Information Society & ICT Law
Società dell'informazione e Diritto
Facebook e misure di sicurezza: l’autenticazione sociale
Pubblicato 2 febbraio 2011 | 
Leggo da un articolo di Repubblica intitolato “Furti di account e vittime vip. Ora Facebook corre ai ripari“, che il noto social network, dopo le vulnerabilità riscontrate negli account di Sarkozy e dello stesso fondatore Mark Zuckerberg, sta approntando nuove misure di sicurezza.
Tra tali misure viene indicata l’ “autenticazione sociale“. Si tratta, in sostanza, di una procedura di verifica basata su elementi “sociali” in ordine all’identità del soggetto che accede all’account ed alla sua legittimità ad accedere e usare il sistema.
Dall’articolo citato si legge che
In caso di sospetta violazione dell’account, il sistema potrebbe richiedere all’utente una verifica ulteriore per confermare la sua identità.
Se ci si è loggati dall’Italia la mattina, dagli Stati Uniti il pomeriggio e dall’Australia la sera ad esempio, il sito potrebbe attivare questa originale misura di sicurezza.
Invece di chiedere la composizione di un captcha, quella serie di lettere da ricopiare per dimostrare di essere una persona e non un computer, Facebook interrogherà l’utente sui suoi amici. Facendo apparire delle foto in cui i propri amici sono taggati, sarà compito dell’utente selezionare il loro nome da una lista.
“Gli hacker dall’altra parte del mondo potranno conoscere la tua password, ma non i tuoi amici” spiega la nota del blog ufficiale.
Nello stesso articolo vengono però evidenziati anche i limiti in ordine all’utilizzo dell’autenticazione sociale:
Questa misura di sicurezza presenta però qualche pericolo se i propri amici hanno l’abitudine di farsi taggare in foto in cui non sono presenti (si pensi alle classiche foto di auguri in cui sono taggate decine di persone), se hanno nel loro profilo molti scatti di quando erano alle elementari o se tra i propri amici c’è qualcuno di cui neppure ci si ricorda o che non si è mai visto prima.
In ogni caso, l’identificazione sociale permette di saltare un paio di foto se non si riesce a riconoscerle.
Bisognerà capire qual è il livello di approfondimento del processo di autenticazione sociale, ossia fino a quale grado di conoscenza sociale il sistema si spingerà per verificare la legittimità all’accesso del profilo.
Per usare un’allegoria, il rischio è che si venga sbattuti fuori casa propria, anche se condotta in affitto o in comodato (essendo la proprieà altrui), solamente perché non viene fornita una risposta esatta sulle relazioni “amicali” intrattenute. E per chi ha centinaia o migliaia di amici, come ad esempio: quei politici che accordano il consenso a tutti; diversi giornalisti; i vip; etc.?
E per quegli account di facebook aperti al fine di perseguire finalità sociali aggregative (es. il gruppo di Facebook sul ritrovamento di persone scomparse, etc.). Gli “amministratori” come faranno a passare l’autenticazione sociale di fronte a migliaia di iscritti?
E inoltre, anche nei profili tradizionali, ristretti a pochi “amici”, se l’accesso abusivo viene effettuato da una persona che è del medesimo contesto sociale, che ha le medesime relazioni, che è tra gli “amici” di Facebook del soggetto di cui viene violato l’account?
Inoltre, quali dati vengono trattati ed esibiti a quel soggetto di cui si sospetta la violazione dell’account? Se l’autenticazione sociale è una procedura che viene attivata proprio in caso di sospetta violazione, occorrerà una certa cautela nella esibizione dei dati personali altrui da utilizzare come test.
Ancora, se la procedura viene attivata in caso di sospetta violazione (come sembra dall’articolo che riporta la notizia), quali sono le misure di sicurezza che fanno maturare i sospetti? Quale investigazione preventiva viene fatta? Sulla base di quali criteri viene maturato il sospetto di violazione dell’account? Solo quelli geografici? E se si utilizzano sistemi proxy? Come vengono trattati i dati del presunto sospetto? A chi vengono comunicati?
