SlideShare a Scribd company logo
1 of 39
Download to read offline
La sicurezza
delle reti
aziendali
ai tempi
di Facebook

I contributi della wiki
IBM sull’utilizzo dei social
network e la sicurezza
delle infrastrutture IT
in ambito di business.




Attribuzione
Non commerciale
Non opere derivate
INTRODUZIONE
     “La sicurezza delle reti aziendali ai tempi di Facebook” è il titolo del progetto wiki promosso da
     IBM per discutere sul tema della sicurezza informatica e, nello specifico, su come l’utilizzo dei social
     network si ripercuote sulla sicurezza delle strutture aziendali, nonché sui rischi che ne derivano.

     Il progetto è rivolto in particolare alle persone e alle aziende che non hanno fiducia nei social network
     a causa dei pericoli derivanti per i loro sistemi e la riservatezza dei dati. Si vuole pertanto diffondere
     la consapevolezza e la cultura per un uso responsabile: il fenomeno social network, infatti, ormai non
     è più arginabile e non si può eliminarlo nel contesto aziendale semplicemente bloccandone l’accesso.
     Per il bene dell’azienda, bisogna invece cercare di comprenderlo e guidarlo in modo adeguato
     e consapevole.

     Il presente documento raccoglie interventi, best practice e spunti emersi durante l’attività della pagina wiki.

     Il progetto è stato coordinato dal Dott. Roberto Marmo, consulente informatico e professore a contratto
     di informatica presso la Facoltà di Ingegneria della Università di Pavia e Facoltà Scienze MM.FF.NN.
     della Università Insubria di Como. www.robertomarmo.net

     Alcuni spunti sono stati discussi all’evento IBM Security Day 2009: un estratto dell’intervento di Adrian
     Davis, responsabile ISF, si trova nella sezione “La possibilità di fare uscire informazioni riservate dal
     posto di lavoro tramite il canale”; le presentazioni della giornata sono invece pubblicate qui.




02   Introduzione
INDICE

     Definizione del problema
         Web 2.0, social media e social network                                                       4
         Il contesto della sicurezza informatica e la nascita di nuovi problemi                       5
         La diffusione delle informazioni                                                             6
         Analisi dei rischi                                                                           8
         Information Technology e sicurezza                                                           9

     Le problematiche da affrontare
         Identità digitale                                                                            11
         Il furto dell’identità digitale tramite social engineering                                   12
         Controllo del datore di lavoro sull’uso dei social network durante l’orario di lavoro        14
         La possibilità di fare uscire informazioni riservate dal posto di lavoro tramite il canale   14
         Creare porte di ingresso non controllate e pericolose nella rete aziendale                   15
         Intercettazione delle informazioni riservate durante l’uso aziendale                         15
         Alterazione illegittima dell’immagine aziendale a fini di marketing                          16
         Controllo delle informazioni inserite dagli iscritti al canale di comunicazione              17
         Accesso al canale di comunicazione da dipendenti non autorizzati                             17
         Rischi derivanti dall’analisi aggregata dei dati a scarsa valenza individuale                18
         Rischi derivanti dall’installazione delle applicazioni di terze parti                        20
         Rischi derivanti dall’esposizione dei nominativi dei clienti                                 21
         Attacchi di phishing                                                                         22

     Le persone coinvolte
         Il ruolo dell’amministratore                                                                 23

     Gli strumenti per affrontare la sicurezza
          Consigli per l’uso sicuro dei social network                                                24
          Le tecnologie per controllare il traffico                                                   25
          Criteri ottimali per la scelta delle password                                               26

     Risorse utili
         Autori                                                                                       27
         Bibliografia                                                                                 28
         Glossario                                                                                    29




03   Indice
WEB 2.0, SOCIAL MEDIA E SOCIAL                          Attualmente vari milioni di italiani possiedono un
     NETWORK                                                 profilo, e questo si traduce di fatto in una enorme
                                                             piattaforma di comunicazione. Facebook è
     Il Web 2.0 è l’insieme delle tecnologie                 l’esempio più noto; per l’ambito professionale
     collaborative per organizzare Internet come una         esistono i business social network come
     piattaforma in cui tutti possono inserire i propri      LinkedIn o Viadeo in cui il professionista può
     contributi ed interagire con gli altri utenti.          promuovere le proprie capacità, aggiornarsi,
                                                             trovare collaboratori e nuove opportunità.
     Il termine nasce da una frase coniata da O’Reilly
                                                             Altri approfondimenti su it.wikipedia.org/wiki/
     e da Dale Dougherty nel 2004; il documento che
                                                             Social_network
     ne ha ufficialmente sancito l’inizio risale al 30
     settembre del 2005.                                     Ma i social network non riguardano solo le
     Nato da collegamenti ad Internet molto più              persone: la presenza di aziende è sempre più
     veloci e dall’unione di varie tecnologie di facile      forte, sia per attività di marketing e pubblicità, sia
     apprendimento e uso, il Web 2.0 vuole segnare           come nuovo strumento per svolgere le attività di
     una separazione netta con la New Economy                business, creare profili aziendali per promuovere
     dell’inizio millennio definita come Web 1.0 e           l’impresa, fare nuovi affari eccetera. L’Enterprise
     caratterizzata da siti statici, di sola consultazione   2.0 intende infatti adattare i concetti del Web 2.0
     e con scarsa possibilità di interazione dell’utente.    in ambito aziendale.
     Altri approfondimenti su it.wikipedia.org/wiki/         Altri approfondimenti su it.wikipedia.org/wiki/
     Web_2.0                                                 Enterprise_2.0

     “Social media” è un termine generico per
     indicare tecnologie e pratiche online con cui gli
     utenti creano e condividono i contenuti sul Web:
     un grosso cambiamento rispetto al Web 1.0,
     caratterizzato dalla presenza di una comunità
     concentrata sulla condivisione di contenuti.
     Altri approfondimenti su it.wikipedia.org/wiki/
     Social_media

     Una delle più grosse opportunità fornite dal Web
     2.0 sono i social network o reti sociali, con cui le
     persone creano un profilo con i dati personali e
     possono comunicare con altri profili per creare
     nuove forme di socializzazione e di espressione.




04   Definizione del problema
IL CONTESTO DELLA SICUREZZA                             Gli elementi da considerare in un progetto di
     INFORMATICA                                             sicurezza informatica sono, nell’ordine:
                                                             1. beni da proteggere;
     La sicurezza informatica ha come obiettivi:             2. minacce;
     • controllare il diritto di accesso alle                3. agenti;
       informazioni;                                         4. vulnerabilità;
     • proteggere le risorse da danneggiamenti               5. vincoli;
       volontari o involontari;                              6. misure di protezione.
     • proteggere le informazioni mentre esse sono           Gli elementi elencati sono raccolti nel
       in transito sulla rete;                               documento di Risk Analysis, che permette di
     • verificare l’identità dell’interlocutore, in          sapere qual è il rischio di subire danni al sistema
       particolare essere certi che sia veramente chi        informatico e, conseguentemente, di preparare
       dice di essere.                                       una mappa delle possibili contromisure da
     Per creare sicurezza bisogna prima studiare:            adottare.
     • chi può attaccare il sistema, perché lo fa e
                                                             La nascita di nuovi problemi per la sicurezza
       cosa cerca;
                                                             informatica
     • quali sono i punti deboli del sistema;
                                                             L’uso sempre più diffuso delle reti sociali ha
     • quanto costa la sicurezza rispetto al valore
                                                             portato a una forte crescita delle opportunità,
       da proteggere e rispetto al valore dei danni
                                                             dei vantaggi, della quantità di informazioni. Il
       causati;
                                                             rapido sviluppo, però, non ha ancora permesso
     • con quale cadenza gli apparati/sistemi di
                                                             un’esatta e profonda conoscenza da parte di
       sicurezza vengono aggiornati.
                                                             molte persone dei meccanismi e della gestione
     Il ciclo di vita della sicurezza informatica prevede:   della presenza nei social network. Ecco la forte
     1. Prevention - è necessario implementare delle         crescita degli svantaggi e di ricadute negative
         misure per prevenire lo sfruttamento delle          dovute a furti e truffe di vario tipo, oltre alle
         vulnerabilità del sistema;                          eventuali fonti di distrazione e perdite di tempo.
     2. Detection - è importante rilevare prontamente        L’uso degli strumenti tradizionali della sicurezza
         il problema; prima si rileva, più semplice è la     informatica può fronteggiare solo in parte i nuovi
         sua risoluzione;                                    pericoli e bisogna perfezionare tali strumenti per
     3. Response - bisogna sviluppare un piano               adattarli a una piattaforma di comunicazione
         appropriato di intervento in caso di violazione     in grado di far interagire persone con esigenze
         con individuazione delle responsabilità e           molto diverse.
         azioni da intraprendere.

     Occorre tenere ben presente l’importanza del
     documento di Auditing del sistema: il documento
     analizza la struttura del sistema e individua le
     operazioni atte a verificare il suo stato di salute
     con varie tipologie di verifica della sicurezza.




05   Definizione del problema
LA DIFFUSIONE DELLE INFORMAZIONI                         con attenzione e criterio assegni bancari e
                                                              carte di credito, l’utente deve oggi prendere
     Secondo alcune statistiche redatte da fonti              confidenza con gli strumenti che possono
     affidabili, quasi il 90% delle grandi aziende            difenderlo dalle aggressioni di tipo informatico.
     svolge la propria attività anche attraverso
     Internet o, almeno, possiede un sito Web di              Molto spesso, in relazione a queste tematiche,
     riferimento per la clientela: oltre alle numerose        alcuni addetti ai lavori operano in modo
     realtà private, anche tantissime strutture               poco trasparente nei confronti degli utenti
     pubbliche offrono i loro servizi attraverso la           finali, nascondendo preziosi consigli dietro a
     grande Rete.                                             complesse terminologie ed ergendosi su di una
                                                              specie di piedistallo.
     Questo scenario, che da un lato procura
                                                              Questo tipo di atteggiamento non aiuta certo
     innegabili vantaggi ai cittadini, dall’altro genera
                                                              a risolvere i problemi. Quindi, se dalla parte di
     situazioni di pericolo connesse alle possibili
                                                              chi ascolta è indispensabile una grande umiltà
     azioni criminali che alcuni malintenzionati
                                                              e attenzione, dall’altra occorre utilizzare un
     potrebbero mettere in atto: danni economici,
                                                              linguaggio chiaro che non ecceda nell’uso di
     violazioni di privacy o, semplicemente, una
                                                              termini e acronimi di scarsa comprensibilità.
     perdita della credibilità derivante da azioni di
                                                              A questo punto, soffermiamoci un attimo per
     defacement (termine anglosassone traducibile in
                                                              delineare in modo sommario quali sono le
     “deturpazione” utilizzato per indicare un’azione
                     ,
                                                              specifiche che un sistema informatico deve
     svolta nei confronti di un sito Web allo scopo di
     cambiarne i contenuti), rappresentano solo una           possedere per poter essere considerato sicuro:
     ristretta rosa di possibili esempi.                      - il primo requisito è quello che viene definito
     Per queste ragioni è assolutamente necessario              confidenzialità, cioè la garanzia che le
     che ciascun utente in rete operi attivamente in            informazioni siano protette da letture non
     questa sorta di battaglia in difesa di coloro che          autorizzate accidentali o dolose;
     da Internet vogliono trarre tutti i benefici possibili   - il secondo, definito integrità e autenticità, si
     e contro quelli che, invece, sfruttano la Rete per         raggiunge quando le informazioni sono protette
     perseguire fini più o meno illegali: un’azione del         da ogni possibile alterazione provocata da
     genere è possibile solo attraverso una corretta            accessi non autorizzati accidentali o dolosi;
     informazione e preparazione.                             - l’ultimo requisito prende il nome di
     L’obiettivo primario è quello di fornire a ciascun         disponibilità, ed è assicurato quando le
     utente le nozioni necessarie per implementare              risorse dell’elaboratore risultano sempre
     autonomamente sul proprio sistema quelle                   disponibili agli utenti legittimi (con l’unica
     misure minime di sicurezza che gli consentano              eccezione rappresentata dai momenti di
     almeno di fronteggiare gli attacchi più comuni.            blocco causati da guasti tecnici).
     Così come in passato ha imparato ad adoperare




06   Definizione del problema
Appare subito evidente la difficoltà di soddisfare    Integrità e autenticità
     integralmente specifiche di questo genere,            Non si possono ottenere con gli strumenti
     sia a causa del fattore umano, sia per le             standard, i quali non sono in grado di garantire
     caratteristiche di alcuni elementi in gioco,          che i dati pervenuti non siano stati modificati
     che già per propria natura sono afflitti da           durante il percorso e, soprattutto, non possono
     alcune fragilità intrinseche: uno degli esempi        fornire la certezza che l’indirizzo del mittente
     più calzanti è rappresentato dalla famiglia di        da noi rilevato corrisponda a quello reale. Un
     protocolli denominata TCP/IP (Transmit Control        aggressore, attraverso una particolare tecnica
     Protocol/Internet Protocol), universalmente           (spoofing), può intervenire su un pacchetto
     utilizzata nell’ambito delle comunicazioni sulla      di dati in transito, alterando alcune delle sue
     rete Internet ma soggetta a diverse debolezze         informazioni originali come, appunto, l’indirizzo
     architetturali a causa della sua obsolescenza.        di origine.
     I problemi nei quali ci si imbatte nel tentativo di
     soddisfare i requisiti citati sono appunto:           Disponibilità
                                                           Risulta evidente che neppure l’ultimo requisito
     Confidenzialità                                       può essere soddisfatto. Infatti, sono molti
     Difficile da soddisfare, dato che molte               gli elementi in gioco che possono mettere
     comunicazioni avvengono in chiaro (cioè senza         completamente fuori servizio un sistema: difetti
     alcuna codificazione che le renda illeggibili         nel software adoperato, presenza di virus,
     agli intrusi). Quindi, tutto quello che transita      attacchi di tipo denial of service, eccetera.
     per la Rete può essere facilmente intercettato,
     mediante apposite tecniche (sniffing), da
     chiunque. La situazione è comunque destinata
     a modificarsi in meglio, in quanto, essendo oggi
     palesi i rischi derivanti dalla comunicazioni in
     chiaro, sono sempre di più i servizi che utilizzano
     modalità di comunicazione cifrata.




07   Definizione del problema
ANALISI DEI RISCHI                                     sicurezza informatica un problema esclusivo
                                                            di coloro che gestiscono dati di una certa
     Molte persone hanno l’abitudine di memorizzare         importanza, non rendendosi conto che perfino
     nei loro elaboratori numerose informazioni di una      una macchina dedicata al gioco, priva di
     certa importanza, come per esempio dati relativi       qualsiasi dato personale, può essere fonte di
     ai conti bancari, password di carte di credito e       grossi guai per il suo proprietario qualora non
     bancomat eccetera.                                     adeguatamente protetta: un intruso che riesca
     Questo modo di agire, pur non costituendo di           ad assumerne il controllo potrebbe adoperarla
     per sé un problema, diviene estremamente               per accedere a siti Internet dai contenuti illegali
     rischioso quando la macchina destinata a               (pedopornografia, terrorismo) o per attaccare
     contenere questi dati viene connessa a una rete        altri sistemi informatici (banche, aziende,
     informatica: da quel momento, infatti, se non          agenzie governative) o, ancora, per memorizzare
     sono state prese le opportune precauzioni, le          temporaneamente materiale illegale (come, per
     probabilità che un aggressore esterno possa            esempio, informazioni derivanti da attività di
     accedere ai nostri dati sono davvero molto alte.       spionaggio).
     Paure di questo tipo, che fino a qualche tempo         Gli esempi che si possono fare sono davvero
     addietro potevano forse essere considerate             tanti, ma il risultato è sempre lo stesso: la
     esagerate, sono oggi confermate da reali               paternità di queste azioni ricadrà sempre
     riscontri e, qualora qualcuno avesse ancora            sull’ignaro proprietario della macchina
     dei dubbi in merito, questi possono essere             compromessa, che risponderà in prima persona
     rapidamente dissipati attraverso la semplice           per ogni reato commesso.
     lettura dei file di log generati da un comune          Egli, ovviamente, potrà far valere le sue ragioni
     personal firewall (un software di protezione           dichiarandosi estraneo ai fatti ma, considerando
     largamente diffuso); la lettura di questi file         che questo non avverrà in tempi brevi e che
     evidenzia chiaramente come un elaboratore              nel frattempo si dovranno subire tutte le
     connesso in rete (per esempio, a Internet) sia         conseguenze del caso (perquisizione, arresto,
     continuamente insidiato da svariati tentativi di       interrogatori), è certamente auspicabile non
     intrusione finalizzati alla rilevazione di eventuali   trovarsi mai in una di queste situazioni.
     vulnerabilità utili per la conquista di un accesso     La prassi seguita dall’aggressore è quasi
     illegittimo.                                           sempre la stessa: quando decide di effettuare
                                                            operazioni illegali su di un certo obiettivo remoto,
     I problemi che un’intrusione può causare               adopera una o più macchine delle quali ha
     sono numerosi: si va dalla violazione della            precedentemente assunto il controllo, macchine
     privacy, attraverso l’accesso a foto e documenti       che, come abbiamo visto in precedenza,
     personali, ai danni di carattere economico,            appartengono a utenti del tutto ignari.
     derivanti dal rilevamento del numero della nostra
     carta di credito o dei parametri per accedere al       Fortunatamente, la conquista di un sistema
     nostro servizio di home banking, incautamente          informatico non è immediata ma avviene per
     memorizzati all’interno dell’elaboratore.              gradi, e i tempi che la caratterizzano sono
     Quelli appena citati sono solo alcuni esempi           strettamente connessi sia al tipo di vulnerabilità
     dei rischi cui un utente può andare incontro           da sfruttare sia al grado di preparazione
     ma, nonostante la posta in palio sia alta,             dell’attaccante.
     molte persone continuano a ritenere la




08   Definizione del problema
INFORMATION TECHNOLOGY E                              l’elevata dinamicità di questo ambiente, in
     SICUREZZA                                             continua evoluzione secondo tempistiche e
                                                           modalità assolutamente imprevedibili, non
     Il mondo dell’IT (Information Technology)             consenta di essere esaustivi, si cercherà
     racchiude in sé tutto l’insieme delle odierne         di contrastare questa limitazione mediante
     tecnologie adoperate al fine di elaborare,            l’esposizione dei concetti chiave alla base di
     memorizzare e utilizzare informazioni. I dati         ogni tecnica.
     contenuti nei PC e nelle reti informatiche, però,
     sono esposti a rischi sempre maggiori da              Il problema della sicurezza informatica
     contrastare.                                          In questo particolare ambiente è sempre valido
                                                           quel detto paradossale che recita: “solo una
     Gli accessi illegittimi alle informazioni residenti   macchina spenta può essere considerata una
     sui sistemi di elaborazione, la compromissione        macchina sicura” Solo in apparenza sciocca,
                                                                                 .
     o furto dei dati, rappresentano oggi una grave        questa affermazione racchiude in sé una grande
     minaccia, sempre più difficile da contrastare. La     verità, che si traduce in una sorta di monito per
     costante apertura di nuove reti verso Internet,       chi opera nell’IT, e cioè: un elaboratore acceso,
     unita alla rapida crescita di connessioni di          per quanto si siano prese tutte le possibili
     tipo permanente (come, per esempio, quelle            precauzioni, rimane potenzialmente vulnerabile.
     realizzate tramite la tecnologia ADSL) anche          L’essenza di questa sconcertante affermazione
     tra le utenze private, ha creato un fertile terreno   è basata sull’inequivocabile considerazione
     per questo genere di minacce in quanto, a             che continuamente, nel mondo, si scoprono e
     causa della continua immissione in rete di            vengono rese pubbliche nuove vulnerabilità che
     nuovi sistemi, sono cresciuti esponenzialmente        riguardano i sistemi informatici.
     i possibili bersagli da attaccare. Alla luce di       Questa situazione, grazie ai dettagli offerti dagli
     questo si rende necessario implementare efficaci      scopritori, permette a una miriade di potenziali
     politiche di sicurezza capaci di contrastare          aggressori di violare in modo più o meno grave i
     dinamicamente questi pericoli, che minano             sistemi afflitti dalla vulnerabilità resa pubblica.
     sia la sicurezza del singolo utente privato sia       In questo scenario ha luogo una frenetica gara
     quella delle grandi reti informatiche. Un’azione      tra i legittimi utilizzatori dei sistemi che cercano
     del genere non è realizzabile con interventi          di rimediare al problema e i malintenzionati
     estemporanei e non ben pianificati poiché,            che, invece, tentano di sfruttare queste nuove
     per contrastare efficacemente questi rischi,          informazioni per i loro fini.
     occorrono competenze specifiche. Sebbene




