Seguici su

News

Grazie all’AI, indovinarti la password è diventato molto più facile

Pubblicato

il

Ma c’è una buona notizia: l’algoritmo può essere utilizzato per ingannare i malintenzionati.

La settimana scorsa, l’agenzia di reporting del credito Equifax ha annunciato che hacker malintenzionati avevano trafugato le informazioni personali di 143 milioni di persone nel loro sistema. Questo è motivo di preoccupazione, naturalmente, ma se un hacker volesse accedere ai tuoi dati online semplicemente indovinando la tua password, probabilmente saresti fregato in meno di un’ora. Ma c’è una notizia ancora peggiore: gli scienziati hanno sfruttato il potere dell’intelligenza artificiale (AI) per creare un programma che, combinato con gli strumenti esistenti, ha ricavato più di un quarto delle password da un set di oltre 43 milioni di profili LinkedIn. Tuttavia, i ricercatori suggeriscono che la tecnologia può essere utilizzata anche per battere i cattivi nel loro gioco.

Il lavoro potrebbe aiutare gli utenti medi e le aziende a misurare la forza delle password, dice Thomas Ristenpart, un informatico che studia la sicurezza informatica alla Cornell Tech di New York City ma che non ha partecipato allo studio. “La nuova tecnica potrebbe anche essere potenzialmente utilizzata per generare password ingannevoli per individuare le violazioni”.

I più efficaci programmi per il riconoscimento delle password, John The Ripper e hashCat, utilizzano diverse tecniche. Uno è semplice forza bruta, in cui provano casualmente un sacco di combinazioni di caratteri fino a ottenere quella giusta. Ma altri approcci comportano l’estrapolazione da password precedentemente trapelate e metodi di probabilità per indovinare ogni carattere in una password basandosi su quella precedente. In alcuni siti, questi programmi hanno indovinato più del 90% delle password. Ma ci sono voluti molti anni di codifica manuale per costruire dei piani di attacco.

La nuova ricerca mirava ad accelerare questo processo applicando il cosiddetto deep learning, un approccio di ispirazione cerebrale all’avanguardia dell’IA. I ricercatori dello Stevens Institute of Technology di Hoboken, New Jersey, hanno iniziato con una cosiddetta rete generativa di conflittualità, o GAN, che comprende due reti neurali. Un “generatore” tenta di produrre risultati artificiali (come le immagini) che assomigliano ad esempi reali (foto reali), mentre un “discriminatore” cerca di capire quali siano reali e quali create artificialmente. Si affinano fino a quando il generatore diventa un esperto contraffattore.

Giuseppe Ateniese, informatico di Stevens e co-autore del documento, paragona il generatore e il discriminatore rispettivamente a un bozzettista della polizia e a un testimone oculare; il disegnatore cerca di produrre qualcosa che possa sembrare un ritratto accurato del criminale. Le GAN sono state utilizzate per creare immagini realistiche, ma non sono state molto utilizzate per creare testi.

Il team dello Stevens ha creato un GAN chiamato PassGAN e lo ha confrontato con due versioni di hashCat e una versione di John The Ripper. Gli scienziati hanno somministrato ad ogni algoritmo decine di milioni di password trapelate da un sito di gioco chiamato RockYou, e hanno chiesto loro di generare centinaia di milioni di nuove password autonomamente. Hanno poi contato quante di queste nuove password corrispondevano a una serie di password trapelate di LinkedIn, per misurare la percentuale di successo.

PassGAN da sola ha generato il 12% delle password del set LinkedIn, mentre i suoi tre concorrenti hanno generato tra il 6% e il 23%. Ma le migliori prestazioni sono arrivate dalla combinazione di PassGAN e hashCat. Insieme, sono stati in grado di decifrare il 27% delle password nel set LinkedIn, come riportato dai ricercatori questo mese in una bozza di documento pubblicato su arXiv. Anche le password errate di PassGAN sembravano abbastanza realistiche, come ad esempio saddraculasantazonecoolarse18.

