安全技术- 社交网络SNS的病毒  作者：肖新光

社交网络SNS的“病毒”式营销对于广大用户并不陌生，近期则有泛滥的趋势。在过去的这两周内，同事的信箱内竟然收到了上百封来自同一家社交网络SNS新贵的邀请邮件，当然邮件邀请者都在他联络人名单之内。而一个以看看是否有人盗用你的MSN为名义，让你输入用户名、口令，再利用这一信息去登录，然后向你的好友传播自身URL的恶意网站，就是一个这样简单的社会工程陷阱，我周围也有不少人中招，更为有些令人忍俊不禁的是，中招者中有一半是信息安全工作者。

表面上，SNS的“病毒”式营销仅仅是一种传播手段而已，无需恐慌。然而却让人不得不警觉。

其一，加入该社交网络SNS的好友中不乏IT专家、高手、精英甚至是黑客，难道大家都心甘情愿的将自己的隐私信息提交给该网站么？这就不可避免的形成了一个社交信息黑洞，其毫不矜持的吞噬着巨大的信息，并以其实现价值；

其二，随着社交网络SNS的插件化、平台化以及开放化，漏洞也日趋增加。尤其是以XSS&CSRF漏洞为主。例如：上月捕获的Networm.Win32.Koobface.a/b就分别以MySpace以及Facebook用户为目标，发送垃圾邮件并诱使用户下载并执行恶意程序。

其三，受感染的数万、数十万PC在浏览一幅经过恶意构造的图片之后，向某一特定目标发起类似Slow SQL Connection的请求，从而形成来自于SNS的分布式拒绝服务攻击。

作为信息安全从业人员，如何应对这一即将到来的SNS威胁呢？究其根本，社交网络SNS以Web为载体，大量采用Ajax、xml、JavaScript等交互性较强的技术，因此首要针对此类网站以及技术进行必要的常态安全研究与跟踪；其次，尽可能的推广安全意识宣传，我们不应该忽视社交网络SNS所泄露出去的种种信息。
毕竟，社交网络SNS信息的泄露与传统恶意代码所造成的信息泄露，从本质上来说，同样具有巨大危害的。甚至，这是一头还没有彻底苏醒的怪兽。