Online social networks from a malicious perspective: novel attack techniques and defense mechanisms

Abstract

Social networking services have become the most popular digital services, occupying themajority of the time users spend online. These services have greatly evolved from the firstgeneration of social networks, and offer an expansive set of functionality ranging from userinteraction and content sharing, to online gaming and single sign-on services. These serviceshave inadvertently and irrevocably affected the World Wide Web, and forever altered thenotion of privacy in the digital era. A natural consequence of their popularity was to alsodraw the attention of the Internet miscreants that target users for profit.The vast amounts of personal information and interests that users divulge in these services,along with the high amount of trust users implicitly show to communication received withinsuch networks, has rendered online social networks the ideal springboard for deploying highlyprofitablepersonalized attacks. Attacks in social networks can build upon the expertise ofmore traditional attack vectors (e.g., email spam) and also incorporate novel techniques forcreating complex and intricate attacks. The ever-evolving nature of these networks and thecontinuous incorporation of novel functionality introduces new design vulnerabilities whichcan be exploited by adversaries.Security research in social networks mandates that researchers assume the role of theadversary when exploring the security aspects of these services. Their proprietary naturerestricts their deployment in the controlled environment of a laboratory, and may requirea black-box testing approach as their internal mechanisms are often unknown. As such,researchers must interact with the actual services and their users. Only then will they be ableto “anticipate” techniques that adversaries may employ in the future, and develop effectivedefense mechanisms that will hinder the actual attacks.The dissertation demonstrates that by misusing functionality found in various onlineservices and social networks, one can build and deploy effective novel attacks. The resultsof the practical experiments reveal the vulnerable design of existing defense mechanismsemployed by social networks and their inability to protect their assets from adversaries. Thecharacteristics of the attack techniques and the outcome of the experiments guide the designand implementation of new defense mechanisms.Specifically, we identify the following resources as the “assets” of social networking services,which should be protected against adversaries: (i) user information, (ii) user accounts and(iii) user actions. We assume the role of the attacker and deploy attacks that bypass anymechanisms (if any) designed to protect each type of asset. First, we explore various techniquesfor harvesting and correlating (personal) user information that can be used for craftingpersonalized attacks. Next, we demonstrate the effectiveness of automated attacks againphoto-based authentication mechanisms designed to hinder adversaries from compromisinguser accounts. Finally, we conduct extensive experiments to explore the defense mechanismsdeployed by social networks to detect and remove actions by malicious users in regards tolocation-based functionality. In each case, based on the insight gained from the experimentswe design mechanisms for mitigating or (if possible) preventing these novel attacks.

