Tổng quát về Tội phạm máy tính

- Khái niệm - Đặc điểm - Tính chất

Tố giác tội phạm máy tính như thế nào?

Cách thức, thể thức và trình tự

Miễn phí bản quyền phần mềm

Tập hợp bản quyền miễn phí theo ngày

29 February 2012

[Security] 1 triệu USD nếu khai thác được lỗi trên Google Chrome

This year at the CanSecWest security conference, we will once again sponsor rewards for Google Chrome exploits. This complements and extends our Chromium Security Rewards program by recognizing that developing a fully functional exploit is significantly more work than finding and reporting a potential security bug.

The aim of our sponsorship is simple: we have a big learning opportunity when we receive full end-to-end exploits. Not only can we fix the bugs, but by studying the vulnerability and exploit techniques we can enhance our mitigations, automated testing, and sandboxing. This enables us to better protect our users.

While we’re proud of Chrome’s leading track record in past competitions, the fact is that not receiving exploits means that it’s harder to learn and improve. To maximize our chances of receiving exploits this year, we’ve upped the ante. We will directly sponsor up to $1 million worth of rewards in the following categories:

$60,000 - “Full Chrome exploit”: Chrome / Win7 local OS user account persistence using only bugs in Chrome itself.

$40,000 - “Partial Chrome exploit”: Chrome / Win7 local OS user account persistence using at least one bug in Chrome itself, plus other bugs. For example, a WebKit bug combined with a Windows sandbox bug.

$20,000 - “Consolation reward, Flash / Windows / other”: Chrome / Win7 local OS user account persistence that does not use bugs in Chrome. For example, bugs in one or more of Flash, Windows or a driver. These exploits are not specific to Chrome and will be a threat to users of any web browser. Although not specifically Chrome’s issue, we’ve decided to offer consolation prizes because these findings still help us toward our mission of making the entire web safer.

All winners will also receive a Chromebook.

We will issue multiple rewards per category, up to the $1 million limit, on a first-come-first served basis. There is no splitting of winnings or “winner takes all.” We require each set of exploit bugs to be reliable, fully functional end to end, disjoint, of critical impact, present in the latest versions and genuinely “0-day,” i.e. not known to us or previously shared with third parties. Contestant’s exploits must be submitted to and judged by Google before being submitted anywhere else.

Originally, our plan was to sponsor as part of this year’s Pwn2Own competition. Unfortunately, we decided to withdraw our sponsorship when we discovered that contestants are permitted to enter Pwn2Own without having to reveal full exploits (or even all of the bugs used!) to vendors. Full exploits have been handed over in previous years, but it’s an explicit non-requirement in this year’s contest, and that’s worrisome. We will therefore be running this alternative Chrome-specific reward program. It is designed to be attractive -- not least because it stays aligned with user safety by requiring the full exploit to be submitted to us. We guarantee to send non-Chrome bugs to the appropriate vendor immediately.

[Security] Mobile Malware Evolution


To summarize the past year, we can say with confidence that it was one of the most critical so far for the evolution of mobile threats. First of all, this was because of the steady growth in the number of malicious programs targeting mobile devices. Second, because malicious users moved to Android as their main targeted platform. Finally, because 2011 was the year in which malicious users essentially automated the production and proliferation of mobile threats.

What’s waiting for us in 2012? In brief, we expect to see the following:
Interest in Android OS will continue to rise among mobile virus writers, whose efforts will be focused primarily on creating malicious programs that target this specific platform.
A rise in the number of attacks using vulnerabilities. Today, exploits are used only to obtain root access on a smartphone, but in 2012 we can expect the first attacks where exploits are used to infect the mobile operating system.
An increase in the number of incidents involving malicious programs found in official app stores, primarily Android Market.
The first mass worms for Android.
The spread of mobile espionage.

Khái niệm Cyber Crime là gì?

