SlideShare a Scribd company logo

Mobile, iot e social network

L
Luca Di Bari

Rischi connessi ai social media e all’evolversi degli scenari tecnologici nelle società avanzate

Social Media
1 of 75
Download to read offline
Mobile, IoT e Social Network I rischi connessi ai social media e all’evolversi degli scenari tecnologici nelle società avanzate Luca Di Bari
Social Network e consapevolezza
I social network I social network mettono in comunicazione le persone Attraverso i social network, persone con interessi affini formano comunità virtuali I social network offrono molteplici servizi per comunicare e condividere informazioni come chat, email, conferenze audio/video, file sharing, ecc..
Social network più usati nel 2020
Privacy e Social Network Informazioni condivise: • Foto ed altri media. • Età e genere. • Informazioni biografiche (studi, posizione lavorativa, ecc). • Post. • Contatti. • Interessi. • Geolocalizzazione. Come? Scientemente: Un utente può scegliere di renderle pubbliche. Mancanza di consapevolezza: Alcune informazioni sono pubbliche per default. Agreement: Un social network può cambiare le proprie policy privacy. Dolo: Le informazioni condivise possono essere copiate e a loro volta condivise da soggetti terzi. Superficialità: Le applicazioni di terze parti possono avere potenzialmente accesso a tutte le informazioni dell’utente
• Tracciano quali siti sono stati visitati. • Mantengono informazioni associate a uno specific sito web (es. Carrello di Amazon o liste dei desideri). • Mantengono informazioni quale il referer (link path). • Aiutano a profilare l’utente. Perche? (Scopi legali) Creare campagne pubblicitare personalizzate Personalizzare le applicazioni “embedded” nel social network
Furto d’identità e impersonificazione Obiettivi principali: • Password • Informazioni bancarie • Numeri di carte di credito • Informazioni conservate nei device (es. Contatti) • Accessi non autorizzati (es. Backdoor)
SPAM • Veicolato attraverso il social network • Veicolato attraverso email: • Generiche (broadcast) • Create ad hoc (context aware) • http session hijacking
http Session Hijacking Lo scopo è rubare la sessione http dell’utente A per arrivare ad attingere alle informazioni di altri utenti del suo network e costruire campagne di spam «content-aware» come lo Spear Phishing
Spear Fishing Come? Attraverso il link o un allegato in una mail: • Costruita specificatamente per catturare l’interesse della vittima. • Inviata da una fonte «affidabile» • Inerente qualcosa di interesse “abituale” per la vittima.
Anatomia di un attacco Spear Phishing 1) L’attaccanteusa il social networkper trovare persone che lavorano in un’azienda target e che hanno potenzialmenteaccesso a dati d’interesse
Malware Vettori di attacco • API Rest dei social network • Fake account e profili • Download attack • Shortened e hidden link • Attacchi Cross site script
Device Mobili
Vettori di attacco 57,08% 21,52% 7,37% 3,44% 2,72% 2,54% 1,98% 1,62% 0,59% 0,50% 0,64% Trojan (SMS) RiskTool Adware Trojan Monitor Backdoor Trojan (Financial) Exploit HackTool Trojan (Downloader) •Malware • Virus e Rootkit • Application modification • OS modification •Data Exfiltration • Dati aziendali • Print screen • Perdita di backup su schede ssd •Data Tampering • Modifiche apportate da applicazioni • Jailbreacking •Data Loss • Perdita del device • Accessi non autorizzati • Applicazioni vulnerabili
Conseguenze • Esfiltrazione dei dati • Uso improprio delle risorse − DoS del device, movimento laterale. • Perdita di reputazione − Invio di messaggi fake a contatti memorizzati sul device. • Furto di Identità − utilizzo di foto, dati anagrafici, dati finanziari ecc, per impersonificare la vittima e perpetrare crimini .
Cosa è possibile fare con un device compromesso ?
OWASP Top 10 : M1 Improper platform usage Abuso di una funzionalità o fallimento di un controllo di sicurezza della piattaforma mobile. Case study: Citrix Worx apps Possibilità di bypassare il Touch ID per l’utilizzo di Citrix Worx apps seguendo dei semplici passi: 1. Riavviare l’iPhone; 2. Aprire una delle Citrix Worx apps; 3. Avviare l’autenticazione e annullare il Touch ID; 4. Chiudere l’applicazione e riaprirla. Il problema derivava dalla cattiva gestione del “secret” quando viene memorizzato dall’applicazione. L’utente risulta autenticato correttamente quando il processo viene cancellato e l’app lanciata nuovamente.
OWASP Top 10 : M2 Insecure data storage Storicizzazione dei dati insicura e data leakage involontario. Case study: Tinder La funzionalità di Tinder che permetteva di mostrare le persone “loggate” all’applicazione nelle vicinanze inviava al device l’esatta posizione delle persone.
OWASP Top 10: M3 Insecure communication Tipici esempi: • Handshaking insicuro (mancanza di certificate pinned); • Versione SSL deprecate • Comunicazioni in chiaro (HTTP invece che HTTPS) Case study: gli smartwatch Misafe Mancanza di cifratura e autenticazione nelle comunicazioni • La geolocalizzazione real time del bambino; • chiamare il bambino sul suo orologio, • Inviare messaggi audio aggirando la whitelist; • Esfiltrare informazioni sui bambini quali foto, nome, data di nascita, ecc.
OWASP Top 10: M4 Insecure authentication Problemi nell’autenticazione utente o cattiva gestione della sessione come ad esempio: • Fallimento nell’identificazione dell’utente; • Fallimento nel mantenere l’identità dell’utente; • Gestione della sessione debole. Case study : Grab app su android Possibilità di bypassare la 2FA forzando un attacco a forza bruta sul pin a 4 cifre (senza limiti ai tentativi) accedendo alle informazioni sui metodi di pagamento, ordini, ecc.
OWASP Top 10: M5 Insufficient cryptography Crittografia insufficiente ad esempio utilizzando un algoritmo custom o deprecato. Case Study: Ola app • La chiave di crittografia era la stessa utilizzata per cifrare le password degli altri account (“PRODKEYPRODKEY12“); in questo modo era possibile, con un attacco di session hijacking, inviare false richieste ai server.
OWASP Top 10: M6 Insecure authorization • Fallimento dell’autorizzazione che permette di eseguire comandi con privilege più alti; Case Study: Viper smart start • Lo smart start dei veicoli “Viper” non controllava correttamente le autorizzazioni. Una volta che un utente accedeva al server era possibile cambiare l’ID number della autovettura e ottenere l’accesso a dati come la geolocalizzazione dell’auto, cambiare i dati o aprire remotamente il veicolo.
OWASP Top 10: M7 Client code quality Problematiche correlate alla qualità del codice come ad esempio: • buffer overflow; • format string vulnerability; • Errori di architettura applicative. Case Study: WhatsApp • Inviando una serie di pacchetti malformati durante una call con WhatsApp era possibile generare un buffer overflow che permetteva di lanciare codice arbitrario indipendentemente dall’avvenuta risposta alla call inoltrata. • Questa vulnerabiltà è stata usata per installare spyware di vario genere.
OWASP Top 10: M8 Code tampering • Ovvero: • Patching dei file binari, • Modifiche delle risorse, • Aggiungere codice attraverso hooking/swizzling, • Modifiche nella memoria dinamica. Case Study: Pokemon GO • I fan del gioco “reversarono” l’applicazione per iniettare dati di geolocalizzazione falsi. Crearono inoltre un sito web dove era possibile visualizzare la locazione di ogni pokemon cambiando le dinamiche del gioco. • Questo “scherzo” costò alla casa produttrice una perdita di reputazione oltre che di utenti
OWASP Top 10: M9 Reverse engineering Include l’analisi del codice binario da cui è possibile ricavare: • Il codice sorgente • Le librerie • Gli algoritmi Il Reverse engineering rende più facile rivelare le vulnerabilità applicative e le informazioni concernenti i server di backend le cypher suite e le costanti crittografiche, ecc. Case Study: tutti i precedenti
OWASP Top 10: M10 Extraneous functionality Ovvero: • Funzionalità nascoste, • Funzionalità di sviluppo non pensate per l’utilizzo in produzione. Case Study: Wifi File Transfer • L’app Wifi File Transfer App apriva delle porte sui device Android per permettere la connessione remota al fine di trasferire file, foto, contenuti memorizzati su SD card senza gestire l’autenticazione e permettendo di fatto l’accesso totale al device. • Un gruppo di ricercatori dell’università del Michigan ha scoperto questa vulnerabilità ed in particolare che: • 1,632 applicazioni aprono porte che permettono la connessione remota; • 410 di queste sono potenzialmente vulnerabili • 57 app sono facilmente “esploitabili”.
Cambiamento dell’infosfera
L’infosfera • L'infosfera di una società post-moderna è, il suo ambiente di informazione. Il concetto comprende: • i media classici; • i social media; • la propaganda politica; • Internet e le reti di comunicazione telematica: • tutti i canali che alimentano questi vettori di informazioni; • il modo in cui gli individui interagiscono con le informazioni; • le tecnologie che interagiscono con le basi dati. Nella filosofia dell'informazione si intende la globalità dello spazio delle informazioni.
Fondamenta delle società avanzate Società avanzate Reti di raccolta e scambio dati. Capacità di analisi e profilazione Capacità di guidare i processi decisionali. Internet delle cose (IoT) Intelligenza artificiale Algoritmi decisionali Realtà virtuale/aumentata Internet delle cose Tecnologie Impieghi e sinergie Vulnerabile alla manipolazione dei dati
Lo scenario sociale • Il ruolo della decadenza della verità sull’infosfera delle società post- moderne: • Aumento del dissenso in merito ai fatti e all’interpretazione analitica dei dati; • Confine sempre meno delineato tra opinioni e fatti oggettivi; • Aumento crescente dell’influenza che le opinioni e le esperienze personali hanno rispetto all’universalità scientifica. • Declino della fiducia riposte nelle fonti di informazioni e conoscenze fattuali
Scenario tecnologico • Uso di algoritmi in grado di analizzare quantità massive di dati e prevedere gli esiti più probabili; • L’emergere dell’internet delle cose (IoT) produce miliardi di device connessi che generano dati e guidano le decisioni e le attività routinarie di un numero sempre più ampio di persone. • Le intelligenze artificiali sono diventate sempre più sofisticate e sono impiegate in ogni campo come supporto al processo decisionale.
