在雅虎等门户网站一统互联网时，人们以为门户网站就是互联网的霸主;然而Google、百度等搜索引擎的出现改变了这一观点，互联网进入了搜索时代;但搜索引擎也不是主宰互联网的霸主，MySpace、Facebook等SNS（Social Network Service）社交网站的兴起，使网民们看到了另一种网络生活方式。在国外的MySpace、Facebook是广受热捧，而国内的校内、51、开心等SNS网站也是风起云涌，互联网已进入了全民SNS时代。

但是新的网络时代也带来了新的网络安全危机，而且，这危机和以往面临的情况还有所不同。就在人们兴奋地在SNS网站上结交好友时，他们也已经把自己暴露在众多安全隐患之中，这隐患不仅包括由于各种SNS应用带来的更为复杂的病毒、木马等网络威胁，还有隐私泄露带来的更为严重的威胁……

SNS网站的安全漏洞

首先是SNS网站本身的安全漏洞问题。每个网站或多或少都有一些漏洞，安全专家在今年 6月就披露了MySpace站点上的一些安全漏洞，比如没有管理权限的MySpace用户可以随意删除MySpace群公告，非好友群成员也可以在该群中发表和删除话题，被好友群禁止的用户仍然可以在该群中发言等。而Facebook则更为夸张，该网站的首页源代码直接被人曝光在了互联网上。

人们在SNS网站上结交朋友，表现自己，同时也同朋友分享大量图片、视频、Mp3音乐文件或者Flash等，然而这些很可能被别有用心的黑客用来散播病毒。前不久，微软的一个新图片漏洞就被黑客用来进行传播木马，同样的，黑客还可以编制出带有恶意程序的视频、音乐文件或者Flash小游戏来。还有更为直接的，一些SNS网站上，用户可以编写自己的网页或者Html代码，这使得黑客制造出含有病毒、木马的网页更为容易得多。黑客可以借用当前热门的话题，比如最近的“东楼kappa女”，黑客将恶意代码添加到一个伪装成关于该事件的图片、视频或者网页中，由于SNS的交互性，传播起来就会很快。另外，SNS网站同样无法避免固有的浏览器安全漏洞问题。尽管这些都是第三方软件的漏洞，并非SNS网站本身的漏洞，但由于SNS网站上与这些软件相关的应用会更多一些，因而受影响也会更大。

SNS网站使用的各种新技术也带来了新的安全问题。比如和SNS网站的兴起分不开的AJAX （Asynchronous JavaScript and XML）技术，它是一种为使网页更趋近于应用程序而产生的技术，通过这一技术可以创建更炫更具互动性的网络应用。虽然这一技术本身并没有多少漏洞，但是因为它实际上是结合了多种不断改良的语言，这为黑客创造出更广泛的攻击面，增加了原有的一些问题发生的可能性。这其中最主要的比如XSS跨站脚本攻击（cross-site scripting），2007年12月，Google的Orkut社交网站就遭到这一攻击方式，成千上万会员的资料档案被感染。目前，XSS跨站脚本攻击网站最主要的安全漏洞，大约有70%的网站都存在跨站脚本攻击。另一个是CSRF跨站请求伪造（Cross-site request forgery，也称XSRF），这是仅次于XSS跨站脚本攻击的第二大安全漏洞。黑客使用CSRF 能轻易迫使用户的浏览器发送隐藏的HTTP请求，例如欺诈的网络传输请求，这可以改变用户的密码以及下载恶意文件。

此外，SNS网站还可能导致DDoS（分布式拒绝服务攻击）攻击。若受感染的数万、数十万 PC在浏览一幅经过恶意构造的图片之后，向某一特定目标发起类似Slow SQL Connection 的请求，从而就会形成来自于SNS的分布式拒绝服务攻击。

SNS网站成攻击目标

但SNS网站存在的这些问题并不是关键，最严重的危险是随着SNS网站的火爆，众多网络犯罪分子已瞄准了这一目标。2008年5月，俄罗斯最受欢迎的社交网站，拥有逾1200万名会员的Vkontakte，就遭到一个通过系统散播的蠕虫攻击，将硬盘的档案全部删除。