Usare le GAN per indovinare le password è una “novità”, dice Martin Arjovsky, un informatico che studia la tecnologia alla New York University di New York City. Il documento “conferma che ci sono problemi chiari e importanti in cui l’applicazione di semplici soluzioni di apprendimento automatico può portare un vantaggio cruciale”, afferma.

Ristenpart dice ancora: “Non mi è chiaro se per ottenere questi risultati è necessario l’artiglieria pesante e utilizzare il GAN”. Forse alcune tecniche di machine learning ancora più semplici avrebbero potuto aiutare hashCat allo stesso modo, dice (Arjovsky è d’ accordo.) Infatti, una rete neurale efficiente prodotta dalla Carnegie Mellon University di Pittsburgh, Pennsylavania, ha recentemente mostrato promesse, e Ateniese prevede di confrontarla direttamente con PassGAN prima di presentare il suo documento per la revisione.

Ateniese dice che anche se in questa dimostrazione pilota PassGAN ha aiutato hashCat, è “certo” che le future iterazioni potrebbero superare hashCat. Ciò è dovuto in parte al fatto che hashCat utilizza regole fisse e non è stato in grado di produrre da solo più di 650 milioni di password. PassGan, che inventa le proprie regole, può creare password all’infinito. “Mentre parliamo, sta generando milioni di password”, dice. Ateniese inoltre dice che PassGAN migliorerà con il crescere dei livelli nelle reti neurali e addestrandosi su molte più password trapelate.

Egli paragona PassGAN ad AlphaGo, il programma Google DeepMind che ha recentemente battuto un campione umano al gioco da tavolo Go utilizzando algoritmi di deep learning. “AlphaGo stava ideando nuove strategie che gli esperti non avevano mai visto prima”, dice Ateniese. “Personalmente credo che dandogli dati sufficienti, PassGAN sarà in grado di trovare regole che gli esseri umani non possono pensare”.

E se siete preoccupati per la vostra sicurezza, gli esperti suggeriscono modi per creare password forti, ad esempio rendendole lunghe (ma ancora facili da ricordare) e utilizzando l’autenticazione a due fasi.


Tradotto in Italiano. Articolo originale: Science


VISIONARI è un network di imprenditori, scienziati, artisti, scrittori e changemakers che pensano e agiscono al di fuori degli schemi.
Puoi fare domanda per entrare qui: https://bit.ly/visionari-entra

Seguici sulla nostra pagina Facebook per scoprire nuovi progetti innovativi:
Visionari

Clicca per commentare

You must be logged in to post a comment Login

Leave a Reply

News

Fatturazione a 28 giorni: oggi incontro tra Agcom e consumatori. Restituite i soldi!

Pubblicato

il

 

Codici intima agli operatori di restituire i soldi, annuncia azione di classe e procederà per indebito arricchimento

Sono 16,6 milioni i clienti della telefonia fissa secondo i dati dell’Osservatorio Agcom (ultimo trimestre 2017), ipotizzando una media di 20€ cadauno indebitamente incassati dagli operatori, tenendoci bassi, ebbene questi ultimi avrebbero percepito ben 3,2 miliardi di euro.

Nonostante le cifre da capogiro di cui sopra, gli operatori continuano a mettersi di traverso, non solo in merito ai rimborsi richiesti che di diritto spetterebbero ai consumatori, ma anche in merito a modalità e tempistiche dello storno dei giorni. Tanto è vero che, non è stato possibile renderlo efficace a partire sin da aprile, considerato troppo vicino per un corretto adempimento da parte degli operatori, secondo il Tar, che con provvedimento presidenziale del 26 marzo scorso, anche se affermava la ragionevolezza dello storno dei giorni, sospendeva lo stesso, perché appunto troppo prossimo temporalmente.

Codici all’incontro odierno ha ribadito che: è finito il tempo della negoziazione e che rispetto alle modalità e alle tempistiche per la restituzione di quanto le aziende hanno sottratto, sono state già a lungo agevolate.

Inoltre non è chiaro nemmeno di che cifre si stia parlando, perché non si sa esattamente quanti siano i consumatori coinvolti.

