Ultima modifica:
Cybersecurity Awareness Month #4: Pulizie Natalizie!
Tempo di lettura stimato: 10 min
1 Introduzione
Ciao a tutto il popolo di Inforge, bentornati in questo quarto (e ultimo) episodio del Cybersecurity Awareness Month. Novembre è ormai finito, e con lui anche il periodo dedicato alla sensibilizzazione delle tematiche di security, ma non per questo non vedrete in futuro altri articoli del genere!Nei numeri precedenti (rispettivamente primo, secondo e terzo) abbiamo trattato numerosi argomenti relativi alla sicurezza informatica, sia personale che dei nostri dati e della nostra rete. In questo numero quindi, siccome abbiamo già messo in sicurezza quello su cui potevamo direttamente agire (e anche perché Natale è ormai molto vicino), procederemo col fare le cosiddette "pulizie di Natale": trovare e cancella i dati (indesiderati) online.
2 Identità digitale
Prima di parlare di pulizia dei nostri dati, però, dobbiamo capire come una persona venga identificata online, quindi dobbiamo necessariamente parlare di identità digitale. Citando wikipedia:Siccome la prima definizione si riferisce alla meccanica di Autenticazione dei siti, e non ai veri e propri dati, noi prenderemo in considerazione la seconda parte della definizione, quella relativa ai nostri dati.
Innanzitutto quando si parla di dati si deve fare distinzione tra diverse categorie di questi ultimi:
Innanzitutto quando si parla di dati si deve fare distinzione tra diverse categorie di questi ultimi:
2.1 Dati personali
Sono tutte quelle informazioni che identificano, o rendono identificabile, una persona fisica, sulla quale forniscono informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. Sono comunque dati che possono essere pubblici.Sono quindi dati personali i dati anagrafici, il codice fiscale, il numero di targa, l'indirizzo IP, ecc.
2.2 Dati sensibili
Sono informazioni confidenziali che non possono e non devono essere divulgate per nessun motivo. Rientrano in questa categoria l'origine raziale/etnica, le convinzioni religiose/filosofiche, le opinioni politiche, l'appartenenza sindacale, le informazioni relative alla salute o alla vita sessuale. Sono compresi da poco tempo anche i dati genetici, i dati biometrici e l'orientamento sessuale.
2.3 Dati giudiziari
Sono le informazioni che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale. Come per i dati sensibili, anche queste informazioni sono da ritenersi confidenziali e non devono/possono venir divulgate se non ad apposite figure (come ad esempio avvocati o giudici).L'unione di tutte queste informazioni crea la nostra identità digitale.
Mentre per i dati sensibili e i dati giudiziari non ci si aspetta di trovarli online (in caso contrario si può intraprendere un'azione giudiziaria coinvolgendo il garante della privacy), tutt'altra storia sono i dati personali, di cui il web e i social sono invasi, e dei quali diamo spesso (anche non consciamente) il consenso per la raccolta, distribuzione e trattamento generale.
Poiché non è nello scopo di questo articolo trattare le tematiche giuridiche/giudiziarie inerenti al trattamento dei dati personali, invito chiunque a documentarsi in autonomia all'interno del forum o sul web riguardo al GDPR, la normativa sul trattamento e protezione dei dati e sui diritti e doveri di ogni internauta, sia per la complessità dell'argomento, sia per la sua dinamicità.
Ora che abbiamo un po' di infarinatura generale possiamo iniziare la nostra attività di ricerca, revisione e rimozione di nostri dati dalla portata di tutti, attività che sarebbe bene eseguire spesso e far diventare un'abitudine.
3 Social Media: la vetrina dei nostri dati
I social media sono da sempre il nucleo, il conglomerato più fitto di dati personali (e talvolta anche sensibili) che una persona possa ricercare o fornire al web. Su siti come Facebook, ad esempio, non è raro trovare persone pubblicare i propri dati come nulla fosse: dati anagrafici, gusti, passioni, stile di vita, talvolta addirittura dati sensibili come partito politico, orientamento religioso... insomma, di tutto!
Mettere queste informazioni alla mercé di tutti non è una buona cosa, per questo una persona dovrebbe sempre valutare attentamente quali dati esporre e quali no. I motivi sono dai più complessi (rivendita di dati per advertising mirato) ai più "banali", come per esempio il fatto che una persona possa impersonarvi su altri siti o addirittura nella vita reale.
Vi racconto una mia esperienza non molto piacevole:
Questo per farvi capire quindi che bisogna sempre fare attenzione a cosa si pubblica online, soprattutto sui social o su qualsiasi piattaforma pubblica. Per quale motivo dovreste rivelare certe informazioni che vi riguardano così da vicino? Pensateci, fate un veloce confronto dei pro e dei contro.... sono sicuro che state già modificando i vostri profili social.
Quello che faremo sarà usare tutto ciò che abbiamo a disposizione per trovare, analizzare e rimuovere le nostre informazioni, i nostri commenti, le nostre foto dimenticate, i nostri dati, tutto ciò che ci riguarda, sparso per il web.