09   Definizione del problema
Per quanto talvolta non si possa rendere un           elenco aggiornato delle vulnerabilità scoperte
     sistema totalmente sicuro nei confronti di una        e, proprio per questa ragione, è assolutamente
     certa vulnerabilità, è ovvio che un sistema           indispensabile che ogni singolo utente/
     scarsamente o per nulla protetto è sempre             amministratore li consulti frequentemente
     preferito dagli aggressori rispetto a un altro nel    o, ancor meglio, qualora il servizio fosse
     quale sono attive alcune protezioni.                  disponibile, si abboni alle loro newsletter
     A questo punto viene spontaneo chiedersi              specifiche.
     come mai queste informazioni dettagliate, che
     permettono di approfittare delle vulnerabilità di     Cerchiamo di sintetizzare il tipico modo di
     un particolare sistema, vengano repentinamente        operare di un aggressore informatico. Le sue
     rese pubbliche (generalmente attraverso               azioni, dal momento in cui viene scelto un certo
     Internet) non solo da malintenzionati ma,             obiettivo fino alla conclusione dell’attacco
     soprattutto, da rispettabilissimi addetti ai          (qualunque esso sia), possono essere suddivise,
     lavori. La risposta a questo inquietante quesito      sommariamente, in tre distinte fasi:
     può essere sintetizzata in una sola frase: full       1. Indagine - rappresenta il momento preliminare
     disclosure, che in italiano si può tradurre con          dell’attacco informatico, in cui l’aggressore
     il dovere di dire tutto, rappresenta la corrente         cerca di raccogliere, nel modo meno invasivo
     di pensiero di coloro che difendono a spada              possibile, il maggior numero di informazioni
     tratta la libertà di diffondere tutti i dettagli         sull’obiettivo designato;
     relativi alle vulnerabilità venute alla luce. La      2. Verifica - l’aggressore cerca di identificare
     loro scelta è guidata dalla convinzione che solo         tutti gli elementi utili per l’auspicata conquista
     in questo modo i legittimi utilizzatori potranno         dell’obiettivo come, per esempio, account,
     immediatamente correre ai ripari. Questa nobile          risorse condivise, eccetera;
     intenzione viene quindi addotta a giustificazione     3. Accesso - l’aggressore cercherà di violare
     degli eventuali risvolti negativi che scaturiscono       il sistema designato sfruttando ogni sua
     dalla full disclosure, risvolti rappresentati dalla      possibile vulnerabilità e avvalendosi di tutte le
     possibilità che gli aggressori possano sfruttare         informazioni rilevate nelle fasi precedenti.
     le preziose informazioni sulle vulnerabilità
     ancora prima dei legittimi utilizzatori. Numerosi
     siti rendono disponibili nelle loro pagine un




10   Definizione del problema
IDENTITà DIGITALE                                      grandi aziende pubbliche, silenziosamente e
                                                            senza che se ne rendessero conto hanno ceduto
     Paradossalmente, la nostra immagine digitale è         il loro potere ad altri personaggi che prima
     talvolta più importante di quella reale. Esistono      gravitavano discretamente all’interno delle aree
     esempi eclatanti in tal senso, come quello             tecniche. Amministratori di sistema, responsabili
     relativo ad una persona che, risultando deceduta       delle reti ed altre figure connesse alla gestione
     nel database consultato dall’operatore di un           dei sistemi informatici hanno man mano iniziato
     ufficio pubblico, si sforzava di far comprendere       la loro ascesa al potere, divenendo elementi
     a quest’ultimo l’eclatante errore senza alcun          cruciali nelle strutture in cui operano.
     successo: nonostante si trovasse innanzi a lui,        Questo lento ma inarrestabile passaggio di
     indiscutibilmente viva, l’unico risultato fu quello    poteri è stato agevolato dall’incapacità delle
     di sentirsi dire, laconicamente, “mi dispiace, ma      vecchie figure dirigenziali di tenere il passo con
     lei risulta deceduta” .                                il repentino stravolgimento causato dal nuovo
     E se è già così difficile convincere circa             ordinamento digitale: l’assenza di competenze
     l’evidenza della nostra esistenza in vita,             specifiche e/o il totale disinteresse per la loro
     figuriamoci in altri contesti, quando in gioco         acquisizione è stata la causa principale di
     ci sono fattori meno appariscenti ma non per           queste trasformazioni.
     questo di minore importanza, come ad esempio           Figure professionali i cui poteri erano un tempo
     il nostro stato patrimoniale, l’esito di un concorso   circoscritti alle sole aree tecniche si sono trovate
     sostenuto o, semplicemente, il pagamento di            improvvisamente capaci di influenzare le sorti
     una multa: in questi casi la strada da seguire         delle aziende dove operano, in quanto, almeno
     per rettificare un errore (del quale, per altro,       potenzialmente, in grado di accedere ad ogni
     solitamente, non siamo responsabili) sarà              tipo di informazione.
     alquanto impervia.                                     L’aspetto preoccupante di tutto questo è
     Messi da parte i risvolti esilaranti, non ci vuole     rappresentato dalla constatazione che,
     molta immaginazione per intuire in quale               nonostante queste figure detengano un enorme
     direzione le nostre società si stanno muovendo:        potere, solo in tempi recenti la legislatura si è
     un percorso per nulla rassicurante verso una           occupata di attribuire loro precise responsabilità
     graduale perdita d’importanza della nostra             oggettive. Molte aziende pubbliche e private,
     identità reale a vantaggio di quella digitale, che,    inoltre, durante il transito dal regime tradizionale
     vista la sua crescente valenza, dovrebbe essere        a quello digitale, si sono affidate a figure non
     gestita in modo adeguato.                              professionali, lasciando la gestione dei loro
     Quest’ultimo è il vero nocciolo del problema.          sistemi nelle mani di gente poco competente.
     Infatti, pur condividendo la necessità di attribuire   Questa sorta di Far West informatico, iniziato
     importanza alla nostra identità digitale, è            tanti anni fa con l’attenuante della carenza di
     necessario ottenere opportune rassicurazioni           figure professionali adeguate all’interno delle
     circa la corretta amministrazione di quest’ultima      strutture, permane ancora oggi all’interno
     da parte delle figure preposte: purtroppo,             di alcune realtà anche molto importanti
     vedremo che le cose non stanno proprio in              (specialmente pubbliche), nonostante la
     questi termini. Cerchiamo adesso di identificare       situazione attuale non sia più quella di qualche
     quali sono le figure strettamente connesse con la      lustro addietro: certamente nessuno di noi si
     gestione di questo nuovo universo digitale.            affiderebbe a un autodidatta appassionato di
     Possiamo subito anticipare che lo scenario degli       chirurgia; invece, molto spesso, siamo costretti a
     ultimi anni ha radicalmente stravolto i canonici       metterci senza riserve nelle mani di persone che
     ruoli, permettendo che il potere transitasse dalle     non possiedono i requisiti minimi per garantire la
     mani di alcuni verso altri: figure che detenevano      corretta gestione delle nostre informazioni, con
     un potere quasi assoluto all’interno di alcuni         tutti i rischi che ne possono conseguire.
     ambienti, come ad esempio i dirigenti delle




11   Le problematiche da affrontare
IL FURTO DELL’IDENTITà DIGITALE                         suo paper sui Social Network: la tipologia di
     TRAMITE SOCIAL ENGINEERING                              utenza in funzione della geografia mondiale.
                                                             é infatti emerso come alcuni Social Network
     Il Social Engineering (“S.E.” da qui in avanti) è       (praticamente sconosciuti in Italia e/o in Europa),
     tipicamente alla base di ogni azione (attacco)          siano invece di enorme diffusione in alcune
     che abbia come scopo il furto di identità e             parti del mondo, e viceversa. A titolo di esempio
     credenziali di accesso. Le motivazioni sono da          ricordiamo Orkut ed Ecademy.
     ricercare sia nella storia propria dell’hacking che     Come pericoli “classificabili” per gli utenti
     nella psicologia.                                       dei Social Network, in questi ultimi tempi si è
                                                             assistito ad un preoccupante aumento dei casi
     Sicuramente il fenomeno dei Social Network e la         di “stalking” così come di bullismo (Bullying) e,
                                                                         ,
     continua espansione degli stessi facilita il furto di   non ultimo, Spionaggio Industriale (Industrial
     identità, anche tramite azioni di SE: dal phishing      Espionage). A contorno, azioni di Spam,
     “classico” (bancario) sino a derivazioni sugli          Phishing, Company Reputation.
     stessi temi, dove l’obiettivo – indipendentemente
     dal Social Network per cui l’aggressore “si             Un esempio di pericolo per l’identità digitale
     spaccia” – è il furto delle credenziali di accesso      nei business social network: il whaling
     ai Social Network (Facebook, Linkedin, etc..) e         Il furto di identità digitale viene messo in atto per
     conseguentemente della cosiddetta “identità             rubare dati con cui falsificare un documento di
     digitale” di un individuo.                              identità cartaceo per truffe e debiti, oppure viene
     é poi importante distinguere gli stessi Social          attuato per creare falsi profili con cui fare acquisti
     Network: se Facebook ha un profilo di utenza            su Internet, diffamare altre persone, generare
     molto generico, che include dai teenager ai             equivoci e brutte figure tra la vera persona ed i
     dipendenti di aziende, Linkedin ha invece un            suoi amici. I casi criminali ormai sono tantissimi e
     profilo di utenza professionale. La differenza          molti personaggi pubblici ne sono stati vittima.
     è ovvia: un aggressore avrebbe molta facilità           Il whaling è l’attacco condotto con l’informatica
     nell’attaccare ad esempio utenti di Facebook,           per far cadere nella rete dei truffatori i grossi
     in quanto – teoricamente – i know-how presenti          profili aziendali, come l’amministratore delegato
     tra l’utenza e gli strumenti di difesa dovrebbero       e i dirigenti. Si tratta, purtroppo, di una vera e
     essere sensibilmente inferiori rispetto a quelli di     propria caccia alla balena molto redditizia per i
     un’utenza professionale, quale Linkedin.                cybercriminali e un attacco con alte probabilità
     Infine, vi è un’ultima distinzione, così come           di successo perché costruito in maniera molto
     riportato da ENISA (ENISA Position Paper n°             personalizzata per ogni singolo obiettivo
     1: Security Issues and Recommendations for              professionale di alto profilo: infatti vengono usate
     Online Social Networks, October 2007) nel               le informazioni rese pubbliche dai dipendenti stessi.




12   Le problematiche da affrontare
Il modus operandi dei criminali informatici è il      riservati e coordinate bancarie. Il caso finora
     seguente. Dopo aver cercato le informazioni           più clamoroso si è verificato nell’aprile 2008
     sulle vittime nei business social network o nei       e ha coinvolto 20.000 dirigenti di aziende
     siti Web aziendali, il criminale invia e-mail in      statunitensi. L’e-mail conteneva un falso ordine
     cui consiglia di cliccare su allegati o indirizzi     di comparizione in tribunale con i nomi completi
     in realtà molto pericolosi. La vittima cade           ed accanto i nomi ed i contatti telefonici delle
     facilmente nel tranello perché l’e-mail inviata       rispettive aziende. Le persone cliccavano subito
     non ha le sembianze dello spam, sembra                per leggere i dettagli sulla presunta causa legale
     proveniente da una società collegata in               e venivano rimandati a un falso sito della Corte
     qualche modo a quella della vittima, viene            Americana, dove venivano invitati a scaricare
     fatto riferimento a un interesse o un hobby del       ed installare un software aggiuntivo obbligatorio
     malcapitato. L’obiettivo è infettare il computer      per visualizzare correttamente tutti i documenti
     della vittima con programmi in grado di               legali. In realtà, si scaricava un software pirata in
     intercettare tutto quello che viene digitato su una   grado di copiare le credenziali di log-in utilizzate
     tastiera, quindi anche informazioni importanti        sui siti Web delle banche e rispedirle subito ai
     come username e password, documenti                   criminali per rubare denaro.




13   Le problematiche da affrontare
CONTROLLO DEL DATORE DI LAVORO                         LA POSSIBILITà DI FARE USCIRE
     SULL’USO DEI SOCIAL NETWORK                            INFORMAZIONI RISERVATE DAL POSTO
     DURANTE L’ORARIO DI LAVORO                             DI LAVORO TRAMITE IL CANALE
     Questa è una diatriba alquanto intrigante.             Questo rischio è verosimile ed estremamente
     L’utilizzo del Social Network durante l’orario         alto. Il problema parte da vulnerabilità di tipo
     di lavoro è, in alcuni casi, un valore aggiunto:       Web, quali XSS (Cross-Site Scripting) che
     per esempio su Social Network quali Linkedin,          permettono e/o amplificano l’invio di Virus e
     un’attenta analisi dei profili e dei contatti, così    Worm verso il target (utenti dei siti di Social
     come di news, discussioni ed aggiornamenti,            Network). Negli ultimi mesi abbiamo assistito ad
     permette all’azienda di ottenere informazioni          un forte incremento di tali attacchi, specialmente
     “quasi di intelligence” relativamente ad aziende
                             ,                              verso Facebook.
     competitor, personale di altre società e così via.
                                                            Dobbiamo anche pensare a problemi creati dalle
     Certamente, lo stesso non si può dire per Social       informazioni trasmesse attraverso i social media:
     Network più generici quali Facebook ma, ancora         • foto o video scattati all’interno dell’azienda
     una volta, tutto dipende dal contesto aziendale e        o durante riunioni ed eventi possono rivelare
     dalla tipologia di attività principale che si segue      informazioni delicate sull’attività aziendale;
     a livello professionale. Per fare un esempio           • i dipendenti usano applicazioni per condividere
     davvero banale, se sono un investigatore privato,        i dati sui viaggi di lavoro, rivelando così
     il tempo speso su un Social Network “giocoso”            all’esterno dove sono i clienti, il raggio di azione
     quale Facebook è in realtà da considerare                delle attività aziendali, ecc.;
     alla stregua di un investimento aziendale, o           • documenti aziendali riservati possono, per colpa
     dell’open source-based Intelligence, e rientra           o per dolo, essere diffusi tramite questi canali.
     all’interno di azioni quali Competitive Intelligence
     e Competitive Scouting (cfr. anche OSSTMM              Il rischio di fuoriuscita di dati sensibili dal
     3.0: www.osstmm.org nella sezione “Competitive         contesto aziendale è certamente alto, ma
     Intelligence”).                                        l’utilizzo di strumenti sociali che permettono
                                                            uno scambio veloce e a basso costo delle
                                                            informazioni si diffonderà sempre di più, mano
                                                            a mano che i nativi digitali accederanno a
                                                            posizioni lavorative. La perdita di informazioni
                                                            avviene, talvolta anche la perdita di dati sensibili.

                                                            La vera sfida non è tanto bloccare l’uso dei
                                                            media sociali, ma imparare a gestirli in modo
                                                            creativo, permettendo alle persone di utilizzarli e
                                                            insegnando loro il modo migliore per farlo.
                                                            (Estratti dall’intervento di Adrian Davis, Security
                                                            Day 2009)




14   Le problematiche da affrontare
CREARE PORTE DI INGRESSO                               INTERCETTAZIONE DELLE
     NON CONTROLLATE E PERICOLOSE                           INFORMAZIONI RISERVATE DURANTE
     NELLA RETE AZIENDALE                                   L’USO AZIENDALE
     L’uso di sistemi come le chat diffuse in molti         Questo pericolo non è imputabile totalmente
     social network potrebbe aprire altre porte di          ai social network, quanto piuttosto alla mobilità
     comunicazione senza un controllo adeguato e            delle persone ed alla penetrazione dell’always-
     tramite cui potrebbero entrare software molto          on nella vita quotidiana.
     pericolosi.
                                                            Queste informazioni, infatti, potrebbero essere
     Questo punto non è molto essenziale né                 intercettate a causa di vulnerabilità del PC
     veramente problematico: il problema nasce per          client (pensiamo alle connessioni in luoghi
     strumenti quali Skype (software proprietario),         pubblici quali aeroporti, internet point, hotel,
     mentre per i Social Network, alla fin fine, il         fiere, eventi, conferenze) piuttosto che del PDA.
     tutto si restringe - si fa per dire - a browser e      I Social Network, insomma, non sembra abbiano
     navigazione Internet “standard” per cui valgono        in questo contesto una forte rilevanza ed
     le buone regole di protezione.                         incidenza. Certamente, però, se su un Gruppo
     Ciò significa quindi che vulnerabilità ed              di Discussione pubblico due colleghi della
     attacchi Web-based possono essere vettori di           stessa azienda fanno disclosure di informazioni
     contagio per worm, virus, trojan, key logger,          sensibili o critiche, il problema emerge, ma allora
     botnet e, conseguentemente, impattare - anche          è questione di policy, awareness e formazione,
     fortemente - l’infrastruttura aziendale.               non di Social Network.

     Al fine di ridurre il livello di potenziale            Bisogna comunque fare una riflessione. Mesi
     vulnerabilità delle macchine di una rete (ma           fa, una società di sicurezza statunitense
     anche di una singola macchina), è opportuno            (Netragard) è stata ingaggiata da una grande
     verificare che siano attivi soltanto i servizi e/o     realtà aziendale, per eseguire un Penetration
     protocolli necessari: la presenza di elementi          Test. La particolarità è che l’attacco è stato
     superflui, infatti, rappresenta una grave minaccia     eseguito utilizzando quasi esclusivamente
     alla sicurezza.                                        Facebook come “vettore” dato che il personale
                                                                                       ,
     Una buona abitudine è quella di verificare             dell’azienda richiedente comunica al proprio
     attentamente questo genere di cose sia                 interno principalmente e proprio tramite
     durante il processo di installazione del sistema       Facebook. Dopo alcuni mesi di “setup”     ,
     operativo, sia in seguito, periodicamente, al fine     l’attacco è stato lanciato, con esiti devastanti.
     di assicurarsi che non siano stati attivati (anche     Il post è disponibile su: seclists.org/
     involontariamente) servizi e/o protocolli non          fulldisclosure/2009/Feb/149
     necessari.

     La presenza di elementi del genere non
     inutilizzati, che di fatto aprono verso l’esterno un
     certo numero di porte TCP/IP, è fonte di numerosi
     problemi sia sotto l’aspetto delle prestazioni
     in quanto la loro presenza consuma risorse di
     sistema, sia sotto quello della sicurezza dato che
     l’utente ignora la loro presenza e, quindi, non si
     farà carico di applicare le patch per la sicurezza
     rilasciate in seguito dal produttore, creando in
     questo modo un fertile terreno per gli exploit dei
     potenziali aggressori.




