Il paradiso del social engineering

Di   2 dicembre 2008
WP Greet Box icon
Benvenuto nel blog di Vittorio Pasteris ! Se vuoi essere aggiornato sulle ultime notizie di questo blog seguimi via Twitter o via Facebook o via Google+ o Iscriviti al feed RSS

Via Maurizio Codogno

La mia personale opinione è che Facebook sia l’esperimento meglio riuscito di social engineering su scala planetaria. Per chi non lo sapesse, il social engineering è il modo più semplice per ottenere informazioni segrete. Crederete mica che i cracker e gli hacker abbiano fatto attacchi bruta forza per penetrare nei sistemi? Figuriamoci. È molto più semplice ricavare la password direttamente dalla persona stessa, magari chiacchierando un po’ e facendo in modo che ti dia implicitamente degli indizi. Facebook è appunto l’estensione di questo concetto. Ti senti invogliato a riempire il tuo profilo parlando di te, perché così i tuoi amici ti possono trovare. (Tra l’altro, nota che il profilo non fa parte dei setting, cioè la parte che viene tipicamente vista come “la sicurezza”). Ti senti invogliato ad accettare tanti amici, perché così ti puoi mantenere in contatto con loro. Addirittura, non appena qualcuno ti manda un messaggio attraverso un’applicazione – e questo è così facile, visto che te lo fa fare di default – tu sei pronto a dare tutti gli accessi in lettura a questa applicazione. E lo fai volontariamente. Il paradiso per un social engineer, non c’è che dire.

Io non sono così paranoico. Come ho scritto, i dati che ho fornito sono parecchi e tutti rigorosamente veri. Però sono tutti dati che non mi dà fastidio riportare, anche in un unico posto il che permette di fare molta fatica in meno a radunarli. D’altra parte, basta leggere il mio blog per avere una quantità simile se non maggiore di informazioni su di me, quindi non è che ci perda così tanto :-) Il guaio è più che altro per chi non è abituato a questa perdita di intimità nell’Era della Rete (e poi magari piange perché pretende il diritto all’oblio…); inoltre non so cosa potrebbe succedere con un’applicazione meme che però ricavi abbastanza dati per fare un profilo demografico di un numero davvero grande di persone.
Se io dovessi rivedere il modello di Facebook, credo che lo farei “a cipolla”: non definirei solo amici ma anche contatti, conoscenti, colleghi, familiari, intimi; renderei impossibile sapere a quale categoria appartiene una persona (un “contatto” non può vedere direttamente nulla, un “conoscente” vede amici colleghi familiari intimi tutti come “conoscenti”, e così via), e per ogni dato lascerei la scelta di indicare fino a che categoria renderlo pubblico, con default “a nessuno”. Ma so anche che un modello del genere non avrebbe mai avuto successo: il bello del social engineering è proprio che funziona proprio perché è il tapino stesso che vuole così, come del resto tutte le truffe anche nella vita reale. Quindi teniamoci Facebook così com’è; e svegliamoci, non sveliamoci!