Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Agradecimentos
À minha família, em especial aos meus pais, Luís Freitas e Angelina Freitas, que sempre me
apoiaram incondicionalmente em tudo, e me proporcionaram cinco magníficos anos, nesta mui
nobre academia,
A uma pessoa muito especial, que me apoiou em todos os momentos, nunca se cansando de me
incentivar, dispondo do seu tempo para ler e opinar sobre o presente trabalho, ao Nuno Silva,
Ao meu orientador, Professor Doutor Pedro Pimenta, pelo seu tempo dispensado e ensinamentos
transmitidos,
Ao Professor Doutor Filipe de Sá-Soares,
À minha prima Amélia Maia,
Ao amigo Luís Correia que se mostrou sempre disponível para as minhas dúvidas concernentes às
traduções de português-inglês, e nunca recusou os meus pedidos de leitura,
Ao meu amigo Fernando Polónia, que dispôs do seu tempo para ler e opinar sobre trabalho,
Ao José Dias pelo companheirismo desenvolvido durante o trabalho,
A todos os Professores que durante os últimos cinco anos se esforçaram para transmitir os seus
conhecimentos e experiências, influenciando o meu percurso académico e a minha vida,
iii
Sumário
Sumário
Os serviços de redes sociais, que continuamente são lançados no mundo virtual, captam
actualmente a atenção, não só de muitos cibernautas, mas também de muitos hackers, que se
aproveitam das deficiências ao nível da Segurança e Privacidade que estes apresentam.
Este estudo é realizado com o intuito de analisar como são usados os mecanismos de Segurança
e Privacidade nos serviços de redes sociais, de modo a auxiliar a decisão dos desenvolvedores na
implementação dos mesmos.
Neste sentido, são identificados, numa primeira fase, através de uma revisão de literatura,
problemas, mecanismos e recomendações de Segurança e Privacidade, que vão de encontro às
necessidades actuais. Numa segunda fase, usamos o método de saturação de uma grelha por
exploração, com o intuito de estudar dezoito serviços de redes sociais. Da exploração, surgem
novos conceitos que visam complementar os conceitos resultantes da revisão de literatura. São
também elaboradas apresentações para os serviços estudados, sendo estas constituídas por
informação básica relevante dos mesmos, o propósito, os tipos de conta que estes disponibilizam,
e a relação entre as funcionalidades e os mecanismos de Segurança e Privacidade.
A informação é, sistematizada, nas apresentações referidas, e numa grelha de observação, que
traduz os problemas, e os mecanismos de Segurança e Privacidade que os visam proteger.
É realizada, posteriormente, uma análise qualitativa e quantitativa aos dados resultantes da
exploração, de modo a verificar, como os mecanismos são utilizados pelos serviços, e quantas
vezes são estes usados numa determinada funcionalidade, permitindo a identificação de padrões.
Efectuamos ainda, sugestões sobre os mecanismos de Privacidade e Segurança para cada
funcionalidade. Pontualmente são identificadas anomalias dos mecanismos implementados
actualmente pelos serviços.
O resultado final consiste na identificação dos problemas e mecanismos de Privacidade e
Segurança actuais, na descrição de como estes são usados presentemente nas funcionalidades
dos serviços de redes sociais, e se estes atentam às recomendações consideradas no presente
estudo.
Esperamos que este estudo contribua para a maximização da Privacidade e Segurança neste tipo
de serviços. Por outro lado, pretendemos também contribuir para consciencialização, dos
utilizadores, sobre quais os perigos e algumas possíveis protecções.
iv
Abstract
Abstract
Social network services, which are continuously launched into the virtual world, are grabbing the
attention not only of many cybernauts but also of many hackers who take advantage of the security
and privacy flaws these services have.
This document intends to analyze how the privacy and security mechanisms are used in social
network services in order to help developers implementing them.
Thus, in a first phase consisting of a literature revision, the problems, the mechanisms and the
security and privacy recommendations that meet current needs are identified.
In a second phase, by saturating a grid and by exploration based on a form created specifically for
this purpose, eighteen social network services are selected and explored. From exploration, new
concepts emerge, which are useful because they complete the information that results from the
literature revision. Presentations are also created for each service analyzed, which consist of basic
information about themselves, its purpose, its account types, its functionalities and its relations with
the mechanisms.
Information is filtered in the mentioned presentations and in an observation grid which translates
the problems and the security and privacy mechanisms that protect users from them.
Afterwards, a qualitative and quantitative analysis of the data that results from exploration is made
in order to verify the use of mechanisms and to quantify the number of times each service is used
in a given functionality in order to identify patterns and make suggestions. Sometimes anomalies
are identified in the implementation of the services.
The final result consists of the identification of current problems and privacy and security
mechanisms, describing how the last are used in the functionalities of the social network services
and if these abide by the recommendations considered in this document.
It is expected that this document helps to maximize privacy and security in this type of service. On
the other hand, we intend to alert users to the dangers and some possible protections.
v
Índice
Índice
vi
Índice
Índice
vii
Índice de Ilustrações
Índice de Ilustrações
Ilustração 1 – Objectivo geral e relação entre os objectivos específicos e os métodos. .................... 4
Ilustração 2 – Linha temporal de Serviços de redes Sociais (Boyd e Ellison, 2007). ..................... 14
Ilustração 3 – Processo de suporte de TI nos Serviços de Redes Sociais (Richter e Koch (2008)... 18
Ilustração 4 – Mapa de serviços de redes sociais: dominância por país (IBM, 2009). ................... 38
Ilustração 5 – Funcionalidades comuns e divergentes nos dezoito serviços. .................................. 70
viii
Índice de Tabelas
Índice de Tabelas
Tabela 1 – Mecanismos de Segurança e Privacidade. ................................................................... 45
Tabela 2– Mecanismos de Segurança e Privacidade associados às funcionalidades do Friendster.47
Tabela 3 - Mecanismos de Segurança e Privacidade associados às funcionalidades do Hi5. ......... 48
Tabela 4- Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade
no Facebook. ................................................................................................................................ 50
Tabela 5– Correnpondencia entre as funcionalidades e os mecanismos de Segurança e
Privacidade do Sonico................................................................................................................... 51
Tabela 6 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no LinkedIn. ............................................................................................................... 52
Tabela 7 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Naymz. ................................................................................................................. 54
Tabela 8 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no ResearchGATE....................................................................................................... 55
Tabela 9 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Academia.edu. ...................................................................................................... 57
Tabela 10 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Twitter. .................................................................................................................. 58
Tabela 11 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Present.ly. ............................................................................................................. 59
Tabela 12 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Plurk. .................................................................................................................... 60
Tabela 13 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Blip.fm. ................................................................................................................. 62
Tabela 14- Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Identi.ca. ............................................................................................................... 63
Tabela 15 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Flickr. .................................................................................................................... 64
Tabela 16 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no Delicious. .............................................................................................................. 66
Tabela 17 - Correspondência entre as funcionalidades e os mecanismos de Segurança e
Privacidade no YouTube. ............................................................................................................... 67
ix
Índice de Tabelas
x
Índice de Gráficos
Índice de Gráficos
Gráfico 1 – Mecanismos de Segurança associados ao registo. ...................................................... 75
Gráfico 2 – Restrições de validação de palavra-passe presentes nos serviços de redes sociais. ..... 76
Gráfico 3 – Número de caracteres mínimo exigido para a definição da palavra-passe. .................. 76
Gráfico 4 - Quantidade de vezes que um determinado mecanismo de Segurança é implementado.
..................................................................................................................................................... 77
Gráfico 5 – Mecanismos de Segurança e Privacidade associados à gestão de perfil.................. 78
Gráfico 6 – Quantidade de vezes que um mecanismo de Segurança e Privacidade é utilizado pelos
serviços na gestão do perfil. .......................................................................................................... 79
Gráfico 7 - Mecanismos de Segurança associados à alteração de palavra-passe. ...................... 80
Gráfico 8 - Quantidade de vezes que o mecanismo de Segurança é utilizado na alteração da
palavra-passe nos 18 serviços. ...................................................................................................... 81
Gráfico 9 – Número de caracteres mínimo para definir a palavra-passe aquando a sua alteração
da palavra-passe. .......................................................................................................................... 81
Gráfico 10 - Mecanismos de Segurança associados à alteração de endereço de correio
electrónico. ................................................................................................................................... 82
Gráfico 11 – Quantidade de vezes que um mecanismo de Segurança é utilizado na alteração do
endereço de correio electrónico nos 18 serviços. .......................................................................... 83
Gráfico 12 - Mecanismos de Segurança associados à recuperação da palavra-passe................ 84
Gráfico 13 - Quantidade de vezes que um mecanismo de Segurança é utilizado na recuperação da
palavra-passe nos 18 serviços. ...................................................................................................... 84
Gráfico 14 - Número de caracteres mínimo exigido pelos serviços para redefinir a palavra-passe
quando esta é recuperada. ........................................................................................................... 85
Gráfico 15 – Mecanismos de Segurança e Privacidade relativas aos álbuns e às imagens. ....... 86
Gráfico 16 - Quantidade de vezes que um mecanismo de Segurança e um mecanismo de
Privacidade são utilizados na gestão de álbuns e armazenamento e partilha de imagens. ............ 87
Gráfico 17 - Mecanismos de Segurança e Privacidade relativas às listas de reprodução e aos
vídeos. .......................................................................................................................................... 88
Gráfico 18 - Quantidade de vezes que um mecanismo de Segurança e um mecanismo de
Privacidade são utilizados na criação de listas de reprodução/álbuns e armazenamento e partilha
de vídeos. ..................................................................................................................................... 89
xi
Índice de Gráficos
xii
Índice de Gráficos
xiii
Índice de Grelhas
Índice de Grelhas
Grelha 1 – Problemas e Mecanismos de Segurança, e Funcionalidades presentes nos serviços de
redes sociais. … ............................................................................................................................ 73
xiv
Lista de Abreviaturas
Lista de Abreviaturas
AJAX – Asynchronous JavaScript And XML
API – Application Programming Interface
CBIR – Content-based Image Retrieval
CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart
CSCW – Computer supported cooperative work
DDoS – Distributed denial-of-service
DNS – Domain Name System
FAQ – Frequently Asked Questions
TI – Tecnologias de Informação
URL – Uniform Resource Locator
WWW – World Wide Web
XML – eXtensible Markup Language
XSS – Cross-site scripting
xv
Lista de URLs
Lista de URLs
Academia.edu – http://www.academia.edu/
Alexa – http://www.alexa.com/
Blip.fm – http://www.blip.fm/
Delicious – http://www.delicious.com/
Facebook – http://www.facebook.com/
Flickr – http://www.flickr.com/
Friendster – http://www.friendster.com/
Google – http://www.google.com/
Google academic – http://scholar.google.pt/
Hi5 – http://www.hi5.com/
Identi.ca – http://www.identi.ca/
LinkedIn – http://www.LinkedIn.com/
Naymz – http://www.naymz.com/
Plurk – http://www.plurk.com/
Present.ly – http://www.present.ly/
Repositório da Universidade do Minho – http://repositorium.sdum.uminho.pt/
Repositório da Universidade do Oulu – http://www.kirjasto.oulu.fi/
ResearchGATE.net – https://www.ResearchGATE.net/
Scribd – http://www.scribd.com/
Scribd – http://www.scribd.com/
Twine – http://www.twine.com/
Twitter – http://www.twitter.com/
Wikipédia – http://www.wikipedia.com/
YouTube – http://www.YouTube.com/
xvi
Capítulo 1 – Introdução
Capítulo 1 – Introdução
Desde muito cedo o ser humano forma grupos para trabalhar, garantir a sua sobrevivência,
reprodução, formar vínculos afectivos e comunicar (Xavier, 2005).
Esta comunicação e interacção entre os seres humanos têm vindo a sofrer grandes mudanças com
o advento das tecnologias de informação e comunicação, uma vez que estas tornaram possível a
formação de grupos, comunidades e redes (sociais, de aprendizagem ou de relacionamento) num
espaço global e virtual (Lamas et al., 2009). Formaram-se, assim, as comunidades virtuais em que
a interacção entre as pessoas é mediada por um computador.
Em 2003, iniciou-se a popularização dos serviços de redes sociais, que permitem, na prática, o
armazenamento e partilha de conteúdo pessoal e profissional na Web (Morais, 2007). Estes
serviços adquiriram uma elevada importância na Internet e são cada vez mais usados pelos
utilizadores, representando mais de 80% dos serviços mais visitados na Internet (Morais, 2007).
O mesmo autor defende que os serviços de partilha de conteúdos online mais conhecidos são as
redes sociais, tais como, o Hi5 (www.hi5.com), Friendster (www.friendster.com), Facebook
(www.facebook.com), LinkedIn (www.likeddin.com), entre muitos outros. É sobre este tipo de
serviços que o presente trabalho se debruça.
O aumento do número de serviços de redes sociais na última década (confrontar com a página
14), em simultâneo com o elevado crescimento do número de utilizadores (Morais, 2007), bem
como as deficiências que existem ao nível da Segurança deste tipo de serviços (Cynober, 2007), o
aumento da quantidade e da complexidade das ameaças e dos ataques nesta área (Sophos,
2008), e ainda reduzido estudo alusivo à Segurança efectuado na área (Webb et al., 2008)
motivaram o presente trabalho.
Os estudos concernentes à Segurança dos serviços de redes sociais prendem-se, até ao momento,
essencialmente com a Privacidade (Boyd e Ellison, 2007). No Anexo C identificamos alguns
autores e respectivos assuntos concernentes a estudos sobre a Privacidade nos serviços de redes
sociais.
1
Capítulo 1 – Introdução
ii) Quais são os mecanismos de Segurança e Privacidade presentes nos serviços de redes
sociais actualmente?
iii) De que forma são usados os mecanismos de Segurança e Privacidade nas funcionalidades
dos serviços?
iv) Do que protegem os mecanismos de Segurança e Privacidade em cada funcionalidade dos
serviços de redes sociais?
O público-alvo deste trabalho é constituído por dois grupos de pessoas: os profissionais que
desenvolvem os serviços de redes sociais e, de uma forma indirecta, os utilizadores finais deste tipo
de serviços.
Os profissionais que pretendam desenvolver serviços semelhantes aos estudados, poderão
consultar o presente documento para obter informação sobre os problemas e mecanismos de
Segurança e Privacidade presentes, actualmente, neste tipo de serviços. Mais concretamente, os
profissionais podem orientar o desenvolvimento dos mecanismos de Segurança e Privacidade a
implementar no seu serviço, consultando os mecanismos associados a determinada
funcionalidade.
Os utilizadores finais poderão, por sua vez, consultar este trabalho para obter mais informação
sobre as temáticas envolventes aos serviços de redes sociais. Mais concretamente poderão
informar-se sobre a temática da Segurança e a Privacidade de forma a optarem por serviços mais
seguros e que respeitem mais a sua Privacidade, protegendo-se dos problemas.
O esforço desenvolvido pelos serviços para tentar proteger os utilizadores finais dos problemas de
Segurança e Privacidade deve ser combinado com a consciencialização destes últimos, para
poderem evitar problemas e optarem pelas boas práticas a ser utilizadas neste contexto.
O objectivo geral deste trabalho consiste na análise dos problemas e mecanismos de Segurança e
Privacidade presentes nos serviços de redes sociais. O objectivo geral referido decompõe-se em
quatro objectivos específicos:
2
Capítulo 1 – Introdução
No Capítulo 4, trabalho de campo, optamos pelo uso do método de saturação de uma grelha
através de exploração.
Segundo Guerra (2006), o conceito de saturação está presente na tradição de indução analítica,
mas foi desenvolvido por Glauser e Strauss (1967). Segundo Pires (1997), a saturação é mais um
critério de avaliação metodológico do que um critério de constituição da amostra (Guerra, 2006).
Segundo Guerra (2006) a saturação tem duas funções essenciais: i) do ponto de vista operacional,
indica em que momento, o investigador deve cessar a recolha de dados, evitando o desperdício de
provas, de tempo e de dinheiro; ii) do ponto de vista metodológico, permite estender os resultados
ao universo de trabalho a que o grupo, objecto de estudo, pertence (generalização-empírico-
analítica).
Segundo Pires (1997b) e Bertaux (1997) se, nesse confronto sucessivo, nenhuma nova
propriedade do conceito emerge, diz-se que está saturado (Guerra, 2006).
Analisamos posteriormente, os dados resultantes da exploração, sobre uma perspectiva qualitativa
e quantitativa.
3
Capítulo 1 – Introdução
Analisar os problemas e
mecanismos de Segurança e
Objectivo Privacidade presentes nos
Geral serviços de redes sociais
A presente Dissertação encontra-se dividida em seis capítulos, sendo estes descritos seguidamente.
No Capítulo 1 – Introdução – apresentamos o enquadramento do tema, os factores que motivaram
o estudo, o público-alvo, identificam-se, descrevem-se e justificam-se os objectivos, da mesma
forma que os métodos seleccionados para a elaboração do trabalho. Apresentam-se também os
resultados esperados e descreve-se a estrutura do documento.
4
Capítulo 1 – Introdução
Marconi e Lakatos (2006) apresentam alguns procedimentos, para tornar a revisão de literatura
produtiva, que nós adoptaremos neste estudo. Os procedimentos apontados por estes dois autores
para uma revisão de literatura de qualidade são: a elaboração do plano de trabalho, a
identificação, localização, compilação e armazenamento de documentação, a análise da mesma e
a redacção.
A elaboração do plano de trabalho pode ser promovida antes ou após a recolha de dados
bibliográficos, o que, na primeira situação, traduz um plano de trabalho provisório e na segunda
situação, representa um plano de trabalho definitivo, o que não significa estático. O plano de
5
Capítulo 1 – Introdução
i) a definição do tema;
ii) a elaboração do plano de trabalho;
6
Capítulo 1 – Introdução
7
Capítulo 1 – Introdução
8
Capítulo 2 – Análise do Estado de Arte
A leitura de trabalhos na área permitiu-nos, rapidamente, constatar que a Word Wide Web é
também designada por Web ou pelo acrónimo WWW. Neste trabalho adoptamos o termo Web.
Monteiro (2001) e NIST SP 800-44 versão 2 (2007) explicam que a Internet e a Web não são
sinónimos, embora frequentemente sejam utilizados como tal. Define então que, a Web é um
espaço que permite a troca de informações multimédia (texto, som, gráficos e vídeo) através da
estrutura da Internet.
A Web, criada por Tim Berners-Lee, em 1989, é ainda ―jovem‖, encontrando-se em crescimento e a
ganhar maturidade, assim como as tecnologias nela utilizadas (Cynober, 2007).
Segundo Sabino (2007) apesar de não ser aceite por todos, existe a teoria de que a Web tem
evoluído à semelhança de um programa de computador, através de diferentes versões, com
características diferentes e relativamente bem definidas. É sobre esta ideia, que muita polémica
tem gerado, que as próximas páginas assentam.
9
Capítulo 2 – Análise do Estado de Arte
Um ano mais tarde, O’Reilly (2006) apresenta uma definição compacta de Web 2.0 que inclui a
definição da Web como a plataforma que permite uma ―arquitectura de participação‖.