Presa di coscienza Il 2016 segna l’esplosione di un rinnovato interesse in merito alle tematiche concernenti la disinformazione, le fake news, e più in generale la possibilità di utilizzare i nuovi media per manipolare l’opinione pubblica
Virtual Societal Warfare Un report della RAND Corporation riporta l’uso della «manipolazione sociale» come strumento di «virtual societal warfare». la generazione e la diffusione mirate e sistematiche di informazioni per produrre risultati sociali, politici ed economici dannosi in un paese di destinazione, influenzando credenze, atteggiamenti e comportamenti Manipolazione sociale
Stessi mezzi ma fini differenti • Quando un aggressore viola un database governativo e usa le informazioni ottenute come base per una campagna di propaganda utilizzando bot automatici per diffondere notizie su tweeter o facebook ha impiegato mezzi informatici per alimentare un attacco di manipolazione sociale. • Quando un aggressore utilizza mezzi informatici per procurare danni fisici ad esempio ad infrastrutture energetiche o idriche, l'attacco avrà effetti sociali (paura, ansia, sfiducia) ma solo come conseguenze di un attacco alle infrastrutture critiche. • L'evoluzione dell’ infosfera sta rapidamente creando un terzo scopo: manipolare o interrompere le informazioni fondamentali per il funzionamento sociale.
Una nuova categoria di attacchi Cyber Un classico attacco cyber utilizza le reti di informazioni come veicolo preferenziale per attaccare obiettivi “tangibili” come le infrastrutture critiche (energia, rete idraulica, finanza, ecc) o per seminare disinformazione. I cambiamenti della infosfera basata su un sistema avanzato di informazione ha creato un terzo obiettivo: Manipolare o distruggere dati per destabilizzare le funzioni economiche e sociali di un paese danneggiando le funzioni dei database, degli algoritmi e delle reti computazionali da cui le società avanzate dipendono.
Virtual Societal Warfare L’obiettivo principale non è generare un danno tangibile ma creare confusione e accelerare la perdita di fiducia nelle istituzioni alimentando le sensazioni di insicurezza e ansia insite nell’uomo post moderno.
Obiettivi • Classiche operazione di propaganda, influenza, disinformazione attraverso canali mediatici quali I social network; • Generazione massiva di video e audio plausibili per ridurre la fiducia nella realtà condivisa; • Screditare i tradizionali canali di informazioni in modo da far dubitare sulla loro capacità di distinguere il vero dal falso; • Corrompere o manipolare i database su cui si basano ambiti critici di un paese (es. Finanza); • Manipolare o compromettere l’efficacia degli algoritmi “decision making” per intensificare la perdita di fiducia nelle istituzioni e la polarizzazione sociale; • Usare le vulnerabilità presenti sui device IoT per generare confusione e danni; • Manomettere le realtà virtuali e aumentate per disorientare la percezione comune; • Inserire comandi in sistemi interattivi (es. Chatbot) per renderle inefficaci e generare senso di frustrazione negli utenti;
I fattori sociologici
Perdita di comprensione e controllo Le istituzioni sociali su scala mondiale non permettendo la piena comprensione e controllo del loro opererato creano una condizione di sfiducia. Le società tecnologiche hanno bisogno di “expertise” sempre più verticali che rendono sempre più astratte le dinamiche che governano la vita di tutti i giorni. Le istituzioni come le mega-corporazioni, le reti informative mondiali, la finanza mondiale o le burocrazie extragovernative sono oltre la comune percezione e comprensione umana e creano un senso di ansia e precarietà. L’utilizzo compulsivo di una tecnologia altamente sofisticata, che cambia a ritmi esponenziali, comprensibile a pochi addetti ai lavori, crea un senso di perdita di controllo. Minaccia per la sicurezza ontologica ovvero alla fondamentale fiducia nella propria identità, che si riflette nella stabilità degli eventi e dei modelli nella propria vita Sfruttare questa crescente vulnerabilità permette di minare ulteriormente la fiducia delle persone nelle istituzioni sociali, nei loro scambi interpersonali e nella stabilità e affidabilità dei fatti e delle narrazioni che li circondano. Studio di Giddens sul ruolo dei “sistemi esperti” nelle società post-moderne Studio i Michael Spectre sul "negazionismo"
Fonti delle verità socialmente condivise Media Tradizioanli Generalmente hanno un ritorno di investimento in base alla loro credibilità Rischiano condanne per diffamazione o plagio Devono dichiarare le fonti Aggregatori di notizie Respingono o pongono forti limiti alla responsabilità sui contenuti delle loro piattaforme
Declino del capitale sociale e scarsa partecipazione
Polarizzazione Estremismo e polarizzazione ideologica modificano il modo con cui le persone assimilano le informazioni. Una società divisa in un contesto polarizzato è vulnerabile alle aggressioni sociali.
Populismo L’ascesa dei movimenti populisti riflette uno stato di profonda insoddisfazione culturale ed economica delle società post-moderne che si riflettono nella polarizzazione politica, negli atteggiamenti xenofobi, in un desiderio di chiusura e protezionismo oltre che nella dilagante sfiducia nelle istituzioni.
Un aspetto fondamentale dell’epistemologia • Conoscenza e comprensione sono atti interpretativi. Gli esseri umani cercano di dare costantemente un senso ai fatti che incontrano. • L’aspetto più importante di un fatto non è la sua validità "oggettiva", ma cosa le persone ne fanno. Questo processo costante è a sua volta parte del fenomeno della cosiddetta avarizia cognitiva. • Le persone sono bombardate da molte più informazioni di quante ne possano elaborare e cercano costantemente delle scorciatoie per assimilarle compreso accettare pedissequamente informazioni pre-elaborate da fonti che ritengono affidabili. • Credenze e aspettative creano una lente attraverso la quale le persone percepiscono gli eventi e fatti. Una credenza, in molti modi e nella maggior Elizabeth Kolbert, “Why Facts Don’t Change Our Minds,” New Yorker, February 27, 2017; parte delle occasioni è più potente di un fatto. • Attitudini personali particolarmente radicate sono notevolmente resistenti al cambiamento soprattutto quando sono importanti per definire l'identità o la posizione sociale dell'individuo.
Cosa cambia un atteggiamento • Sebbene gli atteggiamenti siano resistenti al cambiamento, la ricerca ha dimostrato che i nuovi canali di comunicazione possono avere un impatto maggiore sugli atteggiamenti di un individuo(*) in diverse condizioni ed in particolare: • Quando un’informazione viene ripetuta (effetto dell’illusione di verità); • Quando un’informazione proviene da più fonti; • Quando altri membri dello stesso gruppo sociale manifestano ricettività (effetto della prova sociale)(**); • Quando le nuove informazioni si adattano alle convinzioni preesistenti e alla visione del mondo di un individuo; • Quando le informazioni sono incorporate in una narrativa pre-esistente e più ampia che fornisce coerenza e persuasività alla tematica specifica; • Quando un individuo non si sente minacciato ma al sicuro in una confort zone; • Quando un individuo si fida della fonte che fornisce le informazioni e la percepisce come credibile perché la associa a se stesso (principio dell’egotismo implicito); • Quando viene utilizzato un linguaggio o informazioni «negative». (*)Age of Propaganda: The Everyday Use and Abuse of Persuasion Anthony R. Pratkanis 2001 (**) Alex Pentland, Social Physics: How Good Ideas Spread— The Lessons from a New Science)
I fattori abilitanti
Diffusione virale delle informazioni • Interdipendenza e interrelazione tra le reti informative • Influenza sociale: le persone tendono a fare quello che fanno, dicono, piace agli altri • Uno studio del 2012 su Facebook ha dimostrato che cambiando il tono delle news nei feed le persone subivano di riflesso un considerevole cambiamento umorale e aumentavano il numero di post negativi . «Guerre stellari – Il risveglio della forza» 35 milioni di visualizzazioni in 24 ore.
Uso del sensazionalismo • Il modello di business di molti servizi web si basa sull'attirare l'attenzione e generare il maggior numero di click • L'obiettivo principale dei media è mantenere alte le visite. Ciò implica suggerire articoli che altri hanno visualizzato, condiviso o consigliato in un sistema che alimenta se stesso. • L'algoritmo di ricerca di YouTube ad esempio da priorità ai contenuti che mantengono gli utenti connessi pertanto più un video viene visto nella sua interezza più Youtube lo proporrà(*) (*)Jack Nicas,“How YouTubeDrives People to the Internet’sDarkest Corners,” Wall Street Journal, February 7, 2018
Frammentazione dell’infosfera • Internet ha accelerato la frammentazione dell'infosfera in milioni di blog, siti web e feed di social media • Giddens ha affermato che La condizione della postmodernità si distingue per l'evaporazione della "grande narrativa", una visione generale per mezzo della quale siamo inseriti nella storia come esseri che hanno un passato definito e un futuro prevedibile. Vantaggio: messaggi mediatici contrastanti possono offrire una protezione contro la manipolazione sociale. Svantaggio: l'assenza di un narrativa comune rende indifese le istituzioni da attacchi di disinformazione e manipolazione sociale
Concentrazione delle informazioni • Il valore di mercato di queste cinque società è circa il 40% dell'indice azionario del Nasdaq (*) • Potenziali concorrenti vengono acquisiti • Possiedono sistemi IA attivabili vocalmente (come Siri e Alexa) sono in grado di accumulare ulteriori dati sulle preferenze e abitudini degli utenti che consentono di prevedere comportamenti e atteggiamenti . (*) Conor Sen, “The ‘Big Five’ Could Destroy the Tech Ecosystem,” Bloomberg, November 15, 2017
L’effetto delle camere di risonanza • Questo fenomeno rende possibile la creazione di gruppi auto-segregati che vivono in uno spazio epistemico che ha abbandonato i criteri di prova convenzionali, la coerenza interna, e ricerca di fatti. • Gli algoritmi dei social media si basano sulle attività e le ricerche precedenti degli utenti pertanto tenderanno a restituire sempre contenuti legati tra loro. • Questo crea un effetto di risonanza che alimenta se stesso e contribuisce a rafforzare convinzioni, credenze e opinioni degli utenti. • Come osservato da Eli Pariser "La tua identità plasma i tuoi media e i tuoi media poi modellano ciò in cui credi e ciò a cui tieni. "
