Apis mi chiede “un autorevole parere sul mio blog” riguardo Facebook e la privacy, “considerato che ne parlano Mantellini (2 post), Attivissimo e molti altri”. Io gli ho risposto che di queste cose non ne so niente; però, vivaddio, sono un bloggher, e quindi devo essere per definizione in grado di pontificare su cose che non so. Ecco quindi le mie (assolutamente inutili) considerazioni, per la gioia di quel pezzetto di blogocono che non solo ha conosciuto questo blog, ma non si è ancora scocciato della mia logorrea.
Premessa: ho un account su facebook. Ce l’ho da giugno 2007, secondo i miei record. Sul mio profile ci ho scritto una spataffiata di cose, tutte rigorosamente vere. Mi ci collego regolarmente per ignorare le richieste di amicizia (a meno che non conosca personalmente e seriamente le persone, o abbiamo fatto almeno tre anni di Usenet assieme ai bei vecchi tempi), ignorare il 99% delle varie richieste di far parte di un gruppo o di attivare un’applicazione, ed eventualmente rispondere al messaggio di qualcuno.
La mia personale opinione è che Facebook sia l’esperimento meglio riuscito di social engineering su scala planetaria. Per chi non lo sapesse, il social engineering è il modo più semplice per ottenere informazioni segrete. Crederete mica che i cracker e gli hacker abbiano fatto attacchi bruta forza per penetrare nei sistemi? Figuriamoci. È molto più semplice ricavare la password direttamente dalla persona stessa, magari chiacchierando un po’ e facendo in modo che ti dia implicitamente degli indizi. Facebook è appunto l’estensione di questo concetto. Ti senti invogliato a riempire il tuo profilo parlando di te, perché così i tuoi amici ti possono trovare. (Tra l’altro, nota che il profilo non fa parte dei setting, cioè la parte che viene tipicamente vista come “la sicurezza”). Ti senti invogliato ad accettare tanti amici, perché così ti puoi mantenere in contatto con loro. Addirittura, non appena qualcuno ti manda un messaggio attraverso un’applicazione – e questo è così facile, visto che te lo fa fare di default – tu sei pronto a dare tutti gli accessi in lettura a questa applicazione. E lo fai volontariamente. Il paradiso per un social engineer, non c’è che dire.
Io non sono così paranoico. Come ho scritto, i dati che ho fornito sono parecchi e tutti rigorosamente veri. Però sono tutti dati che non mi dà fastidio riportare, anche in un unico posto il che permette di fare molta fatica in meno a radunarli. D’altra parte, basta leggere il mio blog per avere una quantità simile se non maggiore di informazioni su di me, quindi non è che ci perda così tanto :-) Il guaio è più che altro per chi non è abituato a questa perdita di intimità nell’Era della Rete (e poi magari piange perché pretende il diritto all’oblio…); inoltre non so cosa potrebbe succedere con un’applicazione meme che però ricavi abbastanza dati per fare un profilo demografico di un numero davvero grande di persone.
Se io dovessi rivedere il modello di Facebook, credo che lo farei “a cipolla”: non definirei solo amici ma anche contatti, conoscenti, colleghi, familiari, intimi; renderei impossibile sapere a quale categoria appartiene una persona (un “contatto” non può vedere direttamente nulla, un “conoscente” vede amici colleghi familiari intimi tutti come “conoscenti”, e così via), e per ogni dato lascerei la scelta di indicare fino a che categoria renderlo pubblico, con default “a nessuno”. Ma so anche che un modello del genere non avrebbe mai avuto successo: il bello del social engineering è proprio che funziona proprio perché è il tapino stesso che vuole così, come del resto tutte le truffe anche nella vita reale. Quindi teniamoci Facebook così com’è; e svegliamoci, non sveliamoci!
Ultimo aggiornamento: 2008-10-20 21:51
> svegliamoci, non sveliamoci!
hai fatto la citazione colta?
Prospettiva originale.
Social Engineering, se non sbaglio fu Mitnick a coniare il termine…. o quanto meno il primo ad usare la tecnica su larga scala per ottenere accessi non autorizzati…
Condivido quanto dici su Facebook (e su una serie di altri strumenti, blog eccetera). Il “segreto” sarebbe evitare di diffondere informazioni che non si vuole diventino pubbliche… ovvero non scrivere nulla che non si avrebbe problema a ripetere anche in pubblico… anche se non è così facile stabilire il confine, vedi ad esempio i casi di attrici e personaggi pubblici diventati famosi che fanno causa a siti che pubblicano foto… ehm, un po’ poco vestite, fatte quando sgomitavano per il loro quarto d’ora di celebrità…
Ciò che oggi ci può sembrare interessante diffondere, domani potremmo ritenerlo sconveniente… ma una volta che un’informazione è finita in rete…. beh da qualche parte resta….
Tornando invece ai dati personali (password e simili) beh… superfluo dire che non devono avere alcun significato… una stringa alfanumerica generata a caso… se poi invece scegli come password “pippo” beh, è come lasciare la porta aperta con tanto di cartello di invito a entrare :)
@delio: niente Elio, solo un gioco di parole.
Come ho scritto a .mau. in privato, credo che un buon modo (anche piacevole) di rendersi conto delle potenzia conseguenze di esporre informazioni apparentemente innocue circa le proprie relazioni e abitudini sia leggere “La finestra rotta” di Jeffrey Deaver.