O mesmo autor, no ano de 2005, compara as três características das páginas Web 1.0 (referidas
na página anterior) com as características das páginas Web 2.0. Para ele, as páginas Web passam
a ser dinâmicas e interactivas, uma vez que a informação é actualizada constantemente e é
permitida a interacção entre os utilizadores. Na Web 2.0 é permitido aos utilizadores efectuarem
alterações nas aplicações, ou mesmo, construir novas aplicações O’Reilly (2005).
Anderson (2007) sumariza as seis principais ideias de O’Reilly alusivas à Web 2.0, sendo estas: a
produção individual e a geração de conteúdo por parte do utilizador, aproveitar o poder da
multidão, dados sobre uma escala épica, arquitectura de participação, efeitos de rede e abertura.
Durante uma entrevista publicada em 2006 na página Web da IBMC (International Business
Machines Corporation), o entrevistador questionou Berners-Lee sobre se este via a Web 1.0 como a
conexão entre computadores e a Web 2.0 como a conexão entre pessoas. Este argumentou que
não concordava com essas definições e acrescentou que a Web 1.0 se encontrava desde sempre
também relacionada com a conexão entre as pessoas. Acrescenta ainda que a Web 2.0 utiliza
tecnologias desenvolvidas no tempo em que só existia a dita Web 1.0. Segundo Anderson (2007),
para Berners-Lee, a Web 2.0 refere-se somente a uma extensão das ideias originais da Web.
Por sua vez, Srickland (2008) afirma que é difícil definir a Web 2.0. A primeira razão que sustenta
esta afirmação é que a Web 2.0 não se refere a um avanço tecnológico específico da Web, mas
sim a uma nova forma de usar a tecnologia. A segunda razão é que algumas dessas tecnologias
têm estado presentes desde o lançamento da Web, o que torna impossível a separação da Web 1.0
e Web 2.0 numa linha de tempo.
Para Cormode e Krishnamurthy (2008) as páginas pertencentes à Web 2.0 são aquelas que são
baseadas em tecnologias específicas como o AJAX (Asynchronous JavaScript And XML), que
incorporam uma componente social forte, envolvem perfis de utilizador, e conectam amigos e que
encorajam a criação e partilha de conteúdo. Os mesmos autores apresentam uma característica
mais técnica, a abertura das APIs (Application Programming Interface). Estes também defendem
que uma definição de Web 2.0 precisa é ilusória, no entanto, identificam uma clara separação
entre o conjunto de páginas populares em ambiente 2.0 como o Facebook e o YouTube e aquilo
que chamam a ―Web antiga‖. Estas separações são visíveis, quando projectadas sobre uma
variedade de eixos, como a tecnologia (scripting e as tecnologias utilizadas para criar a página Web
e permitir a interacção do utilizador), a estrutura (propósito e interface do serviço) e a sociologia
10
Capítulo 2 – Análise do Estado de Arte
(noções de amigos e grupos). Os autores supracitados, afirmam que pode distinguir-se a Web 1.0
da Web 2.0 através de uma linha temporal. O termo Web 2.0 tornou-se público em 2004 e muitas
páginas Web pertencentes a esta versão surgiram no final de 2003 e início de 2004. Desta forma,
as páginas Web, que pouco alteraram a sua estrutura após 2000, podem ser consideradas,
seguramente, pertencentes à Web 1.0 (Cormode e Krishnamurthy, 2008).
Cynober (2007), Vinton Cerf, criador da Internet, e Tim Berners-Lee segundo Rylich (2008) e o
próprio Rylich (2008) são alguns dos autores que não concordam com a teoria das versões
apresentadas. O primeiro defende que o conceito em causa se baseia em muitas das ideias que
Berners-Lee havia definido 10 anos antes, enquanto os outros dois acreditam que o conceito de
Web 2.0 é um termo de marketing.
Como se pode verificar, as opiniões divergem, no entanto as datas apresentadas pelos autores e as
características tecnológicas e não tecnológicas nas respectivas datas permanecem iguais, sendo
Berners-Lee e O’Reilly dois autores cruciais nesta temática.
11
Capítulo 2 – Análise do Estado de Arte
ajudar a atingir uma verdadeira inteligência colectiva, é definida como sendo de alto nível de
entendimento e constituída por respostas, descobertas e outros resultados.
Para Mikroyannidis (2007), a Web semântica personifica a visão de uma nova era na gestão e
exploração do conteúdo da Web, pelas pessoas e máquinas.
Em contrapartida, John Borland (2007), afirma que vários analistas, investigadores e especialistas
da área (ex: O’Reilly) se têm, constantemente, questionado se existe realmente algo que mereça
ser designado por Web 3.0.
Para O’Reilly (2007), a Web 2.0 surgiu numa conferência e o conceito tinha um propósito bem
definido. Para a Web 3.0 ter significado, na sua opinião, é necessário verificar-se uma
descontinuidade da geração da tecnologia anterior. Este autor acredita que existe algo a surgir,
mas está convencido de que não deverá ser designado, pelo menos actualmente, como Web 3.0.
Apesar da aparente tensão entre a Web social (Web 2.0) e a Web semântica (Web 3.0), estas são
compatíveis e passíveis de coexistência (Mikroyannidis, 2007; Greaves e Mika, 2008). Gruber
(2007) vai mais longe e afirma acreditar que a Web semântica social se poderá tornar numa
grande aplicação da tecnologia da Web Semântica.
A opinião geral é de que ainda é cedo para apelidar a Web actual como Web 3.0 e o que está a
surgir (a Web semântica que permite a ―interpretação‖ e geração de novos dados por parte das
máquinas) havia sido descrito pelo criador da Web desde cedo.
Neste estudo, a presença da Web semântica será encarada como existente nos serviços que
apresentem, por exemplo, a disponibilização de conteúdo seleccionado pelo serviço baseado nas
escolhas anteriores do utilizador. Se este gosta de ler sobre X poderá gostar de Y e Z, e estes são
seleccionados e expostos ao leitor, pelo serviço, automaticamente. A Web semântica é bastante
recente e nos próximos anos irá mostrar as suas potencialidades.
A divisão da Web, em versões, possui prós e contras diferentes para diferentes entidades. Os
especialistas vêem a teoria das versões, de forma diferente dos investigadores ou dos vendedores
ou desenvolvedores de aplicações.
Torna-se difícil dividir, com exactidão, a Web em três momentos, porque as tecnologias estão em
constante desenvolvimento e inovação e, consequentemente, permitem novas formas de utilização.
Verificam-se sim, alguns pontos fortes de mudança, motivados pelo surgimento de novas
tecnologias e da forma como o utilizador as usa. Ainda hoje existem páginas Web cujas
características são remetidas para as páginas da Web 1.0 que convivem com os serviços ditos
pertencentes à Web 2.0 e com o início da designada Web 3.0.
12
Capítulo 2 – Análise do Estado de Arte
No presente estudo, a Web não será vista segundo a teoria das versões, mas como um todo. Os
serviços analisados, no entanto, são serviços que possuem as características dos serviços que
surgiram, maioritariamente, após o ano de 2003 e que foram sendo adaptados até aos dias de
hoje. A presença da Web semântica nos serviços de redes sociais é ainda ténue, mas começa a
verificar-se a sua existência.
13
Capítulo 2 – Análise do Estado de Arte
A primeira página Web considerada um serviço de rede social que possibilitava a integração de
várias funcionalidades, que até ao momento se encontravam dispersas, surgiu no ano de 1997 e
chamava-se Sixdegrees (Boyd e Ellison, 2007).
Durante os anos 90, o uso ―social‖ da Web evoluiu devido ao aparecimento de servidores de listas
e software de discussão, cujo intuito era conectar pessoas com interesses comuns, oriundas dos
quatro cantos do planeta, em qualquer altura (Daunt, 2008). A adesão aos serviços de redes
sociais foi, no entanto, lenta e, somente, em 2003, se iniciou a sua popularização como se pode
visualizar na Ilustração seguinte (Boyd e Ellison, 2007):
Este tipo de serviços, são considerados um dos fenómenos tecnológicos mais extraordinários do
século XXI e, actualmente, incluem-se nas páginas Web mais visitadas no mundo virtual (Hogben et
al., 2007). O mesmo autor define os serviços de redes sociais como um conjunto de ferramentas
de gestão de identidade que delimitam o acesso aos utilizadores criadores de conteúdo através de
relações sociais. Estes serviços suportam as redes sociais virtuais referidas anteriormente.
A definição deste tipo de serviços como ferramentas de gestão de identidade advém de três
características que, actualmente, todos os serviços deste tipo satisfazem, são eles: o
armazenamento de informação pessoal, ferramentas para gerir a informação pessoal e quem tem
14
Capítulo 2 – Análise do Estado de Arte
15
Capítulo 2 – Análise do Estado de Arte
são direccionados para propósitos sociais e não possuem as características de um jogo comum.
Exemplos deste tipo de serviços de redes sociais são: SecondLife e Avatars United.
Este tipo de serviços também permite a promoção de produtos, celebridades, bandas, músicos e
empresas (InternetSegura.pt, 2008). O mesmo autor afirma que os desenvolvedores deste tipo de
serviços reconhecem o potencial deste tipo de promoções e, por isso, desenvolvem páginas de
perfil próprias para este tipo de clientes. Deste modo, o público-alvo varia de serviço para serviço,
podendo variar no próprio serviço, dependendo da utilização que o utilizador faz do mesmo.
Os utilizadores apresentam-se, neste contexto, como uma componente essencial para a interacção
nos serviços de redes sociais e quantas mais pessoas na rede, mais conteúdo é gerado e se torna
disponível (O’Reilly, 2005).
Richter e Koch (2008) propõem seis grupos de funções dos serviços de redes sociais: gestão da
identidade, pesquisa inteligente, consciência de contexto, gestão de contactos, consciência da
rede, e troca. Esta divisão auxiliará a posterior identificação de funcionalidades a analisar.
Gestão da identidade
Segundo estes autores, Goffman vê a interacção social como performance humana, que ele
compara à performance num teatro, e que é moldada pela audiência e pelo meio envolvente.
Devido ao facto de as pessoas serem constantemente analisadas por outras, constroem uma
identidade social conscienciosamente, e apresentam-na a outras pessoas. Nos serviços de redes
sociais, o perfil que as pessoas constroem, é esta encenação delas próprias, para uma audiência,
em particular.
Neste contexto, a gestão da identidade significa gerir a visibilidade da informação da identidade,
como por exemplo, preencher informação e configurar direitos de acesso. Exemplos de funções
que permitem a gestão da identidade neste tipo de serviços são: perfil do utilizador e pertencer a
grupos.
Pesquisa inteligente
A entidade CSCW (Computer supported cooperative work) trabalhou extensivamente com o uso da
pesquisa inteligente como forma de identificar o conhecimento implícito. Neste contexto, é preciso
distinguir entre a possibilidade de pesquisar na rede de acordo com critérios diferentes, como por
exemplo, o nome, os interesses, a empresa, e a possibilidade de receber recomendações de
contactos interessantes através dos serviços de redes sociais. Exemplos de funções que permitem
a pesquisa inteligente, neste tipo de serviços, são: os mecanismos de pesquisa.
16
Capítulo 2 – Análise do Estado de Arte
Percepção do contexto
A percepção do contexto é o conhecimento de um contexto comum a outras pessoas. Pode ser
informação sobre contactos comuns, sobre interesses comuns, sobre a universidade onde
estudaram ou sobre a mesma empresa onde ambos trabalharam. A percepção do contexto
contribui bastante para a criação de confiança mútua entre os utilizadores, o que é essencial para
uma colaboração bem sucedida. Exemplos de funções que permitem a percepção do contexto
deste tipo de serviços são: a divulgação de como os utilizadores se encontram conectados.
Gestão de contactos
A gestão de contactos combina todas as funcionalidades que permitem a manutenção da rede
pessoal virtual. Exemplos de funções que permitem a gestão de contactos, neste tipo de serviços,
são: marcar e bloquear os utilizadores.
Percepção da rede
A percepção das actividades, e/ou o estado actual e as suas respectivas alterações, dos contactos
na rede pessoal é também suportada por funcionalidades. Estas funcionalidades permitem
comunicação indirecta através da percepção. Exemplos de funções que permitem percepção de
rede, neste tipo de serviço, são: os feeds de notícias e a informação sobre os aniversários dos
utilizadores.
Troca
A troca combina todas as possibilidades de trocar informação directamente, por exemplo, as
mensagens ou, indirectamente, por exemplo as imagens. Exemplos de funções que permitem troca
neste tipo de serviços são: mensagens e álbuns de imagens.
17
Capítulo 2 – Análise do Estado de Arte
Conexões com
Encontrar outros
Pesquisa especializada outros utilizadores Gestão de contactos
utilizadores
Descobrir contexto
comum
Consciência da rede
Ilustração 3 – Processo de suporte de TI nos Serviços de Redes Sociais (Richter e Koch (2008).
A categorização dos serviços de redes sociais apresentada por Fraser (2008), é assertiva, mas
insuficiente para cobrir todos os tipos serviços.
Este tipo de serviços veio para ficar, e continuar-nos-ão a permitir a interacção entre pessoas, quer
seja a nível pessoal, profissional, ou académico, permitindo a formação de comunidades virtuais.
No entanto, existem muitos conceitos a definir, uma vez que existe muita temática envolvente aos
mesmos que não é unânime.
O próximo passo será integrar a tecnologia de Web semântica neste tipo de serviços, algo que
alguns serviços já iniciaram.
Apesar dos benefícios trazidos por estes serviços, verifica-se a existência de muitos problemas de
Segurança e Privacidade, sendo seguidamente abordados aspectos essenciais que se prendem
com a Segurança e Privacidade nos serviços de redes sociais.
18
Capítulo 2 – Análise do Estado de Arte
19
Capítulo 2 – Análise do Estado de Arte
Reconhecimento de faces
Para Hogben (2007), Morais (2007) e Hasib (2008) a disponibilização de imagens por parte do
utilizador nos serviços de redes sociais é uma acção bastante comum. Uma vez que as imagens
estão ligadas a perfis individuais e frequentemente identificam o titular do perfil, constituem uma
fonte de dados adequada para relacionar os perfis de vários serviços através do reconhecimento
facial. Deste modo, um adversário pode recolher de forma mais rápida uma maior quantidade de
informações sobre um utilizador.
CBIR
O reconhecimento de faces envolve a ligação de dados de perfis relativos ao corpo da pessoa,
enquanto o CBIR (Content-Based Image Retrieval) permite a ligação da localização de dados
através do reconhecimento de objectos presentes nas imagens (Hogben, 2007).
Segundo Hogben (2007) e Hasib (2008), CBIR é uma tecnologia emergente que combina
elementos, tais como a identificação de aspectos de um quarto (ex. pintura) em vastas bases de
dados de imagens. Isto pode permitir ao atacante identificar a localização de um utilizador, através
dos locais apresentados nas imagens.
Os dois autores relembram que a maioria dos serviços de redes sociais não implementou, até ao
momento, nenhum controlo de Privacidade para as imagens dos perfis de modo a proteger a
exposição de informação através de CBIR. Por outro lado, somente um reduzido número de
pessoas possuí conhecimento das consequências resultantes da exposição online de imagens com
conteúdo de locação específica.
Metadados indesejados
Segundo Hogben (2007) e Hasib (2008), muitos serviços permitem a agregação de dados em
imagens (as marcas), como por exemplo, os nomes dos utilizadores presentes numa imagem,
ligando a imagem aos seus perfis (mesmo que não sejam os utilizadores a disponibilizar a imagem,
ou donos do perfil em que a imagem se encontra), ou ligando a imagem aos seus endereços de
correio electrónico. Mesmo que os utilizadores sejam cuidados em relação às imagens que
disponibilizam ou a localização das mesmas, a sua Privacidade é invadida quando outros
utilizadores expõem imagens que anulam esses cuidados.
Hogben (2007) e Morais (2007) afirmam que são poucos os serviços de redes sociais que
oferecem actualmente mecanismos de Privacidade para controlo de metadados, nomeadamente
20
Capítulo 2 – Análise do Estado de Arte
para evitar a criação de ligações indesejadas entre perfis e para não permitir a acessibilidade de
imagens marcadas através dos mecanismos de pesquisa.
Segundo Hogben (2008) os metadados (os marcadores), que permitem a organização de
conteúdos (imagens, artigos, notas, etc.), possuem um papel muito mais importante. Isto é, os
ataques nos sistemas de metadados podem ter um impacto maior através do envenenamento das
fontes de informação e embebendo software malicioso em sintaxe mal formada.
Existe ainda, a possibilidade da associação de comentários e notas indesejados ao conteúdo do
perfil do utilizador.
Spam
Segundo Morais (2007), tem-se verificado o aumento do envio de mensagens não solicitadas, por
utilizadores spammers, ou por utilizadores de confiança, que foram vítimas de ataques de vírus ou
worms.
As técnicas mais usadas pelos spammers incluem (Hogben, 2007): automatização de convites de
amizade e exposição de comentários automaticamente. Para determinar os alvos, são usados: os
mecanismos de pesquisa dos serviços; as hiperligações para pornografia ou páginas Web
desenhadas para venda de produtos; os convites de amizade através de um perfil atractivo que
persuade a aceitação do pedido. O convite ou o perfil possui normalmente hiperligações para
páginas Web externas cujo conteúdo é referente a publicidade ou phishing de palavras-passe. A
realização de comentários e mensagens spam em locais públicos é uma outra técnica.
Normalmente os spammers tentam criar um elevado número de amigos, focando-se nos perfis que
21
Capítulo 2 – Análise do Estado de Arte
não fazem uso das opções de Privacidade. Alguns spammers roubam as palavras-passe dos perfis
para promover as suas ofertas.
Webb et al. (2008) acrescenta que muitos spammers mantêm o seu perfil online por longos
períodos de tempo. Esta estratégia é atractiva para os spammers porque muitos dos mecanismos
de pesquisa implementados neste tipo de serviços dão tratamento preferencial a perfis que se
encontram online no momento.
XSS/vírus/worms
Serviços de Redes sociais têm vindo a ser usados indevidamente por criminosos que tentam
disseminar código malicioso para utilizadores inocentes (SOPHOS, 2008).
Hogben (2008) e Lucca et al. (2004) reconhecem o XSS (Cross-site scripting) como sendo uma
das vulnerabilidades mais conhecidas das aplicações Web, causada pela fraca validação do
conteúdo inserido pelo utilizador. É um importante exemplo de uma vulnerabilidade cuja causa
principal é o pobre desenvolvimento de processos.
Para Morais (2008) um vírus é um programa que tem como propósito infectar o computador do
utilizador.
Os ataques de XSS, de vírus e de worms, disseminam-se facilmente através dos serviços de redes
sociais devido às suas características.
Segundo Hogben (2007) em alguns serviços de redes sociais, os utilizadores podem utilizar HTML
(HyperText Markup Language) nos seus próprios perfis e nas mensagens que enviam. Este tipo de
serviços é particularmente vulnerável aos ataques de XSS.
Phishing e Pharming
Dhamija et al. (2006) definem phishing como a prática de redireccionar utilizadores para páginas
Web fraudulentas. Estes autores descrevem as estratégias organizando-as em três dimensões: falta
de conhecimento, engano visual e falta de atenção.