15   Le problematiche da affrontare
ALTERAZIONE ILLEGITTIMA                                 target. Per garantire la buona riuscita di questa
     AZIENDALE AI FINI DI MARKETING                          operazione, bisogna dedicare molto tempo alla
                                                             comunicazione, ai consigli e all’ascolto della
     Questo è un pericolo non solo reale e concreto,         propria community. Non si può essere frettolosi
     ma anche una minaccia già presente ed                   perché il suo consolidamento richiede tempo e
     utilizzata dal mondo criminale. Svariati sono, ad       pazienza. Inoltre, bisogna tenere sotto controllo
     esempio, i casi di siti di antivirus “fasulli” la cui
                                                  ,          le informazioni che ne scaturiscono: il nostro
     URL è richiamata da e-mail di phishing molto            Brand va difeso! Questo non è sempre facile,
     “verticali” dove, invece che l’AV, l’ignaro utente
                ,                                            perché nelle maree di Internet si possono incontrare
     scarica – ed installa – malware di vario tipo,          utenti non soddisfatti che ne parlano male.
     tipicamente trojan.
                                                             Si sa che un commento negativo gode di una
     Anche in questo caso i social network e                 velocità di propagazione maggiore di qualsiasi
     social media non fanno altro che permettere             flusso di informazioni positive, ma a volte si
     un’amplificazione – e conseguente contagio              possono sfruttare le critiche per instaurare un
     “di massa” o, comunque, distribuito e veicolato         dialogo con i propri clienti. In questa pratica,
     attraverso utenti ignari, ma che nutrono
                                                             ci sono delle regole etiche che è opportuno
     relazioni di trust l’uno con l’altro – dell’attacco,
                                                             seguire, come quella di “mettere la faccia”
     moltiplicando il numero di potenziali vittime.
                                                             in modo umano, ma anche professionale,
     Un altro pericolo proviene dall’uso illegittimo
                                                             nel sostenere un brand. A volte è facile se
     delle password. Immaginiamo un malfattore
                                                             i commenti negativi sono poco pesanti (ad
     che entra in possesso delle password di
                                                             esempio se il commento è “è caro!” si può
                                                                                                    ,
     profilo e gruppo su un social network creato da
                                                             puntare sulla qualità del servizio offerto),
     un’azienda concorrente. Potrebbe cambiare
                                                             altre sono molto difficili ed impossibili da
     le informazioni, leggere i contatti e i messaggi,
                                                             controbattere, ne è un esempio una nota marca
     modificare il messaggio di marketing creando
                                                             sportiva che è stata accusata di aver sfruttato
     molti danni di immagine.
                                                             mano d’opera minorile.
     Si può pensare di sfruttare le potenzialità della       L’importante è cercare di difendersi in modo
     nuova dimensione “sociale” del Web in modo              pulito, senza bannare o attaccare nessuno,
     tale da creare una nuova immagine aziendale             in modo democratico e civile. Ma come si fa
     che si rivolga ad un target eterogeneo e che sia,       ad essere sempre informati sui giudizi che ci
     quindi, più vicina al consumatore. Il “biglietto        circondano? A differenza della comunicazione
     da visita” che ci proponiamo di costruire deve          offline, nell’online esistono degli strumenti come
     essere necessariamente studiato in maniera              Google Alert in cui effettuare le ricerche: basta
     unica, dinamica, originale, ma soprattutto si deve      saper cercare, e noi siamo qui per aiutarvi.
     sviluppare in un contesto veritiero e vicino al suo




16   Le problematiche da affrontare
CONTROLLO DELLE INFORMAZIONI                       ACCESSO AL CANALE DI
     INSERITE DAGLI ISCRITTI AL CANALE                  COMUNICAZIONE DA DIPENDENTI
     DI COMUNICAZIONE                                   NON AUTORIZZATI
     Immaginiamo una persona che entra in un            Se l’azienda delega ad un dipendente l’incarico
     gruppo creato su un social network e comincia      di gestire il social media con le varie pagine,
     a parlare male di un marchio, a caricare file      e-mail eccetera, cosa succede nel caso questa
     con contenuti illegali in una pagina aziendale.    persona si assenti dal lavoro? Come deve
     Questa persona non sta violando nessun             comportarsi un dipendente delegato? Per fare
     sistema, sta usando semplicemente i classici       un paragone, è simile al problema della lettura
     strumenti, perché chi ha costruito la pagina sul   della e-mail aziendale da parte di un altro
     network non ha adeguatamente protetto i diritti    incaricato con le precauzioni necessarie per
     di modifica della pagina da parte di persone       non violare la privacy dell’incaricato dell’e-mail
     diverse dall’amministratore.                       aziendale.
     Data la notevole velocità di propagazione
     delle informazioni nel network, i danni creati
     all’immagine aziendale sono gravissimi.




17   Le problematiche da affrontare
RISCHI DERIVANTI DALL’ANALISI                          è rappresentato da quelle attività che in
     AGGREGATA DEI DATI A SCARSA                            letteratura informatica ricadono nella categoria
     VALENZA INDIVIDUALE                                    delle “tecniche di indagine” una serie di
                                                                                           ,
                                                            operazioni preliminari a un attacco informatico,
     Oltre ai rischi direttamente riconducibili a           generalmente condotte da un aggressore
     specifiche attività condotte in modo più o meno        al fine di recuperare alcune informazioni di
     consapevole dagli utenti di una rete (intesa           base sull’obiettivo da violare, informazioni che
     nell’accezione più ampia del termine), esiste          verranno poi integrate da altri elementi ricavati
     un’altra categoria di rischi che non sono legati       mediante tecniche più mirate ma, tipicamente,
     a uno specifico evento scatenante, in quanto           molto più invasive e quindi facilmente rilevabili
     conseguenza del verificarsi congiunto di due o         da chi riceve queste “attenzioni” Proprio per
                                                                                                .
     più avvenimenti.                                       quest’ultima ragione, ogni aggressore cercherà
                                                            di ricavare più informazioni possibili con le
     La particolare natura del problema rende
                                                            tecniche di primo livello (tecniche di indagine)
     molto difficoltosa l’individuazione delle relative
                                                            piuttosto che con le altre; in certi casi limite,
     contromisure e, soprattutto, non consente di
                                                            potrebbero perfino non essere necessarie
     dispiegare in campo i tradizionali strumenti di
                                                            ulteriori operazioni, in quanto le informazioni
     difesa: in questi casi è necessaria un’analisi
                                                            ricavate in questa prima fase potrebbero già
     molto più approfondita, operata secondo dei
                                                            consentire di portare a compimento l’attacco
     criteri meno canonici e più euristici. In queste
                                                            senza la necessità di ricorrere a ulteriori
     circostanze, infatti, più che il pedissequo utilizzo
                                                            strumenti e/o informazioni.
     di strumenti software e contromisure standard,
                                                            In questa particolare fase di ricerca delle
     risulta decisiva l’esperienza sul campo, le
                                                            informazioni, dominano certamente le tecniche
     competenze possedute e la lungimiranza di
     chi amministra le politiche di sicurezza, unici        di “ingegneria sociale” (social engineering),
     fattori in grado di fornire quella visione euristica   ossia quelle azioni di raggiro e/o persuasione
     alla quale si è fatto prima accenno: partendo          volte all’ottenimento di informazioni riservate,
     da questi prerequisiti, si potrà effettuare            utili per poter violare un sistema informatico
     un’analisi del proprio scenario operativo e,           e seguite da un gran numero di altri metodi,
     conseguentemente, giungere alle conclusioni            strumentali, sociali o ibridi, in grado di svolgere
     che consentiranno di stabilire le opportune            efficacemente questo compito.
     contromisure da adottare per eliminare o
                                                            Mentre un tempo la ricerca delle informazioni
     quantomeno contrastare efficacemente questa
                                                            utili agli scopi dei malintenzionati era un’impresa
     categoria di rischi.
                                                            alquanto difficoltosa a causa delle poche fonti
     L’aspetto critico in ambito sicurezza che              disponibili (principalmente siti Web aziendali,
     desidero sottolineare non è legato alle singole        newsgroup, IRC), realtà come “Facebook” (o
     informazioni di un certo valore che, proprio per       altri similari come Youtube, MySpace, Linkedin)
     questa loro caratteristica, sono generalmente          rendono oggi disponibili informazioni preziose
     ben protette (o, almeno, lo dovrebbero), ma ai         organizzate in modo organico, che si rivelano
     risultati ottenibili mediante una visione congiunta    una vera e propria manna per coloro che
     di più informazioni di scarso valore (quindi           desiderano compiere azioni illecite, anche al
     poco protette e spesso ottenibili senza grandi         di fuori della sfera informatica (si pensi, ad
     difficoltà) che, una volta aggregate, acquistano       esempio, ai rischi derivanti dai furti di identità).
     una valenza ben superiore alla somma dei loro          La grande diffusione che in questi ultimi anni ha
     singoli valori: si tratta di un aspetto spesso         interessato i social network ha contribuito non
     tenuto in poco conto dagli addetti ai lavori che,      poco a ingigantire, in modo preoccupante, tutte
     frequentemente, risultano vulnerabili a questi         le problematiche connesse a questa prima fase
     problemi.                                              non invasiva (e il termine “non invasiva” è qui
     Il nocciolo della questione, al quale fino ad          sinonimo di “non rilevabile”) di raccolta delle
     adesso ci siamo riferiti solo implicitamente,          informazioni, problematiche che ancor prima


18   Le problematiche da affrontare
dell’avvento delle reti sociali risultavano molto     propria voragine nell’ambito della privacy).
     difficili da affrontare in modo risolutivo.           La completezza delle informazioni accessibili
                                                           (nome e cognome, data di nascita, foto,
     Malfunzionamenti (bug) nei software di gestione       preferenze politiche, particolari privati e
     di alcuni social network, utilizzo di specifici       professionali, ecc.) sono elementi determinanti
     strumenti (exploit) reperibili in rete e, infine,     che consentono di dar corpo a un’ampia rosa
     scarsa attenzione nella protezione dei propri         di attività criminali, tra le quali quelle a carattere
     dati (spesso amplificata dalle troppo permissive      informatico rappresentano solo una sparuta
     regole predefinite adottate dai gestori dei siti),    minoranza.
     sono alcune delle cause che consentono un             La volontà degli utenti che in un certo momento
     pericoloso accesso ai dati gestiti nelle reti         decidono di rimuovere definitivamente i
     sociali, le quali, ricordiamo, a seconda del          dati precedentemente memorizzati viene
     tipo di network, possono contenere anche              poi vanificata dalle caratteristiche peculiari
     molti dettagli relativi all’ambito lavorativo         possedute dalla rete Internet che, sia a
     (società, mansione, privilegi, ecc.). Oltre al noto   causa della scarsa cura messa nel compiere
     Facebook, tipicamente indirizzato alle utenze         l’operazione da parte dei gestori dei siti, sia per
     private, ne esistono altri come Ecademy o             l’intervento di meccanismi di cache o di copie
     Linkedin, pensati per una fascia professionale        effettuate da altri utenti, rende di fatto quasi
     di utenza. Il facile accesso a certe informazioni,    impossibile l’eliminazione completa dei dati i
     incautamente memorizzate sulle pagine di questi       quali, quindi, potrebbero essere visibili (magari
     siti e sapientemente aggregate dagli aggressori,      in altre forme) per tantissimi anni.
     può fornire a questi ultimi un solido ariete
     capace di demolire anche le protezioni di rete        Quanto appena detto in questa sorta di sintetica
     più sofisticate.                                      disamina sugli effetti collaterali delle reti
     Meccanismi di autenticazione poco robusti,            sociali e, più in generale, sui pericoli derivanti
     uniti alla propensione nell’utilizzare credenziali    dall’analisi aggregata di informazioni a scarsa
     alquanto semplici (password corte o facilmente        valenza individuale, evidenzia l’enorme difficoltà
     individuabili), consentono soventemente               che si pone innanzi a coloro che, a qualunque
     di accedere a questi dati senza ricorrere a           titolo, devono assumersi l’onere di garantire
     nessuna tecnica e/o strumento particolare; il         l’implementazione di corrette politiche di
     modo con il quale sono strutturati i siti di social   sicurezza.
     network, inoltre, genera negli utilizzatori un        Questo, astraendoci dagli specifici fattori (come,
     apparente senso di sicurezza legato alla (falsa)      per esempio, il social network), è riconducibile
     convinzione che quanto immesso sarà poi               all’estrema ed esponenziale dinamicità dello
     visibile esclusivamente a una ristretta cerchia       scenario operativo: certezze considerate ormai
     di persone. Cosa che, per svariati motivi, non        acquisite possono repentinamente perdere
     sempre si verifica.                                   consistenza, costringendo gli operatori a
                                                           rivedere ogni aspetto alla luce di nuovi e poco
     Il formalismo matematico che descrive un “social      conosciuti parametri, come è avvenuto in questi
     network” è quello dei “grafi” una serie di nodi
                                   ,                       anni con il diffondersi delle tecnologie wireless
     connessi tra loro secondo alcune regole, una          (che hanno riportato in auge problematiche che
     particolare struttura che consente di aggregare       si sperava fossero ormai relegate al passato).
     in modo efficiente informazioni apparentemente
     non relazionate tra loro: questa caratteristica,      Per queste ragioni, la sola buona volontà di chi
     che rende spesso le reti sociali oggetto di studio    opera nel settore non rappresenta più, come
     in ambito sociologico, offre agli aggressori un       un tempo, un elemento determinante, in quanto
     portentoso strumento di indagine a 360 gradi          deve necessariamente essere coadiuvata da
     (la possibilità di legare ogni individuo a un altro   un puntuale e costante aggiornamento delle
     mediante le amicizie dichiarate rappresenta           competenze, il tutto in un’ottica euristica dei
     soltanto una delle enormi potenzialità offerte        possibili scenari di rischio.
     dalle strutture di questo genere, una vera e


19   Le problematiche da affrontare
RISCHI DERIVANTI                                        estrarre i riferimenti degli amici di chi la sta
     DALL’INSTALLAZIONE DELLE                                usando al fine di mandare loro un messaggio
     APPLICAZIONI DI TERZE PARTI                             personalizzato in grado di suscitare interesse.
                                                             Le applicazioni Facebook hanno generato un
     Una delle recenti evoluzioni dei social network         forte successo in monetizzazione dello sviluppo
     riguarda la possibilità data a tutti gli iscritti di    e creazione di campagne marketing: per citare
     sviluppare le applicazioni, ovvero un software          alcuni esempi un’applicazione dedicata a un
     di vario genere che l’iscritto può inserire nel         gioco legato a una marca in 3 settimane ha
     suo profilo e inviare agli amici del suo network.       raggiunto milioni di utenti nella sola Italia.
     Tramite l’applicazione, l’iscritto al network può
     esprimersi e farsi conoscere, può divertirsi con il     Chi intende utilizzare le applicazioni deve
     giocare, comprare musica, scambiare materiali           rendersi conto dei rischi legati all’accesso
     multimediali con gli amici, risolvere quiz e test,      al database dei profili del social network e
     interagire con una marca. Può anche usare               alla non perfetta costruzione degli schemi di
     software per automazione di ufficio, elaborare          sicurezza da parte degli autori: del linguaggio
     immagini, eccetera.                                     di programmazione, dell’applicazione e
                                                             del network. Occorre sempre capire come
     Il successo di Facebook è dovuto anche                  modificare le impostazioni per la privacy relativa
     alla disponibilità e facilità di programmazione         all’applicazione, per esempio in Facebook
     delle applicazioni tramite le chiamate API              si può andare in alto a destra e cliccare sul
     (it.wikipedia.org/wiki/API); gli altri social network   menu “Impostazioni” e poi su “Impostazioni
     hanno poi man mano rilasciato i permessi per lo         applicazioni” per capire come le applicazioni
     sviluppo. Si parla di diffusione virale quando una      accedono ai dati del profilo personale. Occorre,
     persona usa l’applicazione e automaticamente            soprattutto, non installare con leggerezza e
     tutti i suoi amici vengono a sapere di tale uso         superficialità un’applicazione, si deve andare
     e ne vengono invogliati per superare i risultati        subito a leggere la presentazione delle funzioni,
     ottenuti dalla persona o per provare l’efficacia        cercare di capire chi è l’autore, cercare sul
     dell’applicazione. Questa, infatti, è in grado di       motore di ricerca eventuali informazioni e
     accedere ai database del social network per             critiche.




20   Le problematiche da affrontare
RISCHI DERIVANTI DALL’ESPOSIZIONE
     DEI NOMINATIVI DEI CLIENTI
     Sui social network si può creare una pagina
     fan, un gruppo di persone o altri strumenti per
     invogliare le persone a seguire lo sviluppo
     di un’attività commerciale, agevolare la
     comunicazione tra aziende e clienti, far
     conoscere i nuovi prodotti, eccetera. Si tratta
     di nuovi strumenti ampiamente discussi e i cui
     vantaggi sono stati analizzati in vari libri su come
     fare business con i social network.

     Le persone possono pertanto iscriversi e il loro
     nominativo e la loro fotografia compariranno
     nell’elenco degli iscritti. Se non vengono
     applicate specifiche impostazioni di privacy,
     questo elenco è visibile da tutti, anche dalle
     persone non iscritte. Molte aziende non
     vogliono usare questi strumenti, perché hanno
     paura di mostrare questo elenco di persone
     ai concorrenti, che potrebbero ricontattarle e
     convincerle a passare alla loro azienda.

     Si tratta in realtà di una possibilità molto difficile:
     alcune pagine fan hanno decine di migliaia di
     iscritti e contattarli uno a uno implica un grosso
     lavoro, inoltre i social network impediscono la
     spedizione di decine di e-mail al giorno.




21   Le problematiche da affrontare
ATTACCHI DI PHISHING                                     che riceviamo da Facebook. L’e-mail contiene
                                                              una foto di uomo o donna e un nominativo
     Il phishing è una truffa mirata al furto di identità e   richiedente l’amicizia. Se clicchiamo sul link,
     di dati sensibili come password o numero carta           veniamo rediretti verso un sito simile a Facebook
     credito. La truffa si esegue tramite e-mail false,       ma in realtà modificato per rubare login e
     ma anche contatti telefonici, che riproducono
                                                              password da rivendere al mercato nero.
     l’apparenza grafica dei siti di banche, poste
                                                              Un’altra e-mail del genere avvisa di un
     eccetera.
                                                              cambiamento di password e invita a aprire un file
     L’utente riceve un invito a scrivere le proprie
                                                              per ottenere quella nuova.
     credenziali per difendersi da virus o eseguire
                                                              Il terzo modo riguarda il trovarsi sulla bacheca un
     aggiornamenti, ma in realtà viene indirizzato
                                                              messaggio del tipo “lol i cant believe these pics
     verso un sito in grado di rubare le informazioni
                                                              got posted…its going to be BADDDD when her
     riservate e usarle subito per attività illecite.
                                                              boyfriend sees these” con un link dalla struttura
     Si tratta purtroppo di un fenomeno in continua           simile a quello reale (www.facebook.com/profile.
     crescita: secondo il rapporto Symantec, il 17%           php) per ingannare le persone. Se clicchiamo
     delle e-mail ricevute sono tentativi di phishing,        su un link di questo tipo veniamo rediretti verso
     e l’Italia è al terzo posto nelle preferenze dei         un sito con l’apparenza simile a Facebook ma in
     truffatori. All’inizio queste e-mail contenevano         realtà modificato per rubare login e password.
     grossi errori di italiano che li rendevano               Conviene cambiare la password e cancellare
     facilmente individuabili, adesso sono sempre             subito il messaggio per evitare che altri nostri
     più corrette e sofisticate. Vale la regola d’oro del     amici lo leggano e si diffonda creando danni.
     non cliccare sui link nell’e-mail, ma di andare
     direttamente all’indirizzo del sito che si conosce.      Regola generale valida per qualsiasi tipo
     Per informazioni: it.wikipedia.org/wiki/Phishing         di account online: cambiare periodicamente
     e portale Anti-Phishing Italia su www.anti-phishing.it   la password e non usare termini facilmente
                                                              ricavabili dalle proprie informazioni personali
     Anche Facebook è sempre più colpito da questo            pubblicate in rete!
     fenomeno, in tre modi.
     Nel primo modo si riceve una e-mail fasulla              Altre informazioni su: facebookitalia.blogspot.com/
     con l’apparenza grafica delle classiche e-mail           2008/01/il-phishing-getta-le-reti-su-facebook.html




22   Le problematiche da affrontare
IL RUOLO DELL’AMMINISTRATORE                       poi essere fatto ampiamente circolare tra i
                                                        dipendenti.
     Il ruolo di amministratore della sicurezza deve    In merito alle modalità di verifica, bisogna
     comprendere l’educare e rendere consapevoli
                                                        sempre tener presente che i controlli a distanza
     dei rischi derivanti dall’ambito lavorativo. Ma
                                                        sono vietati. Occorre sempre un accordo con
     quali sono le nuove responsabilità e il nuovo
                                                        i sindacati e comunque bisogna evitare la
     ruolo del responsabile della sicurezza ICT?
                                                        raccolta di informazioni troppo intrusive nella
     Il responsabile deve, in primo luogo, ridurre il   privacy dei dipendenti. Tipicamente, viene
     rischio che in azienda il social network venga     individuata una categoria di siti adeguati per
     utilizzato in modo indebito.                       svolgere l’attività aziendale e una categoria di siti
     Deve innanzitutto creare chiare regole di          proibiti perché non adeguati ad essa.
     disciplina da aggiornare periodicamente,
     indicando chiaramente quali sono i                 Occorre inoltre preparare un sistema di deleghe
     comportamenti: tollerati, da evitare, in grado     in caso di assenza dell’addetto alla gestione del
     di generare una verifica. Il documento deve        social network per fini aziendali.




