Blog di Gian Piero Biancoli » Sicurezza

Tutto quello che volevate sapere sui captcha

gpbiancoli — Wed, 30 Apr 2008 09:35:00 +0000

Il CAPTCHA (acronimo di Completely Atomated Public Turing test to tell Computers and Humans Apart) è in pratica un test di Turing per far capire se dall’altra parte del PC c’è un umano o un robot.
Col diffondersi del web 2.0, si è sentita sempre più l’esigenza di limitare il caricamento dei contenuti sul web (commenti, news, video, ecc…) ai soli umani e di impedire che programmi preparati ad hoc intasassero forum e blog con fastidiosi messaggi di spamming inseriti in maniera automatica.

Bisognava trovare qualcosa che facesse capire che chi, per esempio, inseriva un commento in un blog fosse una persona in carne e ossa e non un software programmato.
Si è pensato a un test molto semplice: prima di accedere a un servizio o pubblicare un commento, si deve digitare inserire una sequenza di numeri e lettere che compaiono distorte in un’immagine in modo che un cervello umano possa comunque capirne correttamente il significato e mettendo così fuori gioco un software che, come si sa, manca ancora della capacità interpretativa.

Indubbiamente inserire un captcha rappresenta una scocciatura, ma visto che comunque va fatto, perché non farlo a fin di bene? Nasce infatti l’idea di recaptcha, ovvero proporre parole, tratte da libri scansionati, troppo sbiadite o stampate male per poter essere interpretati da un programma di riconoscimento del testo al posto di una sequenza di caratteri casuali.

Il funzionamento è molto semplice: ogni parola non interpretata dalla scansione OCR, viene proposta insieme ad un altra parola il cui significato è già noto; l’utente dovrà inserire entrambi i termini e se la risposta alla parola con significato noto è corretta, il sistema assumerà come corretta anche l’altra e permetterà l’accesso al servizio. Ovviamente non si fiderà di una sola risposta ma riproporrà la parola di difficile interpretazione ad altri utenti fino a quando avrà un numero elevato di risposte identiche. Semplicemente geniale.

L’idea del captcha è talmente buona che anche dagli spammer ne fanno uso per evitare di essere censurati dai filtri di protezione della posta.
Invece di spedire il messaggio in testo chiaro e facilmente analizzabile dai filtri antispam, si invia un immagine con il testo distorto (i filtri più precisi tentano un riconoscimento dei caratteri all’interno delle immagini).
Un umano ne capisce lo stesso il senso, una macchina no e quindi il filtro rimane ingannato e la lascia passare

Ma utilizzarne il principio a proprio uso, non era sufficiente, perchè riuscire a superare un captcha è una sfida con una posta in palio molto allettante per uno spammer; Hotmail e Gmail, per la cui registrazione è necessario inserire un captcha, sono domini appetitosi per i produttori di mail-spazzatura: il rischio di essere inseriti in qualche blacklist è nullo, se si considera l’enorme base di utenti registrati.
Così, raffinando le tecniche di attacco, anche i captcha cadono: stando a WebSense, oggi bot può creare un 24 ore più di 1400 indirizzi email e contemporanemente spedire spam da questi. ()

E’ tempo quindi di rimpiazzare i captcha con un sistema più efficace, ed ecco quello che hanno pensato i ricercatori della PENN STATE UNIVERSITY; per confermare che c’è un umano in carne e ossa dall’altra parte della tastiera, si dovrà procedere ad un test in due parti: la prima consiste nel cliccare col mouse nel centro di una qualsiasi immagine di un collage di foto (io ho cliccato sul centro dell’immagine del bicchiere in basso a sinistra)

e poi procedere ad identificare il soggetto di una seconda immagine scegliendo tra diverse opzioni possibili (nell’esempio un leone)

Questo secondo step ricorda molto Google Image Labeler il gioco usato da Google per etichettare le immagini e indicizzarne al meglio la ricerca.
Anche qui il meccanismo è ben studiato: si prendono due utenti internet, si propongono ed entrambi delle immagini di cui dovranno descrivere il soggetto. Quando entrambi scrivono la stessa parola (tag) passano ad una nuova immagine guadagnando punti e la parola comune sarà poi utilizzata da Google per indicizzare la ricerca dell’immagine presentata.

Potrebbe essere un trampolino di lancio per bypassare la nuova generazione di … captcha!

La sicurezza, gli orsi e i bidoni…

gpbiancoli — Fri, 30 Mar 2007 14:43:00 +0000

La sicurezza è la “conoscenza che l’evoluzione di un sistema non produrrà stati indesiderati”: bel concetto, ma in pratica irrealizzabile.
Nel campo dell’IT, si tratta di salvaguardare i sistemi informatici da potenziali rischi e violazioni, garantendo così confidenzialità, integrità e disponibilità dei dati.
Garantire confidenzialità e disponibilità, contemporaneamente: ecco l’intoppo.
Va da sè che più un dato è confidenziale, meno sarà disponibile e vale anche il viceversa. Bisogna quindi trovare l’equilibrio perfetto: la ricerca di questo compromesso è la radice dell’eterna battaglia che perdura tra gli sviluppatori e gli utilizzatori dei dei programmi.

