Høsten i fjor forårsaket skandalen rundt Tory MP, Brooks Newmark, at kontroversen over bruken av sosiale medier ble tilintetgjort. Den uheldige Mr Newmark, som trodde han snakket med en 21-åring, kalt Sophie over Twitter, var faktisk å dele uhyggelige bilder med en mannlig Sunday Mirror-reporter.

Var han et offer for inntrapping eller en fyr fanget opptrer duplicitously? Juryen er fortsatt ute på den ene. Men en ting er sikkert: sosiale medier blir nå brukt på mange forskjellige måter.

Ta for eksempel informasjonssikkerhet. Mange bedrifter overvåker nettverksaktivitet og skanner e-post for ondsinnede vedlegg. Men angrep fortsetter å gå gjennom nettet, med phishing-e-post er en av de vanligste angrepsmåtene.

Phishing-svindel lokker brukere til å klikke på en mistenkelig lenke, eller åpne en uklart navngitt fil sendt i en e-post. Brukeren gjør hva angriperen håpet, åpner e-post eller klikk på koblingen, og drepkjeden starter, og etablerer en bakdør i bedriftsnettverket. Voila, angriperen har nå tilgang til det interne nettverket og kan begynne å eskalere tilgangsrettigheter for å komme til virkelig sensitive data.

Omvendt psykologi

Men hva skjer når du reverserer psykologien til dette angrepet? Nå har e-postkontoen blitt bevisst opprettet og satt opp på domenet ditt bare for å overvåke angriperne. E-postbrukeren er en falsk enhet, og du vet at enhver kommunikasjon som sendes til den e-postadressen, bør betraktes som enten søppelpost eller et ondsinnet angrep. I stedet for å bli kompromittert, har du nå tatt et skadelig programvareprøve, og kan umiddelbart begynne å lete etter andre forekomster av lignende innhold sendt til andre i din virksomhet. Din hendelsesdeteksjon og responsstilling forbedrer enormt.

Ved å bruke falske e-postkontoer, er det mulig å skape en kilde til DIY-trussel intelligens som er i stand til å overvåke for mistenkte e-postmeldinger i sanntid. Men vi må gi e-postbrukeren en overbevisende identitet som vil appellere til hackeren.

Flertallet av målrettede angrep starter med et speilfiskeangrep. Slike angrep inneholder en varierende kvalitet på forskning og profilering, ansatt av angriperen for å finne passende kandidater til å målrette seg innenfor organisasjonen. Facebook, Google, LinkedIn og andre medier er trawled for informasjon og kanskje en liten sosialteknikk er ansatt, med angriperen snooping eller ringe resepsjonisten for å finne ut hvilke ansatte som er verdt å målrette mot. (Det er derfor du burde instruere administrativt personale, aldri å gi navn eller kontaktinformasjon).

Ved å sosialt sosiale nettverk med regelmessig oppdaterte profiler, er det mulig å gi våre falske medarbeidere reelle identiteter. Denne teknikken tillater oss å lage det som er kjent i sikkerhetssirkler som en "honeynet". Ideen er basert på et konsept som først ble utviklet av Clifford Stoll tidlig på 1980-tallet og dokumentert i 'The Cuckoo's Egg'. Stoll var den første personen som fanget og dokumentert hacking, noe som førte til overbevisning av hacker Markus Hess, en KGB-spion som stjal amerikanske militære etterretninger.

  • Hvordan sikkerhetstrusselskapet forbereder seg for 2015

Juicy agn

Når du lager en honeynet, tenk på innhold som ville være attraktivt for angriperen. Hva gjør du? Hvilken intellektuell eiendom har du? Hva med uutleide bedriftsdata? Kundedatabaser? Kredittkort data? Gjør de falske rollene relevante for innholdet. Nye forretter er perfekte kanonfôr til en spydfiskekampanje fordi de ikke er kjent med interne prosesser, har nok ikke hatt sikkerhetsproduksjoner ennå, og føler seg nervøse for å snakke eller bli sparket i tilfelle å gjøre noe dumt på skrivebordet.

Personale med tilgang til andre ressurser, muligens med hevede privilegier, men som kanskje ikke er mistenkelige eller klar over angrep, gjør også ideelle falske identiteter. Jo mer ekte forbindelser de har, desto mer plausible er de som ekte mennesker. Derfor er det mer sannsynlig at de skal være mottakere av målrettet malware og jo mer nyttig trussel intelligensen vi mottar.

Opprettholde flere distinkte sosiale medierprofiler og få dem til å virke ekte kan beskattes. Twitter-roboter ville være den ideelle ruten for å fylle sine Twitter-profiler med innhold som vises fersk, men det er alltid en risiko: hvis det er for automatisert, blir det tydelig at profilen er falsk.

Så det er der et interessant papir som dukket opp i fjor, kan hjelpe. Forfatterne til en algoritme ringte Bot eller Ikke? har gitt ut et verktøy som prøver å avgjøre om et Twitter-håndtak er ekte. Ved å bruke verktøyet for å finne ut om bot innholdet vi bruker for å fylle ut en profil er detekterbart eller ikke, kan vi avgjøre om det går for en bona fide ansatt.

Offentlig tjeneste

Ved hjelp av denne honeynet blir det da mulig å se etter lignende mønstre på postlogger. Det er også mulig å reversere malwareprogrammet, og finne ut hvor forbindelsen går tilbake til. Hent en prøve- og destinasjons-IP-adresse og last den opp på et nettsted som VirusTotal eller lignende, og du kan bare redde noen andre fra å bli kompromittert også.

Så er sosial mediaforening etisk? Jeg tror det er avhengig av motivet og hva fasaden har til hensikt å bevise. Hvis honeynet forhindrer et angrep på virksomheten, offentliggjør en mulig utnytte, og hindrer hackere, virker det både etisk og tilrådelig for meg. Og jeg er ganske sikker på at Clifford Stoll ville godkjenne.

  • Ken Munro er senior partner hos Pen Test Partners LLP