Via Maurizio Codogno
La mia personale opinione è che Facebook sia l’esperimento meglio riuscito di social engineering su scala planetaria. Per chi non lo sapesse, il social engineering è il modo più semplice per ottenere informazioni segrete. Crederete mica che i cracker e gli hacker abbiano fatto attacchi bruta forza per penetrare nei sistemi? Figuriamoci. È molto più semplice ricavare la password direttamente dalla persona stessa, magari chiacchierando un po’ e facendo in modo che ti dia implicitamente degli indizi. Facebook è appunto l’estensione di questo concetto. Ti senti invogliato a riempire il tuo profilo parlando di te, perché così i tuoi amici ti possono trovare. (Tra l’altro, nota che il profilo non fa parte dei setting, cioè la parte che viene tipicamente vista come “la sicurezza”). Ti senti invogliato ad accettare tanti amici, perché così ti puoi mantenere in contatto con loro. Addirittura, non appena qualcuno ti manda un messaggio attraverso un’applicazione – e questo è così facile, visto che te lo fa fare di default – tu sei pronto a dare tutti gli accessi in lettura a questa applicazione. E lo fai volontariamente. Il paradiso per un social engineer, non c’è che dire.
Io non sono così paranoico. Come ho scritto, i dati che ho fornito sono parecchi e tutti rigorosamente veri. Però sono tutti dati che non mi dà fastidio riportare, anche in un unico posto il che permette di fare molta fatica in meno a radunarli. D’altra parte, basta leggere il mio blog per avere una quantità simile se non maggiore di informazioni su di me, quindi non è che ci perda così tanto :-) Il guaio è più che altro per chi non è abituato a questa perdita di intimità nell’Era della Rete (e poi magari piange perché pretende il diritto all’oblio…); inoltre non so cosa potrebbe succedere con un’applicazione meme che però ricavi abbastanza dati per fare un profilo demografico di un numero davvero grande di persone.
Se io dovessi rivedere il modello di Facebook, credo che lo farei “a cipolla”: non definirei solo amici ma anche contatti, conoscenti, colleghi, familiari, intimi; renderei impossibile sapere a quale categoria appartiene una persona (un “contatto” non può vedere direttamente nulla, un “conoscente” vede amici colleghi familiari intimi tutti come “conoscenti”, e così via), e per ogni dato lascerei la scelta di indicare fino a che categoria renderlo pubblico, con default “a nessuno”. Ma so anche che un modello del genere non avrebbe mai avuto successo: il bello del social engineering è proprio che funziona proprio perché è il tapino stesso che vuole così, come del resto tutte le truffe anche nella vita reale. Quindi teniamoci Facebook così com’è; e svegliamoci, non sveliamoci!
beh Vittorio, io il mio Facebook l’ho configurato proprio come dici tu, a cipolla.
Ho fatto una serie di liste diverse dove inserisco i contatti a seconda della tipologia e a queste liste abilito o disabilito la visibilità su certe cose.
Un esempio su tutti ho una lista “emeriti sconosciuti” in cui metto tutti quelli che mi chiedono un contatto ma di cui non ho alcuni idea dell’identità. Questa lista può vedere solo il mio stato, le mie informazioni professionali e poco altro. Niente foto o video in cui sono taggato, niente amici. Se poi riesco a identificare queste persone e riportarle in altre categorie allora le sposto, altrimenti stanno li.
Come continuo a ripetere, manca la cognizione del valore dei dati personali da parte degli utilizzatori. Se ci fosse, gli applicativi si adatterebbero. Come ha detto in SL il garante della privacy, una volta la pubblicità di una auto evidenziava la velocità, il design, i cavalli. Ora si parla di sicurezza, economicità, comodità. Succederà anche agli strumenti in rete.
Caro Roberto
Condivido le tue idee e quelle di Maurizio Codogno “vecchio” e stimato esperto della rete italiana
Il problema di Facebook e’ che è settato “di default” come una vera “arma anti privacy” per cui un utente non esperto rischia di farsi del male alla sua privacy. Altri social ntwork sono decisamente meno pericolosi in quel senso.
Poi considerado l’ottima indicizzazione su Google di FB, uno si trova immediamante reperibile e semi nudo nella privacy in pochi minuti se non pone la necessaria attenzione in quello che fa …