Insomma, c’è da riflettere sull’efficacia della misura di sicurezza e sulle modalità con cui viene gestita.
Fabio Bravo
Information Society & ICT Law
Pubblicato in Immagini Foto e Video, Privacy, Providers, Reati Informatici, Sicurezza, Social Networking, Tecniche investigative | 
account, Autenticazione sociale, Facebook, Furto di indentità, Misure di sicurezza, Privacy, Profili, Sospetto di violazione, Trattamento di dati personali e social network, Violazione degli account di FacebookAttivato e rimosso il falso profilo Facebook di Sabrina Misseri
Pubblicato 18 ottobre 2010 |
Mi sembra sconcertante il caso dell’attivazione del falso profilo Facebook di Sabrina Misseri, riportato dall’ANSA.
Qualcuno avrebbe simulato l’identità della cugina di Sarah Scazzi, attualmente in stato di fermo e, a quanto illustrato dalla fonte sopra citata, in isolamento fino all’udienza di convanida del fermo innanzi al G.I.P.
Sulla pagina intitolata ’500mila fan uniti per trovare Sarah Scazzi’, che ha quasi 55mila iscritti, è comparso (e dopo meno di due ore è stato cancellato) perfino l’intervento di qualcuno che, dopo aver aperto un nuovo profilo, si presentava proprio come Sabrina Misseri e sosteneva di scrivere dal carcere, anche se il fatto che la ragazza sia in isolamento porta ad escludere che ciò sia possibile.
“Io non sono malata – si leggeva nel messaggio di cui è impossibile stabilire con certezza la reale provenienza – ho dovuto farlo per salvare mio padre che non l’ha mai toccata mia cugina! Siamo solo vittime, non capite che se lo meritava?!”.
E ancora: “Mia cugina accusava ingiustamente mio padre! Lui non l’ha mai toccata lo giuro!”.
Rispondendo ai moltissimi commenti di quanti si sono subito chiesti come mai la presunta ‘Sabrina’ potesse scrivere dal carcere, la risposta è stata: “In carcere ci danno la possibilità di comunicare. Io sono in stato di fermo fino al processo e non condannata!”.
Ancora:
E poi, in un altro post, si leggeva: “Ho aperto questo nuovo profilo per difendermi. Nessuno di voi può capire. Credetemi, ho dovuto difendere me stessa e mio padre da colei che voleva la nostra rovina, perdonatemi se potete”.
Parole che hanno provocato commenti infuriati sulla rete. In realtà, risulta che Sabrina Misseri sia in isolamento nel carcere di Taranto (e cioè che non possa comunicare in alcun modo con l’esterno) almeno fino a domani quando si terrà davanti al Gip l’udienza per la convalida del fermo.
Inoltre, il messaggio di stamattina è stato inviato da un Iphone e non risulta che Sabrina l’avesse, tanto meno che possa averlo portato in carcere.
Infine, le foto inserite nel nuovo profilo sono quelle in circolazione da giorni e la pagina di Facebook in questione è già stata usata nei giorni scorsi da mitomani per suscitare attenzioni morbose, ad esempio quando è stata pubblicata una foto falsa del cadavere di Sarah.
Va tenuto presente che:
a) tecnicamente è relativamente facile risalire all’identità del soggetto che ha posto in essere tale condotta, salvo l’uso di accorgimenti tecnici volti ad anonimizzare la navigazione in rete o, come in caso di utilizzo di server proxy, a far apparire un ip diverso da quello effettivamente usato;
b) la condotta, ove effettivamente sia stata posta in essere da un soggetto diverso da Sabrina Misseri, potrebbe ricadere nel reato previsto e punito dall’art. 494 c.p., rubricato “Sostituzione di persona”:
Art. 494 Codice Penale – Sotituzione di persona
Chiunque al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici è punito se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno.
I profili fake di Facebook sono piuttosto frequenti.
Fabio Bravo
Information Society & ICT Law
Commenti recenti