E' sempre più fervido il dibattito relativo ai cosiddetti Social Network, quelle applicazioni come MySpace, Facebook, Linkedin, Plaxo che rappresentano oggigiorno una delle più evolute e gettonate forme di comunicazione via Internet, e che ci permettono di entrare a far parte spesso di vaste comunità virtuali (quelle del Web 2.0 per intenderci).
Pur costituendo, dal mio punto di vista, un interessante strumento comunicativo e di aggregazione, spesso mi chiedo se il loro utilizzo non porti con se' anche nuovi e maggiori rischi per la sicurezza, nostra personale e dei soggetti con i quali interagiamo in rete o via rete.
Chi di noi non fa uso di almeno uno strumento di questo tipo ? Personalmente, ad esempio, ho un profilo su Linkedin già da qualche anno. Vedo poi che molti colleghi che operano in ambito ICT - io non ne ho ancora avuto occasione, ecco perchè parlo solo di altri :-) - sfruttano il canale YouTube, talvolta anche per la pubblicazione di materiale che ha diretta relazione con la loro attività professionale ... Non dimentichiamo poi i blog, personali, collettivi, tematici, supportati in larga parte da servizi gratuiti (questo rientra appunto nella categoria).
E allora mi dico: ma se, in un giorno qualsiasi, ricadessi anch'io nel gruppo di coloro che per un clik un po' disattento o frettoloso contribuiscono a creare e/o crearsi un problema ?
Va da sè che restare informati e muoversi con cautela nella rete - il solito buon senso, insomma - rappresentano delle regole imprescindibili di condotta; ma qualche dubbio mi rimane, alimentato da quest'articolo che leggo su ZeroDay, un'articolo che esordisce in questo modo:
"Do you know what that innocent-looking Facebook app is really doing?
Researchers at the Institute of Computer Science (ICS) have created a proof-of-concept Facebook application capable of covertly herding users of the popular social network into a powerful — and malicious — botnet.
The demo application, called Photo of the Day, delivers a different image from National Geographic everyday but, behind the scenes, special code embedded into the application creates a botnet of Facebook users launching denial-of-service attacks.
... "
Il meccanismo di funzionamento dell'applicazione (dettagliatamente descritto in http://blogs.zdnet.com/security/images/facebotisc08.pdf) fa leva sulla caratteristica tipica del Web di fornire riferimenti a contenuti ospitati su ambienti e domini diversi (i link ad altri siti). Nel caso specifico, quando un utente consulta una pagina referenziata dal link in questione, il browser inizia a scaricare dal sito vittima consistenti moli di dati, senza tuttavia rendere la cosa evidente all'utente stesso. In tal modo, proprio in ragione della numerosità degli utenti del social network e quindi del presumibile enorme numero di accessi alla pagina, si arriva presto alla saturazione della banda della vittima.
Il fatto di sfruttare i social network, caratterizzati da un'ampia base di utenti con interessi in comune, interessi che li porteranno anche a consultare le medesime risorse in rete, è senza dubbio un fatto dal potenziale enorme. L'esperimento descritto dall'articolo in questione lo dimostra.
E' legittima, pertanto, a parer mio, la preoccupazione che tali nework possano trasformarsi in potenti botnet o comunque in veicoli di infezione.
Ma vi è di più. Le ultime tendenze in fatto di creazione e diffusione di codice malevolo vedono il crescente utilizzo dei linguaggi di scripting (Java Script in primis) e l'impiego di pagine HTML e ASP, elementi che evidenziano la volontà di sfruttare proprio il Web 2.0 come veicolo di infezione (si veda a tal proposito il report annuale elaborato da Kaspersky per il 2007).
Ma allora che cosa è bene fare ? Smettere di frequentare le community e i Social Network ? Certo che no; e poi non ci penso proprio a cancellare il mio profilo Linkedin :-)
Torna la solita logica del buon senso: magari pensiamoci una volta in più prima di fare click su quel link così suadente, soprattutto se ci capita di fare click dal nostro computer aziendale.
Se poi dovessimo finire in qualche pasticcio ... beh, noi esperti di security, altrimenti, che cosa avremmo da fare ?
Nessun commento:
Posta un commento