Análise de Mensagens de Segurança Postadas no Twitter

Análise de Mensagens de Segurança Postadas no Twitter

Autores:

Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo, Daniel Macêdo Batista e Marco Aurélio Gerosa foi licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não Adaptada.

Luiz Arthur F. [email protected]

Rodrigo [email protected]

Daniel Macêdo [email protected]

Marco Aurélio [email protected]

Introdução:

● Problema de pesquisa:

Demora na propagação de informação de novas ameaças (Vulnerabilidades dia zero).

Aplicativos especializados não são totalmente eficazes contra novas ameaças.

● Possíveis soluções:

O problema pode ser amenizado por meio da propagação rápida de alertas.

Uso de redes sociais.

2

Objetivo:

Analisar um conjunto de mensagens do Twitter para verificar se as mensagens ajudam na identificação e alerta antecipado de possíveis problemas de segurança.

Contribuições:

Confirmação de colaboração em redes sociais em relação à segurança computacional.

Caracterização das mensagens de segurança.

3

Hipóteses:

H1 - Há informações sobre segurança de computadores nas mensagens do Twitter.

H2 - As mensagens do Twitter com conteúdo sobre segurança indicam ameaças potenciais.

H3 - O Twitter informa antes de sítios especializados os problemas relacionados à segurança da informação.

H4 - Os usuários no Twitter se preocupam em alertar outros usuários sobre problemas de segurança.

4

Comparar os tweets com as notíciasdos sítios para constatar se o tweet

é importante

Tweettweet

TWEETTwEet

TwitterObter tweetsSegurança

IndexarLucene

Agrupar porSimilaridade

Gerar listatweets maisrelevantes

Sítios Segurança

Obter notíciasSegurança

IndexarLucene

<html...Notícia/html>

TweetTWEET

Obter tweetsSegurança

IndexarLucene



Tweets considerados importantes

Internet

Notíciassegurançade sítios

especializadosTweets

relevantes

1

3

2

4

Métodos:

5


é importante

Tweettweet

TWEETTwEet


IndexarLucene



Sítios Segurança


IndexarLucene


TweetTWEET


IndexarLucene




Internet



relevantes

1

3

2

4

Métodos:

6

1. Obter tweets

a. … Problema X …b. ...PROBLEMA Y … http...c. ... Problema … X … http...d. Ameaça Y ... #viruse. … @user … Problema X …f. Novo Malware Z...g. X Solução... http

Buscas no intervalo de 1 minuto durante 21 dias:

security AND (virus OR worm OR attack OR intrusion OR invasion OR ddos OR hacker OR cracker OR exploit OR malware)


é importante

Tweettweet

TWEETTwEet


IndexarLucene



Sítios Segurança


IndexarLucene


TweetTWEET


IndexarLucene




Internet



relevantes

1

3

2

4

Métodos:

7

Tweettweet

TWEETTwEet

1. Obter tweets


3. Similaridade e agrupamento

1a. … Problema X …1c. ... Problema … X … http...1e. … @user … Problema X …

2d. Ameaça Y ... #virus2b. ...PROBLEMA Y … http...

3f. Novo Malware Z...

4g. X Solução... httpGrau de similaridade:

0,5 – tweets com tweets


é importante

Tweettweet

TWEETTwEet


IndexarLucene



Sítios Segurança


IndexarLucene


TweetTWEET


IndexarLucene




Internet



relevantes

1

3

2

4

Métodos:

8

2. Obter Feeds

a. Problema X... novo exploit...b. Problema Z...

Buscas durante 2 meses utilizando 30 websites

de segurança.

Também foi utilizado um web crawler.





4g. X Solução... http

1. Obter tweets



é importante

Tweettweet

TWEETTwEet


IndexarLucene



Sítios Segurança


IndexarLucene


TweetTWEET


IndexarLucene




Internet



relevantes

1

3

2

4

Métodos:

9

2. Obter Feeds

a. Problema X... novo exploit...b. Problema Z...





4g. X Solução... http

4. Mensagens Importantes

1a. … Problema X …


Grau de similaridade:0,2 – notícias com tweets

1. Obter tweets


Coleta de Dados:

Twitter - Dados coletados de 28/04/2012 a 19/05/2012

Feeds - Dados coletados de 01/04/2012 a 30/05/2012

10

Busca tweets usuários com link # @

Vírus (pt) 223 198 177 46 96

Vírus (eng) 2.070 1.473 1.690 587 452

Termos (pt) 817 666 708 161 400

Termos (eng) 11.492 7.710 10.104 4.218 4.109

Total* 12.309 8.376 10.812 4.379 4.509

Total Ausência de Descrição Ausência de data

Feeds 3.988 31 121

* Termos (pt) e Termos (eng)

Coleta de Dados:

Twitter - Dados coletados de 28/04/2012 a 19/05/2012

Feeds - Dados coletados de 01/04/2012 a 30/05/2012

11

Busca tweets usuários com link # @

Vírus (pt) 223 198 177 46 96

Vírus (eng) 2.070 1.473 1.690 587 452

Termos (pt) 817 666 708 161 400

Termos (eng) 11.492 7.710 10.104 4.218 4.109

Total* 12.309 8.376 10.812 4.379 4.509

Total Ausência de Descrição Ausência de data

Feeds 3.988 31 121

~38 msg/dia

~547 msg/dia~88%

* Termos (pt) e Termos (eng)

Análise dos Dados:

Palavras mais usadas pelos tweets de segurança

12

Português Inglês Principais Termos

Qtd Termos Qtd Termos Qtd Termos

219 hacker 3.459 malware 704 cyber

147 vírus 3.078 attack 702 infosec

120 invasão 1.392 hacker 590 anti

108 malware 1.188 exploit 550 android

95 ataque 1.076 virus 457 apple/flash

Análise dos Dados:

Palavras mais usadas pelos tweets de segurança

13

Português Inglês Principais Termos

Qtd Termos Qtd Termos Qtd Termos

219 hacker 3.459 malware 704 cyber

147 vírus 3.078 attack 702 infosec

120 invasão 1.392 hacker 590 anti

108 malware 1.188 exploit 550 android

95 ataque 1.076 virus 457 apple/flash

Análise dos Dados:

Amostra de tweets relevantes (Inglês):

14

Pos tweets Trechos da Mensagem

1 347 ...Religious Sites Carry More Malware Than Porn Sites...