4 A caccia di dati!
Ritrovare e rimuovere i propri dati online, però, non è sempre così semplice come aprire i propri social e modificare le impostazioni di visualizzazione/accesso. Ecco perché, questa volta, dovremo calarci in un contesto un po' più tecnico e spingerci leggermente più in là della nostra zona di confort.Quello che faremo sarà usare tutto ciò che abbiamo a disposizione per trovare, analizzare e rimuovere le nostre informazioni, i nostri commenti, le nostre foto dimenticate, i nostri dati, tutto ciò che ci riguarda, sparso per il web.
4.1 Email temporanee
Piccola digressione per il futuro: quando si deve provare un servizio, un sito o qualcosa di cui la sicurezza non sembra "eccezionale", è sempre bene utilizzare delle email temporanee, generate da servizi appositi come TempMail, in modo che in caso di data breach o di qualsiasi altra problematica, i dati estratti siano dati "finti" e non quelli reali appartenenti a noi.
E' fondamentale però fare due precisazioni molto importanti:
- Spesso le caselle sono condivise, perciò MAI inserire o richiedere dati personali poiché potrebbero venir visti anche da altri
- Non tutti i servizi accettano queste email: molti siti ormai riconoscono se si stanno utilizzando delle email temporanee o meno. Per bypassare questo problema però è possibile crearsi una email anonima su ProtonMail, dedicata appunto ad accessi a siti non sicuri o di test.
4.2 Google dorks (o Google hacking)
Quando si parla di ricerca, il numero uno è sempre lui: l'occhio silente che tutto vede e tutto sa, Google.
Per i non addetti ai lavori, Google permette, oltre alle classiche ricerche per parole, anche una modalità di ricerca più avanzata, basata su "parole chiave" che dicono al motore di ricerca come comportarsi: le cosiddette google dorks.
Questa tecnica di ricerca, usata anche da hacker, investigatori, bot & co. permette di eseguire ricerche molto più accurate e dettagliate, andando a sfruttare dei comandi specifici che Google mette a disposizione al fine di ricercare elementi come numeri di telefono, frasi esatte, tag, nomi utente e tante altre cose.
I principali comandi che Google ci mette a disposizione sono i seguenti*:
Operator | Purpose | Mixes with Other Operators? | Can be used Alone? | Web | Images | Groups | News |
|---|---|---|---|---|---|---|---|
intitle | Search page Title | yes | yes | yes | yes | yes | yes |
inurl | Search URL | yes | yes | no | yes | completely | like intitle |
filetype:env | specific files | yes | yes | yes | yes | completely | |
intext | Search text of page only | yes | yes | yes | yes | yes | yes |
site | Search specific site | yes | yes | no | yes | yes | completely |
link | Search for links to pages | yes | yes | yes | yes | yes | completely |
inanchor | Search link anchor text | yes | yes | yes | yes | completely | yes |
numrange | Locate number | yes | yes | yes | yes | yes | completely |
daterange | Search in date range | yes | yes | yes | completely | completely | completely |
author | Group author search | yes | yes | yes | yes | yes | completely |
group | Group name search | yes | yes | yes | yes | completely | |
insubject | Group subject search | yes | yes | like intitle | like intitle | yes | like intitle |
msgid | Group msgid search | yes | yes | completely | yes | ||
cache: | Serarch within the Google cache | - | - | - | - | - | - |
@SOMETHING | Search within social networks | - | - | - | - | - | - |
"frase esatta" | Search the exact sentence | - | - | - | - | - | - |
Frase -elemento | Remove <elemento> from every search | - | - | - | - | - | - |
[*] tabella presa da wikipedia
Per usarli bisogna utilizzare, nella maggior parte delle volte, una notazione del tipo <Operator>:<elemento da cercare>.
Vediamo degli esempi pratici con lo scopo di ricercare tutte le tracce che il mio utente (0xbro) ha lasciato online:
Per usarli bisogna utilizzare, nella maggior parte delle volte, una notazione del tipo <Operator>:<elemento da cercare>.
Vediamo degli esempi pratici con lo scopo di ricercare tutte le tracce che il mio utente (0xbro) ha lasciato online:
Insomma, vediamo che saltano fuori molte informazioni, come le foto a cui ho messo like (salvate da altri servizi esterni a Instagram), i profili social, HTB, il mio sito GitLab, topics, ecc... Passando diverso tempo a cercare, facendo diverse combinazioni di dorks e dati, è possibile quindi ritrovare parecchi dati, tra cui anche informazioni che magari si vorrebbero rimuovere. Il consiglio è di fare quindi quante più ricerche possibile, in modo da estrarre il maggior numero di dati su di noi, capirne la provenienza e agire di conseguenza (eliminare un vecchio account, rimuovere un commento, chiedere la rimozione del contenuto, ecc.).