23   Il ruolo dell’amministratore
CONSIGLI PER L’USO DEI SOCIAL                          Dopo aver creato un profilo su un SN è bene
     NETWORK                                                cercare di limitare il più possibile l’accesso
                                                            di terzi ai nostri dati modificando le opzioni
     Come ben noto, l’uso di antivirus, anti-spyware        predefinite; è opportuno quindi riflettere su
     e altri strumenti classici di protezione è un          cosa pubblicare nella nostra pagina. Bisogna
     requisito essenziale per la difesa dai pericoli.       stabilire due politiche: la prima riguarda gli
     Ecco alcuni spunti specifici per l’uso sicuro dei      utenti a cui consentiamo l’accesso, la seconda
     social network in ambito aziendale:                    il tipo di informazioni che inseriamo nel profilo.
     1. la sicurezza è fatta da uomini, procedure,          Suggerimenti:
        strumenti;                                          - per gli utenti consentiti: limitare il numero
     2. usare password diverse per ogni social                 di contatti a quelli strettamente necessari
        network, la cui composizione non deve essere           evitando di aggiungere persone al solo scopo
        ricavabile leggendo i profili personali, quindi        di incrementare il numero di contatti;
        niente nomi del proprio cane, date di nascita       - informazioni profilo: inserire informazioni
        eccetera;                                              coerenti allo spirito del social network e non
     3. chi deve gestire il profilo aziendale sul social
                                                               eccedere con quelle personali. Evitare di
        network deve tenere distinti i contatti personali
                                                               rendere noti dati sensibili come orientamento
        dai contatti creati per il lavoro;
                                                               religioso, opinioni politiche, abitudini sessuali.
     4. essere discreti e scegliere con cura quali
                                                            In entrambi i casi, è consigliabile tener conto
        informazioni condividere;
                                                            dello scopo per cui abbiamo aperto il profilo su
     5. mantenere un certo grado di scetticismo nel
                                                            quel social network. Ad esempio, se abbiamo
        giudicare le informazioni trovate sul social
                                                            creato un account su Linkedin è meglio inserire
        network;
                                                            informazioni riguardanti le proprie competenze e
     6. non accettare inviti a creare contatti
                                                            le esperienze lavorative, tralasciando quelle futili
        da sconosciuti, non sentirsi obbligati a
                                                            tipo cosa si sta facendo in quel momento o cosa
        rispondere.
                                                            si è mangiato a pranzo. Anche i nuovi contatti
     Il profilo personale                                   saranno resi accessibili con queste finalità.
     I social network, se usati in modo                     Importante sarà il tipo di rapporto che abbiamo
     adeguato,difficilmente creano problemi legati          instaurato con le persone e il tipo di informazioni
     alla sicurezza.                                        che vogliamo render loro note.
     Tutte le informazioni che vengono pubblicate           é da considerare, infine, che il nostro profilo
     nel profilo, infatti, sono intenzionalmente            caricato nel SN rimarrà memorizzato ed usato a
     rese pubbliche ed a questi dati possono                fini di marketing; difficilmente potremo eliminarlo
     accedere direttamente solo le persone a cui            o cancellarlo, con tutte le conseguenze che
     volontariamente abbiamo consentito l’accesso.          questo comporta.




24   Gli strumenti per affrontare la sicurezza
LE TECNOLOGIE PER CONTROLLARE                            Per affrontare entrambi i problemi occorre
     IL TRAFFICO                                              adottare tecnologie in grado di analizzare in
                                                              dettaglio i contenuti dei flussi di traffico.
     Le applicazioni Web 2.0 sono spesso                      In particolare le minacce del tipo Malware
     caratterizzate da una forte interazione tra gli          Intrusion si affrontano partendo dal perimetro
     utenti che, come accade per i siti di Social             della rete aziendale, in modo da eliminare
     Network, porta un conseguente incremento                 all’ingresso eventuali malware veicolati
     dello scambio di dati tra gli utenti stessi. Questo      attraverso la connessione al SN (tipicamente
     fenomeno, sebbene non sia di per sé negativo,            sistemi di Network Intrusion Prevention, Network
     richiede una maggiore attenzione ai problemi             Antivirus, Content Filtering etc.), fino a tecnologie
     di sicurezza logica che siamo già abituati ad            di protezione degli host (es. Host Antivirus, Host
     affrontare nel Web “tradizionale” .                      Intrusion Prevention).
                                                              La minaccia del tipo Data Extrusion o Data
     Restando in un contesto tecnico e ponendoci
                                                              Leakage deve invece essere affrontata cercando
     nell’ottica dell’azienda che vuole consentire
                                                              di applicare i controlli di sicurezza il più vicino
     l’accesso ai SN per i propri dipendenti e
                                                              possibile ai dati, tipicamente sugli host o, dove
     collaboratori senza compromettere la sicurezza
                                                              questo non fosse possibile, analizzando i flussi
     dei suoi dati, ci si può focalizzare su due
                                                              di traffico in uscita per intercettare e bloccare
     categorie di problemi:
                                                              le informazioni confidenziali che vengono
     1. Malware Intrusion - cioè i contenuti che
                                                              pubblicate sul SN o su altre applicazioni Web.
        possono essere scaricati dagli utenti
        attraverso il canale del SN: hyperlink, file o        Il rischio purtroppo è che gli aspetti di sicurezza
        applicazioni che contengono o puntano a               evidenziati portino l’azienda a mantenere un
        contenuti malevoli che, una volta raggiunto           modello di collaborazione chiuso all’interno del
        un host interno all’azienda, possono arrivare         suo perimetro. La consapevolezza di queste
        a compromettere la sicurezza dell’intera rete.        problematiche dovrebbe invece guidare nella
        Prendendo spunto da quanto pubblicato                 scelta degli strumenti necessari a prevenire
        nel report dell’ENISA (www.enisa.europa.              perdite di informazioni e nella definizione
        eu/act/res/other-areas/social-networks/               di policy aziendali che aiutino il dipendente
        security-issues-and-recommendations-                  all’uso corretto e sicuro dei SN in modo da
        for-online-social-networks), risulta che              poter beneficiare pienamente dei vantaggi che
        diversi SN hanno un controllo dei contenuti           possono apportare.
        non adeguato, e il rischio di “insicurezza”
        è amplificato dal continuo aumento di
        informazioni scambiate, rendendo il controllo
        dei contenuti un fattore sempre più critico e
        fondamentale per la sicurezza degli utenti e il
        successo del SN.
     2. Data Extrusion - riguarda i dati di proprietà
        dell’azienda che devono essere trattati solo
        in un contesto controllato secondo le policy
        definite, ma che possono essere resi pubblici
        attraverso la pubblicazione nel SN, causando
        potenziali problemi alla reputazione e alla
        proprietà intellettuale dell’azienda (si pensi alla
        condivisione di informazioni tecniche e non
        solo, come si vede spesso nei blog).




25   Gli strumenti per affrontare la sicurezza
CRITERI OTTIMALI PER LA SCELTA                        smarrimento o furto, la sua decodifica da parte
     DELLE PASSWORD                                        di un malintenzionato è solo una questione
                                                           di tempo. Una corretta politica di scelta e di
     Il fulcro sul quale ruotano la maggior parte dei      gestione può allungare molto questo periodo
     problemi legati alla sicurezza dei sistemi di tipo    di tempo, rendendo l’operazione di decodifica
     informatico e dei servizi a essi relazionati (come    inaccessibile alla maggior parte degli aggressori
     ad esempio gli spazi personali afferenti alle reti    comuni: a seconda della complessità, il tempo
     sociali) è sicuramente legato al buon uso delle       necessario per l’individuazione potrebbe
     password; nonostante le continue conquiste            corrispondere a svariati anni-uomo (anche
     tecnologiche, infatti, esse rappresentano ancora      centinaia). Sarebbe possibile infatti solo
     il punto nevralgico dei sistemi di sicurezza.         attraverso l’utilizzo parallelo di un massiccio
                                                           numero di elaboratori che, operando in sinergia,
     Un aspetto che in qualche modo può
                                                           potrebbero frazionare il tempo necessario fino
     essere considerato rassicurante è legato
     alla constatazione che la maggior parte dei           a renderlo accettabile. Se ne deduce che la
     problemi legati alle password non scaturiscono        soluzione non è alla portata di tutti, ma solo di
     da una debolezza intrinseca di questo tipo            grosse e potenti strutture, del livello di INTERPOL
     di meccanismo, bensì da una sua gestione              (International Criminal Police Organization), CIA
     impropria: vedremo che l’adozione di alcuni           (Central Intelligence Agency) o FBI (Federal
     piccoli accorgimenti è sufficiente a rendere          Bureau of Investigation).
     questo sistema quasi inespugnabile.                   In merito a quanto appena detto, occorre aprire
     Purtroppo, come spesso avviene nell’ambito            una breve parentesi per accennare al fatto che,
     della sicurezza, molti utenti affrontano questo       negli ultimi anni, si è sentito spesso parlare
     problema con leggerezza, scegliendo ed                dell’utilizzo congiunto (consenziente o meno)
     utilizzando le password in modo inadeguato e          di tante macchine connesse a Internet allo
     rendendo i loro sistemi estremamente insicuri.        scopo di raggiungere un certo obiettivo: questo
                                                           scenario lascia intravvedere la possibilità di
     Esistono delle regole di base che consentono la
                                                           ridurre i tempi necessari all’individuazione di una
     creazione di una buona password e che, oltre
                                                           password.
     a garantire un giusto livello di complessità, non
     espongono (come tante volte avviene) l’utente         Riassumiamo quanto finora detto con alcuni
     al rischio di dimenticare la password proprio a       consigli utili per la creazione e la gestione di
     causa della sua complessità.                          una password; pur rappresentando solo delle
     Lo stratagemma consiste nell’utilizzare, come         linee guida di base, possono garantire una
     lettere costituenti la password, le iniziali di una   complessità adeguata e, di conseguenza, una
     frase che conosciamo bene: ad esempio, la             buona robustezza:
     famosa frase “essere o non essere, questo è il        - utilizzare almeno sette caratteri per la password,
     problema” produrrà la parola “eoneqèip”      .          al fine di renderne difficile l’individuazione
                                                             attraverso le tecniche di tipo Brute Force
     Il metodo adoperato può essere ulteriormente
                                                             basate su tentativi reiterati nel tempo;
     migliorato sostituendo alcune lettere della
                                                           - non adoperare mai parole di senso compiuto
     password con dei numeri o dei caratteri
                                                             o di carattere personale come nomi di persona,
     speciali, come ad esempio la “i” con il numero
                                                             date di nascita, codici fiscali;
     1, la “o” con il numero 0 o la “a” con il carattere
                                                           - usare in modo congiunto lettere maiuscole
     speciale @. Applicando quanto appena detto
                                                             e minuscole, numeri e caratteri speciali come
     al precedente esempio, otterremo la parola
                                                             $ e @;
     “e0neqè1p”   .
                                                           - non riutilizzare mai la stessa password in più
     Purtroppo, almeno in linea teorica, nessuna             contesti (macchine e/o servizi diversi) al fine
     password al mondo può essere ritenuta                   di evitare un effetto a catena qualora questa
     sicura al 100%: anche escludendo i rischi di            venga individuata.



26   Gli strumenti per affrontare la sicurezza
AUTORI
     Cristina Berta
     Crede fortemente nel pieno dispiegarsi della dimensione “sociale” del Web e si propone come creatrice
     di campagne mirate, in grado di creare rumore e curiosità intorno ad un Brand, come si evince dal suo sito:
     www.cibbuzz.com
     Raoul Chiesa
     OPSA, OPST, ISECOM Trainer
     Founder, Presidente Onorario, @ Mediaservice.net Srl a Socio Unico (www.mediaservice.net)
     Socio Fondatore, Comitato Direttivo e Comitato Tecnico-Scientifico, CLUSIT (www.clusit.it)
     Senior Advisor, Strategic Alliances & Cybercrime Issues, Nazioni Unite @ UNICRI (www.unicri.it)
     Director of Communications, Board of Directors Member, ISECOM (www.isecom.org)
     Director of Communications, Board of Directors Member, OWASP Italian Chapter (www.owasp.org) at Large
     Member/ALS, ICANN (www.icann.org)
     Osservatorio Privacy & Sicurezza - OPSI - AIP, Comitato Esecutivo (www.aipnet.it)
     Angelo Iacubino
     Project Manager - Dipartimento Informatica, Università degli Studi dell’Insubria (dscpi.uninsubria.it)
     Consulente Informatico per aziende pubbliche e private
     Direttore Alta Formazione e contenuti Web per Associazione Informatici Professionisti (www.aipnet.it)
     Attività di docenza in master universitari e seminari didattici su tematiche riguardanti Sistemi Operativi, Reti Sociali,
     Computer Music, Programmazione, Linux&OpenSource
     Interventi come relatore a diversi eventi nazionali in ambito ICT, Educational e Pubblica Amministrazione
     (www.disinformatica.com)
     Ultime pubblicazioni: Facebook per la valorizzazione e promozione del museo (Atti Congresso AICA 2009, ISBN
     978-88-9016-208-4); Creare Applicazioni per Facebook (Ed. FAG, ISBN 978-88-8233-814-5); Informatica e Musica,
     la Scienza si fa Arte (Ed. Insubria University Press, ISBN 978-88-95362-08-3); Un’introduzione efficace delle
     tecnologie Open Source nella Pubblica Amministrazione (Atti Congresso AICA 2007, ISBN 88-9016-203-1).
     Roberto Marmo
     Consulente informatico e professore a contratto di informatica presso la Facoltà di Ingegneria della Università di
     Pavia e Facoltà Scienze MM.FF.NN. della Università Insubria di Como, oltre che in vari Master.
     Autore dei libri “Introduzione alla visualizzazione scientifica” (Editore Il Rostro); “Creare applicazioni per Facebook”
     (Ed. FAG, ISBN 978-88-8233-814-5). www.robertomarmo.net
     Mario Mazzolini
     Laureato in Ingegneria delle Telecomunicazioni presso il Politecnico di Milano con tesi dal titolo “Protocolli per
     la sicurezza del VoIP: stato dell’arte e scenari futuri”. Ha svolto attività di consulenza nell’ambito della sicurezza
     informatica per aziende del settore ICT e assicurativo.
     Simone Riccetti
     Laureato in Ingegneria delle Telecomunicazioni al Politecnico di Milano. Da diversi anni si occupa di sistemi
     di sicurezza logica, architetture di rete e applicazioni IT.
     é entrato a far parte di IBM nel 2007 come Senior IT Security Architect, con il principale compito di disegnare
     soluzioni di sicurezza che soddisfino i requisiti tecnici e di business dei clienti. Oltre all’attività in IBM, collabora
     con la Facoltà di Scienze MM.FF.NN. dell’Università dell’Insubria di Como, dove è professore a contratto
     di Reti e Applicazioni II presso il Corso di Laurea triennale in Scienze e Tecnologie dell’Informazione.
     Roberto Saia
     Autore di vasto materiale su temi informatici, svolge attività di docenza e consulenza collaborando con diverse
     aziende ed enti del settore IT; professionalmente impegnato da tempo nel campo dell’amministrazione delle reti
     informatiche, si occupa oggi prevalentemente dei problemi inerenti alla loro sicurezza.
     Autore dei libri “Reti e sicurezza” (Ed. FAG, ISBN 978-88-8233-691-2) e “Sicurezza wireless e mobile” (Ed. FAG,
     ISBN 978-88-8233-774-2). www.robertosaia.it


27   Risorse utili
BIBLIOGRAFIA
     A proposito di hackers profiling:
     Raoul Chiesa, Hacking Profile, Apogeo

     A proposito degli aspetti giuridici:
     Elvira Berlingieri, Legge 2.0 il Web tra legislazione e giurisprudenza, Apogeo

     A proposito di social engineering:
     Kevin Mitnick, L’arte dell’inganno, Feltrinelli

     A proposito delle tecniche di programmazione delle reti sociali per capire le debolezze dei sistemi:
     R. Marmo, A. Iacubino, Creare applicazioni per Facebook, FAG

     A proposito della sicurezza delle reti cablate e wireless:
     Roberto Saia, Reti e Sicurezza, FAG
     Roberto Saia, Sicurezza wireless e mobile, FAG


     ARTICOLI SU RIVISTE IN LINGUA INGLESE
     Jan Nagy, Peter Pecho, “Social Networks Security”, 2009 Third International Conference on Emerging Security
     Information, Systems and Technologies, pp. 321-325.

     Constantinos Patsakis, Alexandros Asthenidis, Abraham Chatzidimitriou, “Social networks as an attack platform:
     Facebook case study”, 2009 Eighth International Conference on Networks, pp. 245-247.

     Craig Asher, Jean-Philippe Aumasson, Raphael C.W. Phan, “Security and Privacy Preservation in Human-Involved
     Networks”, iNetSec 2009, IFIP International Federation for Information Processing AICT 309, pp. 139–148, 2009.

     Martin Pekárek, Stefanie Pötzsch, “A comparison of privacy issues in collaborative workspaces and social
     networks”, Identity in the Information Society, special issue on Social Web and Identity.
     Enkh-Amgalan Baatarjav, Ram Dantu, and Santi Phithakkitnukoon, “Privacy Management for Facebook”.

     ICISS 2008, LNCS 5352, Springer-Verlag, pp. 273–286, 2008.

     Philip W.L. Fong, Mohd Anwar, and Zhen Zhao, “A Privacy Preservation Model for Facebook-Style Social Network
     Systems”, ESORICS 2009, LNCS 5789, Springer-Verlag, pp. 303–320, 2009.


     SITOGRAFIA
     The Security Risks of Social Networks

     Seven Deadly Sins of Social Networking Security

     Hacking di applicazioni Web 2.0 con Firefox, di Redazione HTML.it

     Guida sicurezza applicazioni Web, di Redazione HTML.it

     European Network and Information Security Agency Recommendations for Online Social Networks

     Social Network Security Workshop - Stanford University, Sept. 11th 2009

     Facebook Security

     Pagina del Garante della privacy sugli effetti collaterali dei social network

     File formato Adobe PDF con la guida preparata dal Garante della privacy sugli effetti collaterali dei social network




28   Risorse utili
GLOSSARIO
     Access Point
     Dispositivo che consente la connessione alla rete di più macchine in modalità wireless.
     Account
     Insieme dei dati personali e dei contenuti caricati su un social network. Viene indicato anche solamente
     con il nome dell’utente utilizzato per identificare la persona ed accedere al servizio online.
     ACL
     Insieme delle regole impostate, ad esempio, su un Firewall o un Router.
     ADSL
     Acronimo di Asymmetric Digital Subscriber Line, tecnologia che permette l’inoltro di informazioni digitali ad alta
     velocità attraverso la rete telefonica standard (analogica).
     Adware
     La parola è il risultato dell’unione dei termini anglosassoni “advertising” (pubblicità) e “software”.
     AES
     Acronimo di Advanced Encryption Standard, un’implementazione del cosiddetto algoritmo Rijndael.
     Alias
     Falsa identità assunta su Internet, quindi anche sui siti di social network. L’utente può scegliere un nome di
     fantasia, uno pseudonimo, o appropriarsi dei dati di una persona realmente esistente per compiere atti illeciti.
     ARP
     Acronimo di Address Resolution Protocol, protocollo di risoluzione degli indirizzi operante nel livello Internet; esso
     risolve la corrispondenza tra indirizzi IP e indirizzi fisici MAC all’interno delle reti locali.
     Autenticarsi
     Accedere ad un sito scrivendo nome utente (chiamato anche “login” o “user name”) e password (parola chiave
     riservata, da non perdere).
     Backdoor
     Indica un punto illecito e nascosto di accesso ad un sistema.
     Bluetooth
     Standard basato su onde radio operanti alla frequenza di 2,45-2,56 Ghz (banda ISM).
     Bridge
     Dispositivo in grado di unire reti di diverso tipo.
     Broadcast
     Metodo adoperato per trasmettere attraverso le reti, basato sull’invio contemporaneo dei dati a tutti le macchine
     della rete.
     Browser
     Software del tipo Firefox o Internet Explorer per navigare attraverso le pagine nel Web.
     Bug
     Indica gli errori commessi durante la programmazione di un certo software.
     Business Social Network
     Un social network creato appositamente per costruire relazioni professionali e di affari tra le persone che formano
     il network.




29   Risorse utili
Cache
     Memoria particolarmente veloce (solitamente di piccole dimensioni) adoperata per accedere rapidamente ad
     informazioni di frequente utilizzo.
     CCMP
     Acronimo di Counter Mode/CBC Mac Protocol (protocollo per il codice di autenticazione dei messaggi con
     concatenazione dei blocchi crittografati).
     Checksum
     Abbreviazione di SUMmation CHECK, identifica un particolare meccanismo di controllo dei bit inoltrati in una
     comunicazione, allo scopo di individuare eventuali errori.
     CIA
     Acronimo di Central Intelligence Agency.
     Cifrario di Cesare
     Uno dei più antichi algoritmi crittografici basato sul metodo denominato a sostituzione monoalfabetica.
     Client
     Adoperato in informatica per indicare una macchina che accede ai servizi offerti da un’altra macchina definita Server.
     Condividere
     Permettere ad altri utenti di accedere al materiale multimediale (testi, audio, video, foto) che è stato caricato online
     su un account o su un altro spazio di condivisione.
     Condizioni d’uso
     Regole contrattuali che vengono accettate dall’utente per accedere ad un servizio. Conviene leggerle con attenzione
     prima; non sono definitive perché possono essere modificate in corso d’opera dall’azienda erogante il servizio.
     Connectionless
     Tecnica di trasmissione dati del tipo non orientata alla connessione e senza alcun riscontro, cioè che non effettua
     alcun tipo di controllo sulle informazioni trasferite.
     CRC
     Acronimo di Cyclical Redundancy Check, algoritmo di controllo dell’integrità.
     Crittografia
     Termine di origine greca, il cui significato etimologico è “scritture nascoste”.
     Datagramma
     Identifica un pacchetto di dati con opportuna intestazione contenente le informazioni occorrenti per la consegna
     dello stesso; sinonimo è anche il termine “pacchetto”.
     Debug
     Processo di ricerca degli errori.
     Defacement
     Il termine anglosassone “defacement” (deturpazione) identifica un’azione svolta nei confronti di un sito Web allo
     scopo di cambiarne i contenuti.
     DHCP
     Acronimo di Dynamic Host Configuration Protocol, protocollo di rete per la configurazione dinamica dei Client.
     Dialer
     Deriva dal verbo inglese “to dial” che significa “comporre” ed è adoperato per indicare i software in grado di
     effettuare connessioni telefoniche.