Il ruolo degli influencer • Fungono da snodi chiave nelle reti di informazione • Una piccola percentuale degli utenti di un social media determinano le informazioni e i modelli di interazione • Attorno ad esse si formano dei raggruppameni o cluster di altri utenti
L’emergere della figura del “troll” • Il termine "trolling " descrive l'esagerare o inventare storie, "meme" satirici che sfruttano il sensazionalismo dei social media. • Talvolta questo atteggiamento sfocia in un vero e proprio attacco mediatico, violento quanto insolente, al fine di interrompere il dialogo convenzionale e mettere in ridicolo ciò che percepiscono come sciocco e inutile. • Il movimento "Anonymous" ha le sue radici nel movimento dei troll • Alcune campagne mediatiche di questo tipo sfociano nel cyberbullismo o in pratiche tanto narcisistiche quanto insensate come il "RIP Trolling"
L’esorbitante mole di dati relativi a individui e gruppi di interesse • L'infosfera è sempre più caratterizzata dall'accumulo e la manipolazione di enormi quantità di dati che permettono di guidare i processi decisionali (dal marketing alla sanità) • Le fonti sono sia i social media che l'internet delle cose che ad oggi è in grado di monitorare qualsiasi attività venga svolta da un individuo • Aziende come Acxiom e Cambridge Analytica sono specializzate in attività di profilazione e analisi predittive
I fattori tecnologici
Una società dipendente dalla tecnologia • La manipolazione sociale rappresenta la sinergia tra le semplici intrusioni informatiche per rubare o compromettere informazioni con un nuovo tipo di propaganda e disinformazione che sfrutta nuovi vettori come la pubblicità sui social media o l'uso di bot per diffondere messaggi. • Gli usi avanzati dei dati raccolti in una società avanzata e le tecnologie di IA all'avanguardia ampliano notevolmente la portata della minaccia di un attacco cibernetico. • Manipolare i dati raccolti attraverso i social media e i device IoT comprometterebbe il funzionamento stesso di una società le cui fondamenta si basano sul consumo di dati. • Un attacco di questo tipo se condotto su vasta scala e in modalità massiva per compromettere i servizi essenziali rientrerebbe nella categoria di guerra cibernetica. • Se condotto in modalità graduale e frammentaria tali campagne potrebbero degradare la stabilità della società bersaglio, la fiducia nelle sue istituzioni e il morale della popolazione. • Le tecnologie emergenti combinate con una società sempre più digitalizzata creano nuove minacce cibernetiche.
Profilazione Clienti non classificati Clienti mirati Offerta A Offerta B Personalizzazione
Report operativi standard Reportistica basata su metriche (es PKI) Visualizzazione dei dati avanzata (possibilità di drill down su aspetti specifici) Segmentazione (isolamento di classi di utenti, funzionalità, prodotti) Modelli predittivi Personalizzazione e sperimentazione (sfruttare dati non strutturati per acquisire nuove informazioni) Sistemi CRM Sistemi CRM Big Data e Machine Learning Tecnologie «Best of Breed» di IA Valore Strategico
Artificial Intelligence
Algoritmi decisionali Esempi tipici: • gli algoritmi utilizzati da Google per modellare i risultati della ricerca in base a modelli precedenti. • Gli algoritmi utilizzati da Amazon per dare suggerimenti su altri prodotti di potenziale interesse per i clienti. Rischio: nella misura in cui i processi di «deep learning» consentono ai sistemi di auto-istruirsi per scoprire nuovi modelli, questi potrebbero portare a risvolti inaspettati per gli stessi sviluppatori. Software Decision-making Le persone prendono le decisioni sfruttando il software Il software prende le decisioni e la componente umana non è più necessaria Decisioni basate su regole App di notifica sugli orari dei treni Algoritmi basati su analisi statistiche Machine Learning Intelligenza Artificiale Il Software calcola che i clienti disposti a spendere 200 euro per un prodotto sono 5 volte più incliniad acquisti di 1.000 euro rispetto a chi spende massimo 50 euro. Il software è in grado di capire le inclinazionidi una classe di utente rispetto ad una condizione specifica segnalata da uno smart device in suo possesso Il software è in grado di classificarel’utente e personalizzarecon precisione le risposte in fase a una moltitudinidi fattori e dati ricavati dalle fonti più disparate
Realtà digitale Realtà digitale Visione a 360° Fornisce una prospettiva che permette di vedere in ogni direzione Realtà virtuale immersiva Crea una esperienza digitale multisensoriale Realtà mista Inserisce contenuti digitali all’interno del mondo reale creando un ambiente dove entrambi coesistono e interagiscono Realtà Aumentata Sovrappone contenuti digitali all’ambiente reale Realtà virtuale Crea un ambiente completamente digitale che rimpiazza il mondo reale I rischi introdotti dalla realtà digitale sono ovvi: offrono un ambiente che può essere modificato da un attaccante per ottenere lo scopo desiderato
Internet of Things Quando "tutto" diventa un sistema interconnesso in cui le "cose" interagiscono e si influenzano vicendevolmente, una vulnerabilità in una qualsiasi di queste "cose" rappresenta una minaccia per tutte le altre. Un attaccante può veicolare un malware attraverso un social network che crea una backdoor sul device mobile della vittima e attraverso questo può arrivare a controllare qualsiasi device "smart" compresa la domotica delle case intelligenti. Un attacco di questo tipo mina la sicurezza ontologica delle vittime
Device ad attivazione vocale L'ascesa delle interfacce vocali crea molteplici opportunità di attacco. I device di questo tipo sono sempre accesi ascoltando di fatto tutto ciò che avviene intorno a loro. Una modifica ai dati che alimentano l'intelligenza artificiale genererebbe risposte: • imprecise per generare; • errate per creare problemi o ritardi; • ostili per dirottare un processo decisionale verso qualcosa di conveniente per l’attaccante.
Contraffazione Video e audio Grazie all’impiego dell’intelligenza artificiale nelle tecnologie di produzione audio/video è possibile generare audio e video sempre più sofisticati che falsificano un evento.
Subveglianza La subveglianza, intesa come la sorveglianza "dal basso" , in questo caso include il tracciamento delle attività di un utente come: • dati di navigazione internet; • preferenze e abitudini; • dati di geolocalizzazione; • registrazioni audio/video; Le controversie in merito ai dati raccolti da Google e Facebook sono solo l'inizio di una riflessione molto più ampia. Le stesse attività "illegali" in merito al dirottamento delle preferenze svolte da società "legali" possono essere parte di un attacco Cibernetico qualora dati e algoritmi vengano manipolati da un attaccante.
Spunti di riflessione • Tutte queste tecnologie sono per molti versi interconnesse e basano il loro funzionamento sull'immensa disponibilità dei dati collezionati dai social media e dai device mobili. • Questo scenario implica, nelle economie avanzate, una trasformazione sempre più veloce dell'infosfera e con essa un aumento dei rischi per la stabilità e la coerenza delle società post-moderne • Tutte queste tecnologie contengono il potenziale per cambiare radicalmente il carattere dell'infosfera in modi dannosi per la coesione sociale e la democrazia: • accelerando il declino di una realtà condivisa; • rafforzando la presa che grandi organizzazioni hanno sugli individui; • esacerbando il senso di alienazione da parte della popolazione.
Società virtuale e Cyber Warfare
Dipendenza delle società avanzate • Le attività quotidiane necessarie per il mantenimento e la stabilità delle società avanzate sono sempre più dipendenti dall’elaborazione automatizzata di enormi basi dati; • Queste basi dati sono in possesso di entità non statuali (es. i social media); • Dalla correttezza di queste informazioni dipendono: • i mercati economici • i processi politici • la fiducia sociale • Questa dipendenza offre nuovi modi di perpetrare un attacco cibernetico: interrompere e/o corrompere tali informazioni.
Verso una nuova forma di conflitto È virtuale perché, per la maggior parte, queste strategie non impiegano violenza fisica diretta È sociale perché ​​gli obiettivi che i partecipanti a tali campagne si prefiggono riguardano la società, ovvero: •compromettere il funzionamento e l'efficienza dei servizi; •abbassare il livello di fiducia nelle istituzioni; •minare la stabilità sociale e la sicurezza ontologica; E' un conflitto a tutti gli effetti poiché rappresenta un'attività programmata per raggiungere la supremazia sulle nazioni (o entità) rivali.
Le forme del conflitto • Avviare campagne di propaganda, influenza e disinformazione attraverso più canali, in particolare i social media; • Generare enormi quantità di materiale video e audio falsificato ad hoc ed altamente plausibile per ridurre la fiducia nella realtà condivisa • Screditare le istituzioni che sono in grado di distinguere tra informazioni vere e false • Corrompere e/o manipolare i database su cui fanno sempre più affidamento le principali economie mondiali • Manipolare e/o degradare gli algoritmi che guidano i processi decisionali sia per compromettere le attività legate ad essi sia per intensificare la perdita di fiducia nelle istituzioni • Dirottare i sistemi VR e AR per creare caos e destabilizzazione. • Creare sinergie con le forme più tradizionali di conflitto: • guerra politica diretta • operazioni militari • attacchi cibernetici tradizionali
Ridurre i rischi • Investire nella ricerca al fine di migliorare la comprensione delle tecnologie utilizzate per poterle valutare opportunamente ; • Aumentare la consapevolezza degli utenti finali per limitare il rischio di alienazione e la perdita di sicurezza ontologica; • Richiedere una maggiore trasparenza in merito alla gestione dei dati e alle tecnologie, in particolare gli algoritmi, usate dai social media e le compagnie ad essi legate. • Valutare con maggiore attenzione i rischi derivanti dal ruolo dei social media e dal potere indiretto che possono esercitare queste entità non statuali su un paese.
Q&A

