Upload
patrizio-tufarolo
View
1.339
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Slide per il seminario Sicurezza nel Social Networking, tenuto al LUG di Crema presso il DTI dell'Università degli Studi di Milano (Crema)
Citation preview
SICUREZZA NEL SOCIALNETWORKING
FILIBUSTA LINUX USER GROUPMERCOLEDÌ 21 MAGGIO
patrizio tufarolo <[email protected]>filibusta lug [ http://filibusta.crema.unimi.it ]
COS’È UN SOCIAL NETWORK?• Servizio online
• Permette di relazionarsi con contatti e amici
• Permette di comunicare un messaggio
COSA SI FA SU UN SOCIAL NETWORK?
• Si rafforzano i rapporti reali
• Si fanno nuove conoscenze
• Ci si relaziona conversando, pubblicando, condividendo
DIFFUSIONE DEI SOCIAL NETWORK
LE QUATTRO NECESSITÀ DELL’UTENTE
• Necessità associativa
• Necessità di stima
• Necessità di autorealizzazione
• Necessità di sicurezza
SICUREZZA NEI SOCIAL NETWORK
• Mantenimento della Privacy
• Meccanismi di autenticazione, pro e contro
• Azioni fraudolente online
• Sniffing del traffico, azione e prevenzione
“The number of businesses that were targets for spam, phishing and malware via social networking sites increased dramatically, with spam showing the sharpest rise from 33.4% in April to 57% in December. What’s more, over 72% of firms believe that employees’ behaviour on social networking sites could endanger their business’ security.” Sophos Security Threat Report 2010
PRIVACY
• Tutto ciò che viene pubblicato rimane, spesso per sempre
• Violazione della privacy mediante geolocalizzazione
• Facile information-gathering per attacchi di social-engineering
• Pubblicazione delle foto, tag
• Dati condivisi con applicazioni di terze parti
• Diffusione di dati personali appartenenti a persone non iscritte al social network
• Tracciamento della navigazione
MINACCE IN AMBITO BUSINESS
• Diffusione di Malware (trojan, worms, rootkits…)
• Danni all’immagine e alla reputazione
• Perdita di dati riservati
• Open Source Intelligence
• Frodi
• Diminuzione della produttività
SOCIAL ENGINEERING E PHISHING
• Furto dell’identità digitale
• Whaling
TRACCIAMENTO DELLA NAVIGAZIONE
• Cookies
• Flash cookies
• Scripts
• Web bugs
• Referrer tracking
• Social widgets
• Browser fingerprinting
CLICKJACKING
• Likejacking
• Condivisione involontaria su Facebook
• Follow involntario su Twitter
APPLICAZIONI DI TERZE PARTI: OAUTH
RequestRequest Token
Grant Request Token
Direct user to service provider
Service consumer Service provider
Obtain user authorization
Direct user to consumer
Request Access Token
Grant Access Token
Access protected resources
DOMANDE?
SESSION HIJACKING
…la parola a Mattia Reggiani