不过像上面这样删除档案的直接针对网站恶意攻击还是少数，在当前以牟谋经济利益为目标的网络犯罪行为下，人们面临的更多的是以盗取个人信息为目的个性化攻击。网络罪犯们正越来越多地采用社会工程技术，利用人性的弱点来获得最大利润，而SNS网站的互动特性使得使用者更容易遭受社交工程技巧的攻击。

迈克菲就在近日一份安全报告中指出，越来越多的用户在网络上发布自己的个人信息，而且用户生成的应用程序数量也在不断增加，这便给网络罪犯利用社会网络站点上的信息和漏洞进行攻击带来了机会。而且，由于网络罪犯的攻击越来越缜密和个性化，迈克菲预计，对于此类攻击，用户将完全无法警戒。

网络骗子们正在利用人的情感和好奇心来尝试引诱受害者并盗窃个人信息，他们利用网络钓鱼、电子邮件等各种手段在SNS网站上引诱用户上钩。2008年5月，有一封“419国际骗局”型邮件通过商务社交网站LinkedIn发出，寄件者自称是居住在象牙海岸的22岁女孩，她的已故父亲留给她6500万元的遗产。然后寄件者称想把这笔财产转移到国外户口，需要你的帮助，并会付给你大笔佣金，但需要你要先汇一笔小钱支付相关费用。很多网站用户都收到了这一邮件，其中一些相信了其中的内容，最终上当受骗。

McAfee Avert Labs的高级副总裁Jeff Green表示：“网络罪犯正在制造计算机用户无法识别的攻击。钓鱼欺诈、电子邮件攻击、木马和很多其它攻击方式都是针对个人，即使最富经验的人也可能落入精心策划的社会工程陷阱中。不管您住在哪里或说何种语言，网络骗子都能利用人的本性，如恐惧、好奇心、贪婪和同情心等。罪犯了解人的弱点，并通过互联网大加利用这些弱点。对于网络骗子来说，利用这种方式赚钱或窃取敏感数据非常容易。”

隐私泄露的危机

SNS网站带来的另一个重要的问题是个人隐私泄露的问题。SNS网站给了用户结交朋友，表现自我的机会，但同时也带来了隐私泄露的威胁。

很多SNS网站都采用实名制，或者至少鼓励实名制，于是不少用户在网站资料都填写了自己的真实身份资料，包括真实的姓名、生日、电话、地址等在内的隐私信息，这些隐私信息的泄露可能给用户带来很多麻烦，僻如垃圾广告的骚扰，甚至还被一些别有用心的人加以利用，比如冒用身份进行欺诈。

而这些隐私的泄露有很多途径，首先是SNS网站可能将其出卖给广告商。此前加拿大渥太华大学四名法律系学生就起诉社交网站Facebook在未征得其同意的情况下，把个人资料披露予各广告商。另一些隐私泄露的问题则来自SNS网站本身的漏洞，比如此前Facebook 在测试新的网站用户界面时，其中一个漏洞导致网站8000万用户的生日信息被泄露。另外一个原因则是一些SNS网站隐私规则的缺陷，使得用户的隐私信息能够轻易被他人获知。尽管目前很多SNS网站的都提供了相当完善的隐私保护功能，但事实上多数用户却并不知道如何利用这些功能来对自己的身份信息进行保护。此外，SNS网站大量的用户资料，已成为很多网络犯罪者觊觎的目标。数月前，加拿大一家色情网站就承认入侵了Facebook网站的服务器，以窃取用户的个人资料。

用户在SNS网站上发布的日志、照片等相关信息则暴露出了更多的隐私，这些资料的泄露可能带来很多麻烦，比如遭受人肉搜索、网络暴力，甚至还会给自己带来人身安全威胁。上个月，美国芝加哥一名25岁的男子被判了35年监禁，罪名就是在Facebook网站勾引未成年少女，并利用威逼等手段迫使多名未成年少女和自己发生性关系。

<--/iTingWangTag:content-->