Aggiungo al precedente post considerazioni riguardo una particolarità del motore di ricerca di LinkedIn che non avevo precedentemente notato: ricercando un termine, si ottengono una serie di risultati con delle sintesi che permettono di comprendere l'affinità con la ricerca effettuata...
Per esempio, volendo conoscere le tecnologie in uso presso una azienda, potrebbe essere sufficiente iniziare dal visionare le competenze peculiari di coloro che vi hanno lavorato. Con opportune relazioni (per esempio, il periodo di attività con la versione di un particolare prodotto) si potrebbero ottenere informazioni iniziali sufficienti per raffinare analisi altrimenti effettuabili solo con metodi intrusivi e necessariamente non specializzati in una condizione di conoscenza-zero.
Certo, l'ipotesi è un pò forte, e l'attaccante deve essere dotato di una buona dose di fortuna, ma a questo approccio basta aggiungere altri dati, come i prodotti promossi in esclusiva da società fornitrici, eventuali azioni di social engineering facilitate dallo stesso network sociale, per semplificare le cose. Anche in caso di insuccesso, il rischio rasenta lo zero, e pertanto il gioco vale comunque, per chi attacca, la candela...
Ecco, tali sintesi sono prelevate dal profilo "privato" della persona, tipicamente riservato ai soli partecipanti al network, con la conseguente possibilità di dedurre molti dati senza doversi compromettere troppo...Il limite è l'avere un account LinkedIn, ma non necessariamente una rete di contatti.
Per esempio, volendo conoscere le tecnologie in uso presso una azienda, potrebbe essere sufficiente iniziare dal visionare le competenze peculiari di coloro che vi hanno lavorato. Con opportune relazioni (per esempio, il periodo di attività con la versione di un particolare prodotto) si potrebbero ottenere informazioni iniziali sufficienti per raffinare analisi altrimenti effettuabili solo con metodi intrusivi e necessariamente non specializzati in una condizione di conoscenza-zero.
Certo, l'ipotesi è un pò forte, e l'attaccante deve essere dotato di una buona dose di fortuna, ma a questo approccio basta aggiungere altri dati, come i prodotti promossi in esclusiva da società fornitrici, eventuali azioni di social engineering facilitate dallo stesso network sociale, per semplificare le cose. Anche in caso di insuccesso, il rischio rasenta lo zero, e pertanto il gioco vale comunque, per chi attacca, la candela...
View Luca Bechelli's profile
|