Two weeks ago, the "Cybersecurity Act of 2012" was introduced in the U.S. Senate.
The bill (S.2105) is designed to protect critical infrastructure such as water, energy, and transportation. It directs the U.S. Department of Homeland Security (DHS) to coordinate with network operators on developing security standards. A related bill, the "Cybersecurity Information Sharing Act of 2012" (S.2102) was introduced on February 13th.
Naturally, civil liberties group such as the EFF and EPIC examined the legislation. They say it's too broad.
CNET's Elinor Mills: Civil liberties groups: Proposed cybersecurity bill is too broad
Whatever else there is to say about the Cybersecurity Act of 2012, it was a bit surprising to read in CNET's article that "there is no definition of 'crime'." After all, the definition of "cybercrime" has been established for years now.
Thomas, the U.S. Library of Congress's legislative archive, provides 27 results when searching for the term "cyber".
One of those results is for S.1469, the International Cybercrime Reporting and Cooperation Act, which is sponsored by Senator Kirsten Gillibrand of New York.

Senator Gillibrand's bill is a rather concise (and quite readable) four pages and clearly references the Council of Europe's Convention on Cybercrime. The Convention on Cybercrime is also referenced by the longer (40 page) Cybersecurity Act of 2012. It's not as easy to locate, but it's there.
The Convention of Cybercrime treaty was prepared by CoE members and Canada, Japan, South Africa and the United States in 2001. The treaty has been in force since 2004.

Anybody with an interest in cybercrime should check out Convention Committee on Cybercrime's website.
Final note: rather than worry about the definition of "crime", we would suggest that the greater concern to citizens can be found in the Cybersecurity Information Sharing Act of 2012's Section 7.


Limitation on liability?
Translation: If "Little Brother" shares your information with third-parties, causes you harm, but is wrong about the security risk — Little Brother isn't liable as long as it acted in "good faith". Limitation of liability essentially encourages a "shoot first and ask questions later" approach to Internet security.
Doesn't sound good.
P.S. Limitation of liability is also prevalent in SOPA.


27 February 2012

[RAT] Người tấn công BKAV bị tội gì?

Một trào lưu viết bài ăn theo sự kiện
Có tý phóng đại theo cách viết của báo chí Việt
Thế hệ chém gió
Nội dung xoay quanh vấn đề Người tấn công BKAV có nguy cơ bị truy tố theo tội danh nào nếu bị bắt

Dữ liệu đầu vào:

Thông tin vụ Webscan của BKAV có cái file hack.html, và đối tượng tấn công đã bị tómDữ liệu Forum BKAV bị upload lên mạng kèm theo những màn đấu trí giữa các bên

Giả thiết:
- chỉ có 1 nhóm và đã có info
- Chứng cứ tài liệu đủ :))
Khả năng bị truy tố

+ Hành vi xâm nhập, deface ------>

Điều 226a. Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số của người khác

+ Hành vi DOS

Điều 225. Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số

Nhưng vấn đề cơ bản là KHÓ do quy định của pháp luật và cũng có thể KHÓ nên sẽ XỬ ĐIỂM :))

Ngoài lề, trong vụ việc này có 1 vài điểm.... (mang tính cá nhân của tôi).. khả năng hồi sau sẽ rõ:

1. Mục đích của Họ - Attacker ??
Nếu cũng chỉ để "Nổ" thì không nên, thực chất mà nói.... hành vi của họ chỉ là "tàn đóm" nhưng lại chạm vào 1 bình nổ.... nên gây "ầm" trong dư luận mạng... Giả thiết rằng, nếu có 1 vụ Ông Vươn thứ 2 thì vụ này sẽ ko được báo mạng lưu tâm :))))))))))))

2. Có hay không việc Mấy em STL (theo phân tích của anh TQN) vào các sản phẩm của BKAV ??

[RAT] vnexpress thay đổi nội dung bài báo đã viết về vụ Forum BKAV

Tóm lược vấn đề

1. vnexpress có bài báo công bố Hacker phát tán 8 sai lầm bảo mật của Bkav
Mình đã tóm tắt và đưa lên blog:

