδιο άτομο. Η ίδια έρευνα έδειξε ότι το φαινόμενο των
πλαστών προφίλ αφορά όχι μόνο τους διάσημους αλλά εξίσου
και του κοινούς θνητούς .
Με το όρο fake profile εννοούμε ένα λογαριασμός που
δημιουργήθηκε με σκοπό την εξαπάτηση και την δυσφήμηση
Να σημειώσουμε εδώ ότι σε κανένα SNS δεν απαιτείται καμιά
μορφή αυθεντικοποίησης και πιστοποίησης. Κοινώς θα
λέγαμε ότι είσαι ό,τι δηλώσεις. Ένα ψευδής λογαριασμός
μπορεί είτε να αναφέρεται σε ένα φανταστικό πρόσωπο είτε
σε ένα πραγματικό , το τελευταίο είδος λογαριασμού αναφέρτε
στην βιβλιογραφία ως ‘σωσίας’ ( Doppelgänger ).Τέτοια
ύποπτα προφίλ μπορούν να διαγράφουν σήμερα ύστερα από
αναφορά χρηστών .Συνήθως όμως αυτό γίνεται μετά από
αρκετή παρέλευση χρόνου και το κακό έχει ήδη γίνει.
Δυστυχώς τα περισσότερα SNS δεν έχουν αυτόματο εντοπισμό
τέτοιων ψεύτικων λογαριασμών. Υπάρχουν τρία ζητήματα που
προκύπτουν κατά την διαδικασία του αυτόματου εντοπισμού
.
Ποιοι λογαριασμοί είναι ψευδής (fake ) και ποιοι όχι ;
Σε περίπτωση εύρεσης δυο λογαριασμών σωσιών
ποιος από τους δυο ανήκει στον νόμιμο χρήστη και
ποιος στον κακόβουλο ;
Πως μπορούμε να ανιχνεύσουμε στην παραπάνω
περίπτωση την περίπτωση και οι λογαριασμοί να
ανήκουν στο ίδιο χρήστη ( avatar to avatar) .
Για την επίλυση των προβλημάτων αυτών χρησιμοποιήθηκε
η μηχανική μάθηση και η εισαγωγή προηγμένων μεθοδολογιών
που αφορούν την ΄λήψη αποφάσεων μετά την εισαγωγή και
επεξεργασία μεγάλου όγκου πληροφοριών .Οι πληροφορίες
αυτές σχετίζονται με το όνομα του χρήστη ,την τοποθεσία του,
το βιογραφικό του ,την χρονολογία δημιουργίας του προφίλ
,την συμμετοχή του σε ομάδες .Είναι πάρα πολύ δύσκολο να
επαληθεύσεις την ακρίβεια των αποτελεσμάτων των μεθόδων
αυτών διότι θα πρέπει να έρχεσαι σε επικοινωνία με τον
ιδιοκτήτη κάθε λογαριασμού εκτός SNS .Είναι, επίσης, εξίσου
δύσκολο να συλλέξεις αυτά τα δεδομένα από τον προσωπικό
λογαριασμό του κάθε χρήστη, γιατί η συλλογή συγκρούεται με
την Πολιτική απορρήτου και προστασίας δεδομένων
προσωπικού χαρακτήρα. Η έρευνα αυτή [4] έδειξε επίσης ότι
τέτοια φαινόμενα πλαστών λογαριασμών είναι επιβλαβή στους
πραγματικούς χρήστες διότι οι εταιρείες πριν την πρόσληψη .
συλλέγουν στοιχεία για τον υποψήφιο εργαζόμενο από τα SNS.
Σε αντίθεση με την προηγουμένη περίπτωση, όπου ο
επιτιθέμενος χρησιμοποιεί ένα δεύτερο προφίλ , υπάρχει και
η ποιο περίπλοκη περίπτωση ο κακόβουλος χρήστης να
εισβάλει παράνομα στον νόμιμο λογαριασμό του θύματος
μετά από υποκλοπή του password.Αν και ορισμένα SNS όπως
το Facebook στέλνουν ειδοποίηση στον χρήστη ,όταν γίνεται
σύνδεση από άλλη συσκευή και τοποθεσία , αν και υπάρχει
αρχείο καταγραφής δραστηριοτήτων στο λογαριασμό που
βοηθάει να ελέγχει τέτοια θέματα ασφάλειας, υπάρχει το
ενδεχόμενο ο καοήθης χρήστης να εισέλθει παράνομα στο
λογαριασμό του θύματος από μια γνωστή συσκευή .Τέτοια
περίπτωση είναι η χρήση ενός κοινόχρηστου υπολογιστή σε
5. 5
[Type here]
μια εταιρεία ή οργανισμό. Σε αυτήν την περίπτωση δεν
υπάρχει ειδοποίηση από τον πάροχο του SNS .Σε αυτές τις
ιδιαίτερα περίπλοκες περιπτώσεις έρχονται να δώσουν λύσεις
εξελιγμένα συστήματα τεχνητής νοημοσύνης AIS (Artificial
Immune Systems (AIS) [5].Στην επόμενη παράγραφο θα
προσπαθήσουμε να αναπτύξουμε τα κύρια σημεία τέτοιων
συστημάτων (AIS).