30   Risorse utili
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook

More Related Content

What's hot

La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
I rischi dei Social Media in Ambito Aziendale
I rischi dei Social Media in Ambito AziendaleI rischi dei Social Media in Ambito Aziendale
I rischi dei Social Media in Ambito AziendalePiero Tagliapietra
 
Articolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreArticolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreLuca Moroni ✔✔
 
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education -  Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education -  Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)iDIALOGHI
 
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDIALOGHI
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleCSI Piemonte
 
Enterprise 2.0: gli strumenti e la cultura del web 2.0 in azienda
Enterprise 2.0: gli strumenti e la cultura del web 2.0 in aziendaEnterprise 2.0: gli strumenti e la cultura del web 2.0 in azienda
Enterprise 2.0: gli strumenti e la cultura del web 2.0 in aziendaDiego Cagnoni
 
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...Fabio Pietrosanti
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciCSI Piemonte
 
InnoVision Paper: Social-driven Vulnerability
InnoVision Paper: Social-driven VulnerabilityInnoVision Paper: Social-driven Vulnerability
InnoVision Paper: Social-driven VulnerabilityCefriel
 
Enterprise 2 0 - una introduzione
Enterprise 2 0 - una introduzioneEnterprise 2 0 - una introduzione
Enterprise 2 0 - una introduzioneStefano Epifani
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-ePaolo Passeri
 
Relazione tavola rotonda 14 marzo final
Relazione tavola rotonda 14 marzo finalRelazione tavola rotonda 14 marzo final
Relazione tavola rotonda 14 marzo finalPaolo Passeri
 

What's hot (19)

Social Media Security
Social Media SecuritySocial Media Security
Social Media Security
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
 
I rischi dei Social Media in Ambito Aziendale
I rischi dei Social Media in Ambito AziendaleI rischi dei Social Media in Ambito Aziendale
I rischi dei Social Media in Ambito Aziendale
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Articolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreArticolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 ore
 
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education -  Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)Clusit Education -  Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
Clusit Education - Cyber Intelligence 2013 (Andrea Zapparoli Manzoni)
 
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Enterprise 2.0: gli strumenti e la cultura del web 2.0 in azienda
Enterprise 2.0: gli strumenti e la cultura del web 2.0 in aziendaEnterprise 2.0: gli strumenti e la cultura del web 2.0 in azienda
Enterprise 2.0: gli strumenti e la cultura del web 2.0 in azienda
 
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubblici
 
InnoVision Paper: Social-driven Vulnerability
InnoVision Paper: Social-driven VulnerabilityInnoVision Paper: Social-driven Vulnerability
InnoVision Paper: Social-driven Vulnerability
 
Enterprise 2 0 - una introduzione
Enterprise 2 0 - una introduzioneEnterprise 2 0 - una introduzione
Enterprise 2 0 - una introduzione
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-e
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 
Relazione tavola rotonda 14 marzo final
Relazione tavola rotonda 14 marzo finalRelazione tavola rotonda 14 marzo final
Relazione tavola rotonda 14 marzo final
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
 

Viewers also liked

Informazione turistica, terminali mobili e territorio
Informazione turistica, terminali mobili e territorioInformazione turistica, terminali mobili e territorio
Informazione turistica, terminali mobili e territorioMatteo Galli
 
Bar e Ristoranti ..... Questo e' il titolo.
Bar e Ristoranti ..... Questo e' il titolo.Bar e Ristoranti ..... Questo e' il titolo.
Bar e Ristoranti ..... Questo e' il titolo.robcar1986
 
Social Media e Online Newsmaking
Social Media e Online NewsmakingSocial Media e Online Newsmaking
Social Media e Online NewsmakingMatteo Galli
 
Employment strategies - Belluno
Employment strategies - BellunoEmployment strategies - Belluno
Employment strategies - Bellunoromano_mazzon
 

Viewers also liked (7)

Sonicatel
SonicatelSonicatel
Sonicatel
 
La biblioteca fuori di sè
La biblioteca fuori di sèLa biblioteca fuori di sè
La biblioteca fuori di sè
 
Informazione turistica, terminali mobili e territorio
Informazione turistica, terminali mobili e territorioInformazione turistica, terminali mobili e territorio
Informazione turistica, terminali mobili e territorio
 
Bar e Ristoranti ..... Questo e' il titolo.
Bar e Ristoranti ..... Questo e' il titolo.Bar e Ristoranti ..... Questo e' il titolo.
Bar e Ristoranti ..... Questo e' il titolo.
 
Iulm 140309 Fruscio
Iulm 140309 FruscioIulm 140309 Fruscio
Iulm 140309 Fruscio
 
Social Media e Online Newsmaking
Social Media e Online NewsmakingSocial Media e Online Newsmaking
Social Media e Online Newsmaking
 
Employment strategies - Belluno
Employment strategies - BellunoEmployment strategies - Belluno
Employment strategies - Belluno
 

Similar to La sicurezza delle reti aziendali ai tempi di Facebook

Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.
Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.
Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.iDIALOGHI
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Social Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniSocial Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniiDIALOGHI
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Andrea Patron
 
Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...
Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...
Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...eraser Juan José Calderón
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Comunicazione, business e marketing al tempo del Social Web
Comunicazione, business e marketing al tempo del Social WebComunicazione, business e marketing al tempo del Social Web
Comunicazione, business e marketing al tempo del Social WebFederico Fioretti
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Enterprise2.0-Web2.0 Introduzione al tema
Enterprise2.0-Web2.0 Introduzione al temaEnterprise2.0-Web2.0 Introduzione al tema
Enterprise2.0-Web2.0 Introduzione al temaClaudia Zarabara
 

Similar to La sicurezza delle reti aziendali ai tempi di Facebook (20)

Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.
Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.
Social Network in ambito medico sanitario: vantaggi, rischi e prospettive.
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
Social Media Security e Facebook
Social Media Security e FacebookSocial Media Security e Facebook
Social Media Security e Facebook
 
Social Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniSocial Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli Manzoni
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
 
Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...
Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...
Tim Berners-Lee, la logica servicedominant ed il Candido di Voltaire principi...
 
PKI
PKIPKI
PKI
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Comunicazione, business e marketing al tempo del Social Web
Comunicazione, business e marketing al tempo del Social WebComunicazione, business e marketing al tempo del Social Web
Comunicazione, business e marketing al tempo del Social Web
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it security
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Enterprise2.0-Web2.0 Introduzione al tema
Enterprise2.0-Web2.0 Introduzione al temaEnterprise2.0-Web2.0 Introduzione al tema
Enterprise2.0-Web2.0 Introduzione al tema
 