“L’Autorità deve emettere un provvedimento che stabilisca la restituzione delle somme ai consumatori nel più breve tempo possibile”, afferma Luigi Gabriele di Codici.

“Così come sono stati celeri a sottrarre i soldi, dopo che li avevamo, con una nota formale invitati a fare un passo indietro, oggi non intendiamo più avere un atteggiamento distensivo e pertanto non ci sono più le condizioni per negoziare alcunché continua Luigi Gabriele. Inoltre si parla sempre di danno per le aziende ed il loro bilancio, non c’è mai una chiara e netta presa di posizione in favore del consumatore che rimane sempre e comunque il bancomat preferito da tutte le aziende. Ancora, l’adeguamento del software aziendale per i rimborsi o lo storno dei giorni, non è un nostro problema, e comunque quanto è stato semplice e veloce adeguare il sistema informatico per percepire la tredicesima mensilità!”, tuona Luigi Gabriele.

Codici, qualora non venissero restituite le somme indebitamente percepite, avvierà un’azione di classe, è finito il tempo della comprensione.

Continua a leggere

News

#svuotacarrello, colpiti persino assorbenti e profilattici

Pubblicato

il

Continua la nostra inchiesta sullo “svuotacarrello”, i rincari nascosti al supermercato. Parleremo inoltre dei rischi dei conti correnti e delle garanzie dei prodotti difettosi. L’appuntamento su Rai3 con Salvo Sottile ospite Luigi Gabriele

Per rivedere l’intera puntata ecco il link

Di seguito le video pillole dei momenti più importanti.

 

Continua a leggere

News

ARERA: Davide Crippa paladino della trasparenza e chiarezza

Pubblicato

il

Ieri (n.d.r 17 aprile 2018) alla Camera dei Deputati nella COMMISSIONE SPECIALE PER L’ESAME DI ATTI DEL GOVERNO si è discusso DL 30/2018: Misure urgenti per assicurare la continuità delle funzioni dell’Autorità di regolazione per energia, reti e ambiente (ARERA). C. 484 Governo.

Un provvedimento molto importante perché se da una parte assicura la continuità regolatoria, dall’altra evita che si abusi della situazione provvisoria per fare provvedimenti che esulano la tutela del consumatore e del mercato.

L’AEREA che ormai gestisce energia, gas, acqua e da qualche mese anche i rifiuti, si pone al centro delle vite dei cittadini ed oggi più che mai,ha bisogno di riconquistare credibilità e tutelare gli interessi dei consumatori.

Non sono molti i politici italiani che si occupano di questo tema, ma ce ne sono alcuni come Davide Crippa del M5S, che si mostrano competenti e altamente sensibili.

Importanti le sue dichiarazioni a verbale nel bollettino delle giunte e commissioni.

Riportiamo l’estratto delle sue dichiarazioni.

Davide CRIPPA (M5S) segnala innanzitutto che il proprio gruppo già in occasione dell’esame dell’ultimo disegno di legge di bilancio aveva presentato proposte emendative volte ad assicurare la continuità delle funzioni dell’ARERA, che non furono approvate dalla Commissione bilancio.
Proseguendo, si dichiara preoccupato per le modalità con le quali è stata disposta la proroga delle funzioni degli attuali componenti, giacché il termine previsto per la decorrenza dei novanta giorni è un termine futuro ed incerto che fa riferimento all’insediamento del primo
Governo formato successivamente alla data di entrata in vigore del decreto-legge.
Al riguardo osserva come l’insediamento di un nuovo Governo potrebbe avvenire in tempi non brevi e che in tal modo si limiterebbero alla sola ordinaria amministrazione e agli atti indifferibili ed urgenti, le funzioni dell’Autorità, in una fase, quale quella attuale del completo passaggio al libero mercato dell’energia, che richiederebbe invece una pienezza di poteri. In merito propone quindi di svolgere un’audizione di rappresentati dell’Autorità per comprendere con maggiore chiarezza quale sia il perimetro degli atti indifferibili e urgenti, che potranno essere compiuti dall’Autorità stessa in regime di prorogatio.

Continua a leggere