Seguici su

News

Grazie all’AI, indovinarti la password è diventato molto più facile

Pubblicato

il

Ma c’è una buona notizia: l’algoritmo può essere utilizzato per ingannare i malintenzionati.

La settimana scorsa, l’agenzia di reporting del credito Equifax ha annunciato che hacker malintenzionati avevano trafugato le informazioni personali di 143 milioni di persone nel loro sistema. Questo è motivo di preoccupazione, naturalmente, ma se un hacker volesse accedere ai tuoi dati online semplicemente indovinando la tua password, probabilmente saresti fregato in meno di un’ora. Ma c’è una notizia ancora peggiore: gli scienziati hanno sfruttato il potere dell’intelligenza artificiale (AI) per creare un programma che, combinato con gli strumenti esistenti, ha ricavato più di un quarto delle password da un set di oltre 43 milioni di profili LinkedIn. Tuttavia, i ricercatori suggeriscono che la tecnologia può essere utilizzata anche per battere i cattivi nel loro gioco.

Il lavoro potrebbe aiutare gli utenti medi e le aziende a misurare la forza delle password, dice Thomas Ristenpart, un informatico che studia la sicurezza informatica alla Cornell Tech di New York City ma che non ha partecipato allo studio. “La nuova tecnica potrebbe anche essere potenzialmente utilizzata per generare password ingannevoli per individuare le violazioni”.

I più efficaci programmi per il riconoscimento delle password, John The Ripper e hashCat, utilizzano diverse tecniche. Uno è semplice forza bruta, in cui provano casualmente un sacco di combinazioni di caratteri fino a ottenere quella giusta. Ma altri approcci comportano l’estrapolazione da password precedentemente trapelate e metodi di probabilità per indovinare ogni carattere in una password basandosi su quella precedente. In alcuni siti, questi programmi hanno indovinato più del 90% delle password. Ma ci sono voluti molti anni di codifica manuale per costruire dei piani di attacco.

La nuova ricerca mirava ad accelerare questo processo applicando il cosiddetto deep learning, un approccio di ispirazione cerebrale all’avanguardia dell’IA. I ricercatori dello Stevens Institute of Technology di Hoboken, New Jersey, hanno iniziato con una cosiddetta rete generativa di conflittualità, o GAN, che comprende due reti neurali. Un “generatore” tenta di produrre risultati artificiali (come le immagini) che assomigliano ad esempi reali (foto reali), mentre un “discriminatore” cerca di capire quali siano reali e quali create artificialmente. Si affinano fino a quando il generatore diventa un esperto contraffattore.

Giuseppe Ateniese, informatico di Stevens e co-autore del documento, paragona il generatore e il discriminatore rispettivamente a un bozzettista della polizia e a un testimone oculare; il disegnatore cerca di produrre qualcosa che possa sembrare un ritratto accurato del criminale. Le GAN sono state utilizzate per creare immagini realistiche, ma non sono state molto utilizzate per creare testi.

Il team dello Stevens ha creato un GAN chiamato PassGAN e lo ha confrontato con due versioni di hashCat e una versione di John The Ripper. Gli scienziati hanno somministrato ad ogni algoritmo decine di milioni di password trapelate da un sito di gioco chiamato RockYou, e hanno chiesto loro di generare centinaia di milioni di nuove password autonomamente. Hanno poi contato quante di queste nuove password corrispondevano a una serie di password trapelate di LinkedIn, per misurare la percentuale di successo.

PassGAN da sola ha generato il 12% delle password del set LinkedIn, mentre i suoi tre concorrenti hanno generato tra il 6% e il 23%. Ma le migliori prestazioni sono arrivate dalla combinazione di PassGAN e hashCat. Insieme, sono stati in grado di decifrare il 27% delle password nel set LinkedIn, come riportato dai ricercatori questo mese in una bozza di documento pubblicato su arXiv. Anche le password errate di PassGAN sembravano abbastanza realistiche, come ad esempio saddraculasantazonecoolarse18.