Recommended

Social Media
Social MediaSocial Media
Social MediaDML Srl
 
Social Media per le case editrici
Social Media per le case editriciSocial Media per le case editrici
Social Media per le case editriciDML Srl
 
Social Media e Banche
Social Media e BancheSocial Media e Banche
Social Media e BancheSocial Media Easy
 
La privacy e il paradosso Foursquare
La privacy e il paradosso FoursquareLa privacy e il paradosso Foursquare
La privacy e il paradosso FoursquarePaolo Ratto
 
Stampa e nuovi media: dal giornalismo digitale al Brand Journalism
Stampa e nuovi media: dal giornalismo digitale al Brand JournalismStampa e nuovi media: dal giornalismo digitale al Brand Journalism
Stampa e nuovi media: dal giornalismo digitale al Brand JournalismRoberto Zarriello
 
Avis 01 Scenario
Avis 01 ScenarioAvis 01 Scenario
Avis 01 ScenarioPiero Tagliapietra
 
Web 2.0 Criticità
Web 2.0 CriticitàWeb 2.0 Criticità
Web 2.0 CriticitàSandra Costa
 
Fidelizzare visite e visitatori con Facebook Open Graph
Fidelizzare visite e visitatori con Facebook Open GraphFidelizzare visite e visitatori con Facebook Open Graph
Fidelizzare visite e visitatori con Facebook Open GraphBizup
 

Recommended

Social Media
Social MediaSocial Media
Social MediaDML Srl
 
Social Media per le case editrici
Social Media per le case editriciSocial Media per le case editrici
Social Media per le case editriciDML Srl
 
Social Media e Banche
Social Media e BancheSocial Media e Banche
Social Media e BancheSocial Media Easy
 
La privacy e il paradosso Foursquare
La privacy e il paradosso FoursquareLa privacy e il paradosso Foursquare
La privacy e il paradosso FoursquarePaolo Ratto
 
Stampa e nuovi media: dal giornalismo digitale al Brand Journalism
Stampa e nuovi media: dal giornalismo digitale al Brand JournalismStampa e nuovi media: dal giornalismo digitale al Brand Journalism
Stampa e nuovi media: dal giornalismo digitale al Brand JournalismRoberto Zarriello
 
Avis 01 Scenario
Avis 01 ScenarioAvis 01 Scenario
Avis 01 ScenarioPiero Tagliapietra
 
Web 2.0 Criticità
Web 2.0 CriticitàWeb 2.0 Criticità
Web 2.0 CriticitàSandra Costa
 
Fidelizzare visite e visitatori con Facebook Open Graph
Fidelizzare visite e visitatori con Facebook Open GraphFidelizzare visite e visitatori con Facebook Open Graph
Fidelizzare visite e visitatori con Facebook Open GraphBizup
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoCristiano Cafferata
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webVincenzo Calabrò
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breachadriana franca
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-ePaolo Passeri
 
Project work elisa avian_salvadeo
Project work elisa avian_salvadeoProject work elisa avian_salvadeo
Project work elisa avian_salvadeoElisaAvianSalvadeo
 
Modulo 5: SICUREZZA
Modulo 5: SICUREZZAModulo 5: SICUREZZA
Modulo 5: SICUREZZAKarel Van Isacker
 
Wwc2
Wwc2Wwc2
Wwc2Daniele Cipri
 
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoF
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoFConoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoF
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoFEmma Pietrafesa
 
Giovanni Romano - Mobile Privacy & Internet Security
Giovanni Romano - Mobile Privacy & Internet SecurityGiovanni Romano - Mobile Privacy & Internet Security
Giovanni Romano - Mobile Privacy & Internet SecurityCultura Digitale
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open sourceLibreItalia
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Project work elisa avian_salvadeo
Project work elisa avian_salvadeoProject work elisa avian_salvadeo
Project work elisa avian_salvadeoStefanoLazzaroni3
 
Storie dal futuro: persone e cose sempre connesse - per genitori
Storie dal futuro: persone e cose sempre connesse - per genitoriStorie dal futuro: persone e cose sempre connesse - per genitori
Storie dal futuro: persone e cose sempre connesse - per genitoriCSP Scarl
 
Social Network Security powered by IBM
Social Network Security powered by IBMSocial Network Security powered by IBM
Social Network Security powered by IBMAngelo Iacubino
 