La sicurezza delle reti aziendali ai tempi di Facebook

  • 1. La sicurezza delle reti aziendali ai tempi di Facebook I contributi della wiki IBM sull’utilizzo dei social network e la sicurezza delle infrastrutture IT in ambito di business. Attribuzione Non commerciale Non opere derivate
  • 2. INTRODUZIONE “La sicurezza delle reti aziendali ai tempi di Facebook” è il titolo del progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, su come l’utilizzo dei social network si ripercuote sulla sicurezza delle strutture aziendali, nonché sui rischi che ne derivano. Il progetto è rivolto in particolare alle persone e alle aziende che non hanno fiducia nei social network a causa dei pericoli derivanti per i loro sistemi e la riservatezza dei dati. Si vuole pertanto diffondere la consapevolezza e la cultura per un uso responsabile: il fenomeno social network, infatti, ormai non è più arginabile e non si può eliminarlo nel contesto aziendale semplicemente bloccandone l’accesso. Per il bene dell’azienda, bisogna invece cercare di comprenderlo e guidarlo in modo adeguato e consapevole. Il presente documento raccoglie interventi, best practice e spunti emersi durante l’attività della pagina wiki. Il progetto è stato coordinato dal Dott. Roberto Marmo, consulente informatico e professore a contratto di informatica presso la Facoltà di Ingegneria della Università di Pavia e Facoltà Scienze MM.FF.NN. della Università Insubria di Como. www.robertomarmo.net Alcuni spunti sono stati discussi all’evento IBM Security Day 2009: un estratto dell’intervento di Adrian Davis, responsabile ISF, si trova nella sezione “La possibilità di fare uscire informazioni riservate dal posto di lavoro tramite il canale”; le presentazioni della giornata sono invece pubblicate qui. 02 Introduzione
  • 3. INDICE Definizione del problema Web 2.0, social media e social network 4 Il contesto della sicurezza informatica e la nascita di nuovi problemi 5 La diffusione delle informazioni 6 Analisi dei rischi 8 Information Technology e sicurezza 9 Le problematiche da affrontare Identità digitale 11 Il furto dell’identità digitale tramite social engineering 12 Controllo del datore di lavoro sull’uso dei social network durante l’orario di lavoro 14 La possibilità di fare uscire informazioni riservate dal posto di lavoro tramite il canale 14 Creare porte di ingresso non controllate e pericolose nella rete aziendale 15 Intercettazione delle informazioni riservate durante l’uso aziendale 15 Alterazione illegittima dell’immagine aziendale a fini di marketing 16 Controllo delle informazioni inserite dagli iscritti al canale di comunicazione 17 Accesso al canale di comunicazione da dipendenti non autorizzati 17 Rischi derivanti dall’analisi aggregata dei dati a scarsa valenza individuale 18 Rischi derivanti dall’installazione delle applicazioni di terze parti 20 Rischi derivanti dall’esposizione dei nominativi dei clienti 21 Attacchi di phishing 22 Le persone coinvolte Il ruolo dell’amministratore 23 Gli strumenti per affrontare la sicurezza Consigli per l’uso sicuro dei social network 24 Le tecnologie per controllare il traffico 25 Criteri ottimali per la scelta delle password 26 Risorse utili Autori 27 Bibliografia 28 Glossario 29 03 Indice
  • 4. WEB 2.0, SOCIAL MEDIA E SOCIAL Attualmente vari milioni di italiani possiedono un NETWORK profilo, e questo si traduce di fatto in una enorme piattaforma di comunicazione. Facebook è Il Web 2.0 è l’insieme delle tecnologie l’esempio più noto; per l’ambito professionale collaborative per organizzare Internet come una esistono i business social network come piattaforma in cui tutti possono inserire i propri LinkedIn o Viadeo in cui il professionista può contributi ed interagire con gli altri utenti. promuovere le proprie capacità, aggiornarsi, trovare collaboratori e nuove opportunità. Il termine nasce da una frase coniata da O’Reilly Altri approfondimenti su it.wikipedia.org/wiki/ e da Dale Dougherty nel 2004; il documento che Social_network ne ha ufficialmente sancito l’inizio risale al 30 settembre del 2005. Ma i social network non riguardano solo le Nato da collegamenti ad Internet molto più persone: la presenza di aziende è sempre più veloci e dall’unione di varie tecnologie di facile forte, sia per attività di marketing e pubblicità, sia apprendimento e uso, il Web 2.0 vuole segnare come nuovo strumento per svolgere le attività di una separazione netta con la New Economy business, creare profili aziendali per promuovere dell’inizio millennio definita come Web 1.0 e l’impresa, fare nuovi affari eccetera. L’Enterprise caratterizzata da siti statici, di sola consultazione 2.0 intende infatti adattare i concetti del Web 2.0 e con scarsa possibilità di interazione dell’utente. in ambito aziendale. Altri approfondimenti su it.wikipedia.org/wiki/ Altri approfondimenti su it.wikipedia.org/wiki/ Web_2.0 Enterprise_2.0 “Social media” è un termine generico per indicare tecnologie e pratiche online con cui gli utenti creano e condividono i contenuti sul Web: un grosso cambiamento rispetto al Web 1.0, caratterizzato dalla presenza di una comunità concentrata sulla condivisione di contenuti. Altri approfondimenti su it.wikipedia.org/wiki/ Social_media Una delle più grosse opportunità fornite dal Web 2.0 sono i social network o reti sociali, con cui le persone creano un profilo con i dati personali e possono comunicare con altri profili per creare nuove forme di socializzazione e di espressione. 04 Definizione del problema
  • 5. IL CONTESTO DELLA SICUREZZA Gli elementi da considerare in un progetto di INFORMATICA sicurezza informatica sono, nell’ordine: 1. beni da proteggere; La sicurezza informatica ha come obiettivi: 2. minacce; • controllare il diritto di accesso alle 3. agenti; informazioni; 4. vulnerabilità; • proteggere le risorse da danneggiamenti 5. vincoli; volontari o involontari; 6. misure di protezione. • proteggere le informazioni mentre esse sono Gli elementi elencati sono raccolti nel in transito sulla rete; documento di Risk Analysis, che permette di • verificare l’identità dell’interlocutore, in sapere qual è il rischio di subire danni al sistema particolare essere certi che sia veramente chi informatico e, conseguentemente, di preparare dice di essere. una mappa delle possibili contromisure da Per creare sicurezza bisogna prima studiare: adottare. • chi può attaccare il sistema, perché lo fa e La nascita di nuovi problemi per la sicurezza cosa cerca; informatica • quali sono i punti deboli del sistema; L’uso sempre più diffuso delle reti sociali ha • quanto costa la sicurezza rispetto al valore portato a una forte crescita delle opportunità, da proteggere e rispetto al valore dei danni dei vantaggi, della quantità di informazioni. Il causati; rapido sviluppo, però, non ha ancora permesso • con quale cadenza gli apparati/sistemi di un’esatta e profonda conoscenza da parte di sicurezza vengono aggiornati. molte persone dei meccanismi e della gestione Il ciclo di vita della sicurezza informatica prevede: della presenza nei social network. Ecco la forte 1. Prevention - è necessario implementare delle crescita degli svantaggi e di ricadute negative misure per prevenire lo sfruttamento delle dovute a furti e truffe di vario tipo, oltre alle vulnerabilità del sistema; eventuali fonti di distrazione e perdite di tempo. 2. Detection - è importante rilevare prontamente L’uso degli strumenti tradizionali della sicurezza il problema; prima si rileva, più semplice è la informatica può fronteggiare solo in parte i nuovi sua risoluzione; pericoli e bisogna perfezionare tali strumenti per 3. Response - bisogna sviluppare un piano adattarli a una piattaforma di comunicazione appropriato di intervento in caso di violazione in grado di far interagire persone con esigenze con individuazione delle responsabilità e molto diverse. azioni da intraprendere. Occorre tenere ben presente l’importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare il suo stato di salute con varie tipologie di verifica della sicurezza. 05 Definizione del problema
  • 6. LA DIFFUSIONE DELLE INFORMAZIONI con attenzione e criterio assegni bancari e carte di credito, l’utente deve oggi prendere Secondo alcune statistiche redatte da fonti confidenza con gli strumenti che possono affidabili, quasi il 90% delle grandi aziende difenderlo dalle aggressioni di tipo informatico. svolge la propria attività anche attraverso Internet o, almeno, possiede un sito Web di Molto spesso, in relazione a queste tematiche, riferimento per la clientela: oltre alle numerose alcuni addetti ai lavori operano in modo realtà private, anche tantissime strutture poco trasparente nei confronti degli utenti pubbliche offrono i loro servizi attraverso la finali, nascondendo preziosi consigli dietro a grande Rete. complesse terminologie ed ergendosi su di una specie di piedistallo. Questo scenario, che da un lato procura Questo tipo di atteggiamento non aiuta certo innegabili vantaggi ai cittadini, dall’altro genera a risolvere i problemi. Quindi, se dalla parte di situazioni di pericolo connesse alle possibili chi ascolta è indispensabile una grande umiltà azioni criminali che alcuni malintenzionati e attenzione, dall’altra occorre utilizzare un potrebbero mettere in atto: danni economici, linguaggio chiaro che non ecceda nell’uso di violazioni di privacy o, semplicemente, una termini e acronimi di scarsa comprensibilità. perdita della credibilità derivante da azioni di A questo punto, soffermiamoci un attimo per defacement (termine anglosassone traducibile in delineare in modo sommario quali sono le “deturpazione” utilizzato per indicare un’azione , specifiche che un sistema informatico deve svolta nei confronti di un sito Web allo scopo di cambiarne i contenuti), rappresentano solo una possedere per poter essere considerato sicuro: ristretta rosa di possibili esempi. - il primo requisito è quello che viene definito Per queste ragioni è assolutamente necessario confidenzialità, cioè la garanzia che le che ciascun utente in rete operi attivamente in informazioni siano protette da letture non questa sorta di battaglia in difesa di coloro che autorizzate accidentali o dolose; da Internet vogliono trarre tutti i benefici possibili - il secondo, definito integrità e autenticità, si e contro quelli che, invece, sfruttano la Rete per raggiunge quando le informazioni sono protette perseguire fini più o meno illegali: un’azione del da ogni possibile alterazione provocata da genere è possibile solo attraverso una corretta accessi non autorizzati accidentali o dolosi; informazione e preparazione. - l’ultimo requisito prende il nome di L’obiettivo primario è quello di fornire a ciascun disponibilità, ed è assicurato quando le utente le nozioni necessarie per implementare risorse dell’elaboratore risultano sempre autonomamente sul proprio sistema quelle disponibili agli utenti legittimi (con l’unica misure minime di sicurezza che gli consentano eccezione rappresentata dai momenti di almeno di fronteggiare gli attacchi più comuni. blocco causati da guasti tecnici). Così come in passato ha imparato ad adoperare 06 Definizione del problema
  • 7. Appare subito evidente la difficoltà di soddisfare Integrità e autenticità integralmente specifiche di questo genere, Non si possono ottenere con gli strumenti sia a causa del fattore umano, sia per le standard, i quali non sono in grado di garantire caratteristiche di alcuni elementi in gioco, che i dati pervenuti non siano stati modificati che già per propria natura sono afflitti da durante il percorso e, soprattutto, non possono alcune fragilità intrinseche: uno degli esempi fornire la certezza che l’indirizzo del mittente più calzanti è rappresentato dalla famiglia di da noi rilevato corrisponda a quello reale. Un protocolli denominata TCP/IP (Transmit Control aggressore, attraverso una particolare tecnica Protocol/Internet Protocol), universalmente (spoofing), può intervenire su un pacchetto utilizzata nell’ambito delle comunicazioni sulla di dati in transito, alterando alcune delle sue rete Internet ma soggetta a diverse debolezze informazioni originali come, appunto, l’indirizzo architetturali a causa della sua obsolescenza. di origine. I problemi nei quali ci si imbatte nel tentativo di soddisfare i requisiti citati sono appunto: Disponibilità Risulta evidente che neppure l’ultimo requisito Confidenzialità può essere soddisfatto. Infatti, sono molti Difficile da soddisfare, dato che molte gli elementi in gioco che possono mettere comunicazioni avvengono in chiaro (cioè senza completamente fuori servizio un sistema: difetti alcuna codificazione che le renda illeggibili nel software adoperato, presenza di virus, agli intrusi). Quindi, tutto quello che transita attacchi di tipo denial of service, eccetera. per la Rete può essere facilmente intercettato, mediante apposite tecniche (sniffing), da chiunque. La situazione è comunque destinata a modificarsi in meglio, in quanto, essendo oggi palesi i rischi derivanti dalla comunicazioni in chiaro, sono sempre di più i servizi che utilizzano modalità di comunicazione cifrata. 07 Definizione del problema
  • 8. ANALISI DEI RISCHI sicurezza informatica un problema esclusivo di coloro che gestiscono dati di una certa Molte persone hanno l’abitudine di memorizzare importanza, non rendendosi conto che perfino nei loro elaboratori numerose informazioni di una una macchina dedicata al gioco, priva di certa importanza, come per esempio dati relativi qualsiasi dato personale, può essere fonte di ai conti bancari, password di carte di credito e grossi guai per il suo proprietario qualora non bancomat eccetera. adeguatamente protetta: un intruso che riesca Questo modo di agire, pur non costituendo di ad assumerne il controllo potrebbe adoperarla per sé un problema, diviene estremamente per accedere a siti Internet dai contenuti illegali rischioso quando la macchina destinata a (pedopornografia, terrorismo) o per attaccare contenere questi dati viene connessa a una rete altri sistemi informatici (banche, aziende, informatica: da quel momento, infatti, se non agenzie governative) o, ancora, per memorizzare sono state prese le opportune precauzioni, le temporaneamente materiale illegale (come, per probabilità che un aggressore esterno possa esempio, informazioni derivanti da attività di accedere ai nostri dati sono davvero molto alte. spionaggio). Paure di questo tipo, che fino a qualche tempo Gli esempi che si possono fare sono davvero addietro potevano forse essere considerate tanti, ma il risultato è sempre lo stesso: la esagerate, sono oggi confermate da reali paternità di queste azioni ricadrà sempre riscontri e, qualora qualcuno avesse ancora sull’ignaro proprietario della macchina dei dubbi in merito, questi possono essere compromessa, che risponderà in prima persona rapidamente dissipati attraverso la semplice per ogni reato commesso. lettura dei file di log generati da un comune Egli, ovviamente, potrà far valere le sue ragioni personal firewall (un software di protezione dichiarandosi estraneo ai fatti ma, considerando largamente diffuso); la lettura di questi file che questo non avverrà in tempi brevi e che evidenzia chiaramente come un elaboratore nel frattempo si dovranno subire tutte le connesso in rete (per esempio, a Internet) sia conseguenze del caso (perquisizione, arresto, continuamente insidiato da svariati tentativi di interrogatori), è certamente auspicabile non intrusione finalizzati alla rilevazione di eventuali trovarsi mai in una di queste situazioni. vulnerabilità utili per la conquista di un accesso La prassi seguita dall’aggressore è quasi illegittimo. sempre la stessa: quando decide di effettuare operazioni illegali su di un certo obiettivo remoto, I problemi che un’intrusione può causare adopera una o più macchine delle quali ha sono numerosi: si va dalla violazione della precedentemente assunto il controllo, macchine privacy, attraverso l’accesso a foto e documenti che, come abbiamo visto in precedenza, personali, ai danni di carattere economico, appartengono a utenti del tutto ignari. derivanti dal rilevamento del numero della nostra carta di credito o dei parametri per accedere al Fortunatamente, la conquista di un sistema nostro servizio di home banking, incautamente informatico non è immediata ma avviene per memorizzati all’interno dell’elaboratore. gradi, e i tempi che la caratterizzano sono Quelli appena citati sono solo alcuni esempi strettamente connessi sia al tipo di vulnerabilità dei rischi cui un utente può andare incontro da sfruttare sia al grado di preparazione ma, nonostante la posta in palio sia alta, dell’attaccante. molte persone continuano a ritenere la 08 Definizione del problema
  • 9. INFORMATION TECHNOLOGY E l’elevata dinamicità di questo ambiente, in SICUREZZA continua evoluzione secondo tempistiche e modalità assolutamente imprevedibili, non Il mondo dell’IT (Information Technology) consenta di essere esaustivi, si cercherà racchiude in sé tutto l’insieme delle odierne di contrastare questa limitazione mediante tecnologie adoperate al fine di elaborare, l’esposizione dei concetti chiave alla base di memorizzare e utilizzare informazioni. I dati ogni tecnica. contenuti nei PC e nelle reti informatiche, però, sono esposti a rischi sempre maggiori da Il problema della sicurezza informatica contrastare. In questo particolare ambiente è sempre valido quel detto paradossale che recita: “solo una Gli accessi illegittimi alle informazioni residenti macchina spenta può essere considerata una sui sistemi di elaborazione, la compromissione macchina sicura” Solo in apparenza sciocca, . o furto dei dati, rappresentano oggi una grave questa affermazione racchiude in sé una grande minaccia, sempre più difficile da contrastare. La verità, che si traduce in una sorta di monito per costante apertura di nuove reti verso Internet, chi opera nell’IT, e cioè: un elaboratore acceso, unita alla rapida crescita di connessioni di per quanto si siano prese tutte le possibili tipo permanente (come, per esempio, quelle precauzioni, rimane potenzialmente vulnerabile. realizzate tramite la tecnologia ADSL) anche L’essenza di questa sconcertante affermazione tra le utenze private, ha creato un fertile terreno è basata sull’inequivocabile considerazione per questo genere di minacce in quanto, a che continuamente, nel mondo, si scoprono e causa della continua immissione in rete di vengono rese pubbliche nuove vulnerabilità che nuovi sistemi, sono cresciuti esponenzialmente riguardano i sistemi informatici. i possibili bersagli da attaccare. Alla luce di Questa situazione, grazie ai dettagli offerti dagli questo si rende necessario implementare efficaci scopritori, permette a una miriade di potenziali politiche di sicurezza capaci di contrastare aggressori di violare in modo più o meno grave i dinamicamente questi pericoli, che minano sistemi afflitti dalla vulnerabilità resa pubblica. sia la sicurezza del singolo utente privato sia In questo scenario ha luogo una frenetica gara quella delle grandi reti informatiche. Un’azione tra i legittimi utilizzatori dei sistemi che cercano del genere non è realizzabile con interventi di rimediare al problema e i malintenzionati estemporanei e non ben pianificati poiché, che, invece, tentano di sfruttare queste nuove per contrastare efficacemente questi rischi, informazioni per i loro fini. occorrono competenze specifiche. Sebbene 09 Definizione del problema
  • 10. Per quanto talvolta non si possa rendere un elenco aggiornato delle vulnerabilità scoperte sistema totalmente sicuro nei confronti di una e, proprio per questa ragione, è assolutamente certa vulnerabilità, è ovvio che un sistema indispensabile che ogni singolo utente/ scarsamente o per nulla protetto è sempre amministratore li consulti frequentemente preferito dagli aggressori rispetto a un altro nel o, ancor meglio, qualora il servizio fosse quale sono attive alcune protezioni. disponibile, si abboni alle loro newsletter A questo punto viene spontaneo chiedersi specifiche. come mai queste informazioni dettagliate, che permettono di approfittare delle vulnerabilità di Cerchiamo di sintetizzare il tipico modo di un particolare sistema, vengano repentinamente operare di un aggressore informatico. Le sue rese pubbliche (generalmente attraverso azioni, dal momento in cui viene scelto un certo Internet) non solo da malintenzionati ma, obiettivo fino alla conclusione dell’attacco soprattutto, da rispettabilissimi addetti ai (qualunque esso sia), possono essere suddivise, lavori. La risposta a questo inquietante quesito sommariamente, in tre distinte fasi: può essere sintetizzata in una sola frase: full 1. Indagine - rappresenta il momento preliminare disclosure, che in italiano si può tradurre con dell’attacco informatico, in cui l’aggressore il dovere di dire tutto, rappresenta la corrente cerca di raccogliere, nel modo meno invasivo di pensiero di coloro che difendono a spada possibile, il maggior numero di informazioni tratta la libertà di diffondere tutti i dettagli sull’obiettivo designato; relativi alle vulnerabilità venute alla luce. La 2. Verifica - l’aggressore cerca di identificare loro scelta è guidata dalla convinzione che solo tutti gli elementi utili per l’auspicata conquista in questo modo i legittimi utilizzatori potranno dell’obiettivo come, per esempio, account, immediatamente correre ai ripari. Questa nobile risorse condivise, eccetera; intenzione viene quindi addotta a giustificazione 3. Accesso - l’aggressore cercherà di violare degli eventuali risvolti negativi che scaturiscono il sistema designato sfruttando ogni sua dalla full disclosure, risvolti rappresentati dalla possibile vulnerabilità e avvalendosi di tutte le possibilità che gli aggressori possano sfruttare informazioni rilevate nelle fasi precedenti. le preziose informazioni sulle vulnerabilità ancora prima dei legittimi utilizzatori. Numerosi siti rendono disponibili nelle loro pagine un 10 Definizione del problema
  • 11. IDENTITà DIGITALE grandi aziende pubbliche, silenziosamente e senza che se ne rendessero conto hanno ceduto Paradossalmente, la nostra immagine digitale è il loro potere ad altri personaggi che prima talvolta più importante di quella reale. Esistono gravitavano discretamente all’interno delle aree esempi eclatanti in tal senso, come quello tecniche. Amministratori di sistema, responsabili relativo ad una persona che, risultando deceduta delle reti ed altre figure connesse alla gestione nel database consultato dall’operatore di un dei sistemi informatici hanno man mano iniziato ufficio pubblico, si sforzava di far comprendere la loro ascesa al potere, divenendo elementi a quest’ultimo l’eclatante errore senza alcun cruciali nelle strutture in cui operano. successo: nonostante si trovasse innanzi a lui, Questo lento ma inarrestabile passaggio di indiscutibilmente viva, l’unico risultato fu quello poteri è stato agevolato dall’incapacità delle di sentirsi dire, laconicamente, “mi dispiace, ma vecchie figure dirigenziali di tenere il passo con lei risulta deceduta” . il repentino stravolgimento causato dal nuovo E se è già così difficile convincere circa ordinamento digitale: l’assenza di competenze l’evidenza della nostra esistenza in vita, specifiche e/o il totale disinteresse per la loro figuriamoci in altri contesti, quando in gioco acquisizione è stata la causa principale di ci sono fattori meno appariscenti ma non per queste trasformazioni. questo di minore importanza, come ad esempio Figure professionali i cui poteri erano un tempo il nostro stato patrimoniale, l’esito di un concorso circoscritti alle sole aree tecniche si sono trovate sostenuto o, semplicemente, il pagamento di improvvisamente capaci di influenzare le sorti una multa: in questi casi la strada da seguire delle aziende dove operano, in quanto, almeno per rettificare un errore (del quale, per altro, potenzialmente, in grado di accedere ad ogni solitamente, non siamo responsabili) sarà tipo di informazione. alquanto impervia. L’aspetto preoccupante di tutto questo è Messi da parte i risvolti esilaranti, non ci vuole rappresentato dalla constatazione che, molta immaginazione per intuire in quale nonostante queste figure detengano un enorme direzione le nostre società si stanno muovendo: potere, solo in tempi recenti la legislatura si è un percorso per nulla rassicurante verso una occupata di attribuire loro precise responsabilità graduale perdita d’importanza della nostra oggettive. Molte aziende pubbliche e private, identità reale a vantaggio di quella digitale, che, inoltre, durante il transito dal regime tradizionale vista la sua crescente valenza, dovrebbe essere a quello digitale, si sono affidate a figure non gestita in modo adeguato. professionali, lasciando la gestione dei loro Quest’ultimo è il vero nocciolo del problema. sistemi nelle mani di gente poco competente. Infatti, pur condividendo la necessità di attribuire Questa sorta di Far West informatico, iniziato importanza alla nostra identità digitale, è tanti anni fa con l’attenuante della carenza di necessario ottenere opportune rassicurazioni figure professionali adeguate all’interno delle circa la corretta amministrazione di quest’ultima strutture, permane ancora oggi all’interno da parte delle figure preposte: purtroppo, di alcune realtà anche molto importanti vedremo che le cose non stanno proprio in (specialmente pubbliche), nonostante la questi termini. Cerchiamo adesso di identificare situazione attuale non sia più quella di qualche quali sono le figure strettamente connesse con la lustro addietro: certamente nessuno di noi si gestione di questo nuovo universo digitale. affiderebbe a un autodidatta appassionato di Possiamo subito anticipare che lo scenario degli chirurgia; invece, molto spesso, siamo costretti a ultimi anni ha radicalmente stravolto i canonici metterci senza riserve nelle mani di persone che ruoli, permettendo che il potere transitasse dalle non possiedono i requisiti minimi per garantire la mani di alcuni verso altri: figure che detenevano corretta gestione delle nostre informazioni, con un potere quasi assoluto all’interno di alcuni tutti i rischi che ne possono conseguire. ambienti, come ad esempio i dirigenti delle 11 Le problematiche da affrontare
