Rifondazione

Che cos’è il social injection?

Letteralmente “iniezione sociale” è una nuova frontiera dell’hacking.
Si basa sulla ricerca di informazioni personali di ignari utenti che utilizzano social network, blog e forum con l’intento di riutilizzarli per fini secondari, come lo steal di password o account di home banking.

Avete mai provato a cercare il vostro nome o nickname su google e scoprire i risultati? Sicuramente si.
Avete visto quante informazioni vengono fuori? La vostra pagina di facebook, quella di netlog, linked in ecc…

Ecco il social injection si basa su questo.

Sappiate che un hacker, ma anche un banale utente, può utilizzare tutte queste informazioni per ritorcerle contro di voi. Come?

La spiegazione è più semplice del previsto.

Avete un account di posta?
Si? Bene.

Sapete come si recupera la password del vostro account di posta?

Beh ci sono due modi.

  • Con l’invio di una mail ad un account secondario
  • Con la domanda segreta !!!

Beh ora andate a vedere qual’è la domanda segreta

  1. Il nome del vostro animale
  2. Il luogo di nascita di vostra madre
  3. Il vostro cantautore preferito
  4. Il vostro personaggio storico preferito

Vi sentite già in pericolo vero?

Tutte queste informazioni sono tutte facilmente reperibili su internet con una semplice ricerca sul web!

Facciamo un piccolo esempio:

Cerchiamo su google “contatti msn” e apriamo uno qualsiasi dei primi siti; questo è quello che ci troveremo davanti:

Centinaia di indirizzi email e piccole frasi che descrivono l’interessi della persona (non stiamo a vedere quali )

Beh, prendiamo un indirizzo a caso e proviamo a cercarlo sempre su google (se la ricerca dell’indirizzo email non dovesse produrre tanti risultati provate con solo la prima parte dell’indirizzo, la maggior parte delle volte infatti identifica il nick name dell’utente):

Contatti di windows live, net log, forum…anche domande dove viene chiesto se sia possibile rubare le password ad altri (casualità? )

E datemi retta. Questa è solo una piccola ricerca. Con qualche minuto in più possiamo raddoppiare anche le informazioni utili.

Adesso esaminiamo più attentamente i risultati:

Abbiamo già delle descrizioni dell’utente:

  • Mi chiamo xxxx yyyyy
  • Vivo a zzzzzzz

Per adesso fermiamoci qua. Torneremo a questa pagina più tardi:

Adesso passiamo alla vera azione:

Prendiamo l’indirizzo email del nostro malcapitato che sappiamo risieda su hotmail e andiamo a questo indirizzo:

https://account.live.com/ResetPassword.aspx?mkt=IT-IT&ru=https://login.live.com/login.srf%3flc%3d1040%26wa%3dwsignin1.0%26rpsnv%3d11%26ct%3d1256115607%26rver%3d6.0.5285.0%26wp%3dMBI%26wreply%3dhttp:%252F%252Fmail.live.com%252Fdefault.aspx%26id%3d64855%26mkt%3dit-it%26bk%3d1256115608%26lc%3d1040%26vv%3d650&lc=1040

Inseriamo la mail, il captcha e clicchiamo su continua:

Adesso ci troveremo di fronte alle due opzioni di cui parlavamo prima:

  1. Utilizza la località di residenza e la domanda segreta per verificare la mia identità
  2. Inviami tramite posta elettronica istruzioni per reimpostare la password

Scegliamo di utilizzare la domanda segreta e ci troveremo davanti questa pagina:

Siamo al dunque:

Cosa ci viene chiesto?

Beh lo stato….facile Italia,

La città e il cap… Beh anche questo lo sappiamo ce lo dice l’utente.

E la domanda?

Personaggio storico preferito

Beh, inutile dire che i tentativi a questa domanda potrebbero essere anche casuali…

  • Alessandro Magno
  • Giulio Cesare
  • Leonardo Da Vinci

Ma credetemi basta veramente poco per rispondere a questa domanda!!!

Un gruppo su facebook…una domanda su yahoo answer, un messaggino su badoo o su un forum ed il gioco è fatto.

Inseriamo la domanda e potremmo reimpostare la password ed avere il così il completo accesso al suo indirizzo di posta e così a tutto ciò che ha salvato al suo interno.

