Social network poisoning

Con il termine social network poisoning si intende l'effetto prodotto dall'applicazione di metodi volti a rendere inaffidabili le conoscenze relative ad un profilo e alle relazioni ad esso afferenti[1]. L'applicazione su larga scala di attacchi di questo genere potrebbe portare al crollo delle piattaforme di rete sociale[2] inficiandone la valenza ai fini commerciali, oltre che l'utilità in termini di conoscenza e correlazione sui dati forniti dagli utenti[3], con un sensibile impatto sul relativo valore economico.

Introduzione[modifica | modifica wikitesto]

Le "poisoning action" sono condotte con l'obiettivo di inquinare i contenuti presenti all'interno delle reti sociali tipicamente introducendo profili artefatti e relazioni inesistenti tra questi ultimi e quelli reali rendendo di fatto inaffidabili le informazioni. Il risultato conseguente è la rottura della catena di fiducia sulla quale si fondano tutte le reti sociali; allo scopo di non consentire a motori di ricerca appositamente sviluppati di recuperare informazioni di ogni genere relative ad un particolare profilo.

Tassonomia[modifica | modifica wikitesto]

Partendo dall'assunto che in Internet ed in particolare all'interno dei Social Network manca una gestione[4] coerente e sicura dell'Identità digitale, è possibile introdurre i principali strumenti di poisoning attualmente praticabili ed ipotizzarne di nuovi in uno scenario futuro:

Strumenti attuali

  • Sostituzione d'identità, ovvero la possibilità di impersonare un altro utente per gli scopi più vari dall'intelligence all'ingegneria sociale[5].
  • Simulazione d'identità,[6] la creazione di un falso profilo, che non corrisponde ad alcuna persona esistente, per fini malevoli o semplicemente per mantenere l'anonimato.
  • Profile fuzzing, l'introduzione volontaria di elementi falsi e/o non congrui nel proprio profilo per ingannare i sistemi di intelligence, impedire attività di OSINT[7] o per altre forme di vantaggio personale.
  • Social graph fuzzing, l'associazione intenzionale a gruppi e persone che non hanno a che fare con i propri interessi e relazioni con l'intento di introdurre "rumore" nel proprio grafo sociale.

Strumenti futuri:

  • personae / social bots[8], creazione di un numero considerevole di profili falsi (e.g. milioni di falsi profili) gestiti da macchine, capaci di interagire tra loro e con utenti reali in modalità verosimile, modificando così il "sentiment" e la "conversation" su larga scala oltre ad alterare tutti i social graph e ad impedire correlations sensate sui dati.
  • black curation, l'utilizzo di utenze reali "bucate" o fittizie per intervenire su argomenti dei quali si vuole modificare il senso, o per crearne di nuovi ad-hoc, in analogia al black SEO (search engine optimization)[9] già in uso sui motori di ricerca.

Note[modifica | modifica wikitesto]

  1. ^ Kevin D. Mitnick, William L. Simon and Steve Wozniak (2003). "The Art of Deception: Controlling the Human Element of Security", Wiley.
  2. ^ Matthew O. Jackson (2010). "Social and Economic Networks", Princeton University Press.
  3. ^ Charu C. Aggarwal (2011). "Social Network Data Analytics", Springer.
  4. ^ David Birch (2007). "Digital Identity Management", David Birch Editor.
  5. ^ Christopher Hadnagy (2010). "Social Engineering: The Art of Human Hacking", Wiley.
  6. ^ Carl Timm, Richard Perez(2010). "Seven Deadliest Social Network Attacks", Syngress.
  7. ^ Selma Tekir (2009). "Open Source Intelligence Analysis: A Methodological Approach", VDM Verlag.
  8. ^ Rick Howard (2009). "Cyber Fraud: Tactics, Techniques and Procedures", Auerbach Publications.
  9. ^ Eric Enge, Stephan Spencer, Rand Fishkin and Jessie Stricchiola (2009). "The Art of SEO: Mastering Search Engine Optimization (Theory in Practice)", O'Reilly Media.

Bibliografia[modifica | modifica wikitesto]

  • Kevin D. Mitnick, L'arte dell'inganno. I consigli dell'hacker più famoso del mondo, Feltrinelli Editore (2005), ISBN 8807818418
  • Ian Mann, Hacking the human: social engineering techniques and security countermeasures, Gower Publishing, Ltd. (2008), ISBN 0566087731
  • Teri Bidwell, Michael Cross, Ryan Russell, Hack Proofing Your Identity in the Information Age, Syngress (2002), ISBN 1931836515
  • Peter J. Carrington, Professor John P. Scott, The Sage Handbook of Social Network Analysis, SAGE Publications Ltd (2011), ISBN 1847873952
  • Emily Finch, Stefan Fafinski, Identity Theft, Willan Publishing (2011), ISBN 184392238X
  • Ronggong Song, Larry Korba, George Yee, Trust in E-services: Technologies, Practices and Challenges, IGI Publishing (2007), ISBN 159904207X
  • Matthew A.Russell, Mining the Social Web: Analyzing Data from Facebook, Twitter, LinkedIn, and Other Social Media, Sites O'Reilly Media (2007), ISBN 1449388345
  • Rob Brown, Public Relations and the Social Web, Kogan Page (2009), ISBN 0749455071
  • John Sileo, Privacy Means Profit: Prevent Identity Theft and Secure You and Your Bottom Line, Wiley (2010), ISBN 0470583894

Voci correlate[modifica | modifica wikitesto]