Se creo una casella di posta elettronica il cui accesso richiede l’inserimento di 3 password, due captcha e qualche riscontro biometrico, le email saranno (quasi) certamente al sicuro, ma per consultarle occorrerà avere molta, molta pazienza. Viceversa, se la mia casella di posta elettronica richiede solo l’inserimento di un carattere per accedervi, potrò consultarla velocemente, ma non mi fiderei troppo a lasciarci dentro le email della banca.

Ecco un piccolo esempio che sintetizza il compromesso tra sicurezza e usabilità (fonte slashdot)

Negli anni Ottanta, lo Yosemite National Park stava avendo un grosso problema con gli orsi: vagavano nei campeggi e si mettevano a rovistare nei bidoni dell’immondizia. Questo rappresentava un rischio per gli orsi e per le persone. Allora il Servizio del Parco cominciò a installare bidoni dell’immondizia corazzati e difficili da aprire: bisognava far ruotare un paletto, allineare due parti di una maniglia, cose del genere. Ma pare che sia piuttosto arduo indovinare il corretto design per questi bidoni. Se sono troppo complessi, nemmeno le persone riescono ad aprirli per depositare l’immondizia. Un ranger del parco ha detto “Vi è un’incredibile sovrapposizione fra l’intelligenza degli orsi più brillanti e quella dei turisti più stupidi”.

È un compromesso difficile da raggiungere. Le persone sono intelligenti, ma impazienti e poco propense a impiegare troppo tempo nella risoluzione di un problema. Gli orsi sono stupidi, ma tenaci e propensi a impiegare ore e ore per risolvere il problema. Dati questi due vincoli, non è affatto semplice creare un bidone dell’immondizia che possa al tempo stesso funzionare per le persone e non per gli orsi.

Siamo sicuri che siamo sicuri ?

gpbiancoli — Fri, 26 May 2006 07:18:00 +0000

Un fatto è certo: dopo l’11 settembre c’è una gran voglia di sicurezza.
Poco importa se negli Stati Uniti ogni anno muoiono 3000 minorenni per colpi di arma da fuoco, l’importante è che non siano stati i terroristi.
Fondi inizialmente destinati ad altri settori, vengono deviati a favore del Dipartimento per la Sicurezza Nazionale, e così a Dillingham, Alaska, si sono trovati 200.000 dollari da investire in sicurezza. Il comune, di 2400 abitanti, ha ricevuto il denaro e lo ha speso in 80 telecamere di sorveglianza una ogni 30 persone, regalando al paese il titolo di più spiato del pianeta.
Rimaneva solo da giustificare la spesa ed, effettivamente, la minaccia sulla cittadina era incombente; la spiega Richard Thompson, il Capo della polizia locale:
“‘Il confine con la Russia si trova a 800 miglia da qui in quella direzione’, dice puntando il braccio a destra.
“‘Seattle si trova a circa 1.200 miglia in quest’altra direzione’. E indica dietro di sé.
“‘Per cui, se ho fatto bene i conti, siamo più vicini alla Russia che non a Seattle’.
“‘Adesso immaginate’, continua: ‘Che cosa succederebbe se gli aggressori, chiunque essi siano, riuscissero a ottenere un ordigno nucleare in Russia, dove si ritiene che alcuni tipi di arma non vengano sorvegliati con cura. Mettono l’ordigno in un container e assumono criminali organizzati, magari mafiosi, per imbarcarlo su una nave a vapore. La nave scarica poi il container al porto di Dillingham, insieme a documenti falsi per spedirlo a Seattle. Il container viene poi caricato su una chiatta.
“‘Dieci giorni dopo’, il Capo della Polizia continua, ‘la chiatta entra nel porto di Seattle’.“Thompson fa una pausa a effetto.
“‘Buuuuum’, dice, facendo con le mani il gesto di un fiore che sboccia”.

La domanda sorge spontanea: ma le 80 telecamere, a cosa servono in tutto ciò?
Beh, se a Bin Laden venisse voglia di andare a pesca di salmoni da quelle parti, lo prendebbero di sicuro!

