פרוייקט באבטחת מידע
DESCRIPTION
פרוייקט באבטחת מידע. RU4Real, Facebook Synthetic Accounts. מגישים: אסף בר אורון ישראלי מנחה: עמיחי שולמן. מטרת הפרויקט. הערכת אחוז המשתמשים הסינטטיים מתוך כלל המשתמשים הרשומים ב- FaceBook. תכנית פעולה. הכרת פייסבוק וממשקי הגישה השונים דרך האתר בגלישה רגילה דרך API שונים - PowerPoint PPT PresentationTRANSCRIPT
פרוייקט באבטחת מידעRU4Real, Facebook Synthetic Accounts
מגישים: אסף בר
אורון ישראלימנחה:
עמיחי שולמן
מטרת הפרויקט
הערכת אחוז המשתמשים הסינטטיים מתוך כללFaceBookהמשתמשים הרשומים ב-
תכנית פעולה
הכרת פייסבוק וממשקי הגישה השוניםדרך האתר בגלישה רגילה דרךAPIשונים
חיפוש דרכי איסוף מידע וניתוחויישום
שלבים
:ניתוח פרופיל משתמש/אפליקציהכמות מידע מינימלית הדרושה לרישום משתמש חדש בפייסבוק
פתיחת חשבון פייסבוק על שםJohn Duan רישום אפליקציה בשםbarr body
לאפליקציה אמורה להיות גישה ליותר מידע על משתמש בפייסבוק:התחברות עם ממשקים שונים
Python, Perl,Graph via Browser,FQL via Browser,Java פתיחת שני חשבונות בו זמנית והשוואתuidים-הרמת שרת לצורך עבודת המשך איסוף פרופילים בעזרת אינומרציה של המשתמשים ודגימה
שלהם באופן ידני.
דו"ח מצב
פתיחת חשבון פייסבוק על שםJohn Duan רישום אפליקציה בשםbarr body
,כרגע לא נראה שיש לאפליקציה יותר הרשאות מכל משתמש אחרלמעט משתמשים אשר הסתכלו על דף האפליקציה
מסקנה: צורך ביצירת אפליקציה או בגישה למידע של אפליקציה"מבוקשת" יותר
:ניסיון התחברות עם ממשקים שוניםPythonהצלחנו להתחבר לפייסבוק אך לא בתור משתמש רשום – Perlאי יכולת להתחבר לפייסבוק על מנת לבצע איסוף מידע – Graph/FQL via Browserקבלת מידע מינימלי באופן ידני – Java אי יכולת למשוך מידע, מעבר למידע הבסיסי, עבור משתמש –
כלשהו
דו"ח מצב
פתיחת שני חשבונות בו זמנית והשוואתuid:ים- מספרי הuid ים רחוקים זה מזה בצורה משמעותית כך שלא-
ניתן להסיק מהם מידע רלוונטי יצירת פרופילים סינטטיים ע"יscript לא תיצור קבוצה של
-ים קרוביםuidמשתמשים "דומים" בעלי :ניסיון ניתוח פרופיל משתמש/אפליקציה
כמות מידע מינימלית הדרושה לרישום משתמש חדשבפייסבוק
שם פרטי, שם משפחה, ד"א, גיל, מין, יום-הולדת וססמא - לאניתן לקבוע לפי מידע זה האם פרופיל הוא סינטטי
ניסיון לבנות פרופיל מידע ממוצע של משתמש בפייסבוקנכשל בשל אי יכולת לאסוף מידע באופן אוטומטי
דו"ח מצב
איסוף פרופילים בעזרת אינומרציה של המשתמשיםודגימה שלהם באופן ידני
-משתמשים8200נאספו לינקים של מעבר ל משתמשים בצורה אקראית50 קבוצות של 2נבחרו בוצע מעבר ידני על הפרופילים בעזרת גלישה בפייסבוק3משתמשים נראו סינטטיים לשנינו על משתמש אחד נוסף אין הסכמה
– פרופילים סינטטיים, רחוק מאוד 3.5%הגענו לכ מהערכות לפי ניתוח חדירות אינטרנט
מאפיינים אפשריים של פרופילים סינטטיים
קליקות – סביר להניח שפרופילים סינטטיים ייצרו קליקות כדילהגדיל את "הפופולריות" שלהם ברשת
גבר/אישה עם תמונה מפתה ורשימת חברים בעלי תמונות בעלותאותו האופי, לדוגמא:
פטרסון אדם תמי טמיר
משתמשים שמבצעים הרבה לייקים ומשתפים הרבה לינקים בחודש משתמשים שתמונת הפרופיל שלהם זהה לתמונה של משתמש
אחר, ניסיון ניתוח בעזרת גוגל
מאפיינים אפשריים של פרופילים סינטטיים
דומגא לפרופיל סינטטי "שמציק" למשתמשים אמיתיים ע"ידחיפת פרסומות שונות
מסקנות והצעות להמשך
,רוב הממשקים של פייסבוק הנמצאים ברשת אינם עובדיםמבין אלו שעובדים המידע הנגיש מוגבל ביותר, אפילו אם מדובר
בחבר של המשתמש הנוכחילאפליקציה יש גישה רחבה יותר למידע
משתמש שרק יסתכל על דף הבית יחשוף מידע שנשאר חסוי עבור משתמש אחר, כגוןרשימת חברים
משתמש שמאשר את האפליקציה יחשוף את כל המידע שלוכיוון אפשרי להמשך – כתיבת אפליקציה "מעניינת" שיסתכלו עליה
Crawler המידע של משתמש חשוף יותר בגלישה רגילה ותלוי – בעיקר בהגדרות הפרטיות של המשתמש
או שימוש באחד קיים לצורך Crawlerכיוון אפשרי להמשך – כתיבת איסוף מידע
כיוון אפשרי להמשך – גלישה ידנית למספר רב של משתמשים ובחינהשל הפרופילים – למשל, אחוז לייקים ולינקים במהלך חודש פעילות