A primeira dimensão, falta de conhecimento, é dividida em duas situações: falta de conhecimento
informático e falta de conhecimento de Segurança e indicadores de Segurança.
A segunda dimensão, engano visual, é dividida em cinco situações: texto que engana visualmente,
imagens escondendo texto, imagens de janelas copiadas, janelas escondendo janelas e visão e
sentimentos enganadores.
22
Capítulo 2 – Análise do Estado de Arte
A terceira dimensão, falta de atenção, está dividida em dois tipos de situações: falta de atenção
sobre os indicadores de Segurança e falta de atenção em relação à ausência de indicadores de
Segurança.
Jagatic et al. (2007) define phishing como uma forma de engano na qual o atacante tenta de
forma fraudulenta obter acesso e armazenar informação sensível da vítima através da
personificação de uma entidade confiável. Morais (2007) acrescenta que o phishing é utilizado em
conjunto com os ataques de XSS, ou recorrendo à criação de novos perfis cujo intuído é o envio de
endereços de phishing para os utilizadores.
Para NIST SP 800-44 versão 2 phishing é o uso da engenharia social para enganar os utilizadores,
fazendo-os inserir o identificador e a palavra-passe num sítio falso.
Hasib (2008) afirma que um phisher explora a informação disponível no serviço de rede social para
aumentar a sua taxa de sucesso no ataque. As técnicas de engenharia social podem ser também
usadas para injectar hiperligações de phishing.
Por sua vez o pharming consiste num ataque baseado na técnica de envenenamento de cache
DNS (Domain Name System), que implica corromper o DNS numa rede de computadores, fazendo
com que o URL (Uniform Resource Locator) de uma página Web passe a apontar para um servidor
diferente do original (Stamm e Ramzan, 2006).
Segundo NIST SP 800-44 versão 2 (2007), o pharming consiste no comprometimento do DNS dos
serviços ou dos utilizadores, redireccionando os mesmos para um sítio malicioso em vez do sítio
legítimo.
23
Capítulo 2 – Análise do Estado de Arte
Perseguição/Assédio/Ameaças/Ofensas
Para Hogben (2007), o problema ―perseguição‖, envolve normalmente um comportamento
ameaçador por parte do atacante, que mantém contacto constante com o seu alvo utilizando para
isso várias possibilidades como telefone, correio electrónico, proximidade física, etc. Segundo
Mushtaq (2008) e Hasib (2008) a perseguição é um efeito secundário nas comunidades que
tentam ser um espelho da vida real, na qual os utilizadores não prestam a devida atenção à
informação que disponibilizam e onde é mais fácil prever onde uma determinada pessoa poderá
estar num período de tempo específico.
Morais (2007) descreve a possibilidade de um utilizador ser vítima de assédio nestes serviços, uma
vez que o perseguidor tem várias formas de contactar a vítima (e-mail, IM ou mensagens públicas
ou mensagens privadas). Esta ameaça inclui adultos, adolescentes e crianças, estando os últimos
sujeitos a aliciamento por parte de redes de pedofilia.
Hogben (2007) descreve comportamento ofensivo, como sendo o contacto entre utilizadores,
contendo linguagem imprópria e violenta.
Bots e botnets
Um bot é um programa que é instalado silenciosamente sem a intervenção do utilizador (Hogben,
2007). Este corre automaticamente sem intervenção humana usada como parte de botnets
(Hogben, 2008). Por sua vez, um botnet consiste num elevado número de computadores
comprometidos que são utilizados para criar e enviar spam ou vírus ou sobrecarregando uma rede
com mensagens através do ataque DDoS (Distributed denial-of-service) (Anónimo, 2009).
24
Capítulo 2 – Análise do Estado de Arte
Existem vários tipos de bots nos serviços de redes sociais com propósitos maliciosos, sendo eles:
bots spam, bots descarregador, bots Direitos de Autor, bots Espiões, bots Atacantes e bots DDoS.
Os spam bots são programas que se disseminam conteúdo e publicidade não solicitados. Este tipo
de bot pode também recolher endereços de correio electrónico, números de telefone, etc. a partir
do preenchimento de formulários virtuais.
Os bots descarregadores são um tipo de bots que interferem com conexão da Internet de um
utilizador efectuando o descarregamento autómato das suas informações.
Os bots direitos de Autor efectuam a reedição de todos os conteúdos através da Internet sem a
permissão do proprietário dos direitos autorais.
Os bots espiões, também designados por bots de vigilância ou extracção de dados, são utilizados
para recolher dados e informações de uma pessoa, serviço ou empresa. Os dados recolhidos são
geralmente vendidos a uma empresa no mercado, empresa concorrente, etc. Os serviços de redes
sociais servem como plataformas de comunicação oferecendo serviços, tais como, mensagens
privadas e chats, que podem ser usados por bots de engenharia social (Huber et al., 2009).
Os bots atacantes navegam na Internet à procura de sistemas com vulnerabilidades exploráveis.
Estes são utilizados pelos atacantes para aceder e manipular os arquivos e pastas da vítima.
Um estudo realizado por Barroso (2007) mostrou uma evolução das tecnologias criminais, sendo o
objectivo dos bots infectar o máximo de utilizadores possíveis e aumentar a sua camuflagem.
Tentativa de registos de utilizadores com idade inferior à idade mínima referida pelo serviço
A verificação de idade é efectuada nos serviços de modo a respeitar a idade definida nos termos e
condições de uso do serviço. A definição da idade para aceder ao serviço tem em conta o conteúdo
do serviço e o público desejado pelo mesmo. Este problema engloba o acesso de menores a
conteúdos impróprios e contacto com adultos (Dancu, 2008).
25
Capítulo 2 – Análise do Estado de Arte
26
Capítulo 2 – Análise do Estado de Arte
Opções de Privacidade
Segundo Solove (2007), a temática envolvente à Privacidade é bastante complexa, envolvendo
acessibilidade, confidencialidade e controlo.
Embora alguns dos outros mecanismos se relacionem com a Privacidade, o que é referido
normalmente como Privacidade são os níveis de acesso à informação que é possível criar nos
serviços de redes sociais (Boyd, 2007).
Hogben (2008) explicita que deve ser fornecida aos utilizadores a possibilidade de estes definirem
um conjunto de permissões de acesso, por exemplo, que utilizadores podem aceder à informação
do perfil, quem tem autorização para marcar as suas imagens, quem pode enviar mensagens,
entre outros.
CAPTCHA
Os mecanismos CAPTCHA (Completely Automated Public Turing test to tell Computers and
Humans Apart) são utilizados no design dos serviços de redes sociais para prevenir a recolha de
dados por bots (Anónimo, 2009). Este mecanismo é uma medida de protecção eficiente contra
programas automatizados que, por exemplo, criam de contas de utilizador (Huber et al., 2009).
Este mecanismo pode ser também utilizado para combater um ataque spam nos serviços de redes
sociais. As ameaças a estes mecanismos centram-se nos possíveis contornos ao CAPTCHA, como
a reutilização da identificação de uma imagem conhecida do CAPTCHA.
Segundo Rabkin (2008) este mecanismo é um passo modesto para prevenir a adivinhação
automática.
O mecanismo CAPCTHA é um assunto muito controverso, entre os especialistas, já que muitos dos
CAPTCHAs utilizados actualmente são facilmente contornáveis pelos atacantes. Gossweiler et al.
(2009) recomendam uma nova abordagem do mecanismo CAPTCHA, sendo esta baseada na
orientação de imagens.
27
Capítulo 2 – Análise do Estado de Arte
O problema aqui é expor ao utilizador questões que não sejam fáceis de adivinhar por parte do
atacante.
Uma vez que estes serviços são serviços de redes sociais, expõe muita informação e conteúdo,
sendo por vezes fácil ao atacante responder correctamente (Rabkin, 2008).
Verificação da idade
O mecanismo de verificação de idade resume-se normalmente à introdução da data de nascimento
no registo. Se a idade for igual ou superior à idade mínima definida pelo serviço, o registo é
efectuado com sucesso. Infelizmente, este mecanismo é facilmente contornável o que não permite
aos utilizadores confiarem nas idades apresentadas pelos outros utilizadores (Hogben et al., 2008).
Segundo Dancu (2008), a verificação da idade nos serviços de redes sociais permite a identificação
de membros adultos e previne também o acesso de menores a conteúdo menos próprio da
comunidade adulta. No primeiro caso, este mecanismo, serve para prevenir contactos prejudiciais
entre adultos e menores, uma vez que separa os utilizadores e permite a estes serviços
providenciarem medidas de protecção adicionais quando necessárias.
A verificação da idade é utilizada para verificar se a identidade é verdadeira (Dancu, 2008). O
primeiro passo consiste na captura de informação do utilizador, como a data de nascimento,
nome, etc. Através destas informações é possível aceder a vários dados públicos oriundos de
diferentes fontes e verificar se a idade é a verdadeira.
Mecanismo de Reputação
Segundo Cruz et al. (2008), um sistema de reputação é uma solução altamente adoptada por
serviços na Web, que dependem da potenciação de relações de confiança entre os utilizadores, de
modo a atrair novos utilizadores. Deste modo, os utilizadores falsos ou problemáticos são mais
facilmente revelados.
Denúncia
Segundo Hogben (2007) os mecanismos e políticas para contrariar acções ilegais e actividades que
contrariam os termos e condições do serviço devem ser maximizados. A denúncia de erros do
próprio serviço ou inexistência de alguma protecção e procedimentos para o cumprimento da lei
(ex: direitos de autor) não devem ser esquecidos pelos desenvolvedores. O mecanismo de denúncia
deve ser de fácil utilização ao utilizador e as respostas da equipa do serviço devem ser atempadas.
A intervenção da equipa do serviço pode incluir um mecanismo de penalização por comportamento
abusivo em relação aos dados do perfil de outros utilizadores e dados pessoais de terceiros
28
Capítulo 2 – Análise do Estado de Arte
(incluindo remover utilizadores do serviço se as suas acções o justificarem). Deve também existir
uma documentação clara sobre quais as opções disponíveis, onde se deve efectuar a denúncia e
explicação de como proceder para realizar a denúncia.
Identificação
Segundo a norma NIST SP 800-14 (1996) a Identificação é o meio pelo qual o utilizador se
identifica perante um sistema, normalmente através de um nome de utilizador. Devem ser
consideradas, segundo esta norma, quatro acções aquando o uso de nomes de utilizador: a
identificação única, a correlação de acções a utilizadores, a manutenção de nomes de utilizador e
os nomes de utilizador inactivos.
Deve ser requerido aos utilizadores que se identifiquem de forma única antes de lhes serem
cedidas permissões que permitam a realização de acções no serviço a menos que o anonimato ou
qualquer outro factor dite o contrário.
O serviço deve internamente manter a identidade de todos os utilizadores activos e ser capaz de
identificar as acções de cada utilizador.
29
Capítulo 2 – Análise do Estado de Arte
Deve ser assegurado que todos os utilizadores pertencem actualmente ao grupo de utilizadores
autorizados. A informação alusiva à identificação deve estar actual através da adição de novos
utilizadores e remoção de ex-utilizadores.
As contas de utilizador que se encontram inactivas durante um período de tempo específico, por
exemplo um período de três meses, devem ser eliminados.
A norma NIST SP 800-14 (1996) descreve também alguns cuidados relativos à autenticação,
sendo eles: solicitação da autenticação aos utilizadores, restrição do acesso a informação
autenticada, transmissão segura de informação autenticada, tentativas de introdução do par nome
de utilizador e palavra-passe limitadas e administração devida da informação.
Deve ser requerido aos utilizadores a autenticação da sua identidade nos serviços. É normalmente
desejado pelos utilizadores a sua autenticação através da introdução do nome de utilizador e
palavra-passe apenas uma vez. Isto permite que o utilizador se identifique uma única vez antes de
aceder a uma variedade de funcionalidades do serviço.
Autenticação
Segundo ISO/IEC 17799 (2005) a informação autenticada deve ser protegida através do controlo
de acesso de modo a prevenir o acesso e obtenção de informação por parte de utilizadores não
autorizados. A transmissão de informação autenticada deve ser protegida através da rede pública
ou privada. Quando a informação autenticada, como uma palavras-passe, é enviada para o serviço,
pode ser monitorizada electronicamente. Isto pode acontecer na rede usada para enviar a palavra-
passe ou no próprio serviço.
Deve ser permitida a falha na introdução da palavra-passe ou nome de utilizador errado (NIST SP
800-44 versão 2, (2007) e Rabkin, 2008). No entanto, deve ser definido o número limite de
tentativas falhadas relativas à autenticação. Os serviços podem ser configurados de forma a
bloquear o acesso à conta do utilizador após algumas tentativas falhadas de autenticação.
A autenticação da informação deve ser administrada e devem ser definidos procedimentos que
permitam a alteração e recuperação da palavra-passe
A norma NIST SP 800-14 (2004) apresenta três cuidados a ter durante a construção do
mecanismo de autenticação, relativamente às restrições de validação da palavras-passe.
O primeiro cuidado consiste na especificação de atributos, como por exemplo, a definição do
número mínimo de caracteres que constituem a palavra-passe, não definir palavras-passe que
pertencerem a um dicionário digital, entre outros.
30
Capítulo 2 – Análise do Estado de Arte
A norma NIST SP 800-44 versão 2 e a Microsoft (SD) especificam que deve ser solicitado o uso de
palavras-passe longas, constituídas no mínimo por oito caracteres, sendo que o ideal é um número
superior a catorze; deve ser exigido ao utilizador a combinação de letras, números e caracteres
especiais na palavra-passe, isto porque quanto maior for a variedade de caracteres na palavra-
passe, mais difícil é de descobri-la; deve ser incentivado o uso de capitalização; não deve ser
permitindo defenir palavras-passe contendo o nome de utilizador, nome próprio ou palavras-passe,
como por exemplo, sequências numéricas―12345678‖.
O segundo cuidado é permitir a redefinição da palavra-passe para que as palavras-passe possam
ser alteradas frequentemente.
O terceiro cuidado a ter consiste na orientação dos utilizadores relativamente às boas práticas de
definição e gestão de palavras-passe, por exemplo, através de termos e condições do serviço,
políticas de Privacidade e perguntas mais frequentes.
A norma ISO/IEC 17799 (2005) acrescenta que um sistema de gestão de palavra-passe deve
também incluir outro cuidado: não só devem incluir a possibilidade de alteração mas também o
procedimento de confirmação que alerte para erros que ocorram.
A norma ISSO/IEC 17799 (2005) acrescenta ainda que o desenvolvedor deve definir o tempo de
inactividade que despoleta a saída do serviço automaticamente.
Segundo a norma ISO/IEC 17799 (2005) a Identificação e Autenticação devem ser utilizados para
todos os utilizadores, incluindo as pessoas das equipas se suporte técnico, operadores,
administradores de rede, programadores do serviço, e administradores de base de dados.
Cookies
A norma NIST SP 800-44 versão 2, faz referência às cookies persistentes e cookies de sessão. As
cookies persistentes são aquelas que mais preocupações levantam, sendo desaconselhado o seu
uso. Isto porque, podem ser usadas para seguir as actividades dos utilizadores. O uso de qualquer
tipo de cookies deve ser referido nos termos de uso do serviço.
31
Capítulo 2 – Análise do Estado de Arte
Engenharia social
A prevenção de engenharia social mais eficaz consiste na sensibilização preventiva relativa à
Segurança. Os seguintes passos são recomendações para a prevenção de ataques de engenharia
social causados por ligação entre informações oriundas deste tipo de serviços: transmitir aos
trabalhadores que estes têm de ter tanto cuidado online como na vida real, estabelecer uma
política de Segurança que inclua o uso dos serviços de rede social, promover a ideia de que quanto
mais informação for divulgada mais vulnerável a pessoa fica e, no mínimo, os desenvolvedores
devem requerer inscrição no serviço antes de revelarem os seus membros.
Técnicas de Reputação
Carrara e Hogben (2007) encorajam o uso de técnicas de reputação, podendo estas ser bastante
produtivas na determinação da autenticação do utilizador e das suas afirmações. O uso das
técnicas de reputação permite: filtrar os comentários de spam maliciosos, filtrar os comentários por
qualidade de modo a aumentar a qualidade do conteúdo, denunciar conteúdo inapropriado ou que
infringe os direitos de autor, aumentar a fiabilidade das aplicações de terceiros, denunciar o roubo
de identidade, efectuar registo apenas através de convite e denunciar comportamentos e entradas
inapropriadas, e disponibilização de informações sensíveis (ex: morada).
Filtros Inteligentes
A primeira linha de protecção contra o conteúdo ofensivo, litigioso e ilegal deve incluir filtros
inteligentes. Os filtros não devem substituir a intervenção humana porque estes nunca conseguirão
identificar os calões da moda, não possuem sensibilidades culturais, etc. No entanto podem
remover utilizadores que sejam responsáveis pela realização de entradas automáticas. Os filtros
inteligentes são normalmente capazes de determinar a legitimidade de um conteúdo específico que
esteja a mover volumes de tráfico significativos. O uso de sistemas de reputação em conjunto com
os filtros inteligentes resulta numa maior eficiência na identificação dos conteúdos referidos
inicialmente. Na área de filtros de correio electrónico foi necessário clarificar a legislação de modo
a permitir aos desenvolvedores a eliminação de mensagens de spam sem temer as consequências
legais. Poderá haver uma necessidade de uma revisão legislativa na área de filtragem dos serviços
de redes sociais. Zinman e Donath (2007) defendem que a redefinição dos filtros de spam nos
serviços de redes sociais deve começar por focar-se no emissor e não na mensagem. A análise de
conteúdo deve ser suficiente para descobrir este problema. Acrescentam ainda que os filtros de
32
Capítulo 2 – Análise do Estado de Arte
spam deveriam ajudar a prevenir fraudes e desinteresse, através da avaliação das características e
da integridade.
Marcas
Deve ser sempre solicitado o consentimento do utilizador para incluir no seu perfil marcas ou
marcas de correio electrónico nas imagens. Os desenvolvedores de serviços de redes sociais devem
disponibilizar opções de Privacidade aos utilizadores para eles controlarem a marcação de imagens
em que eles aparecem. A marcação de imagens com dados pessoais sem o consentimento de
quem lá aparece viola o direito do utilizador à auto-determinação informacional (o controlo sobre
quem publica os seus dados, e onde). A obtenção do consentimento pode ser facilitado através de,
por exemplo, uma mensagem de correio electrónico automática com um pedido de marcação na
imagem. A inclusão de um endereço de correio electrónico deve sempre activar um pedido de
consentimento deste tipo
Imagens anónimas
Devem ser promovidas e investigadas as técnicas e as melhores práticas para tornar as imagens
anónimas. Os utilizadores devem ter em atenção que uma imagem é um pseudónimo binário que
pode ajudar a ligar perfis entre serviços. Uma variedade de transformações deve estar disponíveis
ao utilizador, desde um avatar representativo do mesmo (sem ser parecido com o utilizador), a
pequenas transformações que o podem tornar irreconhecível a uma máquina mas reconhecível
para um humano.
