Antferr » privacy

Tutti ne parlano, tutti lo lodano, tutti lo attaccano, ma contemporaneamente tutti lo usano e non sanno più farne a meno. Sto parlando ancora una volta di Facebook, ed inevitabilmente di privacy violata. Non è certamente consigliabile inserire informazioni troppo sensibili on line. A volte si difende la propria privacy a spada tratta in numerevoli contesti e poi si finisce a deturparla con le proprie mani mettendo tutto on line.
I sistemi per impossessarsi dei vostri dati sono tanti. La maggioranza degli utenti (me compreso) ha impostato livelli di privacy alti, nei settings del proprio account, limitando la visione di media e info ai propri amici credendo così di aver risolto il problema. Errato!

Il modo più semplice per raccogliere i vostri dati e salvarli in un “bel” database, da utilizzare per i fini più svariati, sta nel proporre un’applicazione da noi creata ai nostri amici. Basta una semplice applicazione, anche una tra le più comuni come un test. Ipotizziamo che siamo stati bravi e che la nostra applicazione sia piaciuta ai nostri amici (per i quali non abbiamo bisogno di sotterfugi per prendere visione delle informazioni personali), e che loro abbiano deciso di proporla ai loro amici. A questo punto l’applicazione potrebbe espandersi a macchia d’olio. Grazie alle API messe a disposizione da Facebook la nostra applicazione (che tra le altre cose risiede su nostro spazio web) potrà collezionare numerose informazioni contenute nei profili degli utenti. Facebook è in ogni caso al riparo da accuse di furto informazioni perchè ogni volta che decidiamo di aggiungere un applicazione dobbiamo transitare per una pagina di conferma come questa, in cui sostanzialmente ci viene detto che l’applicazione avrà accesso ai nostri dati.

Terms of use delle applicazioni facebook sono descritti qui per chi volesse approfondire.
Il metodo appena descritto ha delle notevoli limitazioni che riducono il numero di mali intenzionati, in quanto è necessario sviluppare un’applicazione su piattaforma facebook, disegnare un db in grado di collezionare in maniera corretta i dati raccolti, e infine non credo ci dia la possibilità di avere accesso alla totalità delle informazioni. Inoltre questo sistema non ci permette di arrivare in maniera diretta verso la persona che rappresenta il nostro obiettivo, anzi si dirige in maniere pseudo casuale verso gli utenti, seguendo la rete delle amcizie. I dati raccolti possono essere utili per ricerche di mercato e affini.
Se il nostro scopo è arrivare ad una persona in particolare (di cui non abbiamo relazioni di amicizia virtuali), non possiamo di certo affidarci ad un’applicazione che potrebbe non giungere mai all’utente oppure non essere presa in considerazione dallo stesso.

In questo caso entra in gioco l’ ingegneria sociale. Questa “scienza” trova terreno fertile nei social network.
Una strategia possibile comincia con la creazione di un account fasullo (nel senso che non corrisponde ad una persona nel mondo reale) su facebook. Se la nostra vittima è di sesso maschile potremmo creare un account con un nome da donna e magari associargli una foto accattivante, che però non deve sembrare troppo finta. Oppure si può creare un account avente lo stesso cognome della vittima, in modo tale poter sembrare un parente lontano in cerca di riavvicinamento. Fatto ciò si effettua una richiesta di amicizia per la vittima nella speranza che accetti. Se cade nel tranello il gioco è fatto. Quando la vittima ci chiederà “ci conosciamo?” sarà troppo tardi perchè avremo già acquisito le informazioni che ci interessavano. Il metodo descritto è molto diretto, ma si può prendere anche alla larga la persona diventando prima amico con i suoi amici e cominciando a scrivere sulle bacheche degli stessi. In questa fase sarà possibile vedere foto del bersaglio se è taggato in album di amici o se ha reso visibile agli amici degli amici (non sto aprlando del padrino) le foto contenute nei propri album. Ora non appariremo come perfetti sconosciuti al momeno della nostra richiesta di amicizia.
Che ci crediate o no, la maggior parte delle operazioni di hacking vengo portate a termine in questo modo, cioè instaurando rapporti “umani” con le persone che hanno accesso a reti protette. Guru e mito vivente dell’ingegneria sociale è Kevin Mitnick, il quale è riuscito ad entrare nei computer del governo degli Stati Uniti. Attenzione!