Difesa Cybersecurity Awareness Month #4: Pulizie Natalizie!

0xbro

Moderatore
24 Febbraio 2017
3,546
137
2,209
1,360
Ultima modifica:
Identità digitale, dati personali, giudiziari e sensibili. Scopri in questo quarto articolo dedicato al Cybersecurity Awareness Month come individuarli online e rimuoverli.​
photo-1504711331083-9c895941bf81

Cybersecurity Awareness Month #4: Pulizie Natalizie!​

Tempo di lettura stimato: 10 min




1    Introduzione

Ciao a tutto il popolo di Inforge, bentornati in questo quarto (e ultimo) episodio del Cybersecurity Awareness Month. Novembre è ormai finito, e con lui anche il periodo dedicato alla sensibilizzazione delle tematiche di security, ma non per questo non vedrete in futuro altri articoli del genere!

Nei numeri precedenti (rispettivamente primo, secondo e terzo) abbiamo trattato numerosi argomenti relativi alla sicurezza informatica, sia personale che dei nostri dati e della nostra rete. In questo numero quindi, siccome abbiamo già messo in sicurezza quello su cui potevamo direttamente agire (e anche perché Natale è ormai molto vicino), procederemo col fare le cosiddette "pulizie di Natale": trovare e cancella i dati (indesiderati) online.

2    Identità digitale

Prima di parlare di pulizia dei nostri dati, però, dobbiamo capire come una persona venga identificata online, quindi dobbiamo necessariamente parlare di identità digitale. Citando wikipedia:​
L'identità digitale è l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utente utilizzatore del suddetto sotto un processo di identificazione. In un'accezione più ampia essa è costituita dall'insieme di informazioni presenti online e relative ad un soggetto/ente/brand/ecc..​
Siccome la prima definizione si riferisce alla meccanica di Autenticazione dei siti, e non ai veri e propri dati, noi prenderemo in considerazione la seconda parte della definizione, quella relativa ai nostri dati.

Innanzitutto quando si parla di dati si deve fare distinzione tra diverse categorie di questi ultimi:

2.1    Dati personali

Sono tutte quelle informazioni che identificano, o rendono identificabile, una persona fisica, sulla quale forniscono informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. Sono comunque dati che possono essere pubblici.
Sono quindi dati personali i dati anagrafici, il codice fiscale, il numero di targa, l'indirizzo IP, ecc.

2.2    Dati sensibili

Sono informazioni confidenziali che non possono e non devono essere divulgate per nessun motivo. Rientrano in questa categoria l'origine raziale/etnica, le convinzioni religiose/filosofiche, le opinioni politiche, l'appartenenza sindacale, le informazioni relative alla salute o alla vita sessuale. Sono compresi da poco tempo anche i dati genetici, i dati biometrici e l'orientamento sessuale.

2.3    Dati giudiziari

Sono le informazioni che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale. Come per i dati sensibili, anche queste informazioni sono da ritenersi confidenziali e non devono/possono venir divulgate se non ad apposite figure (come ad esempio avvocati o giudici).


L'unione di tutte queste informazioni crea la nostra identità digitale.

Mentre per i dati sensibili e i dati giudiziari non ci si aspetta di trovarli online (in caso contrario si può intraprendere un'azione giudiziaria coinvolgendo il garante della privacy), tutt'altra storia sono i dati personali, di cui il web e i social sono invasi, e dei quali diamo spesso (anche non consciamente) il consenso per la raccolta, distribuzione e trattamento generale.

Poiché non è nello scopo di questo articolo trattare le tematiche giuridiche/giudiziarie inerenti al trattamento dei dati personali, invito chiunque a documentarsi in autonomia all'interno del forum o sul web riguardo al GDPR, la normativa sul trattamento e protezione dei dati e sui diritti e doveri di ogni internauta, sia per la complessità dell'argomento, sia per la sua dinamicità.

Ora che abbiamo un po' di infarinatura generale possiamo iniziare la nostra attività di ricerca, revisione e rimozione di nostri dati dalla portata di tutti, attività che sarebbe bene eseguire spesso e far diventare un'abitudine.