  • 12. IL FURTO DELL’IDENTITà DIGITALE suo paper sui Social Network: la tipologia di TRAMITE SOCIAL ENGINEERING utenza in funzione della geografia mondiale. é infatti emerso come alcuni Social Network Il Social Engineering (“S.E.” da qui in avanti) è (praticamente sconosciuti in Italia e/o in Europa), tipicamente alla base di ogni azione (attacco) siano invece di enorme diffusione in alcune che abbia come scopo il furto di identità e parti del mondo, e viceversa. A titolo di esempio credenziali di accesso. Le motivazioni sono da ricordiamo Orkut ed Ecademy. ricercare sia nella storia propria dell’hacking che Come pericoli “classificabili” per gli utenti nella psicologia. dei Social Network, in questi ultimi tempi si è assistito ad un preoccupante aumento dei casi Sicuramente il fenomeno dei Social Network e la di “stalking” così come di bullismo (Bullying) e, , continua espansione degli stessi facilita il furto di non ultimo, Spionaggio Industriale (Industrial identità, anche tramite azioni di SE: dal phishing Espionage). A contorno, azioni di Spam, “classico” (bancario) sino a derivazioni sugli Phishing, Company Reputation. stessi temi, dove l’obiettivo – indipendentemente dal Social Network per cui l’aggressore “si Un esempio di pericolo per l’identità digitale spaccia” – è il furto delle credenziali di accesso nei business social network: il whaling ai Social Network (Facebook, Linkedin, etc..) e Il furto di identità digitale viene messo in atto per conseguentemente della cosiddetta “identità rubare dati con cui falsificare un documento di digitale” di un individuo. identità cartaceo per truffe e debiti, oppure viene é poi importante distinguere gli stessi Social attuato per creare falsi profili con cui fare acquisti Network: se Facebook ha un profilo di utenza su Internet, diffamare altre persone, generare molto generico, che include dai teenager ai equivoci e brutte figure tra la vera persona ed i dipendenti di aziende, Linkedin ha invece un suoi amici. I casi criminali ormai sono tantissimi e profilo di utenza professionale. La differenza molti personaggi pubblici ne sono stati vittima. è ovvia: un aggressore avrebbe molta facilità Il whaling è l’attacco condotto con l’informatica nell’attaccare ad esempio utenti di Facebook, per far cadere nella rete dei truffatori i grossi in quanto – teoricamente – i know-how presenti profili aziendali, come l’amministratore delegato tra l’utenza e gli strumenti di difesa dovrebbero e i dirigenti. Si tratta, purtroppo, di una vera e essere sensibilmente inferiori rispetto a quelli di propria caccia alla balena molto redditizia per i un’utenza professionale, quale Linkedin. cybercriminali e un attacco con alte probabilità Infine, vi è un’ultima distinzione, così come di successo perché costruito in maniera molto riportato da ENISA (ENISA Position Paper n° personalizzata per ogni singolo obiettivo 1: Security Issues and Recommendations for professionale di alto profilo: infatti vengono usate Online Social Networks, October 2007) nel le informazioni rese pubbliche dai dipendenti stessi. 12 Le problematiche da affrontare
  • 13. Il modus operandi dei criminali informatici è il riservati e coordinate bancarie. Il caso finora seguente. Dopo aver cercato le informazioni più clamoroso si è verificato nell’aprile 2008 sulle vittime nei business social network o nei e ha coinvolto 20.000 dirigenti di aziende siti Web aziendali, il criminale invia e-mail in statunitensi. L’e-mail conteneva un falso ordine cui consiglia di cliccare su allegati o indirizzi di comparizione in tribunale con i nomi completi in realtà molto pericolosi. La vittima cade ed accanto i nomi ed i contatti telefonici delle facilmente nel tranello perché l’e-mail inviata rispettive aziende. Le persone cliccavano subito non ha le sembianze dello spam, sembra per leggere i dettagli sulla presunta causa legale proveniente da una società collegata in e venivano rimandati a un falso sito della Corte qualche modo a quella della vittima, viene Americana, dove venivano invitati a scaricare fatto riferimento a un interesse o un hobby del ed installare un software aggiuntivo obbligatorio malcapitato. L’obiettivo è infettare il computer per visualizzare correttamente tutti i documenti della vittima con programmi in grado di legali. In realtà, si scaricava un software pirata in intercettare tutto quello che viene digitato su una grado di copiare le credenziali di log-in utilizzate tastiera, quindi anche informazioni importanti sui siti Web delle banche e rispedirle subito ai come username e password, documenti criminali per rubare denaro. 13 Le problematiche da affrontare
  • 14. CONTROLLO DEL DATORE DI LAVORO LA POSSIBILITà DI FARE USCIRE SULL’USO DEI SOCIAL NETWORK INFORMAZIONI RISERVATE DAL POSTO DURANTE L’ORARIO DI LAVORO DI LAVORO TRAMITE IL CANALE Questa è una diatriba alquanto intrigante. Questo rischio è verosimile ed estremamente L’utilizzo del Social Network durante l’orario alto. Il problema parte da vulnerabilità di tipo di lavoro è, in alcuni casi, un valore aggiunto: Web, quali XSS (Cross-Site Scripting) che per esempio su Social Network quali Linkedin, permettono e/o amplificano l’invio di Virus e un’attenta analisi dei profili e dei contatti, così Worm verso il target (utenti dei siti di Social come di news, discussioni ed aggiornamenti, Network). Negli ultimi mesi abbiamo assistito ad permette all’azienda di ottenere informazioni un forte incremento di tali attacchi, specialmente “quasi di intelligence” relativamente ad aziende , verso Facebook. competitor, personale di altre società e così via. Dobbiamo anche pensare a problemi creati dalle Certamente, lo stesso non si può dire per Social informazioni trasmesse attraverso i social media: Network più generici quali Facebook ma, ancora • foto o video scattati all’interno dell’azienda una volta, tutto dipende dal contesto aziendale e o durante riunioni ed eventi possono rivelare dalla tipologia di attività principale che si segue informazioni delicate sull’attività aziendale; a livello professionale. Per fare un esempio • i dipendenti usano applicazioni per condividere davvero banale, se sono un investigatore privato, i dati sui viaggi di lavoro, rivelando così il tempo speso su un Social Network “giocoso” all’esterno dove sono i clienti, il raggio di azione quale Facebook è in realtà da considerare delle attività aziendali, ecc.; alla stregua di un investimento aziendale, o • documenti aziendali riservati possono, per colpa dell’open source-based Intelligence, e rientra o per dolo, essere diffusi tramite questi canali. all’interno di azioni quali Competitive Intelligence e Competitive Scouting (cfr. anche OSSTMM Il rischio di fuoriuscita di dati sensibili dal 3.0: www.osstmm.org nella sezione “Competitive contesto aziendale è certamente alto, ma Intelligence”). l’utilizzo di strumenti sociali che permettono uno scambio veloce e a basso costo delle informazioni si diffonderà sempre di più, mano a mano che i nativi digitali accederanno a posizioni lavorative. La perdita di informazioni avviene, talvolta anche la perdita di dati sensibili. La vera sfida non è tanto bloccare l’uso dei media sociali, ma imparare a gestirli in modo creativo, permettendo alle persone di utilizzarli e insegnando loro il modo migliore per farlo. (Estratti dall’intervento di Adrian Davis, Security Day 2009) 14 Le problematiche da affrontare
  • 15. CREARE PORTE DI INGRESSO INTERCETTAZIONE DELLE NON CONTROLLATE E PERICOLOSE INFORMAZIONI RISERVATE DURANTE NELLA RETE AZIENDALE L’USO AZIENDALE L’uso di sistemi come le chat diffuse in molti Questo pericolo non è imputabile totalmente social network potrebbe aprire altre porte di ai social network, quanto piuttosto alla mobilità comunicazione senza un controllo adeguato e delle persone ed alla penetrazione dell’always- tramite cui potrebbero entrare software molto on nella vita quotidiana. pericolosi. Queste informazioni, infatti, potrebbero essere Questo punto non è molto essenziale né intercettate a causa di vulnerabilità del PC veramente problematico: il problema nasce per client (pensiamo alle connessioni in luoghi strumenti quali Skype (software proprietario), pubblici quali aeroporti, internet point, hotel, mentre per i Social Network, alla fin fine, il fiere, eventi, conferenze) piuttosto che del PDA. tutto si restringe - si fa per dire - a browser e I Social Network, insomma, non sembra abbiano navigazione Internet “standard” per cui valgono in questo contesto una forte rilevanza ed le buone regole di protezione. incidenza. Certamente, però, se su un Gruppo Ciò significa quindi che vulnerabilità ed di Discussione pubblico due colleghi della attacchi Web-based possono essere vettori di stessa azienda fanno disclosure di informazioni contagio per worm, virus, trojan, key logger, sensibili o critiche, il problema emerge, ma allora botnet e, conseguentemente, impattare - anche è questione di policy, awareness e formazione, fortemente - l’infrastruttura aziendale. non di Social Network. Al fine di ridurre il livello di potenziale Bisogna comunque fare una riflessione. Mesi vulnerabilità delle macchine di una rete (ma fa, una società di sicurezza statunitense anche di una singola macchina), è opportuno (Netragard) è stata ingaggiata da una grande verificare che siano attivi soltanto i servizi e/o realtà aziendale, per eseguire un Penetration protocolli necessari: la presenza di elementi Test. La particolarità è che l’attacco è stato superflui, infatti, rappresenta una grave minaccia eseguito utilizzando quasi esclusivamente alla sicurezza. Facebook come “vettore” dato che il personale , Una buona abitudine è quella di verificare dell’azienda richiedente comunica al proprio attentamente questo genere di cose sia interno principalmente e proprio tramite durante il processo di installazione del sistema Facebook. Dopo alcuni mesi di “setup” , operativo, sia in seguito, periodicamente, al fine l’attacco è stato lanciato, con esiti devastanti. di assicurarsi che non siano stati attivati (anche Il post è disponibile su: seclists.org/ involontariamente) servizi e/o protocolli non fulldisclosure/2009/Feb/149 necessari. La presenza di elementi del genere non inutilizzati, che di fatto aprono verso l’esterno un certo numero di porte TCP/IP, è fonte di numerosi problemi sia sotto l’aspetto delle prestazioni in quanto la loro presenza consuma risorse di sistema, sia sotto quello della sicurezza dato che l’utente ignora la loro presenza e, quindi, non si farà carico di applicare le patch per la sicurezza rilasciate in seguito dal produttore, creando in questo modo un fertile terreno per gli exploit dei potenziali aggressori. 15 Le problematiche da affrontare
  • 16. ALTERAZIONE ILLEGITTIMA target. Per garantire la buona riuscita di questa AZIENDALE AI FINI DI MARKETING operazione, bisogna dedicare molto tempo alla comunicazione, ai consigli e all’ascolto della Questo è un pericolo non solo reale e concreto, propria community. Non si può essere frettolosi ma anche una minaccia già presente ed perché il suo consolidamento richiede tempo e utilizzata dal mondo criminale. Svariati sono, ad pazienza. Inoltre, bisogna tenere sotto controllo esempio, i casi di siti di antivirus “fasulli” la cui , le informazioni che ne scaturiscono: il nostro URL è richiamata da e-mail di phishing molto Brand va difeso! Questo non è sempre facile, “verticali” dove, invece che l’AV, l’ignaro utente , perché nelle maree di Internet si possono incontrare scarica – ed installa – malware di vario tipo, utenti non soddisfatti che ne parlano male. tipicamente trojan. Si sa che un commento negativo gode di una Anche in questo caso i social network e velocità di propagazione maggiore di qualsiasi social media non fanno altro che permettere flusso di informazioni positive, ma a volte si un’amplificazione – e conseguente contagio possono sfruttare le critiche per instaurare un “di massa” o, comunque, distribuito e veicolato dialogo con i propri clienti. In questa pratica, attraverso utenti ignari, ma che nutrono ci sono delle regole etiche che è opportuno relazioni di trust l’uno con l’altro – dell’attacco, seguire, come quella di “mettere la faccia” moltiplicando il numero di potenziali vittime. in modo umano, ma anche professionale, Un altro pericolo proviene dall’uso illegittimo nel sostenere un brand. A volte è facile se delle password. Immaginiamo un malfattore i commenti negativi sono poco pesanti (ad che entra in possesso delle password di esempio se il commento è “è caro!” si può , profilo e gruppo su un social network creato da puntare sulla qualità del servizio offerto), un’azienda concorrente. Potrebbe cambiare altre sono molto difficili ed impossibili da le informazioni, leggere i contatti e i messaggi, controbattere, ne è un esempio una nota marca modificare il messaggio di marketing creando sportiva che è stata accusata di aver sfruttato molti danni di immagine. mano d’opera minorile. Si può pensare di sfruttare le potenzialità della L’importante è cercare di difendersi in modo nuova dimensione “sociale” del Web in modo pulito, senza bannare o attaccare nessuno, tale da creare una nuova immagine aziendale in modo democratico e civile. Ma come si fa che si rivolga ad un target eterogeneo e che sia, ad essere sempre informati sui giudizi che ci quindi, più vicina al consumatore. Il “biglietto circondano? A differenza della comunicazione da visita” che ci proponiamo di costruire deve offline, nell’online esistono degli strumenti come essere necessariamente studiato in maniera Google Alert in cui effettuare le ricerche: basta unica, dinamica, originale, ma soprattutto si deve saper cercare, e noi siamo qui per aiutarvi. sviluppare in un contesto veritiero e vicino al suo 16 Le problematiche da affrontare
  • 17. CONTROLLO DELLE INFORMAZIONI ACCESSO AL CANALE DI INSERITE DAGLI ISCRITTI AL CANALE COMUNICAZIONE DA DIPENDENTI DI COMUNICAZIONE NON AUTORIZZATI Immaginiamo una persona che entra in un Se l’azienda delega ad un dipendente l’incarico gruppo creato su un social network e comincia di gestire il social media con le varie pagine, a parlare male di un marchio, a caricare file e-mail eccetera, cosa succede nel caso questa con contenuti illegali in una pagina aziendale. persona si assenti dal lavoro? Come deve Questa persona non sta violando nessun comportarsi un dipendente delegato? Per fare sistema, sta usando semplicemente i classici un paragone, è simile al problema della lettura strumenti, perché chi ha costruito la pagina sul della e-mail aziendale da parte di un altro network non ha adeguatamente protetto i diritti incaricato con le precauzioni necessarie per di modifica della pagina da parte di persone non violare la privacy dell’incaricato dell’e-mail diverse dall’amministratore. aziendale. Data la notevole velocità di propagazione delle informazioni nel network, i danni creati all’immagine aziendale sono gravissimi. 17 Le problematiche da affrontare
  • 18. RISCHI DERIVANTI DALL’ANALISI è rappresentato da quelle attività che in AGGREGATA DEI DATI A SCARSA letteratura informatica ricadono nella categoria VALENZA INDIVIDUALE delle “tecniche di indagine” una serie di , operazioni preliminari a un attacco informatico, Oltre ai rischi direttamente riconducibili a generalmente condotte da un aggressore specifiche attività condotte in modo più o meno al fine di recuperare alcune informazioni di consapevole dagli utenti di una rete (intesa base sull’obiettivo da violare, informazioni che nell’accezione più ampia del termine), esiste verranno poi integrate da altri elementi ricavati un’altra categoria di rischi che non sono legati mediante tecniche più mirate ma, tipicamente, a uno specifico evento scatenante, in quanto molto più invasive e quindi facilmente rilevabili conseguenza del verificarsi congiunto di due o da chi riceve queste “attenzioni” Proprio per . più avvenimenti. quest’ultima ragione, ogni aggressore cercherà di ricavare più informazioni possibili con le La particolare natura del problema rende tecniche di primo livello (tecniche di indagine) molto difficoltosa l’individuazione delle relative piuttosto che con le altre; in certi casi limite, contromisure e, soprattutto, non consente di potrebbero perfino non essere necessarie dispiegare in campo i tradizionali strumenti di ulteriori operazioni, in quanto le informazioni difesa: in questi casi è necessaria un’analisi ricavate in questa prima fase potrebbero già molto più approfondita, operata secondo dei consentire di portare a compimento l’attacco criteri meno canonici e più euristici. In queste senza la necessità di ricorrere a ulteriori circostanze, infatti, più che il pedissequo utilizzo strumenti e/o informazioni. di strumenti software e contromisure standard, In questa particolare fase di ricerca delle risulta decisiva l’esperienza sul campo, le informazioni, dominano certamente le tecniche competenze possedute e la lungimiranza di chi amministra le politiche di sicurezza, unici di “ingegneria sociale” (social engineering), fattori in grado di fornire quella visione euristica ossia quelle azioni di raggiro e/o persuasione alla quale si è fatto prima accenno: partendo volte all’ottenimento di informazioni riservate, da questi prerequisiti, si potrà effettuare utili per poter violare un sistema informatico un’analisi del proprio scenario operativo e, e seguite da un gran numero di altri metodi, conseguentemente, giungere alle conclusioni strumentali, sociali o ibridi, in grado di svolgere che consentiranno di stabilire le opportune efficacemente questo compito. contromisure da adottare per eliminare o Mentre un tempo la ricerca delle informazioni quantomeno contrastare efficacemente questa utili agli scopi dei malintenzionati era un’impresa categoria di rischi. alquanto difficoltosa a causa delle poche fonti L’aspetto critico in ambito sicurezza che disponibili (principalmente siti Web aziendali, desidero sottolineare non è legato alle singole newsgroup, IRC), realtà come “Facebook” (o informazioni di un certo valore che, proprio per altri similari come Youtube, MySpace, Linkedin) questa loro caratteristica, sono generalmente rendono oggi disponibili informazioni preziose ben protette (o, almeno, lo dovrebbero), ma ai organizzate in modo organico, che si rivelano risultati ottenibili mediante una visione congiunta una vera e propria manna per coloro che di più informazioni di scarso valore (quindi desiderano compiere azioni illecite, anche al poco protette e spesso ottenibili senza grandi di fuori della sfera informatica (si pensi, ad difficoltà) che, una volta aggregate, acquistano esempio, ai rischi derivanti dai furti di identità). una valenza ben superiore alla somma dei loro La grande diffusione che in questi ultimi anni ha singoli valori: si tratta di un aspetto spesso interessato i social network ha contribuito non tenuto in poco conto dagli addetti ai lavori che, poco a ingigantire, in modo preoccupante, tutte frequentemente, risultano vulnerabili a questi le problematiche connesse a questa prima fase problemi. non invasiva (e il termine “non invasiva” è qui Il nocciolo della questione, al quale fino ad sinonimo di “non rilevabile”) di raccolta delle adesso ci siamo riferiti solo implicitamente, informazioni, problematiche che ancor prima 18 Le problematiche da affrontare
  • 19. dell’avvento delle reti sociali risultavano molto propria voragine nell’ambito della privacy). difficili da affrontare in modo risolutivo. La completezza delle informazioni accessibili (nome e cognome, data di nascita, foto, Malfunzionamenti (bug) nei software di gestione preferenze politiche, particolari privati e di alcuni social network, utilizzo di specifici professionali, ecc.) sono elementi determinanti strumenti (exploit) reperibili in rete e, infine, che consentono di dar corpo a un’ampia rosa scarsa attenzione nella protezione dei propri di attività criminali, tra le quali quelle a carattere dati (spesso amplificata dalle troppo permissive informatico rappresentano solo una sparuta regole predefinite adottate dai gestori dei siti), minoranza. sono alcune delle cause che consentono un La volontà degli utenti che in un certo momento pericoloso accesso ai dati gestiti nelle reti decidono di rimuovere definitivamente i sociali, le quali, ricordiamo, a seconda del dati precedentemente memorizzati viene tipo di network, possono contenere anche poi vanificata dalle caratteristiche peculiari molti dettagli relativi all’ambito lavorativo possedute dalla rete Internet che, sia a (società, mansione, privilegi, ecc.). Oltre al noto causa della scarsa cura messa nel compiere Facebook, tipicamente indirizzato alle utenze l’operazione da parte dei gestori dei siti, sia per private, ne esistono altri come Ecademy o l’intervento di meccanismi di cache o di copie Linkedin, pensati per una fascia professionale effettuate da altri utenti, rende di fatto quasi di utenza. Il facile accesso a certe informazioni, impossibile l’eliminazione completa dei dati i incautamente memorizzate sulle pagine di questi quali, quindi, potrebbero essere visibili (magari siti e sapientemente aggregate dagli aggressori, in altre forme) per tantissimi anni. può fornire a questi ultimi un solido ariete capace di demolire anche le protezioni di rete Quanto appena detto in questa sorta di sintetica più sofisticate. disamina sugli effetti collaterali delle reti Meccanismi di autenticazione poco robusti, sociali e, più in generale, sui pericoli derivanti uniti alla propensione nell’utilizzare credenziali dall’analisi aggregata di informazioni a scarsa alquanto semplici (password corte o facilmente valenza individuale, evidenzia l’enorme difficoltà individuabili), consentono soventemente che si pone innanzi a coloro che, a qualunque di accedere a questi dati senza ricorrere a titolo, devono assumersi l’onere di garantire nessuna tecnica e/o strumento particolare; il l’implementazione di corrette politiche di modo con il quale sono strutturati i siti di social sicurezza. network, inoltre, genera negli utilizzatori un Questo, astraendoci dagli specifici fattori (come, apparente senso di sicurezza legato alla (falsa) per esempio, il social network), è riconducibile convinzione che quanto immesso sarà poi all’estrema ed esponenziale dinamicità dello visibile esclusivamente a una ristretta cerchia scenario operativo: certezze considerate ormai di persone. Cosa che, per svariati motivi, non acquisite possono repentinamente perdere sempre si verifica. consistenza, costringendo gli operatori a rivedere ogni aspetto alla luce di nuovi e poco Il formalismo matematico che descrive un “social conosciuti parametri, come è avvenuto in questi network” è quello dei “grafi” una serie di nodi , anni con il diffondersi delle tecnologie wireless connessi tra loro secondo alcune regole, una (che hanno riportato in auge problematiche che particolare struttura che consente di aggregare si sperava fossero ormai relegate al passato). in modo efficiente informazioni apparentemente non relazionate tra loro: questa caratteristica, Per queste ragioni, la sola buona volontà di chi che rende spesso le reti sociali oggetto di studio opera nel settore non rappresenta più, come in ambito sociologico, offre agli aggressori un un tempo, un elemento determinante, in quanto portentoso strumento di indagine a 360 gradi deve necessariamente essere coadiuvata da (la possibilità di legare ogni individuo a un altro un puntuale e costante aggiornamento delle mediante le amicizie dichiarate rappresenta competenze, il tutto in un’ottica euristica dei soltanto una delle enormi potenzialità offerte possibili scenari di rischio. dalle strutture di questo genere, una vera e 19 Le problematiche da affrontare
  • 20. RISCHI DERIVANTI estrarre i riferimenti degli amici di chi la sta DALL’INSTALLAZIONE DELLE usando al fine di mandare loro un messaggio APPLICAZIONI DI TERZE PARTI personalizzato in grado di suscitare interesse. Le applicazioni Facebook hanno generato un Una delle recenti evoluzioni dei social network forte successo in monetizzazione dello sviluppo riguarda la possibilità data a tutti gli iscritti di e creazione di campagne marketing: per citare sviluppare le applicazioni, ovvero un software alcuni esempi un’applicazione dedicata a un di vario genere che l’iscritto può inserire nel gioco legato a una marca in 3 settimane ha suo profilo e inviare agli amici del suo network. raggiunto milioni di utenti nella sola Italia. Tramite l’applicazione, l’iscritto al network può esprimersi e farsi conoscere, può divertirsi con il Chi intende utilizzare le applicazioni deve giocare, comprare musica, scambiare materiali rendersi conto dei rischi legati all’accesso multimediali con gli amici, risolvere quiz e test, al database dei profili del social network e interagire con una marca. Può anche usare alla non perfetta costruzione degli schemi di software per automazione di ufficio, elaborare sicurezza da parte degli autori: del linguaggio immagini, eccetera. di programmazione, dell’applicazione e del network. Occorre sempre capire come Il successo di Facebook è dovuto anche modificare le impostazioni per la privacy relativa alla disponibilità e facilità di programmazione all’applicazione, per esempio in Facebook delle applicazioni tramite le chiamate API si può andare in alto a destra e cliccare sul (it.wikipedia.org/wiki/API); gli altri social network menu “Impostazioni” e poi su “Impostazioni hanno poi man mano rilasciato i permessi per lo applicazioni” per capire come le applicazioni sviluppo. Si parla di diffusione virale quando una accedono ai dati del profilo personale. Occorre, persona usa l’applicazione e automaticamente soprattutto, non installare con leggerezza e tutti i suoi amici vengono a sapere di tale uso superficialità un’applicazione, si deve andare e ne vengono invogliati per superare i risultati subito a leggere la presentazione delle funzioni, ottenuti dalla persona o per provare l’efficacia cercare di capire chi è l’autore, cercare sul dell’applicazione. Questa, infatti, è in grado di motore di ricerca eventuali informazioni e accedere ai database del social network per critiche. 20 Le problematiche da affrontare
