venerdì 24 giugno 2016

Siamo in finale!

Non mi riferisco agli europei di calcio. Mi riferisco agli "AWARDS for Human-Competitive Results produced by Genetic and Evolutionary Computation".

In pochissime parole, ogni anno viene organizzata una competizione internazionale riservata a chi ha ottenuto risultati scientifici "human-competitive" utilizzando tecniche di calcolo genetiche o evolutive (per avere un'idea di quali siano queste tecniche, vedi penultimo paragrafo qui).

Abbiamo superato la prima selezione (22 partecipanti) e ci siamo qualificati per la finale: 8 partecipanti, 22 Luglio 2016, Denver. Maggiori dettagli in un post sul sito del Machine Learning Lab.

PS: E' la seconda volta che arriviamo in finale. La prima volta fu due anni fa. Il blog post in cui avevo messo l'annuncio iniziava esattamente come questo post ma invece di riferirsi agli europei si riferiva ai mondiali...


venerdì 17 giugno 2016

Ancora sulla autenticazione via cellulare...

...ad integrazione di quanto ho scritto ieri sull'uso dei cellulari come strumento aggiuntivo di autenticazione, si sta diffondendo un altro modo per ottenere il codice inviato via SMS. E' basato su "social engineering" (ingannare l'utente; niente di tecnicamente sofisticato). Mi spiace non averci pensato io, è davvero banale.

L'attaccante deve avere ottenuto la password dell'utente da attaccare. Ciò non è immediato ma neanche difficile: il motivo per il quale si inviano i codici via SMS è proprio perché ottenere la password non è difficile.

A questo punto l'attaccante procede come segue:

  • Esegue il login con username e password dell'utente.
  • Subito prima di eseguire una operazione che richiede l'inserimento di un codice inviato dal servizio via SMS, l'attaccante:
    • invia un messaggio all'utente, in una qualche forma: Twitter, email, whatsapp, SMS...;
    • nel messaggio dichiara di essere il servizio e scrive: "Caro utente, abbiamo rilevato attività sospette sul tuo account provenienti dall'indirizzo 136.91.65.75 (localizzato a Novosibirsk). Se non hai utilizzato il tuo account da quella locazione, allora rispondi a questo messaggio con il codice numerico che ti invieremo tra pochi minuti. Altrimenti puoi continuare ad operare tranquillamente";
  • esegue l'operazione nel servizio (il che provoca l'invio di un SMS dal servizio all'utente);
  • aspetta di ricevere la risposta dell'utente, contenente il codice;
  • inserisce il codice nel servizio.

Voilà.

http://uk.businessinsider.com/hackers-are-spoofing-text-messages-to-steal-two-factor-authentication-codes-2016-6