3    Social Media: la vetrina dei nostri dati

social_media_banner.png

I social media sono da sempre il nucleo, il conglomerato più fitto di dati personali (e talvolta anche sensibili) che una persona possa ricercare o fornire al web. Su siti come Facebook, ad esempio, non è raro trovare persone pubblicare i propri dati come nulla fosse: dati anagrafici, gusti, passioni, stile di vita, talvolta addirittura dati sensibili come partito politico, orientamento religioso... insomma, di tutto!
Mettere queste informazioni alla mercé di tutti non è una buona cosa, per questo una persona dovrebbe sempre valutare attentamente quali dati esporre e quali no. I motivi sono dai più complessi (rivendita di dati per advertising mirato) ai più "banali", come per esempio il fatto che una persona possa impersonarvi su altri siti o addirittura nella vita reale.

Vi racconto una mia esperienza non molto piacevole:​
Da ragazzino volevo rendere il mio profilo Facebook il più completo possibile, nemmeno fosse stato un album di figurine. Mai errore mi fu più letale. A causa di questo "capriccio", qualcuno (di cui tutt'ora non conosco l'identità) impersonificò la mia persona per anni, fornendo dati e informazioni per recapitarmi multe e quant'altro ogni qualvolta ne avesse avuto bisogno.​
Questo per farvi capire quindi che bisogna sempre fare attenzione a cosa si pubblica online, soprattutto sui social o su qualsiasi piattaforma pubblica. Per quale motivo dovreste rivelare certe informazioni che vi riguardano così da vicino? Pensateci, fate un veloce confronto dei pro e dei contro.... sono sicuro che state già modificando i vostri profili social.

4    A caccia di dati!

Ritrovare e rimuovere i propri dati online, però, non è sempre così semplice come aprire i propri social e modificare le impostazioni di visualizzazione/accesso. Ecco perché, questa volta, dovremo calarci in un contesto un po' più tecnico e spingerci leggermente più in là della nostra zona di confort.
Quello che faremo sarà usare tutto ciò che abbiamo a disposizione per trovare, analizzare e rimuovere le nostre informazioni, i nostri commenti, le nostre foto dimenticate, i nostri dati, tutto ciò che ci riguarda, sparso per il web.

4.1    Email temporanee

Piccola digressione per il futuro: quando si deve provare un servizio, un sito o qualcosa di cui la sicurezza non sembra "eccezionale", è sempre bene utilizzare delle email temporanee, generate da servizi appositi come TempMail, in modo che in caso di data breach o di qualsiasi altra problematica, i dati estratti siano dati "finti" e non quelli reali appartenenti a noi.
tempmail.png

E' fondamentale però fare due precisazioni molto importanti:​
  • Spesso le caselle sono condivise, perciò MAI inserire o richiedere dati personali poiché potrebbero venir visti anche da altri​
  • Non tutti i servizi accettano queste email: molti siti ormai riconoscono se si stanno utilizzando delle email temporanee o meno. Per bypassare questo problema però è possibile crearsi una email anonima su ProtonMail, dedicata appunto ad accessi a siti non sicuri o di test.​

4.2    Google dorks (o Google hacking)

googledork.png

Quando si parla di ricerca, il numero uno è sempre lui: l'occhio silente che tutto vede e tutto sa, Google.
Per i non addetti ai lavori, Google permette, oltre alle classiche ricerche per parole, anche una modalità di ricerca più avanzata, basata su "parole chiave" che dicono al motore di ricerca come comportarsi: le cosiddette google dorks.
Questa tecnica di ricerca, usata anche da hacker, investigatori, bot & co. permette di eseguire ricerche molto più accurate e dettagliate, andando a sfruttare dei comandi specifici che Google mette a disposizione al fine di ricercare elementi come numeri di telefono, frasi esatte, tag, nomi utente e tante altre cose.

I principali comandi che Google ci mette a disposizione sono i seguenti*:​


Operator

Purpose

Mixes with Other Operators?

Can be used Alone?