2 266 Adobe releases Flash exploit. Update yours now!...

3 263 ...ARE WE PREPARED FOR CYBERWAR?...

4 229 Adobe issues security update for Flash player, warns...IE exploit...

5 205 Flashback malware exposes big gaps in Apple...10 134 About AVG...Anti-Virus Software...24 84 Android Trojan copies PC drive-by malware attack...32 61 Obama Defends Attack On Romney...

278 10 ...Ancient Microsoft Word malware threat returns...

Análise dos Dados:

Amostra de tweets relevantes (Inglês):

15

Pos tweets Trechos da Mensagem

1 347 ...Religious Sites Carry More Malware Than Porn Sites...

2 266 Adobe releases Flash exploit. Update yours now!...

3 263 ...ARE WE PREPARED FOR CYBERWAR?...

4 229 Adobe issues security update for Flash player, warns...IE exploit...

5 205 Flashback malware exposes big gaps in Apple...10 134 About AVG...Anti-Virus Software...24 84 Android Trojan copies PC drive-by malware attack...32 61 Obama Defends Attack On Romney...

278 10 ...Ancient Microsoft Word malware threat returns...

Análise dos Dados:

Classificação dos tweets após agrupamento

16

Tweets* Similaridade Alta** Similaridade Baixa**

Importantes 119 69 50

Irrelevantes 88 31 57

Spams 30 15 15

Outros 41 8 33

Total 278 123 155

* Classificação manual.** Correlação com os feeds.

Análise dos Dados:


17




Spams 30 15 15

Outros 41 8 33

Total 278 123 155

~74% relacionados com segurança

~26% fora de contexto


Análise dos Dados:


18




Spams 30 15 15

Outros 41 8 33

Total 278 123 155

~74% relacionados com segurança


~26% fora de contexto

~43% sãoAlertas

Análise dos Dados:

● Avaliação dos Procedimentos:

Seleção aleatória de 60 amostras de 278 tweets.

Comparação direta com feeds e busca Web.

Resultados:➢ 62% alertas de segurança.➢ 22% irrelevantes.➢ 10% spams.➢ 7% informações relacionadas com segurança.

19

Avaliação das Hipóteses:

● H1 - Há informações sobre segurança de computadores nas mensagens do Twitter:

12.309 tweets em 21 dias, média de 586 tweets por dia.

75% tweets abordam assuntos de segurança.

H2 - As mensagens do Twitter com conteúdo sobre segurança indicam ameaças potenciais:

42% tweets se relacionam com alertas de segurança.

20





H2 - As mensagens do Twitter com conteúdo sobre segurança indicam ameaças potenciais:


21





● H2 - As mensagens do Twitter com conteúdo sobre segurança indicam ameaças potenciais:


22





● H2 - As mensagens do Twitter com conteúdo sobre segurança indicam ameaças potenciais:

42% dos tweets se relacionam com alertas de segurança.

23


● H3 - O Twitter informa antes de sítios especializados os problemas relacionados à segurança da informação:

45% dos tweets apresentam data mais recente. Exemplo:

PHP-CGI query string parameter vulnerability

Publicada em 03/05/2012 no CERT.

Postada no Twitter em 04/05/2012.

Catalogada no NIST em 11/05/2012.

24


● H3 - O Twitter informa antes de sítios especializados os problemas relacionados à segurança da informação:

45% dos tweets apresentam data mais recente.

Exemplo:

PHP-CGI query string parameter vulnerability

➢ Publicada em 03/05/2012 no CERT.➢ Postada no Twitter em 04/05/2012.➢ Catalogada no NIST em 11/05/2012.

25


● H4 - Os usuários no Twitter se preocupam em alertar outros usuários sobre problemas de segurança:

Tempo médio de propagação 12 dias.Uma mensagem com 10 retweets atinge ~10.000 usuários.A mensagem mais propagada atingiu ~347.000 pessoas.

26



27



28

Tempo médio de propagação, 12 dias.10 retweets atingem ~10.000 usuários.A mensagem mais propagada atingiu ~347.000 pessoas.

Considerações Finais:

● Dificuldades para selecionar tweets (conteúdo e tamanho).

● Redes sociais propagam alertas de segurança.

● Os alertas alcançam alta e rápida disseminação.

29

Trabalhos futuros:

● Efetuar novas consultas usando outros termos da área de segurança.

● Melhorar o filtro para spams e de mensagens fora de contexto.

● Avaliação de alertas de segurança em outras redes sociais.

● Desenvolver um sistema automatizado de alertas antecipados de segurança baseado em redes sociais.

30

31

Luiz Arthur F. Santos

[email protected]

Rodrigo Campiolo

[email protected]

Daniel Macêdo Batista

[email protected]

Marco Aurélio Gerosa

[email protected]

Obrigado!

Perguntas?

Technology

Análise de Mensagens de Segurança Postadas no Twitter