Os desenvolvedores de serviços de redes sociais devem restringir, através de opções de
Privacidade, o acesso à informação presente nos perfis (através, por exemplo, de pesquisas) de
forma a impedir o spidering e descarregamentos em massa, conhecidos por bulk downloads
(excepto por razões de pesquisas académicas).
33
Capítulo 2 – Análise do Estado de Arte
CAPTCHAS
Devem ser implementadas restrições que dificultem a criação de contas falsas através do uso de
CAPTCHAs, por exemplo.
Hogben (2008) apresenta recomendações relativas ao SSL (Secure Socket Layer) e ciclos de
desenvolvimento seguras.
SSL
Segundo a norma NIST SP 800-44 versão 2 e Hogben (2008), a tecnologia de Segurança SSL é
usada para encriptação de dados e autenticação do servidor, prevenindo a recolha ou alteração de
dados durante as comunicações entre o utilizador e o servidor. A implementação de mecanismos
de autenticação anónima mais fortes devem ser padronizados através do uso de uma palavra-
passe apropriada(s) e uso de encriptação baseada em SSL sempre que os dados forem sensíveis.
Ciclos de desenvolvimento
As iniciativas de desenvolvimento devem ser seguras, e os ciclos de desenvolvimento devem ser
mais longos. Os mecanismos para promover acções seguras e privadas devem ser integrados na
documentação do serviço.
Identidade do utilizador
Deve ser introduzida a opção da utilização de um pseudónimo de modo a proteger a identidade do
utilizador.
Opções de Privacidade
Deve ser melhorado o controlo do utilizador sobre o uso dos dados do perfil através de opções de
Privacidade que delimitem o acesso à informação por parte dos membros do serviço, terceiros e
acções de marketing, por exemplo, através da selecção dos dados constituintes do perfil de
utilizador. Deve existir um guia que explique a importância das opções de Privacidade e quais as
opções disponíveis no serviço, como o serviço usa a informação disponibilizada e qual a
informação cedida a terceiros. As opções de Privacidade devem respeitar os padrões de
Privacidade dos países em que o serviço se encontra disponível. O serviço deve disponibilizar
sempre os termos do serviço e política de Privacidade.
34
Capítulo 2 – Análise do Estado de Arte
Autenticação
É encorajado o aumento da qualidade da autenticação e controlo de acesso. A autenticação difere
de serviço para serviço, no entanto, uma interface amigável deve estar sempre presente, de modo
a incentivar o registo. Os métodos de autenticação que possuam formas de diferenciar membros
reais de membros spam são uma mais-valia. Cada método de autenticação possui as suas
características em termos de uso, qualidade da autenticação, e riscos alusivos à Privacidade.
Infelizmente uma solução padrão é impossível. Incentivam também o uso de encriptação.
Spam
Os serviços de redes sociais têm várias vantagens em relação ao correio electrónico no que diz
respeito à detecção de spam. Os comentários do perfil são um indicador chave, uma vez que é
muito difícil arranjar amigos falsos a contribuir para discussões reais. Devem ser desenvolvidas
ferramentas de uma forma semelhante ao link doping e às defesas de spamdexing que usem
métricas baseadas na topologia das redes sociais para detectar spammers.
Pré-definições
Os desenvolvedores devem definir pré-definições que beneficiem a Privacidade, uma vez que são
poucos os utilizadores que alteram as opções pré-definidas. Além disto, deve ser definida a idade
mínima para registo do utilizador, de modo a contornar o acesso de utilizadores cuja idade não é
indicada para o serviço. Deve ser também disponibilizado um manual sobre as definições padrão,
para encorajar o uso das melhores práticas dos fornecedores de aplicações. O desafio para os
desenvolvedores deste tipo de serviços é escolher as configurações que oferecem um nível de
Privacidade elevado sem tornar o serviço inútil. Em simultâneo, a usabilidade das características
das configurações é essencial para encorajar os utilizadores a fazerem as próprias alterações.
Eliminação da informação
Os desenvolvedores devem oferecer meios apropriados para eliminar os dados definitivamente.
Para que esta acção seja permitida ao utilizador, ferramentas simples e de fácil utilização, que
permitam eliminar os dados primários e secundários definitivamente devem ser providenciadas.
Deve ser também permitido aos utilizadores o acesso à informação secundária presente nos perfis
de outros utilizadores, de modo a poderem editar ou remover as mesmas. As políticas de
Privacidade e as páginas de ajuda devem explicar claramente como tudo isto pode ser feito.
35
Capítulo 2 – Análise do Estado de Arte
Como podemos verificar, existem muitos problemas de Segurança e Privacidade actualmente nos
serviços de redes sociais. Apesar da necessidade evidente que estes serviços têm de maximizar a
Segurança, não existe actualmente nenhuma norma concernente à Segurança e Privacidade dos
mesmos. Deste modo, procuramos normas que se adequassem à temática.
36
Capítulo 3 – Abordagem de trabalho e Conceitos resultantes da exploração
37
Capítulo 3 – Abordagem de trabalho e Conceitos resultantes da exploração
Ilustração 4 – Mapa de serviços de redes sociais: dominância por país (IBM, 2009).
Os rankings do tráfego do Alexa são baseados nos padrões de uso do Alexa Toolbar e dados
recolhidos de várias fontes durante um período de três meses. O ranking de um serviço é baseado
na combinação entre o número de visitas de utilizadores do Alexa à página, e o número de visitas
únicas de utilizadores do Alexa, num determinado dia. A página Web com melhor combinação
destes dois factores, é classificada como nº 1. O ranking de tráfego aplica-se apenas aos domínios
principais, como por exemplo www.dominio.pt, não sendo fornecido rankings para sub-páginas
dentro de um domínio, como www.dominio.pt/sub-pagina, ou subdomínios, como
www.subdominio.dominio.pt, a menos que estes sejam automaticamente identificáveis como
páginas pessoais ou blogs.
Seguidamente consultamos, em dois momentos diferentes, os rankings do Alexa sobre três
perspectivas: ranking mundial de serviços, ranking dos serviços de redes sociais, e ranking de
serviços em Portugal. Através das consultas dos rankings do alexa, realizadas a 17 de Fevereiro de
2009 e a 1 de Maio de 2009, foi possível verificar-se quais os serviços mais populares e quais os
menos populares, seleccionando potenciais serviços a analisar. A dupla consulta realizou-se no
sentido de verificar a existência de oscilações nos rankings, e no sentido de corrigir alguma falha na
informação recolhida na primeira consulta. De ambas as consultas resultou a selecção do
YouTube, do Flickr, do Delicious, do Sonico, do LinkedIn, do Twitter, do Scribd e do Identi.ca.
Para obter mais informação sobre serviços novos ou menos conhecidos que pudessem não ser
incluídos no material referido anteriormente, consultamos a lista dos serviços de redes sociais
38
Capítulo 3 – Abordagem de trabalho e Conceitos resultantes da exploração
39
Capítulo 3 – Abordagem de trabalho e Conceitos resultantes da exploração
40
Capítulo 3 – Abordagem de trabalho e Conceitos resultantes da exploração
41
Capítulo 3 – Abordagem de trabalho e Conceitos resultantes da exploração
Mensagens privadas
As mensagens privadas são um mecanismo que permite a comunicação entre duas ou mais
pessoas de forma privada. Este mecanismo garante que apenas os utilizadores participantes
possuem acesso ao conteúdo das mensagens.
Alteração da palavra-passe
Este mecanismo permite a modificação da palavra-passe do utilizador, sempre que o utilizador
considerar necessário.
42
Capítulo 3 – Abordagem de trabalho e Conceitos resultantes da exploração
Avaliação da palavra-passe
Alguns serviços indicam se o utilizador optou por uma palavra-passe fraca, forte ou muito forte de
forma a orientar os mesmos, este mecanismo de Segurança deve ser sempre completado por
orientações relativas às escolhas de palavra-passe.
Restrições de comunicação
As restrições de comunicação prendem-se com os limites impostos pelos serviços como, por
exemplo, limite diário de comentários, mensagens, limites de pedidos de amizade sem resposta,
limites do número máximo de contactos, limite máximo de recursos que se pode carregar, entre
outros. As restrições podem envolver ainda não os limites mas cálculos baseados na rapidez ou
quantidade que, por exemplo, os comentários são realizados.
43
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
A tabela seguinte, será utilizada como legenda das tabelas presentes na apresentação de cada
serviço de redes sociais, e na grelha de observação, listando os mecanismos de Segurança e
Privacidade resultantes da revisão de literatura e da exploração.
4.1.1 - Friendster
Informação básica
Segundo a página ―Temporary Maintenance‖ do Friendster (2009) o serviço possui actualmente 95
milhões de membros registados, sendo um dos serviços líderes dos serviços de redes sociais puras.
45
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Finalidade
O propósito deste serviço é permitir às pessoas manter contacto com os seus amigos e iniciar
contacto com novas pessoas que possuam interesses comuns (Friendster, 2009). Os utilizadores
podem interagir com amigos, família, colegas de escola, grupos sociais, actividades e interesses. O
Friendster também possui como finalidade realizar acções de marketing e promover celebridades,
bandas, empresas e grupos.
Tipos de conta
O Friendster disponibiliza três tipos de contas totalmente grátis, perfis comuns, perfis de fã
(celebridades, grupos, bandas e empresas) e os perfis oficiais (perfis criados pelo Friendster ou
pelos seus parceiros). Todas as funcionalidades do perfil comum são gratuitas, sendo elas: registo,
gestão de perfil de utilizador, alteração de dados (endereço de correio electrónico, palavra-passe),
recuperação de dados (palavra-passe), gestão de álbuns, armazenamento e partilha de imagens,
associação de metadados (comentários fotos e perfil), gestão de rede de contactos (realizar
pedidos de amizade, eliminar contacto, bloquear, e denunciar utilizadores), envio e recepção de
mensagens (privadas), gestão de grupos, pesquisa, e cancelamento da conta de utilizador.
46
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Gestão de álbuns x
Armazenamento e partilha de imagens x
Associação de metadados (comentários) x x
Gestão da rede de contactos x x x x
Envio/Recepção de mensagens (privadas) x x
Gestão de grupos x x x x
Pesquisa
Cancelamento da conta de utilizador x
Tabela 2 – Mecanismos de Segurança e Privacidade associados às funcionalidades do Friendster.
4.1.2 - Hi5
Informação básica
Segundo a secção ―Sobre nós‖ do Hi5 (2009), a empresa sediada em S. Francisco, Califórnia, é
actualmente um dos maiores serviços de redes sociais, sendo enquadrada na categoria de redes
sociais puras. O seu lançamento remonta a 2003 e, segundo comScore, mais de 60 milhões de
pessoas visitam mensalmente este serviço (Hi5, 2009), especialmente os jovens (Revista Visão,
Abril 2009). Segundo o Alexa (2009) este serviço é a rede social mais popular em Portugal. Este
serviço encontra-se disponibilizado em 50 línguas.
Finalidade
O propósito deste serviço é possibilitar a criação de relações entre os seus utilizadores,
independentemente da sua localização, facilitar os reencontros entre amigos e estimular a partilha
de informação pessoal e imagens através da construção de uma página que expresse o que é
importante para o utilizador (Hi5, 2009). Segundo a Revista Visão (Abril de 2009) este serviço é
também utilizado para a criação de comunidades, promoção de celebridades e acções de
marketing.
Tipos de conta
O Hi5 apresenta um tipo de conta gratuito que possui funcionalidades gratuitas e funcionalidades
pagas. As funcionalidades gratuitas deste serviço são: registo, gestão de perfil de utilizador,
alteração de dados (endereço de correio electrónico, palavra-passe), recuperação de dados
47
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Mecanismo de Segurança e
Hi5 Privacidade
A B C D E I K N
Registo x x x
Gestão de perfil de utilizador x
Alteração de dados x x
Recuperação de dados x x
Gestão de álbuns x
Armazenamento e partilha de imagens x
Funcionalidades
4.1.3 - Facebook
Informação básica
O Facebook é um serviço de rede social pura criada em 2004 pela empresa Facebook, Inc.
Segundo as últimas estatísticas publicadas pelo Facebook, em Abril de 2009, este serviço possui
mais de 200 milhões de utilizadores activos e mais de 100 milhões de utilizadores efectuam a
48
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
autenticação pelo menos uma vez por dia. Uma das razões para a elevada aderência ao serviço é
este se encontrar disponível em 56 línguas.
Finalidade
A finalidade deste serviço é conectar pessoas, sejam elas amigas, colegas de trabalho, colegas de
escola, etc. Através deste serviço os utilizadores podem estar em contacto com os amigos, partilhar
um número ilimitado de imagens, hiperligações e vídeos, e conhecer melhor as pessoas a quem se
encontram conectados.
O Facebook permite ainda a bandas, músicos, empresários, e a qualquer tipo de organização criar
presença no seu serviço para se autopromover ou realizar acções de marketing.
Tipos de conta
O Facebook apresenta dois tipos de contas, ambas gratuitas: conta pessoal e conta empresarial. O
primeiro tipo conta consiste na conta comum que permite as funcionalidades normais de uma rede
social. O segundo tipo de conta não permite a visualização dos perfis das contas pessoais, não
permite recepção ou envio convites e não é exposta nos resultados de pesquisa.
As funcionalidades gratuitas da conta pessoal são: registo, gestão de perfil de utilizador, alteração
de dados (endereço de correio electrónico, palavra-passe), recuperação de dados (palavra-passe),
gestão de álbuns, armazenamento e partilha de imagens, partilha de URLs, armazenamento e
partilha de vídeos, associação de metadados (comentários a mensagem publicas, fotos, e vídeos,
comentários pré-definidos, notas e marcas a fotos e vídeos), gestão de rede de contactos (realizar
pedidos de amizade, eliminar contactos e bloquear e denunciar utilizadores externos à rede de
contactos), envio e recepção de mensagens (públicas e privadas), gestão de grupos, pesquisa,
cancelamento e reactivação da conta de utilizador.
Na conta pessoal do Facebook existe a possibilidade de trocar créditos por prendas virtuais e
algumas aplicações. Deste modo o utilizador compra créditos e troca-os por funcionalidades.
49
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Partilha de URLs x
Associação de metadados (comentários) x
Associação de metadados (marcas)
Gestão de rede de contactos x x
Envio/Recepção de mensagens (privadas) x x
Envio/Recepção de mensagens (publicas) x x x
Gestão de grupos x x x x
Pesquisa x
Cancelamento da conta de utilizador x
Reactivação da conta de utilizador x
Tabela 4- Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no Facebook.
4.1.4 - Sonico
Informação básica
Segundo a secção ―Quem somos‖, o Sonico é um serviço de rede social, do tipo rede social pura,
criada em 2007 por Rodrigo Teijeiro (Sonico, 2009). O serviço encontra-se disponível em 3 línguas
e possui actualmente 34 milhões de utilizadores (Sonico, 2009). Este serviço combina a utilidade
social e o entretenimento social.
Finalidade
O propósito do Sonico é proporcionar um espaço, no qual as pessoas podem compartilhar
informação, e interagir com amigos e conhecidos de uma forma segura, organizada e divertida.
Tipos de conta
O Sonico possui dois tipos de conta: a pessoal e a pública, ambas gratuitas. As funcionalidades da
conta pessoal são: registo, gestão de perfil de utilizador, alteração de dados (endereço correio
electrónico e palavra-passe), recuperação de dados (palavra-passe), gestão de álbuns,
armazenamento e partilha de imagens, partilha de URLs, associação de metadados (comentários a
imagens e mensagens publicas, e marcas a imagens), gestão de rede de contactos (realizar
pedidos de amizade, eliminar e bloquear contactos, e denunciar utilizadores), envio e recepção de
50
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Partilha de URLs
Associação de metadados (comentários)
Associação de metadados (marcas)
Gestão de rede de contactos X x
Envio/Recepção de mensagens (privadas) x X
Envio/Recepção de mensagens (públicas)
Gestão de grupos x x x
Pesquisa x
Cancelamento da conta de utilizador
Reactivação da conta de utilizador x x
Tabela 5– Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade do Sonico.
4.2.1 - LinkedIn
Informação básica
O LinkedIn foi oficialmente fundado em 2003 por cinco fundadores, Reid Hoffman, Allen Blue,
Jean-Luc Vaillant, Eric Ly, e Konstantin Guericke (―Hitória da Companhia‖, 2009). Este serviço é
uma rede de contactos profissional, sendo considerada uma rede social séria que possui
51
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Finalidade
Segundo a secção ―Sobre nós‖ (2009) do LinkedIn, o propósito deste serviço é promover o
utilizador profissionalmente, encontrar potenciais clientes, fornecedores e especialistas, potenciar a
criação e participação em projectos, encontrar oportunidades de negócio, e interagir com outros
profissionais. A missão deste serviço é conectar profissionais do mundo inteiro de modo a torna-los
mais produtivos e bem sucedidos (―Sobre nós‖, 2009).
Tipos de conta
O LinkedIn possui quatro tipos de contas: Pessoal, Negócios, Negócios Plus e Pro. Só a primeira
conta é disponibilizada gratuitamente. As funcionalidades e restrições das mesmas divergem de
conta para conta assim como os preços. Para mais informações deve ser consultada a página
―Conta e Opções‖ e secção ―Comparar tipos de contas‖.
As funcionalidades da conta Pessoal são todas gratuitas, sendo elas: registo, gestão de perfil,
alteração de dados (endereço de correio electrónico e palavra-passe), recuperação de dados
(palavra-passe), gestão de rede de contactos (efectuar pedidos de contacto, eliminar contactos),
envio e recepção de mensagens (públicas e privadas), gestão de grupos, pesquisa e cancelamento
da conta de utilizador.
Mecanismo de Segurança
LinkedIn e Privacidade
A B C D E I K P
Registo x x
Gestão de perfil x
Alteração de dados x x x
Funcionalidades
Recuperação de dados x x
Gestão de rede de contactos x x x
Envio/Recepção de mensagens (privadas)
Gestão de grupos x x x x
Pesquisa x
Cancelamento da conta de utilizador x
Tabela 6 - Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no LinkedIn.
52
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
4.2.2 - Naymz
Informação básica
O Naymz é um serviço de rede social profissional do tipo rede de contactos criada em 2006 por
Viable Ventures, LLC (Naymz, 2009). Este serviço considera a reputação profissional como a chave
para o relacionamento com outros profissionais. Segundo Naymz (2009) este serviço possui
actualmente um milhão de utilizadores, embora seja apresentado apenas na língua inglesa.
Finalidade
O propósito deste serviço é permitir construir e expandir a sua rede profissional, permitir uma
comunicação entre as pessoas sérias da rede, seguir outros utilizadores, permitir a promoção da
carreira ou produto e permitir a descoberta de novas oportunidades.
Tipos de conta
Este serviço possui dois tipos de conta, uma grátis, e outra, a Premium, paga. As funcionalidades
da conta grátis são todas gratuitas, sendo elas: registo, gestão de perfil, alteração de dados
(endereço de correio electrónico e palavra-passe), recuperação de dados (palavra-passe),
associação de metadados (comentários a mensagens públicas), gestão de rede de contactos
(efectuar convite de contacto, remover utilizadores), envio e recepção de mensagens (públicas e
privadas), pesquisa e cancelamento a conta de utilizador.