SocialNetwork Security
SocialNetwork SecuritySocialNetwork Security
SocialNetwork Securityguest23c22c6
 
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookLa sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebookhantex
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacypeste
 
Social network e privacy online
Social network e privacy onlineSocial network e privacy online
Social network e privacy onlineStefano Bendandi
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 

More Related Content

Similar to Mobile, iot e social network

Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoCristiano Cafferata
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webVincenzo Calabrò
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breachadriana franca
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-ePaolo Passeri
 
Project work elisa avian_salvadeo
Project work elisa avian_salvadeoProject work elisa avian_salvadeo
Project work elisa avian_salvadeoElisaAvianSalvadeo
 
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoF
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoFConoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoF
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoFEmma Pietrafesa
 
Giovanni Romano - Mobile Privacy & Internet Security
Giovanni Romano - Mobile Privacy & Internet SecurityGiovanni Romano - Mobile Privacy & Internet Security
Giovanni Romano - Mobile Privacy & Internet SecurityCultura Digitale
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open sourceLibreItalia
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Project work elisa avian_salvadeo
Project work elisa avian_salvadeoProject work elisa avian_salvadeo
Project work elisa avian_salvadeoStefanoLazzaroni3
 
Storie dal futuro: persone e cose sempre connesse - per genitori
Storie dal futuro: persone e cose sempre connesse - per genitoriStorie dal futuro: persone e cose sempre connesse - per genitori
Storie dal futuro: persone e cose sempre connesse - per genitoriCSP Scarl
 
Social Network Security powered by IBM
Social Network Security powered by IBMSocial Network Security powered by IBM
Social Network Security powered by IBMAngelo Iacubino
 
SocialNetwork Security
SocialNetwork SecuritySocialNetwork Security
SocialNetwork Securityguest23c22c6
 
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookLa sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebookhantex
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacypeste
 
Social network e privacy online
Social network e privacy onlineSocial network e privacy online
Social network e privacy onlineStefano Bendandi
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 

Similar to Mobile, iot e social network (20)

Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologico
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul web
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-e
 
Project work elisa avian_salvadeo
Project work elisa avian_salvadeoProject work elisa avian_salvadeo
Project work elisa avian_salvadeo
 
Modulo 5: SICUREZZA
Modulo 5: SICUREZZAModulo 5: SICUREZZA
Modulo 5: SICUREZZA
 
Wwc2
Wwc2Wwc2
Wwc2
 
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoF
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoFConoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoF
Conoscenze, consapevolezze, competenze (Seminari Punti Roma Facile) PRoF
 
Giovanni Romano - Mobile Privacy & Internet Security
Giovanni Romano - Mobile Privacy & Internet SecurityGiovanni Romano - Mobile Privacy & Internet Security
Giovanni Romano - Mobile Privacy & Internet Security
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Project work elisa avian_salvadeo
Project work elisa avian_salvadeoProject work elisa avian_salvadeo
Project work elisa avian_salvadeo
 
Storie dal futuro: persone e cose sempre connesse - per genitori
Storie dal futuro: persone e cose sempre connesse - per genitoriStorie dal futuro: persone e cose sempre connesse - per genitori
Storie dal futuro: persone e cose sempre connesse - per genitori
 
Social Network Security powered by IBM
Social Network Security powered by IBMSocial Network Security powered by IBM
Social Network Security powered by IBM
 
SocialNetwork Security
SocialNetwork SecuritySocialNetwork Security
SocialNetwork Security
 
La sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di FacebookLa sicurezza delle reti aziendali ai tempi di Facebook
La sicurezza delle reti aziendali ai tempi di Facebook
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacy
 
Social network e privacy online
Social network e privacy onlineSocial network e privacy online
Social network e privacy online
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 