2. Trên HVA, anh Conmale có đưa ra 1 số ý kiến phản biện về cách dùng từ của tác giả bài viết.

Link gốc tại HVA: posts/list/630/41193.hva

3. Và kết quả trên vnexpress hiện nay: Bài báo âm thầm sửa - 1 cách PR hay là ??? :)

26 February 2012

[Law] Consumer Privacy Bill of Rights

[Miễn phí] 10 ebook Linux FREE

Advanced Linux programming

GNU Emacs manual

GTK+/Gnome application development

Java application development on Linux

Linux device drivers

Linux kernel in a nutshell

Linux network administrator’s guide

Self-service Linux – Mastering the art of problem determination

The Linux command line

Ubuntu pocket guide and reference


Learning HTML5

Detecting HTML 5 Features

Modernizr is an open source, MIT-licensed JavaScript library that detects support for many HTML5 & CSS3 features. For example, following are the results from your browser:
HTML 5 Features Detected

Canvas is supported

Video is supported

LocalStorage is supported
Web Workers

Web Workers is supported
Offline Web Applications

GeoLocation is supported
Input Types
PlaceHolder Text
Form Autofocus
History API

History API is supported


[Freeware] Toad World for MySQL

Toad® for MySQL is a freeware development tool that enables you to rapidly create and execute queries, automate database object management, and develop SQL code more efficiently. It provides utilities to compare, extract, and search for objects; manage projects; import/export data; and administer the database. Toad for MySQL dramatically increases productivity and provides access to an active user community.


Download: Quest_Toad-for-MySQL-Freeware_601.exe

25 February 2012

[RAT] BKAV và Người mang quà

Sự việc nóng lên từng giây :)


Trích từ HVA: posts/list/600/41193.hva

Thú vị 01: Người mang quà :)
Kính gửi bạn hữu,
Chúng tôi đã cập nhật lại link tải tệp dữ liệu "BKAV System info" mới sau khi BKAV tìm cách hủy link cũ
Link tải về (cập nhật link ngày 25/2/2012): http://www.mediafire.com/?c8izc95pddubd53
hoặc link multiple-services: http://www.rapidspread.com/file.jsp?id=wd5hkgc4wc
Password giải nén: bk@v
Thú vị 02:  Trích 1 post của Mod HVA :)

accountservices@mediafire.com wrote:
The file dump.zip identified by the key (t85mx5vnr24d4fg) has been deleted by MediaFire support.
The reason for deletion was:
My name is Bach Thanh Le, the representative of Bkav Corporation – antivirus software company from Vietnam. 1. We indentify that the content of the file at following addresses is the database of our forum (forum.bkav.com.vn). The database has been stolen by hackers and has been uploaded to MediaFire. http://www.mediafire.com/?t85mx5vnr24d4fg 2. We indentify that the file containing our database is owned by Bkav and it has been infringed. It contains private/personal information of our members (emails, encrypted passwords and discussion contents) on our forum (forum.bkav.com.vn). 3. We indentify that Bkav is the owner of the database, which has been stolen and uploaded to MediaFire at addresses above . The file needs to be removed from the link at addresses above. 4. Our Contact information: Dr. Bach Thanh Le Director - Bkav Contact Center Tel : (84 4) 3767 7090 - Ext: 1221 Fax : (84 4) 3868 4755 Mobile: (84) 913 55 22 22 Email: lebt@bkav.com.vn Website: http://www.bkav.com.vn/ Address: Bkav Contact Center, Bkav , Bkav Building, Yen Hoa New Town, Cau Giay Dist, Hanoi, Vietnam 5. We state that the distribution of our private database by hackers is not authorized by Bkav. 6. We state that the information we have provided is accurate, and we request MediaFire to remove the abused file from your system. Dr. Bach Thanh Le Director - Bkav Contact Center Tel : (84 4) 3767 7090 - Ext: 1221 Fax : (84 4) 3868 4755 Mobile: (84) 913 55 22 22 Email: lebt@bkav.com.vn Website : http://www.bkav.com.vn/ Address: Bkav Contact Center, Bkav , Bkav Building, Yen Hoa New Town, Cau Giay Dist, Hanoi, Vietnam
This is a post-only mailing. Replies to this message are not monitored or answered.