53
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Mecanismo de
Segurança
Naymz e Privacidade
B C E G I P
Registo x x x
Gestão de perfil de utilizador
Alteração de dados x x
Funcionalidades
Recuperação de dados x x
Associação de metadados (comentários)
Gestão de rede de contactos x x
Envio/Recepção de mensagens (privadas) x x
Envio/Recepção de mensagens (públicas) x x x
Pesquisa
Cancelamento da conta de utilizador
Tabela 7 - Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no Naymz.
4.2.3 - ResearchGATE.net
Informação básica
O ResearchGATE.net é um serviço de rede social do tipo rede de contactos criada em 2007
(TechCrunch, 2009) por ResearchGATE GmbH (ResearchGATE, 2009). Este serviço encontra-se
disponível em uma língua, o inglês.
Segundo TechCrunch (2009) em Maio de 2009 possuía 50000 utilizadores oriundos de 196
países, mais de 40000 documentos e 1100 grupos. Atualmente mais de 100,000 cientistas usam
este serviço (ResearchGATE, 2009).
A Web semântica está presente neste serviço através de aplicações inteligentes que tornam o
processo de pesquisa mais confiável (ResearchGATE, 2008).
Finalidade
O propósito deste serviço é possibilitar a construção de uma rede científica, na qual os cientistas se
conectam, a descoberta novos métodos, documentos e pessoas através do mecanismo de
pesquisa e a estimulação a colaboração entre cientistas através do uso das aplicações desenhadas
especialmente para os mesmos. Através deste serviço o utilizador pode aceder rapidamente e
eficientemente a informação relevante, uma vez que é o suporte para a colaboração entre
investigadores (ResearchGATE, 2008).
54
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Tipos de conta
O ResearchGATE possui apenas um tipo de conta que é disponibilizado gratuitamente. As
funcionalidades do serviço são também todas gratuitas, sendo elas: registo, gestão de perfil,
alteração de dados (endereço de correio electrónico e palavra-passe), recuperação de dados
(palavra-passe), armazenamento e partilha de documentos, associação de metadados
(comentários predefinidos), gestão de rede de contactos (efectuar convites de contacto, eliminar
contacto, e denunciar utilizadores), envio e recepção de mensagens (privadas), gestão de grupos, e
pesquisa.
Mecanismos de
ResearchGATE Segurança e Privacidade
A B C E I p
Registo x x
Gestão de perfil x
Alteração de dados x x x
Funcionalidades
Recuperação de dados x x
Armazenamento e partilha de documentos
Associação de metadados (comentários predefinidos)
Gestão de rede de contactos x x
Envio/Recepção de mensagens (privadas)
Gestão de grupos x x
Pesquisa
Tabela 8 - Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no ResearchGATE.
4.2.4 - Academia.edu
Informação básica
O Academia.edu é um serviço de rede social do tipo rede de contactos, que é direccionado para os
investigadores académicos. Actualmente encontra-se disponível apenas em inglês.
Os membros deste serviço são agrupados por universidades e por departamentos, sendo estes
considerados como grupos e subgrupos respectivamente. Apresenta deste modo uma estrutura em
árvore, invulgar neste tipo de serviços.
55
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Finalidade
Segundo a página ―About‖ do Academia.edu (2009), este serviço tem com finalidade auxiliar os
académicos a responder à questão: ―Quem está a pesquisar o quê?‖.
O propósito deste serviço é permitir aos seus membros encontrar pessoas com interesses de
investigação semelhantes, possibilitando aos seus utilizadores criar uma página académica, na
qual podem apresentar informações pessoais, as suas áreas de interesse e artigos. Permite
também que os seus utilizadores se mantenham informados sobre os últimos desenvolvimentos na
sua área.
Tipos de conta
O Academia.edu apresenta apenas um tipo de conta, sendo este gratuito. As funcionalidades
associadas a este tipo de conta são todas gratuitas, sendo estas: registo, gestão de perfil de
utilizador, alteração de dados (endereço de correio electrónico, e palavra-passe), recuperação de
dados (palavra-passe), armazenamento e partilha de documentos, associação de metadados
(comentários e comentários predefinidos), gestão da rede de contactos (efectuar convite de
contacto, remover contacto, e seguir utilizador), envio e recepção de mensagens (públicas e
privadas), pesquisa e cancelamento da conta de utilizador.
56
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Mecanismo de
Segurança
Academia.edu e Privacidade
E I
Registo x x
Gestão de perfil
Alteração de dados x
Recuperação de dados x x
Funcionalidades
4.3 – Microblogging
4.3.1 - Twitter
Informação básica
Segundo a secção ―Sobre nós‖ (2009) e Tweeternet (2008), o Twitter é um serviço de
microblogging criado em 2006 como um projecto secundário de uma empresa Americana que
permite a troca de informação entre os utilizadores. Apesar de não ser uma rede social pura, esta
encontra-se presente, através da interacção entre os seguidores e os seguidos. Este serviço
apresenta-se em duas línguas.
Para além do utilizador comum que deseja partilhar rapidamente e frequentemente informação
com os outros, segundo a revista Visão (2009) este serviço está a ser utilizado por algumas
profissões em particular como os jornalistas, os profissionais na área de marketing e empresários.
Finalidade
Este serviço de microblogging permite a troca de mensagens curtas (140 caracteres), que se
designam actualizações, em tempo real entre utilizadores. Os amigos, os familiares, os colegas de
trabalho e os desconhecidos mantêm-se conectados através da troca rápida de informação, que
são resultado a respostas frequentes a uma pergunta, ―O que estás a fazer?‖. Em suma o propósito
deste serviço é a comunicação rápida e constante entre utilizadores.
57
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Tipos de conta
O Twitter apresenta apenas um tipo de conta, sendo este gratuito. As funcionalidades associadas a
este tipo de conta são: registo, gestão de perfil de utilizador, alteração de dados, recuperação de
dados, gestão de rede de contactos (seguir, deixar de seguir, denunciar, e bloquear utilizadores),
envio/recepção de mensagens (públicas e privadas), pesquisa, cancelamento e reactivação da
conta de utilizador.
Mecanismo de Segurança
Twitter e Privacidade
A B C D E G I J K
Registo x x x x
Criar perfil de utilizador
Alteração de dados x x x
x x x
Funcionalidades
Recuperação de dados
Gestão de rede de contactos x x x
Envio/recepção de mensagens (privadas) x
Envio/recepção de mensagens (públicas) x x
Pesquisa
Cancelamento da conta de utilizador
Reactivação da conta do utilizador x x
Tabela 10 - Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no Twitter.
4.3.2 - Present.ly
Informação básica
O Present.ly é um serviço de redes sociais, do tipo microblogging criado por Intridea no final do ano
de 2008 (Present.ly, 2009). Este serviço encontra-se disponível apenas em inglês.
Finalidade
O propósito deste serviço é possibilitar a publicação e leitura de mensagens curtas (140 caracteres)
e frequentes, num círculo específico, como por exemplo, uma empresa.
Tipos de conta
58
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
O Present.ly possui dois tipos de contas, uma grátis, e uma conta paga, que se designa por ―atrás
da firewall‖. A conta grátis possui dois registos diferentes, o registo rápido e o personalizado. Na
conta do registo rápido é especificada uma rede, em que os utilizadores possuem o mesmo tipo de
endereço de correio electrónico, por exemplo, alunos.uminho.pt. Na conta grátis de registo
personalizado encontram-se quatro níveis de protecção, a saber: o aberto, o fechado, o código de
acesso e o domínio de acesso.
As funcionalidades associadas à conta gratuita: registo, gestão de perfil de utilizador, alteração de
dados (endereço correio electrónico e palavra-passe), recuperação de dados (palavra-passe),
armazenamento e partilha de ficheiros, partilha de URLs, gestão de rede de contactos (seguir e
deixar de seguir utilizadores), envio e recepção de mensagens (públicas e privadas), gestão de
grupo, pesquisa e cancelamento da conta de utilizador.
Mecanismo de
Segurança
Present.ly e Privacidade
A B E I
Registo x x
Gestão de perfil de utilizador x
Alteração de dados x
Recuperação de dados x x
Funcionalidades
59
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
4.3.3 - Plurk
Informação básica
O Plurk é uma rede social do tipo microblogging criada em 2008 por uma equipa de
desenvolvedores designada por A-Team. Este serviço encontra-se actualmente disponível em 34
línguas.
Finalidade
A finalidade do Plurk é assegurar a comunicação curta e frequente entre pessoas, através dos
plurks (as mensagens e 140 caracteres) e comentários às mensagens. Essas mensagens são
inseridas numa linha de tempo, sendo esta apresentação uma forma diferente de visualização das
mensagens públicas.
Tipos de conta
O Plurk possui apenas um tipo de conta, que é disponibilizado gratuitamente. As funcionalidades
associadas a este tipo de conta são: registo, gestão de perfil, alteração de dados, recuperação de
dados, associação de metadados (comentários a mensagens), gestão de rede de contactos (seguir
e deixar de seguir utilizadores, bloquear e denunciar utilizadores), envio/recepção de mensagens
(públicas), pesquisa, e cancelamento da conta de utilizador.
Mecanismo de Segurança
Plurk e Privacidade
A B C D E I
Registo x x
Gestão de perfil x
Alteração de dados x x x
Funcionalidades
Recuperação de dados x x
Associação de metadados (comentários) x x
Gestão de rede de contactos x x
Envio/recepção de mensagens (públicas) x x
Pesquisa x
Cancelamento da conta de utilizador x
Tabela 12 - Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no Plurk.
60
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
4.2.4 - Blip.fm
Informação básica
O Blip.fm é um serviço de redes sociais, do tipo microblogging, direccionado para a música. Este
serviço foi criado em 2008, pela empresa Blip Inc. Segundo a página Web FAQ do Blip.fm (2009),
este é serviço que permite aos seus utilizadores dispor músicas acompanhados por pequenas
mensagens.
Segundo o Compete (2009), o Blip.fm registou, em Agosto de 2009, a visita de cerca de 357 mil
utilizadores.
Finalidade
A finalidade deste serviço é permitir a fácil partilha de música, acompanhadas por mensagens
curtas, entre os seus utilizadores, permitir a procura de músicas e possibilitar a criação de uma
rádio online.
Tipos de conta
O Blip.fm apresenta apenas um tipo de conta gratuito. As funcionalidades associadas a este tipo de
conta são: registo, gestão de perfil, alteração de dados (palavra-passe e endereço de correio
electrónico), recuperação de dados (palavra-passe), partilha de músicas, associação de metadados
(comentários pré-definidos ao perfil e mensagens), gestão de rede de contactos (seguir, e deixar de
seguir utilizadores), envio/recepção de mensagens (públicas), pesquisa e cancelamento da conta
de utilizador.
61
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Mecanismo de
Segurança
Blip.fm e Privacidade
A E I K
Registo x x
Gestão de perfil
Alteração de dados x x
Funcionalidades
Recuperação de dados x
Partilha de músicas
Associação de metadados (comentários) x
Gestão de rede de contactos
Envio/recepção de mensagens (públicas)
Pesquisa
Cancelamento da conta de utilizador
Tabela 13 - Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no Blip.fm.
4.3.5 – Identi.ca
Informação básica
Segundo a página Web ―Sobre o Identi.ca‖ (2009), o serviço é descrito como um microblogging,
baseado na ferramenta de código aberto StatusNet. O Identi.ca permite aos seus utilizadores a
colocação de pequenas mensagens públicas, sobre praticamente tudo o que o utilizador considerar
interessante partilhar com os seus amigos. Este serviço permite, ainda, que o utilizador subscreva
as mensagens públicas de outros utilizadores, e segui-los na Web ou através do RSS (Really Simple
Syndication).
O serviço Compete (2009) afirma que o Identi.ca recebeu, em Julho de 2009, a visita de cerca 96
mil utilizadores.
Finalidade
O identi.ca permite a partilha de mensagens públicas até 140 caracteres. É um serviço que permite
aos subscritores do utilizador se manterem informados e conectados. Este serviço pode também
ser utilizado para fins comerciais.
Tipo de conta
O Identi.ca apresenta apenas um tipo de conta, sendo este gratuito. Este tipo de conta apresenta
as seguintes funcionalidades: registo, gestão de perfil, alteração de dados (endereço de correio
electrónico e palavra-passe), recuperação de dados (palavra-passe), armazenamento e partilha de
62
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Mecanismo de
Segurança
Identi.ca e Privacidade
A D E I
Registo x x
Gestão de perfil
Alteração de dados x x x
Funcionalidades
Recuperação de dados x x
Armazenamento e partilha de imagens
Gestão de rede de contactos x
Envio/recepção de mensagens (privadas)
Envio/recepção de mensagens (públicas)
Gestão de grupos x
Pesquisa
Tabela 14- Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no Identi.ca.
4.4.1 - Flickr
Informação básica
O Flickr é um serviço de rede social do tipo partilha de recursos, mais especificamente é um
serviço de partilha de imagens e vídeos, desenvolvido pela Ludicorp em 2003 (Alexa, 2009) e
adquirido pela Yahoo! em 2005. O serviço encontra-se disponível em 8 línguas.
Finalidade
Segundo a página Web ―Sobre o Flickr‖ (2009), a finalidade deste serviço é a partilha de recursos,
com outros utilizadores através da Web. Este serviço procura expor as imagens e vídeos dos
utilizadores através de novas formas de armazenamento dos mesmos
Tipos de conta
O Flickr tem à disposição dos seus utilizadores dois tipos de conta, a conta gratuita e a conta Pro.
As funcionalidades pertencentes à conta gratuita são: registo, gestão de perfil de utilizador,
63
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
64
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
4.4.2 – Delicious
Informação básica
Segundo a página Web ―Sobre o Delicious‖ (2009), o Delicious é um serviço de rede social do tipo
partilha de recursos, mais especificamente, partilha URLs, que permite aos seus utilizadores
marcar, guardar, gerir e partilhar páginas Web. Este serviço foi desenvolvido em 2003 por Joshua
Schachter e adquirido em 2005 pela Yahoo! (Delicious, 2009).
Este serviço destina-se a utilizadores da Web, de todas as idades, que desejam partilhar e descobrir
páginas Web da sua área de interesse, com a vantagem de poderem gerir e aceder aos seus
marcadores, de uma forma fácil, independentemente do computador que estão a utilizar para se
ligarem à Web.
Finalidade
Segundo a página Web ―Sobre o Delicious‖ (2009), um dos objectivos do serviço é disponibilizar,
de uma forma fácil, os marcadores do utilizador em qualquer computador. Outro objectivo do
Delicious é promover a partilha de marcadores entre os seus utilizadores, através de mecanismo de
pesquisas e rankings, de modo a que os seus utilizadores possam descobrir páginas Web que
considerem interessantes.
Tipos de conta
O Delicious apenas oferece um tipo de conta de utilizador, sendo este gratuito. As funcionalidades
presentes neste tipo de conta são: registo, gestão de perfil de utilizador, alteração de dados
(endereço de correio electrónico e palavra-passe), recuperação de dados (palavra-passe), partilha
de URLs, gestão de rede de contactos (seguir, e deixar de seguir utilizadores), pesquisa, e
cancelamento da conta de utilizador.
65
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Mecanismo de
Delicious Segurança e Privacidade
A B C E G I
Registo x x
Gestão de perfil de utilizador
Funcionalidades
Alteração de dados x x
Recuperação de dados x x
Partilha de URLs x x
Gestão de rede de contactos x
Pesquisa
Cancelamento da conta de utilizador x
Tabela 16 - Correspondência entre as funcionalidades e os mecanismos de Segurança e Privacidade no Delicious.
4.4.3 - YouTube
Informação básica
Segundo a página Web ―Informações da empresa‖ do YouTube (2009), este, fundado em Fevereiro
de 2005, e adquirido pela Google em Novembro de 2006, é o serviço o líder na partilha de vídeos
online. Este serviço está disponível em 14 línguas, e, segundo o Compete (2009), em Julho de
2009 recebeu a visita de cerca de 85 milhões de utilizadores. Por outro lado, segundo o serviço
Alexa (2009), o YouTube é a terceira página Web mais visitada em Portugal.
Finalidade
A página Web ―Informações da empresa‖ do YouTube (2009), descreve o mesmo, como um
serviço que permite o fácil envio e rápida partilha de vídeos. Os seus utilizadores podem assistir a
eventos em primeira mão, descobrir vídeos sobre os seus passatempos e áreas de interesse.
Tipos de conta
O YouTube apresenta seis tipos de conta gratuitos, sendo as funcionalidades do tipo de conta
YouTuber comuns a todos, a saber: registo, gestão de perfil de utilizador, alteração de dados
(endereço de correio electrónico, palavra-passe), recuperação de dados (palavra-passe e nome de
utilizador), armazenamento e partilha de vídeos, gestão de listas de reprodução, associação de
metadados (comentários, marcas, notas), gestão de rede de contactos (seguir e deixar de seguir
utilizadores, bloquear e denúnciar), associação de respostas vídeo, envio/recepção de mensagens
(privadas), gestão de grupos, pesquisa, e cancelamento da conta de utilizador.
66
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
4.4.4 - Scribd
Informação básica
O Scribd, criado em 2007, é um serviço de redes sociais do tipo partilha de recursos, orientado
para a partilha de documentos. Actualmente, o Scribd, é a maior empresa de partilha documentos
do mundo (Scribd, 2009). Este serviço encontra-se disponível em 90 línguas e possui mais de 60
milhões de pessoas que utilizam o serviço para pesquisa e partilha de documentos (Scribd, 2009).
Todos os documentos do Scribd são frequentemente indexados pelo Google, o que se traduz num
público-alvo do documento mais vasto e mais segmentado.
Finaliade
O propósito deste serviço consiste na partilha de documentos em vários formatos, podendo
transformá-los em iPaper (Scribd, 2009). Através dos iPapers qualquer pessoa poderá carregar o
documento para o Scribd e partilhá-lo. O documento poderá ser partilhado não só com a
comunidade do Scribd, mas também com pessoas não registadas no serviço.
67
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Tipo de contas
Este serviço possui apenas um tipo de conta gratuita, cujas funcionalidades se encontram todas
disponíveis gratuitamente, à excepção da compra de documentos. As funcionalidades constituintes
deste tipo de conta são: registo, gestão de perfil de utilizador, alteração de dados (endereço de
correio electrónico e palavra-passe), recuperação de dados (palavra-passe), armazenamento e
partilha de documentos, associação de metadados (comentários), gestão de rede de contactos
(seguir e deixar de seguir, e bloquear utilizadores), envio/recepção de mensagens (privadas),
gestão de grupos, pesquisa, e cancelamento da conta de utilizador.
Mecanismo de Segurança
Scribd e Privacidade
A B C D E G I
Registo x x
Gestão de perfil de utilizador
Alteração de dados x x x
Recuperação de dados x x
Funcionalidades
4.4.5 – Twine
Informação básica
O Twine é um serviço de partilha de conteúdo, que permite a partilha de diversos tipos de recursos.