Κάθε χρήστης κατά την περιήγηση του στο διαδίκτυο και την
αλληλεπίδραση του με τους άλλους χρήστες αφήνει ίχνη τα
οποία χτίζουν συμπεριφορές .Η μηχανική μάθηση (machine
learning) χρησιμοποιείται για να προσδώσει σε κάθε χρήστη
ένα μοντέλο συμπεριφοράς (vector behaviour) Η
μοντελοποίηση των συμπεριφορών αυτών μπορεί να
προβλέψει με ακρίβεια αν ο χρήστης που χρησιμοποιεί τον
λογαριασμό σε μια χρονική στιγμή είναι ο νόμιμος ή όχι. Τα
δεδομένα που είναι απαραίτητα για τον καθορισμό της
συμπεριφοράς είναι ποικίλα και θα πρέπει να συλλέγονται και
να επεξεργάζονται για πάνω από 6 μήνες έτσι ώστε το μοντέλο
συμπεριφοράς να είναι ακριβής . Τέτοια δεδομένα είναι :
Η τοποθεσία από που έγινε σύνδεση.
Η i.p διεύθυνση που πραγματοποιήθηκε η σύνδεση και ο
πάροχος ISP.
To χρονολόγιο και η διάρκεια των συνδέσεων.
Το είδος του φυλλομετρητή που χρησιμοποιήθηκε .
Η mac address της συσκευής που χρησιμοποιήθηκε κατά
την σύνδεσης .
Το λειτουργικό σύστημα του υπολογιστή .
Στην παράγραφο αυτή θα παρουσιάσουμε άλλη μια
προσέγγιση της αντιμετώπισης των κινδύνων των ψεύτικων
λογαριασμών Το υποτιθέμενο σενάριο είναι ότι νέας
οργανισμός όπως το ΔΙ.ΠΑ.Ε έχει πολλούς λογαριασμούς σε
ένα SNS π.χ. Τμήμα Γεωτεχνικών Επιστημών , Τμήμα
Μηχανικών Πληροφορικής και Ηλεκρονικών Συστημάτων
,Τμήμα γραμματείας κτλ. Ας υποθέσουμε ότι ο ‘Χρήστος’
δημιουργεί ένα ψεύτικο λογαριασμό με τίτλο «ΔΙΠΑΕ Τμήμα
Ευρέσεως Εργασίας » .Οι σπουδαστές του συστήματος
ανυποψίαστοι και καλοπροαίρετοι θεωρούν ότι ο
λογαριασμός είναι έγκυρος .έτσι ο ‘Χρήστος’ υποκλέπτει
ευαίσθητα προσωπικά δεδομένα όπως ΑΦΜ,ΑΜΚΑ , αριθμό
τηλεφώνου , τραπεζικούς λογαριασμούς ,αριθμό ταυτότητας
.Αντιμετώπιση στο παραπάνω σενάριο πλαστοπροσωπίας και
απάτης με την μέθοδο της αλίευσης (Fishing ) δίνει το μοντέλο
TIΑS (Threshold identity authentication signature ) Σχήμα 4 .
Για την υλοποίηση του μοντέλου προτείνονται 3 είδη
λογαριασμών :
1.Οι πιστοποιημένοι λογαριασμοί (trusted ).
2.Oι δευτερεύοντες λογαριασμοί ( subaccount).
3.Οι λογαριασμοί προς επαλήθευση και έλεγχο (verified).
Οι trusted λογαριασμοί πιστοποιούνται από τον πάροχο του
μέσω της μεθόδου two-factor authentication (2FA).Οι
subaccount συνδέονται με τους trusted account αλλά δεν
είναι πιστοποιημένοι από τον πάροχο SNS ..Ενώ οι verified
account θα πρέπει να πιστοποιήσουν την ταυτότητα τους
μέσω των 2 άλλων λογαριασμών Στην δικιά μας περίπτωση
δηλαδή ο ‘Χρήστος’ θα πρέπει να πάρει έγκριση από τους
υπόλοιπους λογαριασμούς του ΔΙ.ΠΑ.Ε. Για την υλοποίηση
αδύτου του μοντέλου χρησιμοποιείται η Τεχνική του
διαμοιρασμού κλειδιών (secret sharing ) και το επίπεδο
κατοχής ομαδικής υπογραφής (threshold group signature ) .