Ovviamente è un romanzo, ma le note dell’autore scritte in appendice e la relativa bibliografia sono inquietanti …
A parte va anche considerata quella magnifica conquista sociale che è il “diritto all’oblio” citata dal tenutario.
@Apis: io sono della scuola per cui il vero problema non è il diritto all’oblio, ma il diritto alla completezza. Proprio perché uno non può essere perfetto, sarebbe corretto dire “sì, in passato Tizio ha fatto questo, ma poi ha cambiato idea, tanto che ha fatto quest’altro”.
Per diritto all’oblio io intendevo il diritto a non entrare in contatto nuovamente con persone del mio passato.
Mi rendo però conto, rileggendo il post, che avevo equivocato e che l’accezione in cui l’avevi usato tu era quello del “diritto alla completezza”, per usare la tua dizione (io lo chiamerei più “diritto al ripensamento”)
@Apis: naturalmente anch’io sono per il “diritto a evitare di essere ricontattati”!
ciao mau! condivido il tuo commento.
Resta il fatto che volendo si può alzare il livello di privacy e di parecchio: pochi forse ci fanno caso ma i settings privacy di facebook sono multilivello, approfonditi e si possono applicare a qualsiasi azione/informazione che facciamo li sù; volendo si potrebbe rendere il proprio profilo quasi invisibile all’esterno. E poi non scordiamoci che tutte le informazioni che riversiamo su facebook partono dalla nostra volontà di condividerle o meno, quindi in generale vale la regola del buon senso…
@Domenico: è vero che puoi stabilire cosa far vedere, e c’è un’ampia granularità sul cosa: però manca la granularità sul chi, visto che le scelte sono “amici-di-amici” e “amici”, e al più c’è una blacklist per qualcuno che amico proprio non è. (per chi non riuscisse a trovare la pagina, è questa).
Sulla quantità di buon senso esistente, ho sempre dei dubbi :-)
@mau
vero vero, aggiungo solo che i filtri possibili da applicare sono anche altri…”solo i network di appartenza”, “solo alcuni network di appartenza”, “solo alcuni friend” da selezionare e in alcuni casi only me
Sulla quantità/qualità di buon senso in giro..bhe si..tendo ad essere troppo ottimista a volte ;)
non facendo parte di nessun network tutte quelle opzioni non mi appaiono :-)
Buona l’idea dei diritti a cipolla.
Effettivamente io troverei molto utile catalogare i contatti per “gruppi” e gestire i diritti la sopra.
Ma immagino che ognuno abbia il suo paradigma.
E poi who watches the watchmen?
Nel senso che politiche usa FB sulla security? Non voglio neanche pensare che cosa potrebbe accadere se qualcuno s’involasse con una copia dei loro DB. Email, nomi, relazioni e stili di vita. Oro puro, dal punto di vista markettaro.
mi scusi ma come si premete di bloccare la il mio sito di facebook io sono una persona onesta non ho fato mai male a nessuno
vorrei sapere il motivo di questa sorpresa e chi e la persona che mi ha bloccato.
ansi sona una persona con invalidi al 100% e io rivoglio il mio programmi non ce motivo di bloccare grazie ancore giacomo
e vorrei sapere chi mi mandava in continui dei virus e voglio tutta le mie cose personale che ano tutti altri
giorni fa ho scoperto di avere un’omonima su facebook…premetto che io detesto le chat e i forum su cui conoscere gente(che tanto nel buon 80% dei casi non è mai gente sincera e questo mi fa perdere ancora piu’ interesse…preferisco gli incontri LIVE)e non essendomi mai registrata mi chiedevo se per caso fosse possibile che non sia un’omonima,piuttosto qualcuno deve avermi mandato l’invito( quasi tutti hanno facebook-alla ricerca disperata di rivedere che fine ha fatto il compagno dell’asilo…ma fatemi il piacere!!!!)e magari il fatto stesso di esser stata invitata a guardare dei profili è stato sufficiente a creare una”mia”pagina …..oh forse non sono stata molto chiara,intendo dire…é possibile secondo voi che si sia creata una pagina col mio nome senza che io abbia voluto questo e senza che abbia mai avuto accesso a facebook? il dubbio nasce perchè non ho un nome cosi’ comune….ma non saprei davvero che dire. adesso leggo un pò di robe su sto sito e scopro che è praticamente impossibile uscirne :| date un’occhiata: http://www.repubblica.it/2008/03/sezioni/scienza_e_tecnologia/social-networking/facebook-fuga/facebook-fuga.html
@marianna: mandare un invito a una persona che non esiste non fa succedere nulla, però non è difficile creare una finta pagina a nome di un’altra persona, anche se – salvo in casi di persone molto note – non credo che ne valga la pena.
Che un nome sia comune o no non significa molto: il mio nome-e-cognome è molto raro ma siamo comunque in due.
Infine un consiglio: non credere praticamente mai a quello che Repubblica e Corsera scrivono di tecnologia :-)
Faccialibro!
Dopo varie richieste da parte di amici, conoscenti o addirittura familiari, visto il successo che la miniguida sui blog pare abbia riscosso, ho deciso di accettare a scrivere questa miniguida su Faccialibro. Buona lettura :) Come si apre (e si…