Il modo più efficace per conoscere una password…

gpbiancoli — Tue, 09 May 2006 16:52:00 +0000

… è quello di farsela dire. Il social engineering è una delle forme più efficaci e più utilizzate, per bypassare un sistema protetto, dalla tessera di blockbuster al conto bancario.
Recentemente sono stati eseguiti alcuni esperimenti a New York (da RSA Security) e a Venezia (dal periodico Focus): falsi intervistatori hanno avvicinato turisti a spasso con la scusa di un sondaggio e, promettendo un piccolo gadget, sono state raccolte con facilità una grande quantità di informazioni di carattere personale. (Fonte ANSA)
Ovviamente nessuno (forse) avrà rivelato il PIN di accesso al proprio conto corrente online, ma, in realtà, anche i soli nome, indirizzo e data di nascita rappresentano un patrimonio più che sufficiente ad un “ingegnere sociale” per sferrare un attacco, nel caso in cui questo possa rappresentare un’occasione di guadagno.
Il social engineering, per usare le parole del guru del settore Kevin Mitnick, non è altro che l’utilizzo di tecniche dell’”inganno”, di espedienti per usare la buona fede, l’ingenuità o l’inesperienza delle persone che hanno accesso alle informazioni “sensibili”: un ingegnere sociale è un hacker che non utilizza per i suoi esperimenti il computer e gli exploit, ma cerca, con la parola, di violare l’anello più debole della catena di sicurezza di un’azienda, di una banca, di un’istituzione governativa: il fattore umano.

Ecco, allora, il decalogo di RSA Security e di Focus, diffuso in occasione della presentazione dell’indagine-esperimento di Venezia e New York:
1. Non comunicare a nessuno le tue password e come le crei e soprattutto non annotarle mai su fogli e foglietti alla portata di chiunque.
2. Cerca di non usare sempre la stessa password per accedere a siti e servizi diversi e comunque modificala regolarmente: al minimo ogni 90 giorni.
3. Usa password lunghe almeno 8 caratteri e alfanumeriche. Evita di usare parole di uso comune o informazioni personali.
4. Evita di usare come password la stessa parola usata come login e combinazioni di lettere di tasti vicini sulla tastiera.
5. Sii cauto nel fornire a sconosciuti informazioni personali apparentemente innocue quali la tua data di nascita perché potrebbero essere usate per indovinare le tue password.
6. Se ti vengono chieste informazioni personali – nome, email, indirizzo, telefono, numero di conto corrente – verifica l’utilizzo che ne verrà fatto, se verranno protette e non saranno condivise con nessuno.
7. Verifica sempre l’identità di chi – società o persona – ti chiede informazioni personali: se è in buona fede, non avrà problemi a fornire telefono e indirizzo fisico per consentirti di fare delle verifiche. Diversamente: diffida.
8. Chiedi al tuo service provider (banca online o Internet provider) se offre strumenti più sicuri delle password per proteggere i tuoi conti correnti e account online dall’accesso non autorizzato.
9. Quando fai acquisti online, verifica che sul bordo inferiore del browser appaia l’icona di un lucchetto. Ciò indica che la connessione è protetta. Inoltre verifica, cliccando due volte sul lucchetto, che all’interno della finestra appena comparsa sia presente lo stesso nome del sito web a cui sei collegato per usufruire del servizio.
10. Non farti ingannare da email apparentemente innocenti ma in realtà assurde (phishing): banche e altre organizzazioni serie non chiedono mai via email dati riservati come password e numeri di conto corrente dei propri clienti.

Software utile
Kee Pass Password Safe : è un applicazione gratuita, a formato aperto, leggera e semplice da usare per gestire le proprie password. Consente di archiviare le proprie password in un database a cifratura altamente sicura il cui accesso è blindato da un’unica password. L’applicazione non necessita di installazione e può essere utilizzata, quindi, anche sopra una chiavetta USB.
E’ scaricabile qui

NetCraft Antiphishing Toolbar : è una toolbar che si integra al browser, in grado di bloccare i siti segnalati dalla community come strumento di phishing. Contiene, inoltre, altre features quali la possibilità di individuare informazioni sul sito che viene visitato (tra cui il paese in cui viene “hostato”), o la possibilità di mostrare sempre i controlli di navigazione (barra degli indirizzi e pulsanti di navigazione) anche quando nascosti.
E’ scaricabile qui

Trusted computing

gpbiancoli — Thu, 26 Jan 2006 10:11:00 +0000

Trusted Computing: Trusted per chi? Praticamente tutti i produttori di hardware del mondo (aderendo al consorzio TCG – Trusted Computing Group), stanno realizzando componenti elettronici grazie ai quali sono in grado di controllare a distanza il funzionamento del TUO PC, del TUO VCR e del TUO Masterizzatore. Non è uno scherzo: questi componenti sono già presenti in alcuni dispositivi e tra poco invaderanno il mercato.

Vuoi che il TUO PC sia sempre sotto il TUO controllo?
Vuoi che il TUO PC esegua i TUOI programmi?
Vuoi utilizzare il TUO PC per vedere filmati ed ascoltare musica?
Vuoi continuare ad usare liberamente Internet?
Vuoi continuare ad usare liberamente il TUO VCR ed il TUO masterizzatore?

Il Trusted Computing potrebbe rendere queste cose impossibili. Con il pretesto di difenderti da Virus, Spyware ed altri flagelli, il Trusted Computing prende il controllo del TUO hardware e ti impedisce di usarlo come vuoi. Non lasciarti imbrogliare.

Guarda il filmato