Các kịch bản có thể tiếp đến là gì ? :)

Ngoài lề 1 tẹo, với các link HOT như hiện nay các bạn cũng nên check thử qua http://www.virustotal.com/ nhé

[Infographic] Social media privacy

[Demo] Oxygen Forensic Suite 2012 (Free Standard)

Additional files and documents
  Description  Size  Download
  Device definition update for Oxygen Forensic Suite 2012  1MbDownload
  Driver pack for Oxygen Forensic Suite 2012  300MbDownload
  Device images pack for Oxygen Forensic Suite 2012  23.0MbDownload
  Device demo archives  1-100MbRead

[Security] Thất vọng về BKAV

Món quà số 2 - Màn tấu hài về bảo mật của BKAV

Đầu tiên bạn cần coi qua một số tài liệu sau mà chúng tôi đã lấy từ Server của BKAV
Link tải về: http://www.mediafire.com/?Đã bị xóa
Password giải nén: bk@v

Cái ngu số 01
BKAV sử dụng Windows Server 2003 và Không thèm cập nhật bản vá nào, bản vá mới nhất là từ năm ... 2008

Khi thâm nhập BKAV server chúng tôi thực sự ngạc nhiên là BKAV dùng hệ điều hành lạc hậu hơn một thập kỷ là Windows Server 2003 cho một server tiếp diện với Internet.
Host Name: FORUM-D4AS7R6NX
OS Name: Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS Version: 5.2.3790 Service Pack 2 Build 3790
Họ còn cực kỳ "thông minh" khi tắt luôn dịch vụ Automatic Update của server, cũng như không hề cập nhật bản vá lỗi nào, bản cập nhật vá lỗi HDH cuối cùng mà BKAV cập nhật là bản KB941569 có cách đây ... 5 năm !

Cái ngu số 02
Sử dụng BKAV Pro làm Antivirus bảo vệ server , dùng phần mềm Crack trên server

Việc BKAV sử dụng đồ nhà cũng có lẽ là xuất phát từ niềm tự hào là "Chương trình diệt Virus đứng top 3 thế giới". Thế nhưng nó hoàn toàn không bảo vệ được BKAV server như mọi người đã thấy.
Bạn vui lòng tham khảo tệp tin "dir C programfile.txt" bạn sẽ thấy các chương trình cài trên BKAV
Trong đó đáng chú ý là

01/20/2012 06:05 PM <dir> BkavPro
02/24/2011 06:15 PM <dir> Internet Download Manager
Trong đó Internet Download Manager là phần mềm bị Crack. Lịch sử BKAV thường xuyên sử dụng phần mềm vi phạm bản quyền có lẽ ai cũng biết, ngày xưa BKAV từng lén gắn phần mềm WinRar vào trong BKAV Antivirus mà họ bảo là Top 3 thế giới mà không xin phép tác giả phần mềm (WinRar là phần mềm thương mại, phải trả tiền mới được sử dụng), mãi cho đến sau này một chuyên gia máy tính Việt Nam vô tình phát hiện và báo cáo việc này thì họ mới âm thầm gỡ bỏ WinRar khỏi BKAV Antivirus, do đó ngày nay BKAV Antivirus hoàn toàn bỏ qua việc diệt Virus trong các tệp tin .RAR do họ không biết cách giải nén định dạng RAR mà không phải dùng WinRAR.

Còn một chuyện vui khác nữa liên quan tới cái ngu khi tin tưởng vào BKAV Pro Antivirus của BKAV. Khi chúng tôi thâm nhập vào máy chủ của BKAV, chúng tôi phát hiện ra rằng trước chúng tôi có ... hàng chục hacker khác đã thâm nhập server của BKAV và cài cắm lại "một rừng" backdoor mà BKAV Pro Top 3 Thế giới không hề hay biết ! Cảnh tượng hệt như một cái chợ trời nơi người ta ra vô tấp nập vậy

Cái ngu số 03
Cài firewall mà chỉ dùng cấu hình mặc định, không biết tùy biến lại, thậm chí có lúc ... tắt luôn !