Αρχικά δημιουργείται ένα ιδιωτικό κλειδί της ομάδας που
αποτελείται από τους trusted και subaccount λογαριασμούς
.κάθε μέλος της ομάδας γνωρίζει μόνο ένα τμήμα του
ιδιωτικού κλειδιού της ομάδας και έτσι αυτό δεν μπορεί να
υποκλαπεί .Όταν ένα μέλος της ομάδας κάνει login τότε στο
δημόσιο προφίλ του δημοσιοποιείται μια ψηφιακή υπογραφή
.
Για να προστεθεί ένα καινούργιο μέλος στην ομάδα θα
πρέπει να τον αποδεχτούν η πλειοψηφία των μελών της
ομάδας που βρίσκονται online και σιγουριά όλοι οι trusted
λογαριασμοί. Δηλαδή, ο ελεγχόμενος λογαριασμός θα πρέπει
να μαζέψει «υπογραφείς» από το την πλειοψηφία των μελών
της ομάδας και κατόπιν να συνθέσει τις υπογραφές και με το
master key που θα του δοθεί να πάρει την πιστοποίηση .
Σχήμα 4 Διάγραμμα μοντέλου TIΑS
Με την μέθοδο αυτή η αυθεντικοποίηση γίνεται κατά το
μεγαλύτερο ποσοστό από τους χρήστες ενός κοινωνικού
δικτυού και όχι από τον πάροχο με άμεση συνέπεια την
οικονομικά σε υπολογιστικούς πόρους .
III. CONCLUSION
Η μηχανική μάθηση σε συνδυασμό με συστήματα
τεχνητής νοημοσύνης όπως το Artificial Immune Systems
(AIS) μπορούν να βοηθήσουν ώστε να έχουμε πιο ασφαλή
περιήγηση στο διαδίκτυο και ειδικότερα στα SNS Τα
αποτελέσματα είναι ενθαρρυντικά αλλά απαιτείται χρόνος
ώστε γίνουν πλήρως αξιοποιήσιμα και λειτουργικά. Η
μέθοδος της ψηφιακής λήθης και εξελιγμένα πληροφοριακά
συστήματα όπως το imagtag .βοηθούν έτσι να έχουμε
ασφαλέστερη χρήση και διακίνηση οπτικοακουστικού
υλικού στα SNS Μέχρι τότε οι χρήστες θα πρέπει να
εφαρμόζουν τις παραδοσιακές μεθόδους άμυνας και
προφύλαξης . Η πρόσφατη πανδημία έδειξε ότι τα SNS
6. 6
[Type here]
έχουν πολλές θετικές πλευρές. Η χρήση τους πρέπει να
γίνεται με γνώση Χωρίς την γνώση ακόμα και περιορισμένη
χρήση μπορεί να θέσει σε κίνδυνο τον χρήστη . Η
διευρυμένη κλίμακα των επικοινωνιών και της
αλληλεπίδρασης στο διαδίκτυο μεγεθύνει την δύναμη ενός
ατόμου να κάνει κακό.
REFERENCES
[1] Social network security: Issues, challenges, threats, and
solutions, December, 2017,
https://www.sciencedirect.com/science/article/pii/S00200255173091
06?casa_token=VGLsolS3NtEAAAAA:NCn4wcqcGYpFbjRvbK8XI
KTPqwteprWEG2TNOCacZP0v2QPuTj4VBvg7BejVWdnKh6OhRf
Z-hxs
[2] X-pire 2.0 – A User-Controlled Expiration Date and Copy
Protection Mechanism, March 2014,
https://dl.acm.org/doi/10.1145/2554850.2554856
[3] Threshold identity authentication signature: Impersonation
prevention in social network services, 28 April 2020,
https://onlinelibrary.wiley.com/doi/abs/10.1002/cpe.5787
[4] TheDoppelgänger Bot Attack:Exploring Identity Impersonation
in Online Social Networks, 28 Οκτ 2015,
https://conferences.sigcomm.org/imc/2015/papers/p141.pdf
[5] Detecting Impersonation in Social Network Sites (SNS) Using
Artificial Immune Systems (AIS), April 2018,
https://ieeexplore.ieee.org/document/8479274
[6] https://www.imatag.com/en/home
[7] https://www.openstego.com/
[8]
https://play.google.com/store/apps/details?id=com.dinaga.photose
cret&hl=el
[9] https://sproutsocial.com/insights/new-social-media-
demographics/#FB-demos