Web

Images

Groups

News

intitle

Search page Title

yes

yes

yes

yes

yes

yes

inurl

Search URL

yes

yes

no

yes

completely

like intitle

filetype:env

specific files

yes

yes

yes

yes

completely

intext

Search text of page only

yes

yes

yes

yes

yes

yes

site

Search specific site

yes

yes

no

yes

yes

completely

link

Search for links to pages

yes

yes

yes

yes

yes

completely

inanchor

Search link anchor text

yes

yes

yes

yes

completely

yes

numrange

Locate number

yes

yes

yes

yes

yes

completely

daterange

Search in date range

yes

yes

yes

completely

completely

completely

author

Group author search

yes

yes

yes

yes

yes

completely

group

Group name search

yes

yes

yes

yes

completely

insubject

Group subject search

yes

yes

like intitle

like intitle

yes

like intitle

msgid

Group msgid search

yes

yes

completely

yes

cache:

Serarch within the Google cache

-

-

-

-

-

-

@SOMETHING

Search within social networks

-

-

-

-

-

-

"frase esatta"

Search the exact sentence

-

-

-

-

-

-

Frase -elemento

Remove <elemento> from every search

-

-

-

-

-

-
[*] tabella presa da wikipedia

Per usarli bisogna utilizzare, nella maggior parte delle volte, una notazione del tipo <Operator>:<elemento da cercare>.

Vediamo degli esempi pratici con lo scopo di ricercare tutte le tracce che il mio utente (0xbro) ha lasciato online:​
dork1.png
dork2.png

Insomma, vediamo che saltano fuori molte informazioni, come le foto a cui ho messo like (salvate da altri servizi esterni a Instagram), i profili social, HTB, il mio sito GitLab, topics, ecc... Passando diverso tempo a cercare, facendo diverse combinazioni di dorks e dati, è possibile quindi ritrovare parecchi dati, tra cui anche informazioni che magari si vorrebbero rimuovere. Il consiglio è di fare quindi quante più ricerche possibile, in modo da estrarre il maggior numero di dati su di noi, capirne la provenienza e agire di conseguenza (eliminare un vecchio account, rimuovere un commento, chiedere la rimozione del contenuto, ecc.).

ATTENZIONE:​
Per quanto le Google Dorks siano le più performanti, Google non è l'unico motore di ricerca a mettere questa funzione a disposizione. Altri engine come Bing o DuckDuckGo offrono la stessa possibilità, trovando talvolta risultati diversi. Cercate quindi di fare le stesse ricerche su motori diversi in modo da variare i risultati e ritrovare più info possibili.​

4.3    Sync.me

syncme_logo_long.jpg

Sync.me è un'applicazione che, tra le tante funzioni che mette a disposizione, permette anche di sapere a chi appartenga un numero di telefono. Per funzionare, però, chiede di condividere con lei i vostri contatti in rubrica, in modo da poter salvare gli abbinamenti Nome-numero e mostrare, al momento della ricerca o della chiamata, il più pertinente (la combinazione più usata). Siccome condividere i nostri dati con app di terze parti, soprattutto la rubrica, non è una buona idea, ci accontenteremo delle 3 ricerche gratuite disponibili al giorno (per utilizzarla è necessario comunque fare il login tramite Google o Microsoft, fate attenzione ad assegnare i giusti permessi).
sync.me.png

In caso il nostro numero di telefono comparisse all'interno dell'app potremo inviare un'email a Sync.me per richiederne la rimozione. Resteremo così al sicuro fin quando qualcun altro con il nostro numero in rubrica acconsentirà alla condivisione. In quel caso dovremo ripetere la stessa procedura. E' suggeribile quindi controllare il sito almeno una volta al mese, in modo da essere sicuri di rimuovere il dato con costanza.

4.4    Public Data Breaches

Come avevamo già detto nel primo numero, nel corso degli anni sono molti i siti che, purtroppo per gli utenti o per fortuna per la security del sito, hanno subito degli attacchi e hanno sofferto del furto dei dati dei loro database. Questi dati non sempre si sa che fine facciano: talvolta vengono rivenduti, altre volte invece finiscono per essere postati pubblicamente.

