Social network poisoning

Con il termine social network poisoning si intende l'effetto prodotto dall'applicazione di metodi volti a rendere inaffidabili le conoscenze relative ad un profilo e alle relazioni ad esso afferenti[1]. L'applicazione su larga scala di attacchi di questo genere potrebbe portare al crollo delle piattaforme di rete sociale[2] inficiandone la valenza ai fini commerciali, oltre che l'utilità in termini di conoscenza e correlazione sui dati forniti dagli utenti[3], con un sensibile impatto sul relativo valore economico.

Introduzione

modifica

Le "poisoning action" sono condotte con l'obiettivo di inquinare i contenuti presenti all'interno delle reti sociali tipicamente introducendo profili artefatti e relazioni inesistenti tra questi ultimi e quelli reali rendendo di fatto inaffidabili le informazioni. Il risultato conseguente è la rottura della catena di fiducia sulla quale si fondano tutte le reti sociali; allo scopo di non consentire a motori di ricerca appositamente sviluppati di recuperare informazioni di ogni genere relative ad un particolare profilo.

Tassonomia

modifica

Partendo dall'assunto che in Internet ed in particolare all'interno dei Social Network manca una gestione[4] coerente e sicura dell'Identità digitale, è possibile introdurre i principali strumenti di poisoning attualmente praticabili ed ipotizzarne di nuovi in uno scenario futuro:

Strumenti attuali

  • Sostituzione d'identità, ovvero la possibilità di impersonare un altro utente per gli scopi più vari dall'intelligence all'ingegneria sociale[5].
  • Simulazione d'identità,[6] la creazione di un falso profilo, che non corrisponde ad alcuna persona esistente, per fini malevoli o semplicemente per mantenere l'anonimato.
  • Profile fuzzing, l'introduzione volontaria di elementi falsi e/o non congrui nel proprio profilo per ingannare i sistemi di intelligence, impedire attività di OSINT[7] o per altre forme di vantaggio personale.
  • Social graph fuzzing, l'associazione intenzionale a gruppi e persone che non hanno a che fare con i propri interessi e relazioni con l'intento di introdurre "rumore" nel proprio grafo sociale.

Strumenti futuri:

  • personae / social bots[8], creazione di un numero considerevole di profili falsi (e.g. milioni di falsi profili) gestiti da macchine, capaci di interagire tra loro e con utenti reali in modalità verosimile, modificando così il "sentiment" e la "conversation" su larga scala oltre ad alterare tutti i social graph e ad impedire correlations sensate sui dati.
  • black curation, l'utilizzo di utenze reali "bucate" o fittizie per intervenire su argomenti dei quali si vuole modificare il senso, o per crearne di nuovi ad-hoc, in analogia al black SEO (search engine optimization)[9] già in uso sui motori di ricerca.
  1. ^ Kevin D. Mitnick, William L. Simon and Steve Wozniak (2003). "The Art of Deception: Controlling the Human Element of Security", Wiley.
  2. ^ Matthew O. Jackson (2010). "Social and Economic Networks", Princeton University Press.
  3. ^ Charu C. Aggarwal (2011). "Social Network Data Analytics", Springer.
  4. ^ David Birch (2007). "Digital Identity Management", David Birch Editor.
  5. ^ Christopher Hadnagy (2010). "Social Engineering: The Art of Human Hacking", Wiley.
  6. ^ Carl Timm, Richard Perez(2010). "Seven Deadliest Social Network Attacks", Syngress.
  7. ^ Selma Tekir (2009). "Open Source Intelligence Analysis: A Methodological Approach", VDM Verlag.
  8. ^ Rick Howard (2009). "Cyber Fraud: Tactics, Techniques and Procedures", Auerbach Publications.
  9. ^ Eric Enge, Stephan Spencer, Rand Fishkin and Jessie Stricchiola (2009). "The Art of SEO: Mastering Search Engine Optimization (Theory in Practice)", O'Reilly Media.

Bibliografia

modifica
  • Kevin D. Mitnick, L'arte dell'inganno. I consigli dell'hacker più famoso del mondo, Feltrinelli Editore (2005), ISBN 8807818418
  • Ian Mann, Hacking the human: social engineering techniques and security countermeasures, Gower Publishing, Ltd. (2008), ISBN 0566087731
  • Teri Bidwell, Michael Cross, Ryan Russell, Hack Proofing Your Identity in the Information Age, Syngress (2002), ISBN 1931836515
  • Peter J. Carrington, Professor John P. Scott, The Sage Handbook of Social Network Analysis, SAGE Publications Ltd (2011), ISBN 1847873952
  • Emily Finch, Stefan Fafinski, Identity Theft, Willan Publishing (2011), ISBN 184392238X
  • Ronggong Song, Larry Korba, George Yee, Trust in E-services: Technologies, Practices and Challenges, IGI Publishing (2007), ISBN 159904207X
  • Matthew A.Russell, Mining the Social Web: Analyzing Data from Facebook, Twitter, LinkedIn, and Other Social Media, Sites O'Reilly Media (2007), ISBN 1449388345
  • Rob Brown, Public Relations and the Social Web, Kogan Page (2009), ISBN 0749455071
  • John Sileo, Privacy Means Profit: Prevent Identity Theft and Secure You and Your Bottom Line, Wiley (2010), ISBN 0470583894

Voci correlate

modifica