venerdì 24 giugno 2016

Siamo in finale!

Non mi riferisco agli europei di calcio. Mi riferisco agli "AWARDS for Human-Competitive Results produced by Genetic and Evolutionary Computation".

In pochissime parole, ogni anno viene organizzata una competizione internazionale riservata a chi ha ottenuto risultati scientifici "human-competitive" utilizzando tecniche di calcolo genetiche o evolutive (per avere un'idea di quali siano queste tecniche, vedi penultimo paragrafo qui).

Abbiamo superato la prima selezione (22 partecipanti) e ci siamo qualificati per la finale: 8 partecipanti, 22 Luglio 2016, Denver. Maggiori dettagli in un post sul sito del Machine Learning Lab.

PS: E' la seconda volta che arriviamo in finale. La prima volta fu due anni fa. Il blog post in cui avevo messo l'annuncio iniziava esattamente come questo post ma invece di riferirsi agli europei si riferiva ai mondiali...


venerdì 17 giugno 2016

Ancora sulla autenticazione via cellulare...

...ad integrazione di quanto ho scritto ieri sull'uso dei cellulari come strumento aggiuntivo di autenticazione, si sta diffondendo un altro modo per ottenere il codice inviato via SMS. E' basato su "social engineering" (ingannare l'utente; niente di tecnicamente sofisticato). Mi spiace non averci pensato io, è davvero banale.

L'attaccante deve avere ottenuto la password dell'utente da attaccare. Ciò non è immediato ma neanche difficile: il motivo per il quale si inviano i codici via SMS è proprio perché ottenere la password non è difficile.

A questo punto l'attaccante procede come segue:

  • Esegue il login con username e password dell'utente.
  • Subito prima di eseguire una operazione che richiede l'inserimento di un codice inviato dal servizio via SMS, l'attaccante:
    • invia un messaggio all'utente, in una qualche forma: Twitter, email, whatsapp, SMS...;
    • nel messaggio dichiara di essere il servizio e scrive: "Caro utente, abbiamo rilevato attività sospette sul tuo account provenienti dall'indirizzo 136.91.65.75 (localizzato a Novosibirsk). Se non hai utilizzato il tuo account da quella locazione, allora rispondi a questo messaggio con il codice numerico che ti invieremo tra pochi minuti. Altrimenti puoi continuare ad operare tranquillamente";
  • esegue l'operazione nel servizio (il che provoca l'invio di un SMS dal servizio all'utente);
  • aspetta di ricevere la risposta dell'utente, contenente il codice;
  • inserisce il codice nel servizio.

Voilà.

http://uk.businessinsider.com/hackers-are-spoofing-text-messages-to-steal-two-factor-authentication-codes-2016-6


giovedì 16 giugno 2016

Come entrare (fraudolentemente) in Facebook con il solo numero telefonico

I cellulari sono usati sempre più spesso come strumento per aumentare la sicurezza dei sistemi informatici.

Si usano comunemente per la cosiddetta two-factor authentication: l'utente inserisce una password, il sistema invia un SMS ad un numero telefonico associato alla password, l'utente trova nell'SMS un codice, valido solo per alcuni minuti, da inserire nel servizio come ulteriore conferma della propria identità ("something you know" = password più "something you have" = cellulare con un certo numero telefonico).

Tecniche di questo genere sono usate in molti servizi di carattere finanziario (ad esempio Postepay) o di carattere legale (verbalizzazione on-line degli esami nel nostro ateneo).

Come accade invariabilmente ogni volta che si sviluppa una nuova tecnologia, molti tendono a considerare quella tecnologia come sinonimo di sicurezza assoluta (basta leggere un pò di pubblicità o di documenti tecnici che risalgono ai primi anni di SSL e HTTPS per capire cosa intendo). Come accade invariabilmente ogni volta, non è vero. La nuova tecnologia ha solo alzato l'asticella che devono superare gli attaccanti: non l'ha portata ad una altezza insormontabile.

Per inciso, il fatto stesso che sia stata sviluppata la tecnologia N dimostra che la tecnologia N-1, anch'essa in passato considerata sinonimo di sicurezza assoluta, non era tale: se lo fosse stata allora nessuno avrebbe speso ingenti risorse per sviluppare e diffondere la tecnologia N...ma non divaghiamo.

I modi per aggirare gli one-time code su cellulare sono molteplici.

Uno consiste nell'installare un malware su PC e su smartphone che interagiscono automaticamente e di nascosto all'utente: il primo malware esegue l'operazione, il secondo malware intercetta l'SMS, estrae il codice, lo invia al malware sul PC e cancella l'SMS (accaduto già 4 anni fa, 30.000 utenti tra Germania, Italia, Spagna, Olanda per 36 milioni di euro su 30 banche diverse: http://www.corriere.it/tecnologia/12_dicembre_06/hacker-maxi-furto-da-conti-online-banche-europee_0e8cd008-3f82-11e2-823e-1add3ba819e8.shtml).

Un altro consiste nell'installare un malware sul PC che mostra all'utente una cosa ed in realtà ne fa un'altra (quindi quando l'utente crede di realizzare un certo bonifico, in realtà ne sta eseguendo un'altro: http://securityaffairs.co/wordpress/17538/cyber-crime/man-browser-attacks-scare-banking.html).

Nel corso degli ultimi mesi è stata dimostrata la fattibilità di attacchi molto più radicali e molto più dirompenti. Molto banalmente, sono state scoperte vulnerabilità in un certo protocollo di nome SS7 che viene utilizzato in tutte le reti telefoniche(sinceramente non ricordo se si tratti di vulnerabilità di protocollo o vulnerabilità software nelle implementazioni del protocollo; credo si tratti del primo caso). Grazie a queste vulnerabilità un attaccante può fare tante belle cose. Ad esempio, farsi inviare tutti gli SMS diretti verso il numero X. Le implicazioni e le possibili applicazioin sono facilmente immaginabili.

L'articolo indicato di seguito mostra un'applicazione banalissima. Se uno si dimentica la propria password Facebook, basta inserire il proprio numero telefonico in un form Facebook (numero che ovviamente deve essere già stato associato con quell'account) e Facebook invia un one-time code via SMS per effettuare il login. Sfruttando le vulnerabilità del protocollo telefonico, il cui nome è SS7, si intercetta l'SMS ed il gioco è fatto: basta conoscere il numero telefonico di una persona per prendere controllo dell'account Facebook di quella persona. L'articolo contiene un video di soli due minuti di cui consiglio la visione: non è nulla di particolare ma rende l'idea

http://www.forbes.com/sites/thomasbrewster/2016/06/15/hackers-steal-facebook-account-ss7/#555a83068fa7

Le implicazioni e possibili applicazioni sono, come dicevo, facilmente immaginabili.

mercoledì 1 giugno 2016

Incentivo "una tantum"

A mio parere la legge ed i decreti citati in questa pagina sono sbagliati ed ingiusti, per molti motivi che non approfondisco per mancanza di tempo e di voglia.

Idem per il modo con il quale la legge ed i decreti sono stati applicati nella nostra Università.

Idem per il fatto che ancora non sappiamo come la nostra Università intenderà applicare la legge ed i decreti in futuro (nessuno conosce i criteri che saranno utilizzati per valutare il lavoro che stiamo facendo oggi).

Tutto ciò premesso, ammetto di essere contento per la valutazione del mio lavoro:

  • triennio precedente al 2011: 11 su 80 partecipanti e 134 aventi diritto;
  • triennio precedente al 2013: 1 su 78 partecipanti e 134 aventi diritto.