Usare le GAN per indovinare le password è una “novità”, dice Martin Arjovsky, un informatico che studia la tecnologia alla New York University di New York City. Il documento “conferma che ci sono problemi chiari e importanti in cui l’applicazione di semplici soluzioni di apprendimento automatico può portare un vantaggio cruciale”, afferma.

Ristenpart dice ancora: “Non mi è chiaro se per ottenere questi risultati è necessario l’artiglieria pesante e utilizzare il GAN”. Forse alcune tecniche di machine learning ancora più semplici avrebbero potuto aiutare hashCat allo stesso modo, dice (Arjovsky è d’ accordo.) Infatti, una rete neurale efficiente prodotta dalla Carnegie Mellon University di Pittsburgh, Pennsylavania, ha recentemente mostrato promesse, e Ateniese prevede di confrontarla direttamente con PassGAN prima di presentare il suo documento per la revisione.

Ateniese dice che anche se in questa dimostrazione pilota PassGAN ha aiutato hashCat, è “certo” che le future iterazioni potrebbero superare hashCat. Ciò è dovuto in parte al fatto che hashCat utilizza regole fisse e non è stato in grado di produrre da solo più di 650 milioni di password. PassGan, che inventa le proprie regole, può creare password all’infinito. “Mentre parliamo, sta generando milioni di password”, dice. Ateniese inoltre dice che PassGAN migliorerà con il crescere dei livelli nelle reti neurali e addestrandosi su molte più password trapelate.

Egli paragona PassGAN ad AlphaGo, il programma Google DeepMind che ha recentemente battuto un campione umano al gioco da tavolo Go utilizzando algoritmi di deep learning. “AlphaGo stava ideando nuove strategie che gli esperti non avevano mai visto prima”, dice Ateniese. “Personalmente credo che dandogli dati sufficienti, PassGAN sarà in grado di trovare regole che gli esseri umani non possono pensare”.

E se siete preoccupati per la vostra sicurezza, gli esperti suggeriscono modi per creare password forti, ad esempio rendendole lunghe (ma ancora facili da ricordare) e utilizzando l’autenticazione a due fasi.


Tradotto in Italiano. Articolo originale: Science


VISIONARI è un network di imprenditori, scienziati, artisti, scrittori e changemakers che pensano e agiscono al di fuori degli schemi.
Puoi fare domanda per entrare qui: https://bit.ly/visionari-entra

Seguici sulla nostra pagina Facebook per scoprire nuovi progetti innovativi:
Visionari

Clicca per commentare

You must be logged in to post a comment Login

Leave a Reply

News

ANTITRUST SOSPENDE l’attività di vendita dei prodotti non disponibili www.tigershop.it e www.tecnotradeshop.it.

Pubblicato

il

Comunicato stampa del 21/06/2019 di Agcm

Riportiamo integralmente

Antitrust: vendite online, sospesa l’attività di commercializzazione di prodotti non disponibili da parte di due siti 

L’Autorità Garante della Concorrenza e del Mercato, a seguito dell’avvio di due procedimenti istruttori, ha adottato due distinti provvedimenti cautelari nei confronti delle società Tiger Group S.r.l. e Tecnotrade S.r.l.s., attive nella vendita online di prodotti di telefonia, elettronica e informatica, attraverso i siti Internetwww.tigershop.it e www.tecnotradeshop.it
Nello specifico, è stato ordinato alle società di sospendere ogni attività diretta alla vendita di prodotti non disponibili e all’addebito anticipato di corrispettivi per beni che non risultino in giacenza nei magazzini o che non siano comunque pronti per la consegna. 
Le società Tiger Group S.r.l. e Tecnotrade S.r.l.s. dovranno comunicare l’avvenuta esecuzione di quanto disposto nei due distinti provvedimenti di sospensione entro 10 giorni dal loro ricevimento. 
L’intervento si inquadra in una più ampia strategia, già da tempo perseguita dall’Autorità, volta ad assicurare il corretto ed equilibrato sviluppo delle vendite on line anche attraverso l’organica repressione di fenomeni quali la mancata consegna della merce ordinata e regolarmente pagata dai consumatori, gli ostacoli al rimborso delle somme versate e all’esercizio del diritto di recesso, nonché la divulgazione di informazioni false in merito al reale stato degli ordini di acquisto e alle effettive tempistiche di consegna degli stessi. 