Mobile, iot e social network

  • 1. Mobile, IoT e Social Network I rischi connessi ai social media e all’evolversi degli scenari tecnologici nelle società avanzate Luca Di Bari
  • 2. Social Network e consapevolezza
  • 3. I social network I social network mettono in comunicazione le persone Attraverso i social network, persone con interessi affini formano comunità virtuali I social network offrono molteplici servizi per comunicare e condividere informazioni come chat, email, conferenze audio/video, file sharing, ecc..
  • 4. Social network più usati nel 2020
  • 5. Privacy e Social Network Informazioni condivise: • Foto ed altri media. • Età e genere. • Informazioni biografiche (studi, posizione lavorativa, ecc). • Post. • Contatti. • Interessi. • Geolocalizzazione. Come? Scientemente: Un utente può scegliere di renderle pubbliche. Mancanza di consapevolezza: Alcune informazioni sono pubbliche per default. Agreement: Un social network può cambiare le proprie policy privacy. Dolo: Le informazioni condivise possono essere copiate e a loro volta condivise da soggetti terzi. Superficialità: Le applicazioni di terze parti possono avere potenzialmente accesso a tutte le informazioni dell’utente
  • 6. • Tracciano quali siti sono stati visitati. • Mantengono informazioni associate a uno specific sito web (es. Carrello di Amazon o liste dei desideri). • Mantengono informazioni quale il referer (link path). • Aiutano a profilare l’utente. Perche? (Scopi legali) Creare campagne pubblicitare personalizzate Personalizzare le applicazioni “embedded” nel social network
  • 7. Furto d’identità e impersonificazione Obiettivi principali: • Password • Informazioni bancarie • Numeri di carte di credito • Informazioni conservate nei device (es. Contatti) • Accessi non autorizzati (es. Backdoor)
  • 8.
  • 9. SPAM • Veicolato attraverso il social network • Veicolato attraverso email: • Generiche (broadcast) • Create ad hoc (context aware) • http session hijacking
  • 10. http Session Hijacking Lo scopo è rubare la sessione http dell’utente A per arrivare ad attingere alle informazioni di altri utenti del suo network e costruire campagne di spam «content-aware» come lo Spear Phishing
  • 11. Spear Fishing Come? Attraverso il link o un allegato in una mail: • Costruita specificatamente per catturare l’interesse della vittima. • Inviata da una fonte «affidabile» • Inerente qualcosa di interesse “abituale” per la vittima.
  • 12. Anatomia di un attacco Spear Phishing 1) L’attaccanteusa il social networkper trovare persone che lavorano in un’azienda target e che hanno potenzialmenteaccesso a dati d’interesse
  • 13. Malware Vettori di attacco • API Rest dei social network • Fake account e profili • Download attack • Shortened e hidden link • Attacchi Cross site script
  • 15. Vettori di attacco 57,08% 21,52% 7,37% 3,44% 2,72% 2,54% 1,98% 1,62% 0,59% 0,50% 0,64% Trojan (SMS) RiskTool Adware Trojan Monitor Backdoor Trojan (Financial) Exploit HackTool Trojan (Downloader) •Malware • Virus e Rootkit • Application modification • OS modification •Data Exfiltration • Dati aziendali • Print screen • Perdita di backup su schede ssd •Data Tampering • Modifiche apportate da applicazioni • Jailbreacking •Data Loss • Perdita del device • Accessi non autorizzati • Applicazioni vulnerabili
  • 16. Conseguenze • Esfiltrazione dei dati • Uso improprio delle risorse − DoS del device, movimento laterale. • Perdita di reputazione − Invio di messaggi fake a contatti memorizzati sul device. • Furto di Identità − utilizzo di foto, dati anagrafici, dati finanziari ecc, per impersonificare la vittima e perpetrare crimini .
  • 17. Cosa è possibile fare con un device compromesso ?
  • 18. OWASP Top 10 : M1 Improper platform usage Abuso di una funzionalità o fallimento di un controllo di sicurezza della piattaforma mobile. Case study: Citrix Worx apps Possibilità di bypassare il Touch ID per l’utilizzo di Citrix Worx apps seguendo dei semplici passi: 1. Riavviare l’iPhone; 2. Aprire una delle Citrix Worx apps; 3. Avviare l’autenticazione e annullare il Touch ID; 4. Chiudere l’applicazione e riaprirla. Il problema derivava dalla cattiva gestione del “secret” quando viene memorizzato dall’applicazione. L’utente risulta autenticato correttamente quando il processo viene cancellato e l’app lanciata nuovamente.
  • 19. OWASP Top 10 : M2 Insecure data storage Storicizzazione dei dati insicura e data leakage involontario. Case study: Tinder La funzionalità di Tinder che permetteva di mostrare le persone “loggate” all’applicazione nelle vicinanze inviava al device l’esatta posizione delle persone.
  • 20. OWASP Top 10: M3 Insecure communication Tipici esempi: • Handshaking insicuro (mancanza di certificate pinned); • Versione SSL deprecate • Comunicazioni in chiaro (HTTP invece che HTTPS) Case study: gli smartwatch Misafe Mancanza di cifratura e autenticazione nelle comunicazioni • La geolocalizzazione real time del bambino; • chiamare il bambino sul suo orologio, • Inviare messaggi audio aggirando la whitelist; • Esfiltrare informazioni sui bambini quali foto, nome, data di nascita, ecc.
  • 21. OWASP Top 10: M4 Insecure authentication Problemi nell’autenticazione utente o cattiva gestione della sessione come ad esempio: • Fallimento nell’identificazione dell’utente; • Fallimento nel mantenere l’identità dell’utente; • Gestione della sessione debole. Case study : Grab app su android Possibilità di bypassare la 2FA forzando un attacco a forza bruta sul pin a 4 cifre (senza limiti ai tentativi) accedendo alle informazioni sui metodi di pagamento, ordini, ecc.
  • 22. OWASP Top 10: M5 Insufficient cryptography Crittografia insufficiente ad esempio utilizzando un algoritmo custom o deprecato. Case Study: Ola app • La chiave di crittografia era la stessa utilizzata per cifrare le password degli altri account (“PRODKEYPRODKEY12“); in questo modo era possibile, con un attacco di session hijacking, inviare false richieste ai server.
  • 23. OWASP Top 10: M6 Insecure authorization • Fallimento dell’autorizzazione che permette di eseguire comandi con privilege più alti; Case Study: Viper smart start • Lo smart start dei veicoli “Viper” non controllava correttamente le autorizzazioni. Una volta che un utente accedeva al server era possibile cambiare l’ID number della autovettura e ottenere l’accesso a dati come la geolocalizzazione dell’auto, cambiare i dati o aprire remotamente il veicolo.
  • 24. OWASP Top 10: M7 Client code quality Problematiche correlate alla qualità del codice come ad esempio: • buffer overflow; • format string vulnerability; • Errori di architettura applicative. Case Study: WhatsApp • Inviando una serie di pacchetti malformati durante una call con WhatsApp era possibile generare un buffer overflow che permetteva di lanciare codice arbitrario indipendentemente dall’avvenuta risposta alla call inoltrata. • Questa vulnerabiltà è stata usata per installare spyware di vario genere.
  • 25. OWASP Top 10: M8 Code tampering • Ovvero: • Patching dei file binari, • Modifiche delle risorse, • Aggiungere codice attraverso hooking/swizzling, • Modifiche nella memoria dinamica. Case Study: Pokemon GO • I fan del gioco “reversarono” l’applicazione per iniettare dati di geolocalizzazione falsi. Crearono inoltre un sito web dove era possibile visualizzare la locazione di ogni pokemon cambiando le dinamiche del gioco. • Questo “scherzo” costò alla casa produttrice una perdita di reputazione oltre che di utenti
  • 26. OWASP Top 10: M9 Reverse engineering Include l’analisi del codice binario da cui è possibile ricavare: • Il codice sorgente • Le librerie • Gli algoritmi Il Reverse engineering rende più facile rivelare le vulnerabilità applicative e le informazioni concernenti i server di backend le cypher suite e le costanti crittografiche, ecc. Case Study: tutti i precedenti
  • 27. OWASP Top 10: M10 Extraneous functionality Ovvero: • Funzionalità nascoste, • Funzionalità di sviluppo non pensate per l’utilizzo in produzione. Case Study: Wifi File Transfer • L’app Wifi File Transfer App apriva delle porte sui device Android per permettere la connessione remota al fine di trasferire file, foto, contenuti memorizzati su SD card senza gestire l’autenticazione e permettendo di fatto l’accesso totale al device. • Un gruppo di ricercatori dell’università del Michigan ha scoperto questa vulnerabilità ed in particolare che: • 1,632 applicazioni aprono porte che permettono la connessione remota; • 410 di queste sono potenzialmente vulnerabili • 57 app sono facilmente “esploitabili”.
  • 29. L’infosfera • L'infosfera di una società post-moderna è, il suo ambiente di informazione. Il concetto comprende: • i media classici; • i social media; • la propaganda politica; • Internet e le reti di comunicazione telematica: • tutti i canali che alimentano questi vettori di informazioni; • il modo in cui gli individui interagiscono con le informazioni; • le tecnologie che interagiscono con le basi dati. Nella filosofia dell'informazione si intende la globalità dello spazio delle informazioni.
  • 30. Fondamenta delle società avanzate Società avanzate Reti di raccolta e scambio dati. Capacità di analisi e profilazione Capacità di guidare i processi decisionali. Internet delle cose (IoT) Intelligenza artificiale Algoritmi decisionali Realtà virtuale/aumentata Internet delle cose Tecnologie Impieghi e sinergie Vulnerabile alla manipolazione dei dati
  • 31. Lo scenario sociale • Il ruolo della decadenza della verità sull’infosfera delle società post- moderne: • Aumento del dissenso in merito ai fatti e all’interpretazione analitica dei dati; • Confine sempre meno delineato tra opinioni e fatti oggettivi; • Aumento crescente dell’influenza che le opinioni e le esperienze personali hanno rispetto all’universalità scientifica. • Declino della fiducia riposte nelle fonti di informazioni e conoscenze fattuali
  • 32. Scenario tecnologico • Uso di algoritmi in grado di analizzare quantità massive di dati e prevedere gli esiti più probabili; • L’emergere dell’internet delle cose (IoT) produce miliardi di device connessi che generano dati e guidano le decisioni e le attività routinarie di un numero sempre più ampio di persone. • Le intelligenze artificiali sono diventate sempre più sofisticate e sono impiegate in ogni campo come supporto al processo decisionale.