Tiếp tục với tệp tin "dir C programfile.txt" bạn sẽ dễ dàng thấy dòng sau
02/02/2012 12:30 AM <dir> Microsoft ISA Server
Cái hay ở đây là BKAV mới chỉ cài đặt ISA làm Firewall từ sau sự kiện ngày 02/02/2012 (ngày mà một hacker lịch thiệp đã thử thâm nhập vào BKAV Server và để lại một lời nhắn lịch sự giúp họ sửa lỗi). Họ cài đặt mà giữ nguyên cấu hình mặc định, điều này là cực kì nguy hiểm do hacker dễ dàng vô hiệu hóa Firewall. Nói cách khác họ cài Firewall cho có. Thậm chí trong lúc thâm nhập chúng tôi có lúc thấy dấu hiệu Firewall đã bị ngưng vận hành suốt nhiều ngày bởi người quản trị server

Cái ngu số 04
Administrator lướt web ngay trên server và trong giờ làm việc

Bạn vui lòng tham khảo tệp tin "tasklist.txt" , bạn sẽ thấy các dòng sau:

chrome.exe 4520 Console 0 42,804 K
chrome.exe 4588 Console 0 32,088 K

Sau khi thấy có quá nhiều process của trình duyệt Chrome đang vận hành trên server chúng tôi nghi ngờ là quản trị viên server đang lướt web ngay trên server nên thực hiện việc sniff gói tin trên server, kết quả khá thú vị khi thấy quản trị server đúng là đang lướt web đọc báo, thậm chí vô Facebook bằng Server của BKAV. Chúng tôi rất tiếc không thể cung cấp gói sniff đó lên đây do nó chứa nhiều thông tin có thể làm hại người vô tội.
Việc quản trị viên lướt web bằng trình duyệt ngay trên server thế này sẽ tạo cơ hội rất lớn cho hacker thâm nhập server bằng cách tấn công xuyên qua trình duyệt web. Đây là sự tắc trách và vô ý thức của người chịu trách nhiệm trông nom BKAV server

Cái ngu số 05
Cài đặt tất cả các dịch vụ trên server hoạt động dưới quyền hoạt động là Administrator

Cái ngu này dẫn tới việc hacker một khi đã khai thác được lỗi của một dịch vụ nào đó trên server và thâm nhập vào sẽ có toàn quyền điều khiển server như một Administrator mà không phải thông qua một bước rất khó khăn là "Leo thang đặc quyền"

Cái ngu số 06
Cài đặt MySQL hoạt động với quyền Root

Lúc dump cơ sở dữ liệu của BKAV Server chúng tôi phải cố gắng lắm mới không té khỏi ghế, do BKAV đã ngu muội mà cài đặt quyền sử dụng cơ sở dữ liệu MySQL là root. Thông tin trong tệp "configphp.txt" (tệp tin cấu hình VBB của forum BKAV)
$config['MasterServer']['servername'] = 'localhost';
$config['MasterServer']['port'] = 3306;
$config['MasterServer']['username'] = 'root';
$config['MasterServer']['password'] = 'bkav4rum2011';
Với quyền sử dụng MySQL là root, hacker sẽ dễ dàng truy cập mọi dữ liệu trên server BKAV thông qua khai thác lỗi Web Application

Cái ngu số 07
Dùng chung mật khẩu quản trị cho nhiều hạng mục, thậm chí chung với mật khẩu MySQL
Và cực ngu là mật khẩu quá dễ đoán

Các mật khẩu quản trị trên server của BKAV đều khá giống nhau và rất dễ đoán là:

Cái ngu số 08
Không backup dữ liệu thường xuyên, bản sao lưu mới nhất của BKAV server là ngày 12/01/2012 và cất chung các bản sao lưu trên cùng server.

Thông tin trong tệp "" :
Volume in drive D is DATA
Volume Serial Number is E8B7-1C1D

Directory of D:\BackupServerBF_20120112

01/14/2012 09:56 AM <dir> .
01/14/2012 09:56 AM <dir> ..
01/13/2012 05:25 PM 1,590,685,562 AllDB_120113_All.7z
01/14/2012 03:05 AM 9,928,198,998 forumbkav.zip
01/14/2012 02:16 AM 123,298,522 server_smarthome.zip
01/14/2012 02:10 AM 600,441,586 UploadSample.zip
4 File(s) 12,242,624,668 bytes
2 Dir(s) 25,288,765,440 bytes free
Lần cuối BKAV sao lưu dữ liệu server của họ là 1 tháng trước khi chúng tôi công bố các thông tin này và thật đáng buồn là họ lại đặt tất cả các bản sao lưu này trên cùng server, nếu hacker ra tay xóa thì họ sẽ chẳng còn gì để mà khôi phục hoạt động. BKAV sẽ hoàn toàn trắng tay