  • 21. RISCHI DERIVANTI DALL’ESPOSIZIONE DEI NOMINATIVI DEI CLIENTI Sui social network si può creare una pagina fan, un gruppo di persone o altri strumenti per invogliare le persone a seguire lo sviluppo di un’attività commerciale, agevolare la comunicazione tra aziende e clienti, far conoscere i nuovi prodotti, eccetera. Si tratta di nuovi strumenti ampiamente discussi e i cui vantaggi sono stati analizzati in vari libri su come fare business con i social network. Le persone possono pertanto iscriversi e il loro nominativo e la loro fotografia compariranno nell’elenco degli iscritti. Se non vengono applicate specifiche impostazioni di privacy, questo elenco è visibile da tutti, anche dalle persone non iscritte. Molte aziende non vogliono usare questi strumenti, perché hanno paura di mostrare questo elenco di persone ai concorrenti, che potrebbero ricontattarle e convincerle a passare alla loro azienda. Si tratta in realtà di una possibilità molto difficile: alcune pagine fan hanno decine di migliaia di iscritti e contattarli uno a uno implica un grosso lavoro, inoltre i social network impediscono la spedizione di decine di e-mail al giorno. 21 Le problematiche da affrontare
  • 22. ATTACCHI DI PHISHING che riceviamo da Facebook. L’e-mail contiene una foto di uomo o donna e un nominativo Il phishing è una truffa mirata al furto di identità e richiedente l’amicizia. Se clicchiamo sul link, di dati sensibili come password o numero carta veniamo rediretti verso un sito simile a Facebook credito. La truffa si esegue tramite e-mail false, ma in realtà modificato per rubare login e ma anche contatti telefonici, che riproducono password da rivendere al mercato nero. l’apparenza grafica dei siti di banche, poste Un’altra e-mail del genere avvisa di un eccetera. cambiamento di password e invita a aprire un file L’utente riceve un invito a scrivere le proprie per ottenere quella nuova. credenziali per difendersi da virus o eseguire Il terzo modo riguarda il trovarsi sulla bacheca un aggiornamenti, ma in realtà viene indirizzato messaggio del tipo “lol i cant believe these pics verso un sito in grado di rubare le informazioni got posted…its going to be BADDDD when her riservate e usarle subito per attività illecite. boyfriend sees these” con un link dalla struttura Si tratta purtroppo di un fenomeno in continua simile a quello reale (www.facebook.com/profile. crescita: secondo il rapporto Symantec, il 17% php) per ingannare le persone. Se clicchiamo delle e-mail ricevute sono tentativi di phishing, su un link di questo tipo veniamo rediretti verso e l’Italia è al terzo posto nelle preferenze dei un sito con l’apparenza simile a Facebook ma in truffatori. All’inizio queste e-mail contenevano realtà modificato per rubare login e password. grossi errori di italiano che li rendevano Conviene cambiare la password e cancellare facilmente individuabili, adesso sono sempre subito il messaggio per evitare che altri nostri più corrette e sofisticate. Vale la regola d’oro del amici lo leggano e si diffonda creando danni. non cliccare sui link nell’e-mail, ma di andare direttamente all’indirizzo del sito che si conosce. Regola generale valida per qualsiasi tipo Per informazioni: it.wikipedia.org/wiki/Phishing di account online: cambiare periodicamente e portale Anti-Phishing Italia su www.anti-phishing.it la password e non usare termini facilmente ricavabili dalle proprie informazioni personali Anche Facebook è sempre più colpito da questo pubblicate in rete! fenomeno, in tre modi. Nel primo modo si riceve una e-mail fasulla Altre informazioni su: facebookitalia.blogspot.com/ con l’apparenza grafica delle classiche e-mail 2008/01/il-phishing-getta-le-reti-su-facebook.html 22 Le problematiche da affrontare
  • 23. IL RUOLO DELL’AMMINISTRATORE poi essere fatto ampiamente circolare tra i dipendenti. Il ruolo di amministratore della sicurezza deve In merito alle modalità di verifica, bisogna comprendere l’educare e rendere consapevoli sempre tener presente che i controlli a distanza dei rischi derivanti dall’ambito lavorativo. Ma sono vietati. Occorre sempre un accordo con quali sono le nuove responsabilità e il nuovo i sindacati e comunque bisogna evitare la ruolo del responsabile della sicurezza ICT? raccolta di informazioni troppo intrusive nella Il responsabile deve, in primo luogo, ridurre il privacy dei dipendenti. Tipicamente, viene rischio che in azienda il social network venga individuata una categoria di siti adeguati per utilizzato in modo indebito. svolgere l’attività aziendale e una categoria di siti Deve innanzitutto creare chiare regole di proibiti perché non adeguati ad essa. disciplina da aggiornare periodicamente, indicando chiaramente quali sono i Occorre inoltre preparare un sistema di deleghe comportamenti: tollerati, da evitare, in grado in caso di assenza dell’addetto alla gestione del di generare una verifica. Il documento deve social network per fini aziendali. 23 Il ruolo dell’amministratore
  • 24. CONSIGLI PER L’USO DEI SOCIAL Dopo aver creato un profilo su un SN è bene NETWORK cercare di limitare il più possibile l’accesso di terzi ai nostri dati modificando le opzioni Come ben noto, l’uso di antivirus, anti-spyware predefinite; è opportuno quindi riflettere su e altri strumenti classici di protezione è un cosa pubblicare nella nostra pagina. Bisogna requisito essenziale per la difesa dai pericoli. stabilire due politiche: la prima riguarda gli Ecco alcuni spunti specifici per l’uso sicuro dei utenti a cui consentiamo l’accesso, la seconda social network in ambito aziendale: il tipo di informazioni che inseriamo nel profilo. 1. la sicurezza è fatta da uomini, procedure, Suggerimenti: strumenti; - per gli utenti consentiti: limitare il numero 2. usare password diverse per ogni social di contatti a quelli strettamente necessari network, la cui composizione non deve essere evitando di aggiungere persone al solo scopo ricavabile leggendo i profili personali, quindi di incrementare il numero di contatti; niente nomi del proprio cane, date di nascita - informazioni profilo: inserire informazioni eccetera; coerenti allo spirito del social network e non 3. chi deve gestire il profilo aziendale sul social eccedere con quelle personali. Evitare di network deve tenere distinti i contatti personali rendere noti dati sensibili come orientamento dai contatti creati per il lavoro; religioso, opinioni politiche, abitudini sessuali. 4. essere discreti e scegliere con cura quali In entrambi i casi, è consigliabile tener conto informazioni condividere; dello scopo per cui abbiamo aperto il profilo su 5. mantenere un certo grado di scetticismo nel quel social network. Ad esempio, se abbiamo giudicare le informazioni trovate sul social creato un account su Linkedin è meglio inserire network; informazioni riguardanti le proprie competenze e 6. non accettare inviti a creare contatti le esperienze lavorative, tralasciando quelle futili da sconosciuti, non sentirsi obbligati a tipo cosa si sta facendo in quel momento o cosa rispondere. si è mangiato a pranzo. Anche i nuovi contatti Il profilo personale saranno resi accessibili con queste finalità. I social network, se usati in modo Importante sarà il tipo di rapporto che abbiamo adeguato,difficilmente creano problemi legati instaurato con le persone e il tipo di informazioni alla sicurezza. che vogliamo render loro note. Tutte le informazioni che vengono pubblicate é da considerare, infine, che il nostro profilo nel profilo, infatti, sono intenzionalmente caricato nel SN rimarrà memorizzato ed usato a rese pubbliche ed a questi dati possono fini di marketing; difficilmente potremo eliminarlo accedere direttamente solo le persone a cui o cancellarlo, con tutte le conseguenze che volontariamente abbiamo consentito l’accesso. questo comporta. 24 Gli strumenti per affrontare la sicurezza
  • 25. LE TECNOLOGIE PER CONTROLLARE Per affrontare entrambi i problemi occorre IL TRAFFICO adottare tecnologie in grado di analizzare in dettaglio i contenuti dei flussi di traffico. Le applicazioni Web 2.0 sono spesso In particolare le minacce del tipo Malware caratterizzate da una forte interazione tra gli Intrusion si affrontano partendo dal perimetro utenti che, come accade per i siti di Social della rete aziendale, in modo da eliminare Network, porta un conseguente incremento all’ingresso eventuali malware veicolati dello scambio di dati tra gli utenti stessi. Questo attraverso la connessione al SN (tipicamente fenomeno, sebbene non sia di per sé negativo, sistemi di Network Intrusion Prevention, Network richiede una maggiore attenzione ai problemi Antivirus, Content Filtering etc.), fino a tecnologie di sicurezza logica che siamo già abituati ad di protezione degli host (es. Host Antivirus, Host affrontare nel Web “tradizionale” . Intrusion Prevention). La minaccia del tipo Data Extrusion o Data Restando in un contesto tecnico e ponendoci Leakage deve invece essere affrontata cercando nell’ottica dell’azienda che vuole consentire di applicare i controlli di sicurezza il più vicino l’accesso ai SN per i propri dipendenti e possibile ai dati, tipicamente sugli host o, dove collaboratori senza compromettere la sicurezza questo non fosse possibile, analizzando i flussi dei suoi dati, ci si può focalizzare su due di traffico in uscita per intercettare e bloccare categorie di problemi: le informazioni confidenziali che vengono 1. Malware Intrusion - cioè i contenuti che pubblicate sul SN o su altre applicazioni Web. possono essere scaricati dagli utenti attraverso il canale del SN: hyperlink, file o Il rischio purtroppo è che gli aspetti di sicurezza applicazioni che contengono o puntano a evidenziati portino l’azienda a mantenere un contenuti malevoli che, una volta raggiunto modello di collaborazione chiuso all’interno del un host interno all’azienda, possono arrivare suo perimetro. La consapevolezza di queste a compromettere la sicurezza dell’intera rete. problematiche dovrebbe invece guidare nella Prendendo spunto da quanto pubblicato scelta degli strumenti necessari a prevenire nel report dell’ENISA (www.enisa.europa. perdite di informazioni e nella definizione eu/act/res/other-areas/social-networks/ di policy aziendali che aiutino il dipendente security-issues-and-recommendations- all’uso corretto e sicuro dei SN in modo da for-online-social-networks), risulta che poter beneficiare pienamente dei vantaggi che diversi SN hanno un controllo dei contenuti possono apportare. non adeguato, e il rischio di “insicurezza” è amplificato dal continuo aumento di informazioni scambiate, rendendo il controllo dei contenuti un fattore sempre più critico e fondamentale per la sicurezza degli utenti e il successo del SN. 2. Data Extrusion - riguarda i dati di proprietà dell’azienda che devono essere trattati solo in un contesto controllato secondo le policy definite, ma che possono essere resi pubblici attraverso la pubblicazione nel SN, causando potenziali problemi alla reputazione e alla proprietà intellettuale dell’azienda (si pensi alla condivisione di informazioni tecniche e non solo, come si vede spesso nei blog). 25 Gli strumenti per affrontare la sicurezza
  • 26. CRITERI OTTIMALI PER LA SCELTA smarrimento o furto, la sua decodifica da parte DELLE PASSWORD di un malintenzionato è solo una questione di tempo. Una corretta politica di scelta e di Il fulcro sul quale ruotano la maggior parte dei gestione può allungare molto questo periodo problemi legati alla sicurezza dei sistemi di tipo di tempo, rendendo l’operazione di decodifica informatico e dei servizi a essi relazionati (come inaccessibile alla maggior parte degli aggressori ad esempio gli spazi personali afferenti alle reti comuni: a seconda della complessità, il tempo sociali) è sicuramente legato al buon uso delle necessario per l’individuazione potrebbe password; nonostante le continue conquiste corrispondere a svariati anni-uomo (anche tecnologiche, infatti, esse rappresentano ancora centinaia). Sarebbe possibile infatti solo il punto nevralgico dei sistemi di sicurezza. attraverso l’utilizzo parallelo di un massiccio numero di elaboratori che, operando in sinergia, Un aspetto che in qualche modo può potrebbero frazionare il tempo necessario fino essere considerato rassicurante è legato alla constatazione che la maggior parte dei a renderlo accettabile. Se ne deduce che la problemi legati alle password non scaturiscono soluzione non è alla portata di tutti, ma solo di da una debolezza intrinseca di questo tipo grosse e potenti strutture, del livello di INTERPOL di meccanismo, bensì da una sua gestione (International Criminal Police Organization), CIA impropria: vedremo che l’adozione di alcuni (Central Intelligence Agency) o FBI (Federal piccoli accorgimenti è sufficiente a rendere Bureau of Investigation). questo sistema quasi inespugnabile. In merito a quanto appena detto, occorre aprire Purtroppo, come spesso avviene nell’ambito una breve parentesi per accennare al fatto che, della sicurezza, molti utenti affrontano questo negli ultimi anni, si è sentito spesso parlare problema con leggerezza, scegliendo ed dell’utilizzo congiunto (consenziente o meno) utilizzando le password in modo inadeguato e di tante macchine connesse a Internet allo rendendo i loro sistemi estremamente insicuri. scopo di raggiungere un certo obiettivo: questo scenario lascia intravvedere la possibilità di Esistono delle regole di base che consentono la ridurre i tempi necessari all’individuazione di una creazione di una buona password e che, oltre password. a garantire un giusto livello di complessità, non espongono (come tante volte avviene) l’utente Riassumiamo quanto finora detto con alcuni al rischio di dimenticare la password proprio a consigli utili per la creazione e la gestione di causa della sua complessità. una password; pur rappresentando solo delle Lo stratagemma consiste nell’utilizzare, come linee guida di base, possono garantire una lettere costituenti la password, le iniziali di una complessità adeguata e, di conseguenza, una frase che conosciamo bene: ad esempio, la buona robustezza: famosa frase “essere o non essere, questo è il - utilizzare almeno sette caratteri per la password, problema” produrrà la parola “eoneqèip” . al fine di renderne difficile l’individuazione attraverso le tecniche di tipo Brute Force Il metodo adoperato può essere ulteriormente basate su tentativi reiterati nel tempo; migliorato sostituendo alcune lettere della - non adoperare mai parole di senso compiuto password con dei numeri o dei caratteri o di carattere personale come nomi di persona, speciali, come ad esempio la “i” con il numero date di nascita, codici fiscali; 1, la “o” con il numero 0 o la “a” con il carattere - usare in modo congiunto lettere maiuscole speciale @. Applicando quanto appena detto e minuscole, numeri e caratteri speciali come al precedente esempio, otterremo la parola $ e @; “e0neqè1p” . - non riutilizzare mai la stessa password in più Purtroppo, almeno in linea teorica, nessuna contesti (macchine e/o servizi diversi) al fine password al mondo può essere ritenuta di evitare un effetto a catena qualora questa sicura al 100%: anche escludendo i rischi di venga individuata. 26 Gli strumenti per affrontare la sicurezza
  • 27. AUTORI Cristina Berta Crede fortemente nel pieno dispiegarsi della dimensione “sociale” del Web e si propone come creatrice di campagne mirate, in grado di creare rumore e curiosità intorno ad un Brand, come si evince dal suo sito: www.cibbuzz.com Raoul Chiesa OPSA, OPST, ISECOM Trainer Founder, Presidente Onorario, @ Mediaservice.net Srl a Socio Unico (www.mediaservice.net) Socio Fondatore, Comitato Direttivo e Comitato Tecnico-Scientifico, CLUSIT (www.clusit.it) Senior Advisor, Strategic Alliances & Cybercrime Issues, Nazioni Unite @ UNICRI (www.unicri.it) Director of Communications, Board of Directors Member, ISECOM (www.isecom.org) Director of Communications, Board of Directors Member, OWASP Italian Chapter (www.owasp.org) at Large Member/ALS, ICANN (www.icann.org) Osservatorio Privacy & Sicurezza - OPSI - AIP, Comitato Esecutivo (www.aipnet.it) Angelo Iacubino Project Manager - Dipartimento Informatica, Università degli Studi dell’Insubria (dscpi.uninsubria.it) Consulente Informatico per aziende pubbliche e private Direttore Alta Formazione e contenuti Web per Associazione Informatici Professionisti (www.aipnet.it) Attività di docenza in master universitari e seminari didattici su tematiche riguardanti Sistemi Operativi, Reti Sociali, Computer Music, Programmazione, Linux&OpenSource Interventi come relatore a diversi eventi nazionali in ambito ICT, Educational e Pubblica Amministrazione (www.disinformatica.com) Ultime pubblicazioni: Facebook per la valorizzazione e promozione del museo (Atti Congresso AICA 2009, ISBN 978-88-9016-208-4); Creare Applicazioni per Facebook (Ed. FAG, ISBN 978-88-8233-814-5); Informatica e Musica, la Scienza si fa Arte (Ed. Insubria University Press, ISBN 978-88-95362-08-3); Un’introduzione efficace delle tecnologie Open Source nella Pubblica Amministrazione (Atti Congresso AICA 2007, ISBN 88-9016-203-1). Roberto Marmo Consulente informatico e professore a contratto di informatica presso la Facoltà di Ingegneria della Università di Pavia e Facoltà Scienze MM.FF.NN. della Università Insubria di Como, oltre che in vari Master. Autore dei libri “Introduzione alla visualizzazione scientifica” (Editore Il Rostro); “Creare applicazioni per Facebook” (Ed. FAG, ISBN 978-88-8233-814-5). www.robertomarmo.net Mario Mazzolini Laureato in Ingegneria delle Telecomunicazioni presso il Politecnico di Milano con tesi dal titolo “Protocolli per la sicurezza del VoIP: stato dell’arte e scenari futuri”. Ha svolto attività di consulenza nell’ambito della sicurezza informatica per aziende del settore ICT e assicurativo. Simone Riccetti Laureato in Ingegneria delle Telecomunicazioni al Politecnico di Milano. Da diversi anni si occupa di sistemi di sicurezza logica, architetture di rete e applicazioni IT. é entrato a far parte di IBM nel 2007 come Senior IT Security Architect, con il principale compito di disegnare soluzioni di sicurezza che soddisfino i requisiti tecnici e di business dei clienti. Oltre all’attività in IBM, collabora con la Facoltà di Scienze MM.FF.NN. dell’Università dell’Insubria di Como, dove è professore a contratto di Reti e Applicazioni II presso il Corso di Laurea triennale in Scienze e Tecnologie dell’Informazione. Roberto Saia Autore di vasto materiale su temi informatici, svolge attività di docenza e consulenza collaborando con diverse aziende ed enti del settore IT; professionalmente impegnato da tempo nel campo dell’amministrazione delle reti informatiche, si occupa oggi prevalentemente dei problemi inerenti alla loro sicurezza. Autore dei libri “Reti e sicurezza” (Ed. FAG, ISBN 978-88-8233-691-2) e “Sicurezza wireless e mobile” (Ed. FAG, ISBN 978-88-8233-774-2). www.robertosaia.it 27 Risorse utili
  • 28. BIBLIOGRAFIA A proposito di hackers profiling: Raoul Chiesa, Hacking Profile, Apogeo A proposito degli aspetti giuridici: Elvira Berlingieri, Legge 2.0 il Web tra legislazione e giurisprudenza, Apogeo A proposito di social engineering: Kevin Mitnick, L’arte dell’inganno, Feltrinelli A proposito delle tecniche di programmazione delle reti sociali per capire le debolezze dei sistemi: R. Marmo, A. Iacubino, Creare applicazioni per Facebook, FAG A proposito della sicurezza delle reti cablate e wireless: Roberto Saia, Reti e Sicurezza, FAG Roberto Saia, Sicurezza wireless e mobile, FAG ARTICOLI SU RIVISTE IN LINGUA INGLESE Jan Nagy, Peter Pecho, “Social Networks Security”, 2009 Third International Conference on Emerging Security Information, Systems and Technologies, pp. 321-325. Constantinos Patsakis, Alexandros Asthenidis, Abraham Chatzidimitriou, “Social networks as an attack platform: Facebook case study”, 2009 Eighth International Conference on Networks, pp. 245-247. Craig Asher, Jean-Philippe Aumasson, Raphael C.W. Phan, “Security and Privacy Preservation in Human-Involved Networks”, iNetSec 2009, IFIP International Federation for Information Processing AICT 309, pp. 139–148, 2009. Martin Pekárek, Stefanie Pötzsch, “A comparison of privacy issues in collaborative workspaces and social networks”, Identity in the Information Society, special issue on Social Web and Identity. Enkh-Amgalan Baatarjav, Ram Dantu, and Santi Phithakkitnukoon, “Privacy Management for Facebook”. ICISS 2008, LNCS 5352, Springer-Verlag, pp. 273–286, 2008. Philip W.L. Fong, Mohd Anwar, and Zhen Zhao, “A Privacy Preservation Model for Facebook-Style Social Network Systems”, ESORICS 2009, LNCS 5789, Springer-Verlag, pp. 303–320, 2009. SITOGRAFIA The Security Risks of Social Networks Seven Deadly Sins of Social Networking Security Hacking di applicazioni Web 2.0 con Firefox, di Redazione HTML.it Guida sicurezza applicazioni Web, di Redazione HTML.it European Network and Information Security Agency Recommendations for Online Social Networks Social Network Security Workshop - Stanford University, Sept. 11th 2009 Facebook Security Pagina del Garante della privacy sugli effetti collaterali dei social network File formato Adobe PDF con la guida preparata dal Garante della privacy sugli effetti collaterali dei social network 28 Risorse utili
  • 29. GLOSSARIO Access Point Dispositivo che consente la connessione alla rete di più macchine in modalità wireless. Account Insieme dei dati personali e dei contenuti caricati su un social network. Viene indicato anche solamente con il nome dell’utente utilizzato per identificare la persona ed accedere al servizio online. ACL Insieme delle regole impostate, ad esempio, su un Firewall o un Router. ADSL Acronimo di Asymmetric Digital Subscriber Line, tecnologia che permette l’inoltro di informazioni digitali ad alta velocità attraverso la rete telefonica standard (analogica). Adware La parola è il risultato dell’unione dei termini anglosassoni “advertising” (pubblicità) e “software”. AES Acronimo di Advanced Encryption Standard, un’implementazione del cosiddetto algoritmo Rijndael. Alias Falsa identità assunta su Internet, quindi anche sui siti di social network. L’utente può scegliere un nome di fantasia, uno pseudonimo, o appropriarsi dei dati di una persona realmente esistente per compiere atti illeciti. ARP Acronimo di Address Resolution Protocol, protocollo di risoluzione degli indirizzi operante nel livello Internet; esso risolve la corrispondenza tra indirizzi IP e indirizzi fisici MAC all’interno delle reti locali. Autenticarsi Accedere ad un sito scrivendo nome utente (chiamato anche “login” o “user name”) e password (parola chiave riservata, da non perdere). Backdoor Indica un punto illecito e nascosto di accesso ad un sistema. Bluetooth Standard basato su onde radio operanti alla frequenza di 2,45-2,56 Ghz (banda ISM). Bridge Dispositivo in grado di unire reti di diverso tipo. Broadcast Metodo adoperato per trasmettere attraverso le reti, basato sull’invio contemporaneo dei dati a tutti le macchine della rete. Browser Software del tipo Firefox o Internet Explorer per navigare attraverso le pagine nel Web. Bug Indica gli errori commessi durante la programmazione di un certo software. Business Social Network Un social network creato appositamente per costruire relazioni professionali e di affari tra le persone che formano il network. 29 Risorse utili
  • 30. Cache Memoria particolarmente veloce (solitamente di piccole dimensioni) adoperata per accedere rapidamente ad informazioni di frequente utilizzo. CCMP Acronimo di Counter Mode/CBC Mac Protocol (protocollo per il codice di autenticazione dei messaggi con concatenazione dei blocchi crittografati). Checksum Abbreviazione di SUMmation CHECK, identifica un particolare meccanismo di controllo dei bit inoltrati in una comunicazione, allo scopo di individuare eventuali errori. CIA Acronimo di Central Intelligence Agency. Cifrario di Cesare Uno dei più antichi algoritmi crittografici basato sul metodo denominato a sostituzione monoalfabetica. Client Adoperato in informatica per indicare una macchina che accede ai servizi offerti da un’altra macchina definita Server. Condividere Permettere ad altri utenti di accedere al materiale multimediale (testi, audio, video, foto) che è stato caricato online su un account o su un altro spazio di condivisione. Condizioni d’uso Regole contrattuali che vengono accettate dall’utente per accedere ad un servizio. Conviene leggerle con attenzione prima; non sono definitive perché possono essere modificate in corso d’opera dall’azienda erogante il servizio. Connectionless Tecnica di trasmissione dati del tipo non orientata alla connessione e senza alcun riscontro, cioè che non effettua alcun tipo di controllo sulle informazioni trasferite. CRC Acronimo di Cyclical Redundancy Check, algoritmo di controllo dell’integrità. Crittografia Termine di origine greca, il cui significato etimologico è “scritture nascoste”. Datagramma Identifica un pacchetto di dati con opportuna intestazione contenente le informazioni occorrenti per la consegna dello stesso; sinonimo è anche il termine “pacchetto”. Debug Processo di ricerca degli errori. Defacement Il termine anglosassone “defacement” (deturpazione) identifica un’azione svolta nei confronti di un sito Web allo scopo di cambiarne i contenuti. DHCP Acronimo di Dynamic Host Configuration Protocol, protocollo di rete per la configurazione dinamica dei Client. Dialer Deriva dal verbo inglese “to dial” che significa “comporre” ed è adoperato per indicare i software in grado di effettuare connessioni telefoniche. 30 Risorse utili