Este serviço, foi disponibilizado ao público no final de 2008 (Press Coverage Twine, 2008) pela
Radar Networks (Termos e Condições do Twine, 2009).
O Twine, consiste numa nova forma de armazenamento de conteúdo online (vídeos, imagens,
artigos, páginas Web, etc.) que o utilizador organiza por tópico de modo a facilitar a partilha de
conteúdo por interesses (Sobre o Twine, 2009).
68
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Finalidade
O propósito do Twine é armazenar e partilhar recursos e facilitar a partilha de informação e
conhecimento. Ao permitir a interacção entre utilizadores torna-se mais fácil a disseminação de
conteúdo.
Tipos de conta
O Twine possui um tipo de conta grátis, sendo as funcionalidades constituintes deste tipo: registo,
gestão de perfil de utilizador, alteração de dados (endereço de correio electrónico e palavra-passe),
recuperação de dados (palavra-passe), armazenamento e partilha de recursos, gestão da rede de
contactos, associação de metadados (comentários e marcadores), envio/recepção de mensagens
(privadas), gestão de grupos e pesquisa.
Mecanismo de Segurança
Twine e Privacidade
A B C D E G I
Registo x x
Gestão de perfil de utilizador
Alteração de dados x x
Recuperação de dados x x
Funcionalidades
69
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Associação de metadados
Gestão de grupos
Registo
Armazenamento e partilha de
Gestão de perfil do utilizador imagens
Envio e recepção de
mensagens Alteração de dados
Reactivação da conta do
Recuperação de dados utilizador
Gestão de contactos
Cancelamento da conta
Armazenamento e partilha de
Pesquisa
documentos
Partilha de URLs
P
70
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
serviço, ou funcionalidades desenvolvidas por entidades terceiras. Não foram ainda consideradas
acções não automatizadas, por exemplo, o cancelamento da conta de utilizador, de forma
indirecta, através do envio de uma mensagem de correio electrónico para o serviço.
Seguidamente é apresentada a Grelha 1, resultante da exploração:
71
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
SNS
Problemas de Segurança e Privacidade
Hi5 Facebook Friendster Sonico Academia LinkedIn Naymz ResearchGATE Twitter Present.ly Identi.ca Plurk Blip.fm Flickr YouTube Twine Scribd Delicious
Agregação de dossiês digitais B B B B 1 B 1 B 1 B 1 B 1 B B 1 1 3
Agregação de dados secundários B B B B 1 B 1 B B B 1 B 1 B B 1 B B
Informação indesejada nos resultados de
B B B B 1 B 1 B 1 1 1 B 1 B B 1 1 B
pesquisa
Reconhecimento de faces B B B B 1 B 1 B 1 1 1 1 1 B B 1 1 1
CBIR (Content-Based Image Retrivial) B B B B 1 B 1 B 1 1 1 1 1 B B 1 1 1
Marcas indesejadas B D 2 D 2 2 2 2 2 2 2 2 2 2 1 2 2 2
Marcadores indesejados 2 2 2 2 2 2 2 2 2 2 2 2 2 BD 2 2 2 2
Notas indesejadas 2 2 2 2 2 2 2 2 2 2 2 2 2 BD 1 2 2 2
Comentários indesejados BCDK DK BDGK D 1 2 1 1 2 2 2 BD 2 BD BCD B B 2
Privacidade
Mensagens indesejadas BCDK DK BCD BC 1 1 CG 1 K 1 1 2 2 D BCD D 1 2
Informação visível a utilizadores indesejados BDL BDL BL BDL L L 1 BL BDL BL DL B 1 BD BL BDL L B
Recursos visíveis a utilizadores indesejados BD BD B BDL 1 1 2 1 2 1 1 2 1 BD BD BD B B
Dificuldade na eliminação definitiva de perfil 1 2 2 1 3 3 3 1 2 2 1 2 3 2 1 1 2 3
Dificuldade na eliminação de informação
1 1 1 1 2 2 3 1 2 2 1 2 2 2 1 1 1 2
secundária
Divulgação da informação de um utilizador por
BCD BCD BC BCD 1 B C C C 1 1 CD 2 C BC C CD BC
outro utilizador não autorizado
Divulgação da recursos de um utilizador por
BCD BCD BC BCD 1 B C C C 1 1 CD 2 C BC C CD BC
outro utilizador não autorizado
Spam BCDK BCDK BCDM BCD 1 1 C BC BCD 1 D BCD K BCDK BCDG CD CD C
XSS/vírus/worms BCDK BCDK BCRM BCD 1 1 C BC BCD 1 D BCD 1 BCDK BCD CD CD C
Phishing/Pharming BCDK BCDK BCRM BCD 1 1 C BC BCD 1 D BCD 1 BCDK BCD CD CD C
Variantes aos problemas Roubo de identidade (roubo da palavra-passe ABCI ABCHI ABCI ABCI AI ABI ACIQ ABCIQ ABCIO AI AIQ ABCIQ AI ABCDHI ABCI ACI ACI ABCIQ
tradicionais e SI, Identidade ou personificação)
e palavra-passe Ataque de força bruta, Dicionário ou Crack da
EF EFJR EFJ EF EF EFR EF EF EFJR EF EF EFR EF EFJ EFJ EF EF EF
palavra-passe
Utilizador desconhece a vulnerabilidade da
1 J J 1 1 1 1 1 J 1 1 1 1 J J 1 1 1
palavra-passe
Utilização de bots I GI GI GI I I GI I I I I GI I GHI GI GI GI GI
Utilizadores falsos e/ou problemáticos CDK CDK CK CDO 1 KP CP CP CDK 1 1 CD 1 CDK C CD CD C
Outros
Tentativa de registo de utilizadores com idade N N 1 1 1 1 1 1 1 1 1 1 1 N N 1 1 2
inferior à exigida pelo serviço
Assédio/Perseguição/Ameaças/Ofensas BCD BCDK BCD BCD 1 1 C BC BCD 1 D BCD 1 BCD BCD CD CD 2
Sociais
Recursos abusivos CD CD CDK CD 1 1 C C 2 1 1 CD 1 CD CD CD CD C
Grelha 1 - Problemas e Mecanismos de Segurança, e Funcionalidades presentes nos serviços de redes sociais.
73
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
5
Verificação da idade
4
3 Avaliação da palavra-passe
2
Envio de intruções via correio
1 electrónico
0 CAPTCHA
YouTube
Hi5
Flickr
Twitter
Twine
Friendster
Academia
Identi.ca
Nayms
Present.ly
Blip.fm
Sonico
Scribd
Delicious
Facebook
Plurk
ResearchGate
75
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
3 Impedimento de definição de
palavras-passe óbvias/fracas
2
Sensíveis à capitalização
1
0 Exigência de combinações de
caracteres
Identi.ca
Hi5
Twitter
Plurk
Blip.fm
Nayms
YouTube
Scribd
Twine
Friendster
Sonico
Academia
Flickr
Delicious
LinkedIn
Facebook
Present.ly
ResearchGate
8
7
6
5
4
3
2
1
0
Twitter
Blip.fm
Twine
YouTube
Hi5
Nayms
Flickr
Sonico
LinkedIn
Plurk
Facebook
Friendster
ResearchGate
Academia
Identi.ca
Present.ly
Scribd
Delicious
76
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
Verificação da idade
Restrições de validação da
CAPTCHA
Avaliação da palavra-passe
correio electrónico
palavra-passe
77
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
4 Verificação de dados
0 Visibilidade geral
Friendster
Hi5
Plurk
Blip.fm
Nayms
Identi.ca
YouTube
Scribd
Twine
Sonico
Academia
Flickr
Delicious
Facebook
Present.ly
ResearchGate
Opções de Privacidade
78
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
Opções de Verificação de
Privacidade dados
Gráfico 6 – Quantidade de vezes que um mecanismo de Segurança e Privacidade é utilizado pelos serviços na gestão do perfil.
Como se pode constatar, mais de metade dos serviços, permite ao utilizador definir opções de
Privacidade. As excepções, entre os serviços explorados, são o Academia.edu, o Naymz, o
Identi.ca, o Blip.fm, e o Twine, que não apresentam qualquer mecanismo de Privacidade alusivo ao
perfil de utilizador.
O Hi5 e o Facebook são os únicos serviços, que possuem opções de Privacidade, que permitem
optar pelos dois tipos de visibilidade do perfil, geral e por blocos de informação. Os restantes dez
serviços possuem apenas um dos dois tipos de visibilidade de perfil.
A visibilidade por blocos de informação, permite ao utilizador obter um maior controlo da
divulgação dos seus dados de perfil, devendo encontrar-se implementada em todos os serviços de
redes sociais.
A categoria que apresenta uma maior preocupação com a Privacidade de perfil, é a das redes
sociais puras, uma vez, que estas se centram muito em informações pessoais. O Hi5 e o Facebook
são os serviços, desta categoria, que apresentam mais preocupação com esta funcionalidade. Os
serviços de redes de contacto explorados, apresentaram deficiências em relação aos mecanismos
de Privacidade, sendo que dois, dos quatro serviços desta categoria, não apresentam quaisquer
opções de Privacidade. Os microbloggings apresentam também opções de Privacidade reduzidas
ou nulas. A categoria de partilha de recursos apresenta na sua maioria, a visualização por bloco de
informação.
O Sonico efectua ainda a verificação de dados pessoais, mais especificamente, do avatar e do
nome de utilizador, numa tentativa de proteger o serviço do registo de utilizadores falsos e/ou
79
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
problemáticos e tornar o serviço mais verdadeiro e confiável. Para tal disponibiliza uma equipa de
controlo da informação dos utilizadores. Este mecanismo deveria estar mais divulgado entre os
serviços de redes sociais, principalmente nos serviços pertencentes à categoria de redes de
contacto, por serem redes profissionais e por isso mais ―sérias‖. Sempre que o utilizador efectua
alterações da imagem de perfil e nome do utilizador, o Sonico efectua uma nova verificação de
dados. Por outro lado, o Twitter efectua verificações de conta, cuja finalidade é identificar
personificações.
O utilizador deve ter o direito de decidir como, e a quem deseja, divulgar a sua informação de
perfil, mesmo que esta seja mínima, independentemente da categoria, em que se insere o serviço.
Desta forma, sugerimos a adopção de Opções de Privacidade, mais concretamente, da visibilidade
do perfil por blocos de informação. A verificação de dados fará mais sentido nos serviços de redes
de contactos, podendo ser utilizada também pelos serviços de redes sociais puras.
3 - Alteração de dados
A alteração de dados, alvo de estudo, consiste na alteração da palavra-passe e alteração do
endereço de correio electrónico.
Alteração da palavra-passe
A alteração da palavra-passe é permitida por todos os serviços, protegendo contra o roubo de
identidade (roubo da palavra-passe) através de ataques de força bruta, dicionário ou crack da
palavra-passe. Os mecanismos de Segurança associados à alteração de palavra-passe encontram-
se ilustrados no gráfico 7.
Avaliação da palavra-passe
3
1
Autenticação exigida para proceder
à alteração da palavra-passe
0
Friendster
Twine
Nayms
YouTube
Sonico
LinkedIn
Plurk
Flickr
Hi5
ResearchGate
Academia
Identi.ca
Present.ly
Blip.fm
Scribd
Delicious
80
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
O gráfico seguinte traduz a quantidade de vezes que os mecanismos de Segurança são associados
à alteração da palavra-passe nos dezoito serviços.
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
palavra-passe
palavra-passe
palavra-passe
Autenticação
Avaliação da
validação da
alteração da
Restrição de
exigida para
proceder à
Gráfico 8 - Quantidade de vezes que o mecanismo de Segurança é utilizado na alteração da palavra-passe nos 18 serviços.
8
7
6
5
4
3
2
1
0
Twine
YouTube
Hi5
Flickr
Twitter
Friendster
Academia
Nayms
Identi.ca
Present.ly
Blip.fm
Sonico
Scribd
Delicious
Plurk
Facebook
ResearchGate
Gráfico 9 – Número de caracteres mínimo para definir a palavra-passe aquando a sua alteração da palavra-passe.
81
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Blip.fm
Nayms
Plurk
Twine
Identi.ca
YouTube
Scribd
Friendster
Sonico
Academia
Flickr
LinkedIn
Delicious
Facebook
Twitter
ResearchGate
Present.ly
82
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
Autenticação
instruções via
endereço de
alteração do
exigida para
electrónico
proceder à
electrónico
Envio de
correio
correio
Gráfico 11 – Quantidade de vezes que um mecanismo de Segurança é utilizado na alteração do endereço de correio electrónico nos 18 serviços.
A maioria dos serviços permite a alteração do endereço de correio electrónico, a excepção consiste
no Flickr. A alteração do endereço de correio electrónico, não acompanhada por outros
mecanismos de Segurança, é verificada num número reduzido de serviços.
O Plurk e o Identi.ca enviam instruções para activação do novo endereço de correio electrónico, no
entanto, pode efectuar-se autenticação e utilizar as funcionalidades do serviço sem proceder à
mesma.
A categoria que menos cuidados apresenta, na alteração do endereço de correio electrónico, é a
categoria de rede de contactos.
Recomendamos a implementação de ambos mecanismos, em todos os serviços de redes sociais,
independentemente da categoria, uma vez que protegem contra o roubo de identidade, mais
concretamente, roubo da palavra-passe.
4 - Recuperação de dados
As recuperações de dados consideradas, no presente estudo, restringem-se apenas à recuperação
da palavra-passe, e nome de utilizador. A recuperação da palavra-passe e nome de utilizador é
permitida por todos os serviços, podendo originar alguns problemas de Segurança tais como, a
utilização de bots, o roubo de identidade (roubo da palavra-passe) e o utilizador desconhecer a
fragilidade da palavra-passe.
83
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
4 Restrição de validação da
palavra-passe
3
Avaliação da palavra-passe
2
Pergunta pessoal de segurança
1
CAPTCHA
0
ResearchGate
Hi5
Plurk
Blip.fm
Nayms
Twine
Identi.ca
YouTube
Scribd
Friendster
Sonico
LinkedIn
Academia
Delicious
Flickr
Facebook
Present.ly
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
Restrição de validação da
Envio de instruções via correio
CAPTCHA
Avaliação da palavra-passe
Pergunta pessoal de segurança
palavra-passe
electrónico
Gráfico 13 - Quantidade de vezes que um mecanismo de Segurança é utilizado na recuperação da palavra-passe nos 18 serviços.
As estratégias de recuperação da palavra-passe diferem nos vários serviços. O Blip.fm envia para o
correio electrónico uma palavra-passe temporária, que permite aceder ao serviço, aconselhando a
sua alteração. Por sua vez, o Friendster envia a palavra-passe definida pelo utilizador, para o
84
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
endereço de correio electrónico. Os restantes serviços enviam instruções via correio electrónico,
para a redefinição da palavra-passe.
O envio de instruções via correio electrónico é o mecanismo mais utilizado pelos serviços de redes
sociais para proceder à recuperação da palavra-passe.
Por outro lado, a pergunta pessoal de Segurança é o mecanismo menos utilizado na presente
funcionalidade. As perguntas pessoais de Segurança transmitem uma falsa sensação de
Segurança, uma vez que se baseiam em informações relacionadas com o utilizador, sendo estas
disponibilizadas pelo mesmo, neste tipo de serviços, especialmente nas redes sociais puras. Este
poderá ser o motivo pelo qual este mecanismo de Segurança não é utilizado mais frequentemente.
O Facebook apresenta também a possibilidade do utilizador definir uma pergunta pessoal de
Segurança, que é solicitada como prova de que a conta roubada pertence ao utilizador. Este pode
recuperar a conta, caso responda correctamente à mesma. A pergunta pessoal de Segurança uma
vez definida, não poderá ser redefinida.
O YouTube apresenta também um mecanismo de recuperação para o nome do utilizador. Para tal,
é exigida a introdução do endereço de correio electrónico, sendo enviado o nome de utilizador para
o mesmo.
No gráfico seguinte é apresentado o número mínimo de caracteres para redefinir a palavra-passe
quando a recuperação da mesma é solicitada, nos dezoito serviços.
0
Hi5
Plurk
Nayms
Twine
Identi.ca
YouTube
Scribd
Academia
Sonico
Flickr
Delicious
LinkedIn
Facebook
Twitter
ResearchGate
Present.ly
Gráfico 14 - Número de caracteres mínimo exigido pelos serviços para redefinir a palavra-passe quando esta é recuperada.
O número mínimo de caracteres mínimo para redefinir a palavra-passe difere, em alguns casos, do
número definido no registo, e noutros casos é diferente do número definido na alteração da
85
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
palavra-passe. Para comparar, os três valores referentes aos três momentos concernentes à
definição da palavra-passe, podem ser visualizados no anexo B.
Para proceder à recuperação da palavra-passe, recomendamos, a solicitação da resolução de um
CAPTCHA e envio de instruções via endereço de correio electrónico ou envio para o endereço de
correio electrónico de uma palavra-passe temporária, a qual deve ser aconselhada a posterior
alteração. A redefinição deve ser acompanhada pelas quatro restrições de validação da palavra-
passe e a avaliação da palavra-passe.
O mecanismo de pergunta pessoal de Segurança é uma das opções viáveis, mas deve ser
aconselhado ao utilizador a escolha de uma resposta falsa, para deste modo, ser mais difícil de
decifrar.
3
Denuncia nas imagens
2
Opções Privacidade por imagem
1
Opções Privacidade álbuns
0
Permite armazenar e partilhar
LinkedIn
Flickr
Nayms
Academia
Sonico
Hi5
Delicious
Facebook
ResearchGate
Plurk
Blip.fm
Twitter
Twine
Identi.ca
Present.ly
YouTube
Scribd
Friendster
imagens
86
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
8
7
6
5
4
3
2
1
0
Privacidade por
Privacidade álbuns
Denuncia nas
imagens
imagem
Opções
Opções
Gráfico 16 - Quantidade de vezes que um mecanismo de Segurança e um mecanismo de Privacidade são utilizados na gestão de álbuns e
armazenamento e partilha de imagens.
A denúncia é o mecanismo mais divulgado, para a partilha de imagens que infringem os termos de
uso do serviço. O Sonico faz acompanhar a denúncia nas imagens por um CAPTCHA.
No caso do Twine, consideramos álbuns, os twines constituídos apenas por imagens. Por sua vez,
o Present.ly permite anexar uma imagem à mensagem curta, que por sua vez possui opções de
Privacidades.
Os serviços que disponibilizam a gestão de álbuns, e armazenamento e partilha de imagens são, as
quatro redes sociais puras, o Present.ly, o Identi.ca, o Flickr, e o Twine. A opção de Privacidade nos
álbuns é implementada na maioria dos serviços que disponibilizam esta funcionalidade.
O Flickr apresenta ainda a opção que impede o descarregamento das imagens, alertando que esta
opção apenas representa um obstáculo ao descarregamento, e não uma solução incontornável.
Este obstáculo consiste na colocação de uma imagem transparente sobre a imagem partilhada. O
Hi5 recorre ao mesmo método para impedir o descarregamento das imagens, não apresentando,
no entanto, nenhuma opção alusiva aos descarregamentos.