Tại sao chúng tôi không làm BKAV hoàn toàn trắng tay ?
Vì chúng tôi thực tâm không muốn hủy diệt BKAV, mặc dù chúng tôi hoàn toàn có khả năng và cơ hội để phá hủy toàn bộ dữ liệu của toàn bộ các hệ thống máy chủ của BKAV
Chúng tôi chỉ đòi hỏi sự công bình và lòng trung thực

BKAV được yêu hay ghét hoàn toàn do họ lựa chọn

Tương lai của họ và hành động của chúng tôi hoàn toàn do họ lựa chọn

<nguồn: http://bkavop.blogspot.com/>

Trích từ HVA

Đặt giả thiết rằng: BKAV Home và PRO bị edit code giống như Unikey thì........ :))

24 February 2012

[Miễn phí bản quyền] Oxygen Forensic Suite 2012

Oxygen Forensic Suite 2012 (Standard) is now available at no charge. You'll get the fully functional license with 6 months of free updates. To prolong the license after expiration you'll need to attend Oxygen Forensic Suite training and get 1 years of updates for free again.

Miễn phí 6 tháng:  http://www.oxygen-forensic.com/en/freeware/

Be attentive while filling the form. All incorrect submissions will be declined.

23 February 2012

[RAT] Tình hình tội phạm máy tính Việt Nam 2010 - Đã cũ

Lược trích tài liệu hội thảo An toàn thông tin 2010 - Bản này có public trên mạng nhưng mình ko nhớ rõ nguồn download



[Report] DDoS attacks in H2 2011

Distribution of DDoS attack sources by country

During the six-month period, our systems detected attacks on computers in 201 countries across the globe. However, 90% of all DDoS traffic came from 23 countries.

Distribution of DDoS traffic sources by country – H2 2011

The geographical distribution of DDoS attack sources has changed. At the end of the first half of 2011, the top positions in the ranking were occupied by the United States (11%), Indonesia (5%) and Poland (5%). The second half of the year has produced several new leaders: Russia (16%), Ukraine (12%), Thailand (7%) and Malaysia (6%). The contribution of zombie computers from 19 other countries ranges between 2% and 4%.

In Russia and Ukraine, we detected new botnets created using programs sold on underground forums. Curiously, these botnets were attacking targets located in the same countries as the botnets. Before this, we mostly detected attacks in which the bots and the servers they attacked were located in different countries.

The evident change in traffic distribution, as well as Russia and Ukraine joining the leaders, was in part due to the active use of certain anti-DDoS measures. Specifically, one method of blocking DDoS attacks is filtering traffic based on the source countries. The idea is very simple: when a DDoS attack is detected, this triggers a system that rejects all data packets except those coming from a specific country. As a rule, only users from the country where the majority of the site's audience is located are allowed access to the resource. This is why cybercriminals have to create botnets in specific countries and use them to attack resources in these same countries to prevent their traffic from being filtered.

At the same time, those botnets which operate based on the "classical" approach, when attacks are conducted using resources outside the country where the under-fire server is located, remain operational. Thailand and Malaysia are good examples of countries where there are large numbers of unprotected computers, while it appears that bot masters receive relatively few orders to attack websites in these countries. This means that the region is a good place for cybercriminals to set up botnets.

The countries accounting for 2-4% of all DDoS attacks also changed from the first half of the year. This group includes only three countries with high levels of computer penetration and IT security: Ireland (2%), the United States (3%) and Poland (4%). The remaining generators of junk traffic were infected computers in developing countries, where the number of computers per capita is much smaller, while IT security is not particularly strong: Mexico (4%), India (4%), Pakistan (4%), Belarus (3%), Brazil (3%) etc.