ATTENZIONE:
4.3 Sync.me
4.3 Sync.me
Sync.me è un'applicazione che, tra le tante funzioni che mette a disposizione, permette anche di sapere a chi appartenga un numero di telefono. Per funzionare, però, chiede di condividere con lei i vostri contatti in rubrica, in modo da poter salvare gli abbinamenti Nome-numero e mostrare, al momento della ricerca o della chiamata, il più pertinente (la combinazione più usata). Siccome condividere i nostri dati con app di terze parti, soprattutto la rubrica, non è una buona idea, ci accontenteremo delle 3 ricerche gratuite disponibili al giorno (per utilizzarla è necessario comunque fare il login tramite Google o Microsoft, fate attenzione ad assegnare i giusti permessi).
In caso il nostro numero di telefono comparisse all'interno dell'app potremo inviare un'email a Sync.me per richiederne la rimozione. Resteremo così al sicuro fin quando qualcun altro con il nostro numero in rubrica acconsentirà alla condivisione. In quel caso dovremo ripetere la stessa procedura. E' suggeribile quindi controllare il sito almeno una volta al mese, in modo da essere sicuri di rimuovere il dato con costanza.
4.4 Public Data Breaches
Come avevamo già detto nel primo numero, nel corso degli anni sono molti i siti che, purtroppo per gli utenti o per fortuna per la security del sito, hanno subito degli attacchi e hanno sofferto del furto dei dati dei loro database. Questi dati non sempre si sa che fine facciano: talvolta vengono rivenduti, altre volte invece finiscono per essere postati pubblicamente.Tra i siti più noti dedicati al collezionamento di data leak il più famoso tra tutti è Haveibeenpwned, un sito internet che, una volta ricevuta in input una email, verifica che questa non sia presente in qualche data leak pubblico.
Come haveibeenpwned ci sono tanti altri siti che fanno la stessa cosa: GhostProject, BreachAlarm, DeHashed, ecc.
Sebbene alcuni servizi tra questi siano solo degli aggregatori (controllano online se c'è stato un dump oppure gli viene notificato da altri servizi), altri invece espongono direttamente le credenziali ma ne garantiscono anche la rimozione (es. DeHashed).
Il nostro compito è quindi cercare tutti i nostri dump online e chiederne la rimozione, in modo che le nostre email, le nostre vecchie password, i nostri nomi e cognomi e tutti gli altri dati non siano più collezionabili né utilizzabili per costruire attacchi specifici.
4.5 OSINT Framework
Per i più tecnici una risorsa fondamentale è sicuramente The OSINT Framework, un sito contenente tutti i tools necessari per eseguire ricerche dettagliate e doxing, fondamentale per ritrovare più dati possibili (sia su di noi che su altri).Il sito si presenta sotto forma di albero dinamico, suddiviso in categorie, che a loro volta possono essere "esplose" in ulteriori sotto-categorie, alla cui estremità si trovano i vari tools e siti utili appunto per le ricerche:
Sicuramente vale la pena dare un'occhiata alle categorie principali, chissà che non salti fuori qualcosa che ci è sfuggito in precedenza!
4.6 Ricerca per immagini
Sebbene sia una funzionalità sconosciuta ai più, Google, ma anche altri motori di ricerca come Bing, Yahoo, e soprattutto Yandex, permettono di ricercare anche foto partendo da altre foto, cercando o la stessa immagine oppure immagini simili a quella desiderata. Per attivare la funzionalità bisogna andare su Google Immagini e premere sulla fotocamera vicino al tasto di ricerca:
Una validissima, se non migliore, alternativa a Google (oltre il sopra citato Yandex) è TinEye, servizio che permette come visto prima di eseguire ricerche di immagini partendo da altre immagine. Utile per capire se le nostre immagini siano state rubate, salvate da altre pagine o più semplicemente per capire in quale siti sono state pubblicate delle nostre foto.
5 Conclusioni
5 Conclusioni
In questo numero abbiamo visto i principali strumenti utilizzabili per la ricerca online di tutto ciò che concerne la nostra persona. Questa attività, per quanto possa sembrare facile, risulta invece essere molto lunga e tediosa, ma non demoralizzatevi e non demordete. Vedetela come la composizione di un puzzle: ci va tempo, ma un dato alla volta troverete tutto ciò che non va e lo rimuoverete, mettendo al sicuro le vostre informazioni e i vostri dati. E' anche un modo alternativo per scoprire cosa Google e il web sa di voi e cosa no! Potrebbero saltare fuori vecchie foto di gruppo, vecchi commenti sui social o sui vari forum, oppure addirittura dei vostri vecchi profili o email che vi eravate completamente dimenticati... un bel tuffo nel passato!
Natale è ormai alle porte, Novembre è praticamente finito e con lui anche il Cybersecurity Awareness Month. E' quindi ufficialmente giunto il momento delle pulizie natalizie.
Cosa state aspettando?
Che la caccia al dato abbia inizio!
Natale è ormai alle porte, Novembre è praticamente finito e con lui anche il Cybersecurity Awareness Month. E' quindi ufficialmente giunto il momento delle pulizie natalizie.
Cosa state aspettando?
Che la caccia al dato abbia inizio!
Made with ❤ for Inforge
). Se c'è qualcuno che ha qualche consiglio sono aperto a tutto 