  • 33. Presa di coscienza Il 2016 segna l’esplosione di un rinnovato interesse in merito alle tematiche concernenti la disinformazione, le fake news, e più in generale la possibilità di utilizzare i nuovi media per manipolare l’opinione pubblica
  • 34. Virtual Societal Warfare Un report della RAND Corporation riporta l’uso della «manipolazione sociale» come strumento di «virtual societal warfare». la generazione e la diffusione mirate e sistematiche di informazioni per produrre risultati sociali, politici ed economici dannosi in un paese di destinazione, influenzando credenze, atteggiamenti e comportamenti Manipolazione sociale
  • 35. Stessi mezzi ma fini differenti • Quando un aggressore viola un database governativo e usa le informazioni ottenute come base per una campagna di propaganda utilizzando bot automatici per diffondere notizie su tweeter o facebook ha impiegato mezzi informatici per alimentare un attacco di manipolazione sociale. • Quando un aggressore utilizza mezzi informatici per procurare danni fisici ad esempio ad infrastrutture energetiche o idriche, l'attacco avrà effetti sociali (paura, ansia, sfiducia) ma solo come conseguenze di un attacco alle infrastrutture critiche. • L'evoluzione dell’ infosfera sta rapidamente creando un terzo scopo: manipolare o interrompere le informazioni fondamentali per il funzionamento sociale.
  • 36. Una nuova categoria di attacchi Cyber Un classico attacco cyber utilizza le reti di informazioni come veicolo preferenziale per attaccare obiettivi “tangibili” come le infrastrutture critiche (energia, rete idraulica, finanza, ecc) o per seminare disinformazione. I cambiamenti della infosfera basata su un sistema avanzato di informazione ha creato un terzo obiettivo: Manipolare o distruggere dati per destabilizzare le funzioni economiche e sociali di un paese danneggiando le funzioni dei database, degli algoritmi e delle reti computazionali da cui le società avanzate dipendono.
  • 37. Virtual Societal Warfare L’obiettivo principale non è generare un danno tangibile ma creare confusione e accelerare la perdita di fiducia nelle istituzioni alimentando le sensazioni di insicurezza e ansia insite nell’uomo post moderno.
  • 38. Obiettivi • Classiche operazione di propaganda, influenza, disinformazione attraverso canali mediatici quali I social network; • Generazione massiva di video e audio plausibili per ridurre la fiducia nella realtà condivisa; • Screditare i tradizionali canali di informazioni in modo da far dubitare sulla loro capacità di distinguere il vero dal falso; • Corrompere o manipolare i database su cui si basano ambiti critici di un paese (es. Finanza); • Manipolare o compromettere l’efficacia degli algoritmi “decision making” per intensificare la perdita di fiducia nelle istituzioni e la polarizzazione sociale; • Usare le vulnerabilità presenti sui device IoT per generare confusione e danni; • Manomettere le realtà virtuali e aumentate per disorientare la percezione comune; • Inserire comandi in sistemi interattivi (es. Chatbot) per renderle inefficaci e generare senso di frustrazione negli utenti;
  • 40. Perdita di comprensione e controllo Le istituzioni sociali su scala mondiale non permettendo la piena comprensione e controllo del loro opererato creano una condizione di sfiducia. Le società tecnologiche hanno bisogno di “expertise” sempre più verticali che rendono sempre più astratte le dinamiche che governano la vita di tutti i giorni. Le istituzioni come le mega-corporazioni, le reti informative mondiali, la finanza mondiale o le burocrazie extragovernative sono oltre la comune percezione e comprensione umana e creano un senso di ansia e precarietà. L’utilizzo compulsivo di una tecnologia altamente sofisticata, che cambia a ritmi esponenziali, comprensibile a pochi addetti ai lavori, crea un senso di perdita di controllo. Minaccia per la sicurezza ontologica ovvero alla fondamentale fiducia nella propria identità, che si riflette nella stabilità degli eventi e dei modelli nella propria vita Sfruttare questa crescente vulnerabilità permette di minare ulteriormente la fiducia delle persone nelle istituzioni sociali, nei loro scambi interpersonali e nella stabilità e affidabilità dei fatti e delle narrazioni che li circondano. Studio di Giddens sul ruolo dei “sistemi esperti” nelle società post-moderne Studio i Michael Spectre sul "negazionismo"
  • 41. Fonti delle verità socialmente condivise Media Tradizioanli Generalmente hanno un ritorno di investimento in base alla loro credibilità Rischiano condanne per diffamazione o plagio Devono dichiarare le fonti Aggregatori di notizie Respingono o pongono forti limiti alla responsabilità sui contenuti delle loro piattaforme
  • 42. Declino del capitale sociale e scarsa partecipazione
  • 43. Polarizzazione Estremismo e polarizzazione ideologica modificano il modo con cui le persone assimilano le informazioni. Una società divisa in un contesto polarizzato è vulnerabile alle aggressioni sociali.
  • 44. Populismo L’ascesa dei movimenti populisti riflette uno stato di profonda insoddisfazione culturale ed economica delle società post-moderne che si riflettono nella polarizzazione politica, negli atteggiamenti xenofobi, in un desiderio di chiusura e protezionismo oltre che nella dilagante sfiducia nelle istituzioni.
  • 45. Un aspetto fondamentale dell’epistemologia • Conoscenza e comprensione sono atti interpretativi. Gli esseri umani cercano di dare costantemente un senso ai fatti che incontrano. • L’aspetto più importante di un fatto non è la sua validità "oggettiva", ma cosa le persone ne fanno. Questo processo costante è a sua volta parte del fenomeno della cosiddetta avarizia cognitiva. • Le persone sono bombardate da molte più informazioni di quante ne possano elaborare e cercano costantemente delle scorciatoie per assimilarle compreso accettare pedissequamente informazioni pre-elaborate da fonti che ritengono affidabili. • Credenze e aspettative creano una lente attraverso la quale le persone percepiscono gli eventi e fatti. Una credenza, in molti modi e nella maggior Elizabeth Kolbert, “Why Facts Don’t Change Our Minds,” New Yorker, February 27, 2017; parte delle occasioni è più potente di un fatto. • Attitudini personali particolarmente radicate sono notevolmente resistenti al cambiamento soprattutto quando sono importanti per definire l'identità o la posizione sociale dell'individuo.
  • 46. Cosa cambia un atteggiamento • Sebbene gli atteggiamenti siano resistenti al cambiamento, la ricerca ha dimostrato che i nuovi canali di comunicazione possono avere un impatto maggiore sugli atteggiamenti di un individuo(*) in diverse condizioni ed in particolare: • Quando un’informazione viene ripetuta (effetto dell’illusione di verità); • Quando un’informazione proviene da più fonti; • Quando altri membri dello stesso gruppo sociale manifestano ricettività (effetto della prova sociale)(**); • Quando le nuove informazioni si adattano alle convinzioni preesistenti e alla visione del mondo di un individuo; • Quando le informazioni sono incorporate in una narrativa pre-esistente e più ampia che fornisce coerenza e persuasività alla tematica specifica; • Quando un individuo non si sente minacciato ma al sicuro in una confort zone; • Quando un individuo si fida della fonte che fornisce le informazioni e la percepisce come credibile perché la associa a se stesso (principio dell’egotismo implicito); • Quando viene utilizzato un linguaggio o informazioni «negative». (*)Age of Propaganda: The Everyday Use and Abuse of Persuasion Anthony R. Pratkanis 2001 (**) Alex Pentland, Social Physics: How Good Ideas Spread— The Lessons from a New Science)
  • 48. Diffusione virale delle informazioni • Interdipendenza e interrelazione tra le reti informative • Influenza sociale: le persone tendono a fare quello che fanno, dicono, piace agli altri • Uno studio del 2012 su Facebook ha dimostrato che cambiando il tono delle news nei feed le persone subivano di riflesso un considerevole cambiamento umorale e aumentavano il numero di post negativi . «Guerre stellari – Il risveglio della forza» 35 milioni di visualizzazioni in 24 ore.
  • 49. Uso del sensazionalismo • Il modello di business di molti servizi web si basa sull'attirare l'attenzione e generare il maggior numero di click • L'obiettivo principale dei media è mantenere alte le visite. Ciò implica suggerire articoli che altri hanno visualizzato, condiviso o consigliato in un sistema che alimenta se stesso. • L'algoritmo di ricerca di YouTube ad esempio da priorità ai contenuti che mantengono gli utenti connessi pertanto più un video viene visto nella sua interezza più Youtube lo proporrà(*) (*)Jack Nicas,“How YouTubeDrives People to the Internet’sDarkest Corners,” Wall Street Journal, February 7, 2018
  • 50. Frammentazione dell’infosfera • Internet ha accelerato la frammentazione dell'infosfera in milioni di blog, siti web e feed di social media • Giddens ha affermato che La condizione della postmodernità si distingue per l'evaporazione della "grande narrativa", una visione generale per mezzo della quale siamo inseriti nella storia come esseri che hanno un passato definito e un futuro prevedibile. Vantaggio: messaggi mediatici contrastanti possono offrire una protezione contro la manipolazione sociale. Svantaggio: l'assenza di un narrativa comune rende indifese le istituzioni da attacchi di disinformazione e manipolazione sociale
  • 51. Concentrazione delle informazioni • Il valore di mercato di queste cinque società è circa il 40% dell'indice azionario del Nasdaq (*) • Potenziali concorrenti vengono acquisiti • Possiedono sistemi IA attivabili vocalmente (come Siri e Alexa) sono in grado di accumulare ulteriori dati sulle preferenze e abitudini degli utenti che consentono di prevedere comportamenti e atteggiamenti . (*) Conor Sen, “The ‘Big Five’ Could Destroy the Tech Ecosystem,” Bloomberg, November 15, 2017
  • 52. L’effetto delle camere di risonanza • Questo fenomeno rende possibile la creazione di gruppi auto-segregati che vivono in uno spazio epistemico che ha abbandonato i criteri di prova convenzionali, la coerenza interna, e ricerca di fatti. • Gli algoritmi dei social media si basano sulle attività e le ricerche precedenti degli utenti pertanto tenderanno a restituire sempre contenuti legati tra loro. • Questo crea un effetto di risonanza che alimenta se stesso e contribuisce a rafforzare convinzioni, credenze e opinioni degli utenti. • Come osservato da Eli Pariser "La tua identità plasma i tuoi media e i tuoi media poi modellano ciò in cui credi e ciò a cui tieni. "