[Security] Bảo mật cho Pinterest như thế nào

I recently signed up for Pinterest.com, a hip, trendy pin board style website that allows beefed up sharing of your interests with friends via a large visual bulletin board style forum where fans of a particular subject can post what they find compelling, and want to share. Then other friends can weigh in on the subject “pinned”, thereby creating a crowd-ranked list of what folks in that sector are talking about, with the more popular, relevant, and timely pins rising toward the top. The service is heavily integrated with other social media venues, specifically Facebook and Twitter. In fact, you’ll need your account information from one of them to sign up. This means much of the personalized information you may already have on Facebook, for example, might be used to form a composite of what you might also be interested in on Pinterest.

Is it popular? The numbers have been going crazy lately. Who knew? Other than some half-starved startup team somewhere who hit it big, the idea is sickly engaging and addictive, likely because the site is all about you and what others following your same interests find, well, interesting. I also thought Twitter was a hard sell, but now, well, the numbers speak for themselves on that crazy 140 character status update app that's also addictive and successful.

Here in this article we dive into Pinterest.com, show you what's involved in signing up, securing your profile and feeling your way around the world of Pinterest, with an eye toward your own privacy, security, and best practices.

One thing to note: If you're in a hurry and just click through the default options without an eye for security, privacy, and the possible spread of personal information (either semi-automatically or inadvertently aided by unwitting friends), you may end up with more than you bargained for. Allowing your information to be shared with nearly everyone by default might cause heartache down the road, so locking things down a bit seems like a good stance to take.
Let’s Get Started

If you haven't signed up already, it's tougher than it looks. First, you have to sign up for a waiting list to be invited, or better yet, get someone on the service already to invite you. This hearkens back to the early days of gmail, which was pretty successful as well, despite the curious process.

Once you’ve received your invite, continue the process like:

I opted in this test to sign up using Facebook, so when you click the Facebook link, you are directed to the Facebook login on behalf of Pinterest.com, like:

Once you login, you are faced with the option to go back to Pinterest, or fine tune your Facebook interface settings. Notice the default selection is to share with friends.

Note the notification that says by default this app will share “other activity” on Facebook. That seems like a very broad term for information sharing. If you are more privacy/security conscious, it may be a good idea to restrict the visibility like:

I changed it to look like this:

When you are finished customizing your Facebook sharing settings, select the “Go to App” button and it will take you back to the Pinterest.com signup page to continue the process of creating an account there.

Since there really isn’t a way to sign up without a Facebook or Twitter account as well, it would be difficult to totally isolate the information flow from those sources. Your best bet is to review your account settings in Facebook, and make sure you’re only sharing what you intend to share, as default permissions tend to be set more lenient than security/privacy fans might prefer.

Now you’ll have a chance to tell Pinterest.com what interests you might have:

This will continue to build a profile of what/who you might be interested in following.

You now have a chance to create your own Boards:

On the same screen it will highlight those who you may be already following. Next there is a screen where you can customize your tastes, again building the profile the service will target for specific interests:

Once you enter your interests, the next time you visit, you’ll see more subjects presented that relate to these preferences.

You now have an option to integrate Pinterest preferences with your browser, for another level of integration:

Now let’s look at some of the settings you might choose to adjust. You have access the settings under the menu shown below:

On the settings page you will see options to control how Pinterest.com integrates with Facebook/Twitter:

Notice that they are set to integrate by default. For those who want more privacy/security, it may be wise to disable the buttons above, thereby segregating the services a bit more. Notice how tightly the sharing may be integrated, including a feature to tap into your Facebook Friends yet another way.

While Pinterest grabs market share and your friends become familiar with the service, expect more fine-tuned controls to be available. Being aware of these settings may help you have a more secure profile and sharing stance while using the service. It also may prevent sharing more information than you planned on, both now and in the future.
What else to watch for:

As with many websites that soar to popularity, we are already seeing scams like fake apps bundled with borderline or outright malicious functionality that users could download for smartphones like Android. The folks at gottabemobile.com point out an app, purportedly for using Pinterest on Android, was not an app at all, but a platform for scams. Many users would simply click through the installation prompts, only to find out later they’ve gotten more than they bargained for.

As Pinterest.com continues to catch on, expect more scams that try to do things like tricking users into revealing credentials through fake notifications, spam texts to your mobile devices, efforts at phishing and other emerging scams. As Pinterest.com grows, we will revisit this in a security series about the platform, helping to keep users safe online.