Roma, 20 giugno 2019

Continua a leggere

News

Con la scusa dei punti per Pannolini “acchiappavano consensi illecitamente”

Pubblicato

il

Per poter partecipare ad un programma di raccolta punti
e usufruire così di piccoli vantaggi il cliente non deve
essere obbligato ad esprimere il consenso a ricevere
pubblicità. Il principio è stato ribadito dal Garante
privacy che ha vietato a una nota marca di pannolini
l’ulteriore trattamento per finalità promozionali dei dati
di oltre un milione e mezzo di persone, acquisiti in modo
illecito mediante il form “raccolta punti” del sito della
società. Dagli accertamenti svolti dal Garante in
collaborazione con il Nucleo speciale privacy della
guardia di finanza, a seguito di una segnalazione, è
emerso che solo nei primi due mesi del 2018 la società
ha inviato newsletter promozionali a circa un milione di

indirizzi e-mail raccolti e utilizzati senza un valido
consenso.
Ai clienti interessati alla raccolta punti, infatti, non
veniva data la possibilità, come richiesto dalla normativa,
di esprimere un consenso libero e specifico per le singole
finalità di trattamento che la società intendeva svolgere,
tra le quali vi era appunto l’attività promozionale. Per
poter completare la registrazione e aderire al programma
di fidelizzazione i clienti erano invece obbligati a
rilasciare due consensi generici, uno per la società e uno
per i marchi collegati.
Oltre a disporre il divieto, il Garante ha ingiunto alla
società, qualora intenda svolgere attività promozionali, di
modificare il form di raccolta dati presente sul sito,
affinché gli utenti possano esprimere un consenso libero
e informato per tale finalità.
Per i trattamenti illeciti è stata applicata una sanzione
amministrativa che la società ha già pagato.

Continua a leggere

News

L’Agente di riscossione non dispone degli atti di notifica delle cartelle di pagamento? Il debito può essere annullato

Pubblicato

il

Il Movimento Difesa del Cittadino dà notizia di un’importante vittoria per i contribuenti vessati da notifiche di atti di intimazione di pagamento, pignoramenti su conti correnti bancari, iscrizioni ipotecarie, fermi amministrativi.

Come segnalato dalla sede di MDC Roma Ovest, e dall’Avv. Dalila Loiacono, il Giudice di Pace di Roma, con la sentenza n. 5665/19 ha affermato che “l’Amministrazione è tenuta a rispettare le cadenze imposte dalla legge, in base alle quali la notificazione della cartella costituisce un adempimento indefettibile. Nella predetta sequenza, quindi, l’omissione della notificazione di un atto presupposto costituisce vizio procedurale che determina la nullità dell’atto consequenziale notificato, nullità che può essere fatta valere dal contribuente con l’impugnazione dell’atto consequenziale.

Divenuti giuridicamente inesistenti gli atti presupposti, l’atto notificato è improduttivo di effetti e, pertanto, va dichiarato inefficace.

La dichiarazione di inefficacia dell’atto impugnato, quindi, estingue il diritto del Concessionario di procedere difettando validi titoli esecutivi”.

In conclusione, l’Avv. Dalila Loiacono dichiara che l’azione esecutiva è soggetta alla corretta e rituale notifica degli atti prodromici. Diversamente, l’Agente della riscossione non può procedere nei confronti del contribuente.

Mdc si augura che la sentenza in parola costituisca un esempio virtuoso di giustizia.

Invitiamo i cittadini in difficoltà a rivolgersi alla sportello SOS Equitalia di MDC Roma Ovest, tel. 06/88642693, e mail romaovest@mdc.it

Continua a leggere