Οι υπηρεσίες κοινωνικής δικτύωσης αποτελούν τις πιο δηµοφιλείς ψηφιακές υπηρεσίες, καταλαµβάνονταςτην πλειοψηφία του χρόνου που ξοδεύουν οι χρήστες στο Διαδίκτυο. Αυτές οι υπηρεσίες έχουν εξελιχθεί σηµαντικάαπο την µορφή που κατείχε η πρώτη γενιά τους, και προσφέρουν µια εκτενής συλλογή λειτουργιών όπωςαλληλεπίδραση µεταξύ χρηστών, ανταλλαγή περιεχοµένου, διαδικτυακά παιχνίδια και υπηρεσίες καθολικήςσύνδεσης (single sign on). Αυτές οι υπηρεσίες έχουν πολύ σηµαντική επίδραση στο Διαδίκτυο, και έχουνµεταβάλλει αµετάκλητα την έννοια της ιδιωτικότητας στην ψηφιακή εποχή. Ένα φυσικό επακόλουθο τηςδηµοτικότητας τους είναι και η στοχοποίηση τους απο κακόβουλους χρήστες µε σκοπό το κέρδος.Η τεράστια συλλογή προσωπικών δεδοµένων και ενδιαφερόντων των χρηστών που έχουν συλλέξει αυτές οιυπηρεσίες, καθώς και η εµπιστοσύνη που δείχνουν οι χρήστες στα µηνύµατα που λαµβάνουν απο άλλους χρήστεςαυτών των υπηρεσιών, καταστούν τις υπηρεσίες κοικωνικής δικτύωσης ιδανικό εφαλτήριο για την µετάδοσηκερδοφόρων εξατοµικευµένων επιθέσεων. Οι επιθέσεις σε αυτά τα δίκτυα µπορούν να βασιστούν στηνπραγµατογνωµοσύνη επιθέσεων απο πιο.παραδοσιακά µέσα (π.χ., spam στο ηλεκτρονικό ταχυδροµείο), και ναενσωµατώσουν νέες τεχνικές για την δηµιουργία σύνθετων και πολύπλοκων επιθέσεων. Η διαρκής εξέλιξη αυτώντων υπηρεσιών και η συνεχής ενσωµάτωση νέων λειτουργιών εισάγει νέες ευπάθειες (vulnerabilities) που µπορούννα εκµεταλλευθούν οι επιτιθέµενοι.Η έρευνα για την ασφάλεια σε υπηρεσίες κοινωνικής δικτύωσης επιβάλλει µια επιθετική προσέγγιση όπου οιερευνητές “αναλαµβάνουν το ρόλο” του επιτιθέµενου όταν εξερευνούν τα αµυντικά µέσα αυτών των υπηρεσιών. H“κλειστή” (proprietary) φύση τους περιορίζει την εκτέλεση τους στα ελεγχόµενα πλαίσια ενος εργαστηρίου, καιαπαιτεί µια black-box προσέγγιση καθώς οι εσωτερικοί µηχανισµοί τους είναι άγνωστοι. Αυτό έχει ως αποτέλεσµαοι ερευνητές να πρέπει να αλληλεπιδρούν µε τις πραγµατικές υπηρεσίες και τους χρήστες τους. Μόνο τότε µπορούννα προβλέψουν τεχνικές που µπορεί να υιοθετήσουν µελλοντικά οι επιτιθέµενοι, και να αναπτύξουναποτελεσµατικές αµυντικές τεχνικές που θα εµποδίσουν τις πραγµατικές επιθέσεις.Σε αυτή την εργασία επιδεικνύουµε οτι µε την χρήση λειτουργιών απο διάφορες ηλεκτρονικές υπηρεσίες µετρόπους για τους οποίους δεν έχουν σχεδιαστεί, µπορούµε να “χτίσουµε” και να εξαπολύσουµε καινοτόµεςεπιθέσεις. Τα αποτελέσµατα απο τα πειράµατα µας αποκαλύπτουν τον ευπαθή σχεδιασµό των υπάρχοντωναµυντικών µηχανισµών που χρησιµοποιούν οι υπηρεσίες κοινωνικής δικτύωσης, και την αδυναµία τους ναπροστατέψουν τα κεφάλαια τους απο τους επιτιθέµενους. Τα χαρακτηριστικά των.επιθέσεων µας και ταπειραµατικά αποτελέσµατα µας, καθοδηγούν τον σχδιασµό και την υλοποίηση καινοτόµων αµυντικών µηχανισµών.Προσδιορίζουµε τα εξής στοιχεία ως κεφάλαια για τις υπηρεσίες κοινωνικής δικτύωσης που πρέπει ναπροστατεύονται απο κακόβουλους χρήστες: (i) οι πληροφορίες των χρηστών, (ii) οι λογαριασµοί (accounts) τωνχρηστών και (iii) οι ενέργειες των χρηστών. Αναλαµβάνουµε τον ρόλο του επιτιθέµενου και εξαπολύουµε επιθέσειςπου παρακάµπτουν τους αµυντικούς µηχανισµούς (αν υπάρχουν) που έχουν ως σκοπό να προστατεύουν αυτά τακεφάλαια. Πρώτα εξερευνούµε διάφορες τεχνικές για συλλογή και συσχετισµό.προσωπικών δεδοµένων χρηστώνπου µπορούν να χρησιµοποιηθούν για εξατοµικευµένες επιθέσεις. Στη συνέχεια, επιδεικνύουµε τηναποτελεσµατικότητα των επιθέσεων ενάντια σε µηχανισµούς πιστοποίησης χρηστών που χρησιµοποιούνφωτογραφίες. Τέλος, διεξάγουµε εκτενή πειράµατα για να εξερευνήσουµε τους αµυντικούς µηχανισµούςυπηρεσιών κοινωνικής δικτύωσης για την ανίχνευση ενεργειών απο κακόβουλους χρήστες.που κάνουν χρήσηλειτουργιών που βασίζονται στην γεωγραφική θέση του χρήστη. Σε κάθε περίπτωση βασιζόµενοι στα πειραµατικάµας αποτελέσµατα, σχεδιάζουµε µηχανισµούς για την µείωση ή πρόληψη (αν είναι εφικτό) των επιθέσεων µας.