Questa procedura è più o meno uguale per tutti gli account di posta e il modo per arrivare alla risposta può variare ma il succo rimane lo stesso.

Spero che questo topic vi possa servire per capire i potenziali rischi che i social comportano e possa darvi una mano a difendervi dai malintenzionati.

Che ne dite di correre a cambiare (o proprio togliere) la domanda di sicurezza del vostro account di posta?

Si sa, i social network hanno oramai invaso le nostre vite.

Siamo sempre più abituati ad aggiornare i nostri account condividendo con amici e parenti i nostri hobby, i nostri interessi le nostre passioni.

A volte ci sentiamo anche stupidi a farlo.

Pensiamo di essere stati intrappolati dal sistema e forse non abbiamo nemmeno

tutti i torti.

Beh, se la cosa vi può consolare posso dirvi che almeno non siamo i soli a farlo.

Dopo il salto un interessantissimo filmato che cita qualche numero dei social network. Assolutamente da vedere!

Vi riporto qua l’articolo scritto sul blog di Fabrizio Ciacchi. Dato che nell’articolo si fa riferimento all’amico con cui ha fatto tutte queste prove…beh, lascio a voi indovinare chi sia quest’amico

Un po’ di tempo fa con un amico stavamo cercando il modo di rapportare e comparare il famoso Pagerank di Google con un altro famoso ranking, quello di Alexa. Il problema se si vuole valutare un sito, infatti, è innanzitutto portare i valori su una metrica comune e poi fare la classica media matematica.

Per chi non fosse pratico con i due tipi di rank esposti sopra, il Google Pagerank è un valore da 0 a 10, essenzialmente basato sul numero di link che un sito riceve dagli altri siti (detto in parole povere, se il tuo sito è linkato hai un pagerank più alto), mentre l’Alexa Rank si basa su i campioni di dati ricevuti dalla loro toolbar (installabile sui principali browser) e stila una classificain base al numero di click fatti sui vari siti. L’Alexa Rank ha quindi un valore che va da 1 (il sito di yahoo) a qualche milione (i siti come questo).

Prendiamo quindi un sito famoso, www.corriere.it, e cerchiamo di capire se effettivamente possiamo trovare una correlazione tra i due tipi di misurazione.

  • Pagerank: 8/10
  • Alexa Rank: 419

Proviamo quindi con un altro sito, abbastanza famoso in italia, ma meno famoso all’estero,www.html.it.

  • Pagerank: 6/10
  • Alexa Rank: 2319

Riuscite a vedere una correlazione? E’ talmente semplice, che è quasi ovvia:

  • PageRank = round(10 – (log(AlexaRank)))

Proviamo con i dati di sopra (notare che il logaritmo è in base dieci):

  • 8 = round(10 – log(419)) = round(10 – 2,62) = round (7,38)
  • 6 = round(10 – log(2319) = round (10 – 3,37) = round (6,63)

Ovviamente la formula non è perfetta, ma vi posso assicurare che tranne alcuni casi particolari (es. siti web con pagerank particolarmente bassi), è abbastanza accurata. E funziona allo scopo, perché corregge il tiro del Pagerank, nel senso che fornisce un’indicazione su quanto possa essere preciso. Ovvero, un sito in 2319ma posizione merita un “rialzo” rispetto ad un pagerank di 6, così come forse merita un ribasso il sito del corriere che non è forse un 8 pieno.

C’è una spiegazione? Forse sì. Ho letto un bel po’ di tempo fa il libro Nexus che parla appunto della teoria delle reti, delle correlazioni nelle reti “piccolo-mondo” come appunto Internet. A parte consigliare il libro per la sua bellezza, il succo della teoria è che gli eco-sistemi composti da elementi che interagiscono diventano reti di un particolare tipo; queste reti hanno molte proprietà che le rendono il miglior compromesso tra ordinato e casuale, tra efficienza e stabilità. In quest’ottica, quindi, abbiamo intaccato, se non la formula di Google, almeno lo schema che sta dietro alla metrica, ovvero che c’è una correlazione diretta tra il numero di link e il numero di click. Sembra un’ovvietà, ma il bello che questo è indipendente dalle persone che navigano e dalle scelte che compiono, è riassumibile in una formula (le formule più belle sono quelle semplici), è dimostrabile, e questo io personalmente lo ritengo affascinante.