  • 53. Il ruolo degli influencer • Fungono da snodi chiave nelle reti di informazione • Una piccola percentuale degli utenti di un social media determinano le informazioni e i modelli di interazione • Attorno ad esse si formano dei raggruppameni o cluster di altri utenti
  • 54. L’emergere della figura del “troll” • Il termine "trolling " descrive l'esagerare o inventare storie, "meme" satirici che sfruttano il sensazionalismo dei social media. • Talvolta questo atteggiamento sfocia in un vero e proprio attacco mediatico, violento quanto insolente, al fine di interrompere il dialogo convenzionale e mettere in ridicolo ciò che percepiscono come sciocco e inutile. • Il movimento "Anonymous" ha le sue radici nel movimento dei troll • Alcune campagne mediatiche di questo tipo sfociano nel cyberbullismo o in pratiche tanto narcisistiche quanto insensate come il "RIP Trolling"
  • 55. L’esorbitante mole di dati relativi a individui e gruppi di interesse • L'infosfera è sempre più caratterizzata dall'accumulo e la manipolazione di enormi quantità di dati che permettono di guidare i processi decisionali (dal marketing alla sanità) • Le fonti sono sia i social media che l'internet delle cose che ad oggi è in grado di monitorare qualsiasi attività venga svolta da un individuo • Aziende come Acxiom e Cambridge Analytica sono specializzate in attività di profilazione e analisi predittive
  • 57. Una società dipendente dalla tecnologia • La manipolazione sociale rappresenta la sinergia tra le semplici intrusioni informatiche per rubare o compromettere informazioni con un nuovo tipo di propaganda e disinformazione che sfrutta nuovi vettori come la pubblicità sui social media o l'uso di bot per diffondere messaggi. • Gli usi avanzati dei dati raccolti in una società avanzata e le tecnologie di IA all'avanguardia ampliano notevolmente la portata della minaccia di un attacco cibernetico. • Manipolare i dati raccolti attraverso i social media e i device IoT comprometterebbe il funzionamento stesso di una società le cui fondamenta si basano sul consumo di dati. • Un attacco di questo tipo se condotto su vasta scala e in modalità massiva per compromettere i servizi essenziali rientrerebbe nella categoria di guerra cibernetica. • Se condotto in modalità graduale e frammentaria tali campagne potrebbero degradare la stabilità della società bersaglio, la fiducia nelle sue istituzioni e il morale della popolazione. • Le tecnologie emergenti combinate con una società sempre più digitalizzata creano nuove minacce cibernetiche.
  • 58. Profilazione Clienti non classificati Clienti mirati Offerta A Offerta B Personalizzazione
  • 59. Report operativi standard Reportistica basata su metriche (es PKI) Visualizzazione dei dati avanzata (possibilità di drill down su aspetti specifici) Segmentazione (isolamento di classi di utenti, funzionalità, prodotti) Modelli predittivi Personalizzazione e sperimentazione (sfruttare dati non strutturati per acquisire nuove informazioni) Sistemi CRM Sistemi CRM Big Data e Machine Learning Tecnologie «Best of Breed» di IA Valore Strategico
  • 60.
  • 62. Algoritmi decisionali Esempi tipici: • gli algoritmi utilizzati da Google per modellare i risultati della ricerca in base a modelli precedenti. • Gli algoritmi utilizzati da Amazon per dare suggerimenti su altri prodotti di potenziale interesse per i clienti. Rischio: nella misura in cui i processi di «deep learning» consentono ai sistemi di auto-istruirsi per scoprire nuovi modelli, questi potrebbero portare a risvolti inaspettati per gli stessi sviluppatori. Software Decision-making Le persone prendono le decisioni sfruttando il software Il software prende le decisioni e la componente umana non è più necessaria Decisioni basate su regole App di notifica sugli orari dei treni Algoritmi basati su analisi statistiche Machine Learning Intelligenza Artificiale Il Software calcola che i clienti disposti a spendere 200 euro per un prodotto sono 5 volte più incliniad acquisti di 1.000 euro rispetto a chi spende massimo 50 euro. Il software è in grado di capire le inclinazionidi una classe di utente rispetto ad una condizione specifica segnalata da uno smart device in suo possesso Il software è in grado di classificarel’utente e personalizzarecon precisione le risposte in fase a una moltitudinidi fattori e dati ricavati dalle fonti più disparate
  • 63. Realtà digitale Realtà digitale Visione a 360° Fornisce una prospettiva che permette di vedere in ogni direzione Realtà virtuale immersiva Crea una esperienza digitale multisensoriale Realtà mista Inserisce contenuti digitali all’interno del mondo reale creando un ambiente dove entrambi coesistono e interagiscono Realtà Aumentata Sovrappone contenuti digitali all’ambiente reale Realtà virtuale Crea un ambiente completamente digitale che rimpiazza il mondo reale I rischi introdotti dalla realtà digitale sono ovvi: offrono un ambiente che può essere modificato da un attaccante per ottenere lo scopo desiderato
  • 64. Internet of Things Quando "tutto" diventa un sistema interconnesso in cui le "cose" interagiscono e si influenzano vicendevolmente, una vulnerabilità in una qualsiasi di queste "cose" rappresenta una minaccia per tutte le altre. Un attaccante può veicolare un malware attraverso un social network che crea una backdoor sul device mobile della vittima e attraverso questo può arrivare a controllare qualsiasi device "smart" compresa la domotica delle case intelligenti. Un attacco di questo tipo mina la sicurezza ontologica delle vittime
  • 65.
  • 66. Device ad attivazione vocale L'ascesa delle interfacce vocali crea molteplici opportunità di attacco. I device di questo tipo sono sempre accesi ascoltando di fatto tutto ciò che avviene intorno a loro. Una modifica ai dati che alimentano l'intelligenza artificiale genererebbe risposte: • imprecise per generare; • errate per creare problemi o ritardi; • ostili per dirottare un processo decisionale verso qualcosa di conveniente per l’attaccante.
  • 67. Contraffazione Video e audio Grazie all’impiego dell’intelligenza artificiale nelle tecnologie di produzione audio/video è possibile generare audio e video sempre più sofisticati che falsificano un evento.
  • 68. Subveglianza La subveglianza, intesa come la sorveglianza "dal basso" , in questo caso include il tracciamento delle attività di un utente come: • dati di navigazione internet; • preferenze e abitudini; • dati di geolocalizzazione; • registrazioni audio/video; Le controversie in merito ai dati raccolti da Google e Facebook sono solo l'inizio di una riflessione molto più ampia. Le stesse attività "illegali" in merito al dirottamento delle preferenze svolte da società "legali" possono essere parte di un attacco Cibernetico qualora dati e algoritmi vengano manipolati da un attaccante.
  • 69. Spunti di riflessione • Tutte queste tecnologie sono per molti versi interconnesse e basano il loro funzionamento sull'immensa disponibilità dei dati collezionati dai social media e dai device mobili. • Questo scenario implica, nelle economie avanzate, una trasformazione sempre più veloce dell'infosfera e con essa un aumento dei rischi per la stabilità e la coerenza delle società post-moderne • Tutte queste tecnologie contengono il potenziale per cambiare radicalmente il carattere dell'infosfera in modi dannosi per la coesione sociale e la democrazia: • accelerando il declino di una realtà condivisa; • rafforzando la presa che grandi organizzazioni hanno sugli individui; • esacerbando il senso di alienazione da parte della popolazione.
  • 70. Società virtuale e Cyber Warfare
  • 71. Dipendenza delle società avanzate • Le attività quotidiane necessarie per il mantenimento e la stabilità delle società avanzate sono sempre più dipendenti dall’elaborazione automatizzata di enormi basi dati; • Queste basi dati sono in possesso di entità non statuali (es. i social media); • Dalla correttezza di queste informazioni dipendono: • i mercati economici • i processi politici • la fiducia sociale • Questa dipendenza offre nuovi modi di perpetrare un attacco cibernetico: interrompere e/o corrompere tali informazioni.
  • 72. Verso una nuova forma di conflitto È virtuale perché, per la maggior parte, queste strategie non impiegano violenza fisica diretta È sociale perché ​​gli obiettivi che i partecipanti a tali campagne si prefiggono riguardano la società, ovvero: •compromettere il funzionamento e l'efficienza dei servizi; •abbassare il livello di fiducia nelle istituzioni; •minare la stabilità sociale e la sicurezza ontologica; E' un conflitto a tutti gli effetti poiché rappresenta un'attività programmata per raggiungere la supremazia sulle nazioni (o entità) rivali.
  • 73. Le forme del conflitto • Avviare campagne di propaganda, influenza e disinformazione attraverso più canali, in particolare i social media; • Generare enormi quantità di materiale video e audio falsificato ad hoc ed altamente plausibile per ridurre la fiducia nella realtà condivisa • Screditare le istituzioni che sono in grado di distinguere tra informazioni vere e false • Corrompere e/o manipolare i database su cui fanno sempre più affidamento le principali economie mondiali • Manipolare e/o degradare gli algoritmi che guidano i processi decisionali sia per compromettere le attività legate ad essi sia per intensificare la perdita di fiducia nelle istituzioni • Dirottare i sistemi VR e AR per creare caos e destabilizzazione. • Creare sinergie con le forme più tradizionali di conflitto: • guerra politica diretta • operazioni militari • attacchi cibernetici tradizionali
  • 74. Ridurre i rischi • Investire nella ricerca al fine di migliorare la comprensione delle tecnologie utilizzate per poterle valutare opportunamente ; • Aumentare la consapevolezza degli utenti finali per limitare il rischio di alienazione e la perdita di sicurezza ontologica; • Richiedere una maggiore trasparenza in merito alla gestione dei dati e alle tecnologie, in particolare gli algoritmi, usate dai social media e le compagnie ad essi legate. • Valutare con maggiore attenzione i rischi derivanti dal ruolo dei social media e dal potere indiretto che possono esercitare queste entità non statuali su un paese.
  • 75. Q&A