Tra i siti più noti dedicati al collezionamento di data leak il più famoso tra tutti è Haveibeenpwned, un sito internet che, una volta ricevuta in input una email, verifica che questa non sia presente in qualche data leak pubblico.
haveibeenpwned.png

haveibeenpwned2.png

Come haveibeenpwned ci sono tanti altri siti che fanno la stessa cosa: GhostProject, BreachAlarm, DeHashed, ecc.
DeHashed.png

Sebbene alcuni servizi tra questi siano solo degli aggregatori (controllano online se c'è stato un dump oppure gli viene notificato da altri servizi), altri invece espongono direttamente le credenziali ma ne garantiscono anche la rimozione (es. DeHashed).
Il nostro compito è quindi cercare tutti i nostri dump online e chiederne la rimozione, in modo che le nostre email, le nostre vecchie password, i nostri nomi e cognomi e tutti gli altri dati non siano più collezionabili né utilizzabili per costruire attacchi specifici.

4.5    OSINT Framework

Per i più tecnici una risorsa fondamentale è sicuramente The OSINT Framework, un sito contenente tutti i tools necessari per eseguire ricerche dettagliate e doxing, fondamentale per ritrovare più dati possibili (sia su di noi che su altri).

Il sito si presenta sotto forma di albero dinamico, suddiviso in categorie, che a loro volta possono essere "esplose" in ulteriori sotto-categorie, alla cui estremità si trovano i vari tools e siti utili appunto per le ricerche:
OSINT.png

Sicuramente vale la pena dare un'occhiata alle categorie principali, chissà che non salti fuori qualcosa che ci è sfuggito in precedenza!

4.6    Ricerca per immagini

Sebbene sia una funzionalità sconosciuta ai più, Google, ma anche altri motori di ricerca come Bing, Yahoo, e soprattutto Yandex, permettono di ricercare anche foto partendo da altre foto, cercando o la stessa immagine oppure immagini simili a quella desiderata. Per attivare la funzionalità bisogna andare su Google Immagini e premere sulla fotocamera vicino al tasto di ricerca:
GoogleImmagini1.png

GoogleImmagini2.png

Una validissima, se non migliore, alternativa a Google (oltre il sopra citato Yandex) è TinEye, servizio che permette come visto prima di eseguire ricerche di immagini partendo da altre immagine. Utile per capire se le nostre immagini siano state rubate, salvate da altre pagine o più semplicemente per capire in quale siti sono state pubblicate delle nostre foto.
TinEye.png


5    Conclusioni

In questo numero abbiamo visto i principali strumenti utilizzabili per la ricerca online di tutto ciò che concerne la nostra persona. Questa attività, per quanto possa sembrare facile, risulta invece essere molto lunga e tediosa, ma non demoralizzatevi e non demordete. Vedetela come la composizione di un puzzle: ci va tempo, ma un dato alla volta troverete tutto ciò che non va e lo rimuoverete, mettendo al sicuro le vostre informazioni e i vostri dati. E' anche un modo alternativo per scoprire cosa Google e il web sa di voi e cosa no! Potrebbero saltare fuori vecchie foto di gruppo, vecchi commenti sui social o sui vari forum, oppure addirittura dei vostri vecchi profili o email che vi eravate completamente dimenticati... un bel tuffo nel passato!

Natale è ormai alle porte, Novembre è praticamente finito e con lui anche il Cybersecurity Awareness Month. E' quindi ufficialmente giunto il momento delle pulizie natalizie.
Cosa state aspettando?

Che la caccia al dato abbia inizio!

Made with ❤ for Inforge


 

Stefano Novelli

Fondatore
Amministratore
19 Novembre 2007
7,175
829
8,151
3,236
Good. Giusto un appunto sul Reverse Image Search: ho trovato l'algoritmo di Yandex decisamente più coerente con i risultati.
È in grado non solo di trovare immagini simili ma anche frame di video e di ordinarli in base a dimensioni o date.
Personalmente l'ho definitivamente sostituito a quello di Google che ultimamente da risultati molto meno coerenti sia di similitudine che di correlazione, buttandoti dentro un botto di stock photo.
 
Shiro is a big metin2 community server, 17.12.21
Aquarifoundation.com: Investi in un oceano pulito