As imagens nem sempre são eliminadas definitivamente, encontrando-se acessíveis através do seu
URL. Verificou-se esta situação em todos os serviços da categoria de redes sociais puras, no
Present.ly. No Twine existe a opção para eliminar as imagens, mas que esta não surte qualquer
efeito na remoção do item. Este teste foi realizado em dois momentos distintos, imediatamente
após a eliminação, e uma semana após a mesma, mantendo-se os primeiros resultados obtidos. O
Flickr elimina as imagens definitivamente do seu servidor imediatamente após a eliminação das
mesmas.
Todos os serviços apresentam referência aos direitos de autor nos termos do serviço, políticas de
Privacidade ou durante o uso do serviço.
87
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Recomendamos a implementação de opções de Privacidade por álbum e por imagem, para dar ao
utilizador mais controlo sobre quem e como vê as suas imagens, e a definição de locais próprios
para denúncia que incluam infracções relacionadas, por exemplo, com os direitos de autor. Como
complemento ao obstáculo de descarregamento mencionado anteriormente, sugerimos a
desactivação das hiperligações que permitem guardar a imagem. Devem ainda, ser eliminadas,
definitivamente, as imagens alojadas no servidor, aquando a sua eliminação da conta do utilizador.
3
Denúncia nas vídeos
2
Opções Privacidade por vídeo
1
Opções Privacidade por
álbum/ lista de reprodução
0
Permite armazenar e partilhar
Nayms
Twine
Hi5
Plurk
Blip.fm
Identi.ca
YouTube
Scribd
Friendster
Sonico
Flickr
LinkedIn
Academia
Delicious
Facebook
ResearchGate
Present.ly
vídeos
88
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
5
4
3
2
1
0 Opções Privacidade
de reprodução
por vídeo
Gráfico 18 - Quantidade de vezes que um mecanismo de Segurança e um mecanismo de Privacidade são utilizados na criação de listas de
reprodução/álbuns e armazenamento e partilha de vídeos.
No caso do Twine, consideramos listas de reprodução, os twines constituídos apenas por videos.
Neste mesmo serviço verifica-se a existência do local para remoção do vídeo, que ao ser
seleccionada não elimina o mesmo, permanecendo este acessível no serviço. O Facebook, o Flickr,
e o YouTube apresentam opções de Privacidade por vídeo.
Dos cinco serviços que permitem armazenar e partilhar vídeos, três apresentam mecanismos de
denúncia alusivos aos mesmos.
Todos os serviços apresentam referência aos direitos de autor nos termos do serviço, políticas de
Privacidade ou no próprio serviço.
Recomendamos a implementação de opções de Privacidade por lista de reprodução e por vídeo,
para dar ao utilizador mais controlo sobre como e quem vê as seus vídeos, e a definição de locais
próprios para denúncia, que incluam, as infracções sobre os direitos de autor.
89
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
3
Denúncia
2
Opções de Privacidade
1
Permite armazenar e partilhar
documentos
0
Hi5
Plurk
Blip.fm
Nayms
Twine
Sonico
Identi.ca
YouTube
Scribd
Friendster
Academia
Flickr
LinkedIn
Delicious
Facebook
Twitter
ResearchGate
Present.ly
0
Privacidade
Denúncia
Opções de
Gráfico 20 - Quantidade de vezes que um mecanismo de Segurança e um mecanismo de Privacidade são utilizador no armazenamento e partilha de
documentos.
Dos dezoito serviços explorados, cinco permitem disponibilizar documentos, entre os quais apenas
o Scribd permite definir opções de Privacidade e efectuar denúncias. O Twine, apresenta
mecanismo de denúncia relativamente aos documentos, e permite definir opções de Privacidade
alusivas ao twine, que pode conter apenas documentos. Por sua vez, o Scribd, cujo propósito
principal é a gestão e partilha de documentos, possui opções de Privacidade mais cuidadas em
relação à visibilidade, descarregamento, impressão, e selecção de licenças concernentes aos
direitos de autor.
Os documentos nem sempre são eliminados definitivamente, encontrando-se acessíveis através do
seu URL, um exemplo de um serviço, onde esta situação foi verificada é o Present.ly. Por outro
lado o Twine possui uma hiperligação para remoção do documento, mas esta não se encontra
funcional.
90
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Aconselhamos que sejam implementados nos serviços que permitem esta funcionalidade, opções
de Privacidade (visualização, partilha, e descarregamento), e locais próprios para efectuar a
denúncia, que incluam infracções alusivas aos direitos de autor.
8 - Partilha de URLs
Os problemas associados à partilha de URLs são, informação visível a utilizadores indesejados,
conteúdo abusivo, spam, phishing/pharming, e XSS/vírus/worms.
Os mecanismos de Segurança e Privacidade, associados à partilha de URLs, encontram-se
ilustrados no gráfico 21. No gráfico 22 apresentamos a quantidade de vezes, que estes
mecanismos são utilizados nos dezoito serviços.
2
Denúncia
Opções de Privacidade
1
Permite a partilha de URLs
0
Hi5
Plurk
Blip.fm
Nayms
YouTube
Twine
Sonico
Identi.ca
Scribd
Friendster
Academia
Flickr
LinkedIn
Delicious
Facebook
ResearchGate
Present.ly
0
Privacidade
Denúncia
Opções de
Gráfico 22 - Quantidade de vezes que um mecanismo de Segurança e um mecanismo de Privacidade são utilizador na partilha de URLs.
91
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
O Delicious permite definir opções de Privacidade e efectuar denúncia, aos URLs. Mais de metade
dos serviços que partilham URLs não possuem opções de Privacidade.
Aconselhamos a implementação de opções de Privacidade por URL e por grupo de URLs de modo
a restringir a quem pretendo mostrar os URLs, e a definição de locais de denúncia de possíveis
conteúdos que infrinjam os termos do serviço.
9 - Associação de metadados
Os problemas associados aos metadados são: comentários indesejados, marcas indesejadas,
marcadores indesejados, notas indesejadas, dificuldade na eliminação de informação secundária,
spam, XSS/vírus/worms, phishing/pharming, e assédio/perseguição/ameaças/ofensas.
Seguidamente, são apresentados os gráficos alusivos aos comentários, marcas, marcadores e
notas. Quando necessário, o gráfico mencionado, é acompanhado pelo gráfico que traduz a
quantidade de vezes que os mecanismos de Segurança e Privacidade, identificados no gráfico
anterior, são utilizados.
4
Flickr
LinkedIn
Delicious
Facebook
Present.ly
Scribd
Twine
ResearchGate
Identi.ca
Friendster
Academia
92
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
13
12
11
10
9
8
7
6
5
4
3
2
1
0
aos comentários
Restrições de
comentários
Gráfico 24 - Quantidade de vezes que um mecanismo de Segurança e um mecanismo de Privacidade são utilizador nos comentários.
Mais de metade dos serviços que possibilitam a realização de comentários, apresentam opções de
Privacidade relativas aos mesmos. O Hi5, o Friendster, o Plurk, YouTube, o Flickr, e o Plurk,
permitem definir quem pode associar comentários.
O Blip.fm, o Hi5, o Facebook e o Friendster apresentam restrições de comunicação alusivas aos
comentários. O Hi5 e o Facebook não especificam o limite, sedo que no caso do Facebook, a
limitação à associação de comentários pode ser desencadeada por vários factores, tais como,
velocidade, tempo, e quantidade. Por sua vez, o Friendster permite 200 comentários diários e o
Blip.fm limita a associação de comentários, ao número de créditos disponíveis. As restrições de
comunicação visam fazer frente ao spam, XSS/vírus/worms, e phishing/pharming.
Um mecanismo de denúncia, é essencial para que o utilizador possa relatar abusos como
assédios/perseguição/ameaças/ofensas.
Ao analisar por categorias verificamos que os microbloggings, são a categoria que menos
implementa a associação de comentários, à excepção do Plurk. A categoria que mais disseminada
esta funcionalidade, é categoria de redes sociais puras, que permite comentários a diferentes
componentes da conta do utilizador.
93
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Nayms
Sonico
Hi5
Flickr
Delicious
Plurk
Identi.ca
Blip.fm
Twitter
Twine
Present.ly
YouTube
Scribd
Friendster
Academia
Entre os cinco serviços que permitem efectuar marcas, o Hi5 e o Flickr são os únicos que
disponibilizam opções de Privacidade concernentes às mesmas. Alguns serviços, como o Facebook,
o Sonico, e o Flickr permitem marcar imagens e vídeos através do endereço de correio electrónico,
o que pode originar ligações indesejadas entre os utilizadores. No Flickr, um utilizador marcado
pode eliminar a sua ligação à imagem, não podendo ser novamente marcado na mesma. O
YouTube permite a associação de marcas por terceiros, através de uma hiperligação própria para o
efeito.
4
Denúncia
3
1 Permite a associação de
marcadores por terceiros
0
Permite a associação de
Nayms
Hi5
Sonico
Delicious
Flickr
Facebook
Plurk
Twitter
Blip.fm
Identi.ca
Present.ly
YouTube
Scribd
Friendster
Twine
ResearchGate
Academia
marcadores
Dos dezoito serviços, apenas quatro permitem a associação de marcadores, entre os quais apenas
o Flickr e o Twine permitem a adição dos mesmos por parte de terceiros.
O Flickr é o único serviço a disponibilizar opções de Privacidade e mecanismos de denúncia
alusivos aos marcadores.
94
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
3
Denúncia
2
Opções de Privacidade relativas
às notas
1
Permite a associação de notas
por terceiros
0
Permite efectuar notas
Hi5
Present.ly
Plurk
Blip.fm
Nayms
YouTube
Scribd
Twine
Academia
Friendster
Sonico
Identi.ca
Flickr
LinkedIn
Delicious
Facebook
Twitter
ResearchGate
Dos dezoito serviços explorados, três permitem efectuar notas. O Flickr e o YouTube permitem a
associação de notas por terceiros.
O Flickr possui opções de Privacidade para determinar quem pode participar nas suas notas. O
YouTube permite a associação de notas por terceiros, através de uma hiperligação própria para o
efeito.
O Flickr apresenta, também, a associação de localização geográfica através de marcações num
mapa, disponibilizando opções de Privacidade, de forma a controlar quem pode visualizar essa
informação.
Muitos dos serviços explorados, não permitem a eliminação dos metadados associados pelo
utilizador, a recursos ou informação de terceiros.
Recomendamos a existência de opções de Privacidade em todos os metadados mencionados
anteriormente. Deve ser permitida a denúncia associada aos comentários, marcas, marcadores e
notas. Ainda em relação às marcas, estas devem ser apenas associadas a utilizadores pertencentes
à rede de contactos. A pessoa marcada deve ser sempre notificada desta acção, e deve poder
eliminar a ligação. Recomendamos ainda, a possibilidade da eliminação de metadados efectuados
e recebidos.
95
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
3
Reputação
2 Restrições de comunicação
1 Bloqueio de utilizador
Denúncia
0
Opções de privacidade
Hi5
Plurk
Blip.fm
Nayms
Identi.ca
YouTube
Twine
Scribd
Friendster
Sonico
Academia
Flickr
Delicious
LinkedIn
Facebook
Present.ly
ResearchGate
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
privacidade
Bloqueio de
Reputação
Denúncia
comunicação
Opções de
utilizador
Restrições
de
Gráfico 29 - Quantidade de vezes que o mecanismo de Segurança e mecanismo e de Privacidade é utilizado na gestão de rede de contactos.
96
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
11 - Envio/Recepção de mensagens
Os problemas associados às mensagens são: informação visível a utilizadores indesejados,
dificuldade na eliminação da informação secundária, spam, XSS/ vírus/ worms,
phishing/pharming, assédio/perseguição/ameaças/ofensas, e mensagens indesejadas.
Os mecanismos de Segurança e Privacidade associados à recepção e envio de mensagens
privadas, encontram-se ilustrados no gráfico 30. No gráfico 31 apresentamos a quantidade de
vezes que estes mecanismos são utilizados, nos dezoito serviços.
97
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
5
Restrições de Comunicação
associadas às mensagens
4
privadas
CAPTCHA
3
2
Denúncia associada às
1 mensagens privadas
0 Opções de Privacidade
associadas às mensagens
Hi5
Plurk
Blip.fm
YouTube
delicious
Nayms
Twine
Identi.ca
Scribd
Friendster
flickr
Sonico
Academia
LinkedIn
Facebook
Twitter
Present.ly
ResearchGate
privadas
Permite enviar/receber
mensagens privadas
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
CAPTCHA
Denúncia associada às
associadas às mensagens
Restrições de Comunicação
mensagens privadas
associadas às mensagens
Opções de Privacidade
privadas
privadas
Gráfico 31 - Quantidade de vezes que o mecanismo de Segurança e Privacidade são utilizados nas mensagens privadas.
Dos dezoito serviços, quinze permitem o envio de mensagens privadas, destes, nove, permitem o
envio de mensagens privadas a pessoas que não se encontram incluídas na rede de contactos do
utilizador.
Somente três serviços possuem opções de Privacidade relativas às mensagens privadas, de modo a
controlar quem pode enviar as mesmas.
98
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
5
Restrições de Comunicação
associadas às mensagens públicas
4
CAPTCHA
3
2 Denúncia
1
Opções de Privacidade associadas
0 às mensagens públicas
Twitter
Identi.ca
Nayms
Hi5
Sonico
LinkedIn
Facebook
Plurk
Blip.fm
YouTube
delicious
Present.ly
Twine
Friendster
ResearchGate
flickr
Scribd
Academia
Permite enviar/receber
mensagens públicas
10
9
8
7
6
5
4
3
2
1
0
Comunicação associadas
CAPTCHA
Denúncia associada às
associadas às mensagens
às mensagens públicas
mensagens públicas
Opções de Privacidade
Restrições de
publicas
Gráfico 33 - Quantidade de vezes que o mecanismo de Segurança e mecanismo e de Privacidade é utilizado nas mensagens públicas.
99
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Dos dezoito serviços explorados, dez disponibilizam mensagens públicas, e destes, metade não
possui nenhum mecanismo de Segurança e Privacidade. As opções de Privacidade são o
mecanismo mais popular entre os serviços.
O Hi5 e o Twitter apresentam restrições de comunicação alusivas às mensagens públicas, sendo
que o Hi5 não disponibiliza o número limite, afirmando apenas que existe, e o Twitter permite 1000
mensagens públicas por dia. Os restantes serviços não disponibilizam informação sobre as
restrições de comunicação alusivas às mensagens privadas.
Recomendamos a possibilidade de envio de mensagens privadas para todos os utilizadores dos
serviços, cuja recepção deve poder ser controlada através de opções de Privacidade. As mensagens
públicas devem também fazer-se acompanhar por este tipo de opções. Sugerimos também a
implementação de denúncia, e restrições de comunicação, incluindo a limitação diária de
mensagens e a verificação da quantidade e rapidez do envio das mesmas em ambos os tipos de
mensagens. O CAPTCHA é uma solução para agentes automatizados, mas complica a usabilidade
das mensagens, sendo este o motivo pelo qual não deve ser adoptado pelos microbloggings.
12 - Gestão de grupos
A estrutura do Academia.edu e do Twine é em grupos, por esta razão não serão incluídos na
explicação desta funcionalidade.
A criação de grupos pode resultar nos seguintes problemas: informação visível a utilizadores
indesejados, agregação de dossiês digitais, agregação de dados secundários, informação
indesejada nos resultados de pesquisa, dificuldade na eliminação de informação secundaria,
divulgação de informação de um utilizador por outro não autorizado, spam, XSS, vírus, worms,
phishing/pharming, assédio/perseguição/ameaças/ofensas, utilização de bots, utilizadores falsos
e /problemáticos, e conteúdo abusivo.
Os mecanismos de Segurança e Privacidade associados à gestão de grupos encontram-se
ilustrados no gráfico 34. No gráfico 35 apresentamos a quantidade de vezes que estes
mecanismos são utilizados, nos dezoito serviços.
100
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
6
CAPTCHA
5
Plurk
Blip.fm
delicious
Nayms
YouTube
Twine
flickr
Friendster
Sonico
Identi.ca
Scribd
Academia
LinkedIn
Facebook
Twitter
Present.ly
ResearchGate
11
10
9
8
7
6
5
4
3
2
1
0
CAPTCHA
Denúncia
Restrições de
Bloqueio de
Opções Privacidade
Restrição temporal
comunicação
utilizadores
para criação de
grupos
Gráfico 35 - Quantidade de vezes que o mecanismo de Segurança e mecanismo e de Privacidade são utilizados na gestão de grupos.
Dos onze serviços que permitem a criação/gestão de grupos, o Identi.ca é o único que não
disponibiliza opções de Privacidade.
Mais de metade dos serviços apresentam a opção de bloqueio de utilizadores por parte do
administrador.
Não foram consideradas as denúncias efectuadas aos administradores, uma vez que não são
realizadas através de nenhum mecanismo, já que este, também pode usar erroneamente esta
funcionalidade.
Todos os serviços que permitem de criação grupos, permitem também a sua eliminação. No
entanto, o Hi5 possui algumas restrições para a eliminação de grupos, permitindo apenas a
101
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
eliminação de grupos com menos de 30 membros. Grupos que possuam entre 30 e 200 membros
só poderão ser eliminados caso não verifique actividade nos últimos 30 dias.
Sugerimos especialmente a implementação de Opções de Privacidade, e de denúncia, e bloqueio
de utilizadores por parte do administrador.
13 - Pesquisa
O problema associado à pesquisa consiste na divulgação de informação indesejada nos resultados
da mesma.
Alguns serviços de redes sociais apresentam opções de Privacidade, específicas para a pesquisa,
de modo a ocultar informação do utilizador nos resultados da mesma, não sendo necessário optar
por um perfil privado.
3
Ocultação total do perfil nos
resultados de Pesquisa
2 através das restantes opções
de Privacidade
Autenticação
1
Opções de privacidade
0
alusivas à pesquisa
YouTube
Hi5
Plurk
Identi.ca
Blip.fm
Nayms
Scribd
Twine
Friendster
Sonico
Academia
Flickr
LinkedIn
Delicious
Facebook
Present.ly
ResearchGate
102
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
Opções de privacidade Autenticação Ocultação Total do perfil
alusivas à pesquisa nos resultados de
Pesquisa através das
restantes opções de
Privacidade
Gráfico 37 - Quantidade de vezes que o mecanismo de Segurança e mecanismo e de Privacidade são utilizados na pesquisa.
103
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
5
Não existe informação relativa à
4 eliminação definitiva da conta
1
Autenticação associada ao
cancelamennto
0
Permite cancelar directamente a
LinkedIn
YouTube
Hi5
Flickr
Academia
Twine
Friendster
Identi.ca
Nayms
Present.ly
Blip.fm
Scribd
Sonico
Plurk
Delicious
Facebook
ResearchGate
conta de utilizador
Gráfico 38 – Mecanismos de Segurança associados ao cancelamento da conta de utilizador e como se processa a eliminação da
informação da conta.
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
0
conta imediatamente após
CAPTCHA associada ao
Autenticação associada ao
definitiva da conta
cancelamento
o cancelamento
cancelamennto
Gráfico 39 - Quantidade de vezes que o mecanismo de Segurança e mecanismo e de Privacidade é utilizado no cancelamento da conta de utilizador.
104
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
A maioria dos serviços de redes sociais apresenta a funcionalidade cancelamento de forma directa,
as excepções são o Identi.ca, o Twine e o ResearchGATE, que solicitam o envio de uma mensagem
de correio electrónica a requerer o cancelamento da conta.
A maioria destes serviços utiliza a autenticação para efectuar o cancelamento da conta de
utilizador, apenas o Facebook apresenta o mecanismo CAPTCHA.
Cerca de metade dos serviços eliminam, definitivamente, a informação após o cancelamento da
conta. O Twitter elimina definitivamente a conta de utilizador após seis meses do cancelamento da
mesma.
A maioria dos serviços, não é transparente, relativamente, a que informação é eliminada e que
informação é mantida nos registos do serviço.
Relativamente à eliminação da informação secundária, dos dezoito serviços explorados, apenas
nove permitem a eliminação da mesma, sendo estes: o Friendster, o Academia.edu, o Naymz, o
Twitter, o Present.ly, o Plurk, o Blip.fm, o Flickr e o Delicious. O utilizador pode desejar eliminar
comentários, mensagens públicas e recursos antes de proceder ao cancelamento da conta para
apagar a sua existência completa no serviço.
3
Envio instruções via correio
2 electrónico associadas à
reactivação
1 Autenticação associada à
autenticação
0
Blip.fm
Nayms
Hi5
Plurk
Sonico
Flickr
LinkedIn
Delicious
YouTube
Facebook
Twitter
Identi.ca
Present.ly
Scribd
Twine
ResearchGate
Friendster
Academia
4
3
2
1
0
Autenticação associada à Envio instruções via correio
autenticação electrónico associadas à
reactivação
Gráfico 41 - Quantidade de vezes que o mecanismo de Segurança e Privacidade é utilizados na reactivação da conta do utilizador.
105
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Acrescentamos aos mecanismos anteriores mais duas protecções da palavra-passe, que não se
encontram associadas a nenhuma funcionalidade, sendo estas, bloqueio do acesso à conta após
várias tentativas de autenticação falhadas, e término automático da sessão de utilizador.
2
Scribd
Hi5
Sonico
Delicious
Flickr
LinkedIn
Plurk
Blip.fm
YouTube
Twitter
Facebook
Identi.ca
Present.ly
Twine
ResearchGate
Friendster
Academia
106
Capítulo 4 – Exploração e Análise da Segurança e Privacidade nos Serviços de
Redes Sociais
Dos dezoito serviços, apenas quatro, implementam término automático da sessão de utilizador. O
período de tempo é opção do desenvolvedor, e por isso varia de serviço para serviço. Na amostra
alusiva ao presente estudo a variação consiste entre alguns minutos e catorze dias.
Recomendamos o uso de ambas as protecções.
O uso das tecnologias SSL foi verificado na documentação dos serviços de redes sociais, sendo
que, sete dos dezoito serviços, sendo eles, o Hi5, o Facebook, o LinkedIn, o Nayms, o Plurk, o
Present.ly, e o Flickr, usam as mesmas. Recomendamos o uso de SLL para dados sensíveis.
Todos os serviços utilizam cookies persistentes, sendo que, apenas dois dos dezoito serviços
explorados não disponibilizam a opção de ―manter-me ligado‖. Os serviços que disponibilizam a
referida opção, não activam as cookies persistentes quando esta não é seleccionada, os que não
disponibilizam a opção, activam as cookies persistentes automaticamente. O uso de cookies
persistentes é desaconselhado, uma vez que podem ser usadas para seguir as actividades dos
utilizadores. Ambos os tipos de cookies, persistentes e de sessão, devem ser descritos nos termos
de uso do serviço.
107
Capítulo 5 – Conclusões
Capítulo 5 – Conclusões
109
Capítulo 5 – Conclusões
Nenhum dos serviços de redes sociais explorados cumpre todas as recomendações, de Segurança
e Privacidade, identificadas no presente estudo. Verificam-se lacunas substanciais, associadas à
definição da palavra-passe, à Privacidade de uma forma genérica, e à eliminação de informação
primária e secundária. As informações disponibilizadas pelos serviços são, muitas das vezes,
insuficientes e dúbias, como por exemplo, informação alusiva à eliminação da informação do perfil
de utilizador (que informação é eliminada e quando é eliminada).
110
Capítulo 5 – Conclusões
O presente trabalho traduz uma perspectiva geral do estado da Segurança e Privacidade nos
serviços de redes sociais, sendo que, todos os documentos consultados no presente estudo ou
eram direccionados para um determinado problema ou mecanismo específico, ou quando
abordavam numa perspectiva mais geral, se apresentavam razoavelmente incompletos. Nenhum
dos documentos também abordava recomendações alusivas às normas de Segurança, ou
efectuava uma análise como a presente, que relaciona mecanismos, e problemas de Segurança e
Privacidade, e funcionalidades.
111
Capítulo 5 – Conclusões
ii) Analisar a Segurança e Privacidade da componente móvel dos serviços de redes sociais,
uma vez que, actualmente, muitos serviços disponibilizam esta funcionalidade;
iii) Análise da Segurança e Privacidade de serviços de redes sociais pertencentes à categoria
de jogos;
iv) Estudar a percepção dos utilizadores sobre a Segurança e Privacidade, e efectuar
recomendações direccionadas especificamente para os mesmos. Deve ser aliado aos
esforços dos desenvolvedores a divulgação das boas práticas para os utilizadores;
v) Analisar a Segurança e Privacidade dos serviços agregadores, com o intuito de minimizar
os problemas associados, actualmente, a estes serviços.
112
Capítulo 6 – Bibliografia
Capítulo 6 – Bibliografia
Anderson, P. (2007). What is Web 2.0? - Ideas, technologies and implications for education: JISC -
Technology e Standards Watch.
Barroso, D. (2007). Botnets – The Silent Threat. ENISA, Position paper (3). Disponível em
http://www.enisa.europa.eu/act/res/other-areas/botnets/botnets-2013-the-silent-threat
(Último acesso a 22 Agosto de 2009).
Berndtsson, M., Hansson, J., Olsson, B., Lundell, B. (2008). Thesis Projects - A Guide for Students
in Computer Science and Information Systems.
Borland, J. (2007). A Smarter Web - New technologies will make online search more intelligente -
and may even lead to a "Web 3.0". MIT Technology Review, 110 (2): 64-71.
Boyd, D. e Ellison, N. (2007). Social Network Serviços: Definition, History, and Scholarship. Journal
of Computer-Mediated Communication, 13 (1), article 11.
Boyd, D. (2004). "Friendster and Publicly Articulated Social Networks." Paper presented at the
Conference on Human Factors and Computing Systems (CHI 2004).
danah boyd (2006). Friends, Friendsters, and MySpace Top 8: Writing Community Into Being on
Social Network Sites. First Monday, 11 (12).
Boyd, D. (2007a). Social Network Services: Public, Private, or What? TheKnowledge Tree: An e-
Journal of Learning Innovation.
Boyd, D. (2007b). Why Youth (Heart) Social Network Services: The Role of Networked Publics in
Teenage Social Life. MacArthur Foundation Series on Digital Learning – Youth, Identity, and
Digital Media Volume (ed. David Buckingham). Cambridge, MA: MIT Press. pp. 119–142.
Carrara, E., Hogben, G. (2007). Reputation-based Systems:a security analysis: Enisa. Disponível em
http://www.enisa.europa.eu/act/it/oar/reputation-systems/reputation-based-systems-a-
security-analysis/?searchterm=reputation (Último acesso a 18 de Junho de 2009).
113
Capítulo 6 – Bibliografia
Cormode, G. e Krishnamurthy, B. (2008). Key differences between Web 1.0 and Web 2.0. First
Monday, vol. 13, no. 6.
Cruz, C., Motta, C., Santoro, F., Elia, M. (2008). Um Estudo sobre Reputação baseado no Grau de
Concordância entre os Membros de Comunidades de Prática. Disponível em (Último acesso a
27 de Julho de 2009).
Cynober, N. (2007). PortalLib Open component library for a vertical portal school of Technology
Oxford, Oxford Brookes University, Master of Science.
Dancu, J. (2008). Using Identity and Age Verification within Social Networking Serviços: IDology,
Inc. Disponível em
http://cyber.law.harvard.edu/serviços/cyber.law.harvard.edu/files/IDology_ISTTFTAB_submis
sion.pdf (Último acesso a 29 de Setembro de 2009).
Downes, S. (2005). Semantic Networks and Social Networks in The Learning Organization Journal
Volume 12, Number 5 411-417 May 1, 2005.
Solove, D. (2007). The future of reputation: Gossip, Rumer, and privacy on the Internet .Yale
University Press (2007). Disponível em http://docs.law.gwu.edu/facweb/dsolove/Future-of-
Reputation/ (Último acesso a 20 de Setembro de 2009).
Davis, M. (2008). Web 3.0 Manifesto: How Semantic Technologies in Products and Services Will
Drive Breakthroughs in Capability, User Experience, Performance, and Life Cycle Value.
Disponível em http://project10x.com/about2.php (Acedido a 26 de Julho de 2009).
Daunt, C. (2008) How do individuals engage inknowledge sharing through online social
networking?.Disponível em
http://carolsdoctorate.pbworks.com/f/Lit+Review+DAUNT+080714.doc (Ultimo acesso a 10
de Maio de 2009).
Dhamija, R., Tyger, J., Hearst, M. (2006). Why Phishing works. Paper presented at the Proceedings
of the SIGCHI Conference on Human Factors in Computing Systems (Montreal, Quebec,
Canada, April 22 - 28, 2006). New York: ACM Press.
ENISA (2008). What is Social Networking: European Nettwork and Information Security Agency.
Joint Information Systems Committee - Technology and Standards Watch.
Fraser, L. (2008). Social Networks – Problems of Security and Data Privacy Background Paper:
CEPIS. Disponível em
114
Capítulo 6 – Bibliografia
http://www.cepis.org/files/cepis/20090901104132_CEPIS%20social%20network%20statem
ent.pdf (Último acesso a 26 de Setembro de 2009).
Gossweiler, R., Kamvar, M., Baluja, S. (2009). What’s up CAPTCHA? A CAPTCHA based on image
orientation. In Proceedings of WWW 2009. Disponível em
http://www.richgossweiler.com/projects/rotcaptcha/rotcaptcha.pdf (Último acesso a 24 de
Agosto de 2009).
Greaves, M., e Mika, P. (2008). Semantic Web and Web 2. Journal of Web Semantics: Science,
Services and Agents on the World Wide Web 6, 1–3.
Gruber, T. (2007). Collective knowledge systems: Where the Social Web meets the Semantic Web.
Journal of Web Semantics, 6(1), 4-13.
Guerra, I. C. (2006). Pesquisa Qualitativa e Análise de Conteúdo - Sentidos e formas de uso Estoril:
Princípia.
Hasib, A. A. (2008). Threats of Online Social Networks. Paper presented at the TKK T-110.5190
Seminar on Internetworking.
Hogben G. (SD). Security Issues in the Future of Social Networking: Enisa, European Network and
Information Security Agency. Paper presented at the W3C Workshop on the future of social
networking serviços (2009), Barcelona.
Hogben, G., (2007). Security Issues and Recommendations for Online Social Networks, ENISA
Position Paper (1). Disponível em http://www.enisa.europa.eu/act/res/other-areas/social-
networks/security-issues-and-recommendations-for-online-social-networks (último acesso a 27
de Setembro).
Hogben, G., (2008). Web 2.0 Security and Privacy: ENISA, Position paper. Disponível em
http://www.enisa.europa.eu/act/it/oar/web-2.0-security-and-privacy/web-2.0-security-and-
privacy (Último acesso a 15 de Setembro).
Huber, M., Kowalsky, S., Nohlberg, M., Troja, S. (2009). Towards Automating Social Engineering
Using Social Networking Serviços. The 2009 International Conference on Information Privacy,
Security, Risk and Trust (PASSAT09).
ISO/IEC FDIS 17799 (2005). Information technology — Security techniques — Code of practice for
information security management.
115
Capítulo 6 – Bibliografia
IWGDPT. (2008). Report and Guidance on Privacy in Social Network Services. 43rd meeting, 3-4
March 2008, Rome (Italy): International Working Group on Data Protection in
Telecommunications.
Jagatic, T., Johnson, A., Jakobsson, M., Menczer, F. (2007). Social Phishing. Communication of
ACM, vol. 50, no. 10.
Markoff, J. (2006). Entrepreneurs See a Web Guided by Common Sense. New York Times.
Disponível em http://www.nytimes.com/2006/11/12/business/12web.html (Último acesso
a 1 de Abril).
Lamas, E., Pardal, I., Dias, M., e Delgado, Z. (2009). Construção e aplicação de grelha de análise
de serviços sociais de jovens Universidade Aberta. Disponível em
http://www.scribd.com/doc/11524036/Construcao-e-Aplicacao-de-Grelha-de-Analise-de-
Serviços-Sociais-de-Jovens (Último acesso a 25 de Março de 2009).
Lucca, G., Fasolino, A., Mastoianni, M., Tramontana, P. (2004). Identifying Cross Serviço Scripting
Vulnerabilities in Web Applications. Sixth IEEE International Workshop on Web Serviço
Evolution (WSE’04), pp. 71 – 80.
Mattord, H., e Whitman, M. (2004). Principles of Information Security Course Technology Ptr.
116
Capítulo 6 – Bibliografia
Mushtaq, A. (2008). Privacy in Online Social Networks: Helsinki University of Technology. Disponível
em http://www.cse.tkk.fi/en/publications/B/1/papers/Hasib_final.pdf (Último acesso a 10
de Setembro de 2009).
Office of communication (2008). A quantitative and qualitative research report into attitudes,
behaviours and use. Disponível em
http://www.ofcom.org.uk/advice/media_literacy/medlitpub/medlitpubrss/socialnetworking/
(Último acesso a 15 de sMarço de 2009).
O'Reilly, T. (2005). What Is Web 2.0 - Design Patterns and Business Models for the Next Generation
of Software Disponível em http://oreilly.com/Web2/archive/what-is-Web-20.html (Último
acesso a 16 de Maio de 2009).
117
Capítulo 6 – Bibliografia
Rabkin, A. (2008). Personal knowledge questions for fallback authentication: Security questions in
the era of Facebook. Paper presented at the Symposium on Usable Privacy and Security
(SOUPS) 2008, July 23–25.
Richter, A., e Koch, M. (2008). Functions of Social Networking Services. Paper presented at the
Proc. of the 8th international conference on the design of cooperative systems.
Rylich, J. (2008). Buzzword 2.0 - The (R)evolution of the Web. Masaryk University Journal of Law
and Technology, 2, 2.
Stamm, S, Ramzan, Z., Jakobsson, M. (2006). Drive-by pharming. Tech. Rep. 641, Dept. of
Computer Science, Indiana University.
Ahamad, M., Amster, D., Barrett, M., Cross, T., Heron, G., Jackson, D., King, H., Lee, W., Naraine,
R., Ollmann, G, Ramsey, J., Schmidt, H., Traynor, P. (2008). Emerging Cyber Threats Report
for 2009. Georgia Tech Information Security Center.
Webb, S., Caverlee, J., Pu, C.. (2008). Social Honeypots: Making Friends With A spammer Near
You. Disponível em http://www.ceas.cc/2008/papers/ceas2008-paper-50.pdf (último acesso
a 15 de Agosto de 2009).
Xavier, S. (2005). A ―Comunidade Virtual‖ do serviço ―My drinks‖. Lisboa: Escola Superior de
Tecnologias e Artes de Lisboa. Disponível em
http://www.nogome.com/alunos0405/sx/pagina_base/SOCIOLOGIA_MYDRINKS.pdf (último
acesso a 23 de Julho de 2009).
Zinman, a., e Donath, J. (2007). Is Britney Spears spam? . Paper presented at the Paper presented
at the CEAS 2007-Fourth Conference on Email and Anti-spam, Mountain View, CA.
118
Anexos A – Formulário de Segurança e Privacidade
Universidade do Minho
Formulário de análise dos Serviços de Redes Sociais
Nome do Serviço
Categoria do Serviço
Data de Exploração
Registo
Campos solicitados no registo:
Informação Adicional:
Autenticação
Campos solicitados na autenticação:
119
Anexos A – Formulário de Segurança e Privacidade
Alteração de dados
É possível efectuar a alteração da palavra-passe: Sim Não
Mecanismos associados à alteração de palavra-passe:
Informação adicional:
Recuperação de dados
Permite a recuperação de palavra-passe: Sim Não
Processo de recuperação da palavra-passe:
Informação adicional:
Funcionalidades
Rede de Permite o convite de amigos/contactos: Sim Não
Amigos/ Permite a remoção de amigos/contactos: Sim Não
Contáctos Permite o bloqueio de utilizadores: Sim Não
Qualquer utilizador:
Apenas se estiverem fora da rede de contactos:
Tipo de bloqueio:
Geral:
Por blocos:
Existem limites associados à gestão da rede de contactos: Sim Não
Quais:
120
Anexos A – Formulário de Segurança e Privacidade
121
Anexos A – Formulário de Segurança e Privacidade
Pesquisa Utilizadores não registados no serviço podem efectuar pesquisas: Sim Não
Utilizadores registados no serviço podem efectuar pesquisas: Sim Não
Informação adicional:
Opções de Privacidade
Visualização do perfil:
Geral:
Por blocos:
Categorias de recepção de convites de amizade:
122
Anexos A – Formulário de Segurança e Privacidade
Outros:
Informação adicional:
Cancelamento e Reactivação
Permite o cancelamento da conta: Sim Não
O cancelamento da conta é realizado:
Forma directa:
Forma indirecta:
Os dados são apagados definitivamente: Sim Não Inconclusivo
Mecanismos de Segurança associados:
123
Anexos A – Formulário de Segurança e Privacidade
Informação adicional:
124
Anexo B – Número mínimo para definição da palavra-passe
Na seguinte tabela é possível comparar os números mínimos de caracteres para definir ou redefinir
a palavra-passe, de cada um dos serviços, em três momentos: registo, alteração e recuperação da
palavra-passe.
Como se pode verificar o número mínimo de caracteres para definir ou redefinir a palavra-passe
varia não só de serviço para serviço, como no próprio serviço. Somente o Youtube cumpre a
recomendação da norma NIST SP 800-44 versão 2, de oito caracteres como número mínimo de
para definir a palavra-passe, Este serviço não aplica este critério na alteração ou recuperação da
palvra-passe.
125
Anexo C – Estudos anteriores alusivos à Privacidade
126
Anexo C – Estudos anteriores alusivos à Privacidade
Relativamente aos desafios legais que cercam a Privacidade, verifica-se o estudo de Hodge (2006)
que argumentou que a quarta alteração à Constituição e os E.U. e as decisões judiciais relativas à
Privacidade não estão equipadas para tratar de redes sociais locais. Por exemplo, os agentes
policiais têm o direito de aceder o conteúdo colocado no Facebook sem um mandato? A legalidade
desta depende da expectativa de Privacidade por parte do utilizador e se existem ou não perfis
públicos ou privados no Facebook.
127