mercoledì 30 marzo 2016

La nuova frontiera dei pagamenti online

Anche Amazon, come Mastercard, sembra interessata a sviluppare e introdurre una nuova teologia, volta a stravolgere ulteriormente i sistemi di pagamento online.


Il progetto è firmato da uno dei più grandi circuiti al mondo per le carte di credito, che ha spiegato come il nuovo sistema “contact less” per i pagamenti online sia già stato testato in Olanda e Stati Uniti, prospettando l'implementazione anche nel Bel Paese in estate.

Addio codice PIN o password per abilitare le transazioni per l'acquisto, piuttosto pensare a sfoderare un bel sorriso per scattarvi un bel "selfie". 

L'idea di ricorrere all'auto scatto per fare shopping, a quanto sembra, deve aver stuzzicato parecchio anche Amazon, tanto che il colosso dell'e-commerce ha depositato allo Us Patent & Trademark Office la richiesta di brevetto per una tecnologia che consente di autenticare un utente tramite foto o brevi video, per poi autorizzare una transazione in denaro. 

Si tratta sostanzialmente di una particolare declinazione del principio del riconoscimento biometrico che ha trovato applicazione attraverso i lettori di impronte digitali integrati sugli smartphone (gli iPhone e i Galaxy di Samsung) o le fotocamere 3D montate sui computer (come la RealSense di Intel). A tutti gli effetti parliamo di un'alternativa ai tradizionali sistemi di autenticazione gestiti con username e password e a quelli, in pancia a Google con l'app Hands Free, che sfruttano la tecnologia di riconoscimento vocale per presentarsi alla cassa di un negozio o ristorante senza portafogli.

Il brevetto di Amazon, da quanto si legge nel documento presentato all'ufficio brevetti (non ci sono commenti della società al riguardo), prevede l'autorizzazione del pagamento attraverso un processo di autenticazione innescato dalla fotocamera dello smartphone e del tablet e di altri device digitali come notebook, lettori di ebook e anche console di gioco. Con una foto o un breve filmato, insomma, il sistema verifica sia le corrispondenze biometriche (la fisionomia della persona deve corrispondere a quella dell'utente associato all'applicazione e tali dati vengono processati da software di comparazione che operano sull'immagine dell'utente archiviata in cloud) sia il fatto che si tratti di un "essere vivente" e non di una fotografia

Le modalità di riconoscimento sono probabilmente il "punto critico" della soluzione sviluppata da Amazon. A chi vorrà usare il pagamento con i selfie potrebbe essere infatti chiesto di eseguire alcuni movimenti per sbloccare l'autenticazione e non è escluso il ricorso a telecamere a infrarossi o fotocamere con sensori termici per verificare l'effettiva presenza di un uomo o una donna in carne e ossa.

Il brevetto in attesa di approvazione, a conferma dell'interesse di Amazon in questo campo, è collegato a un'altra tecnologia depositata dalla società di Seattle al Patent & Trademark Office e relativa a un sistema di riconoscimento facciale tramite foto o video senza procedure di pagamento associate.
Leggi l'intero articolo

venerdì 25 marzo 2016

Samsung Serif: TV e nostalgia

Arriva dal Festival del Design di Londra il piccolo gioiellino targato Samsung. Il nuovo televisore coreano si chiama Serif TV e abbandona il suo aspetto tecnologico in favore di forme, colori e materiali d'altri tempi. 


Il nome non è casuale, infatti, il design del TV ricorda proprio quello del famoso "font" Serif. Visto di profilo Serif TV, infatti, sembra proprio il carattere "I" maiuscolo, con le classiche estremità sporgenti.

I designer Samsung hanno deciso di puntare sulle emozioni, sulla nostalgia e sui materiali, lanciandoci in un tuffo nel passato, diventando così un vero e proprio pezzo d'arredamento, spesso con materiali più simili a un mobile che a un elettrodomestico. 

Per sembrare più adatto a un salotto vecchio stile, Samsung ha abbandonato il tipico nero con profili lucidi o cromati a favore di colori da mobilio, marrone-rosso, bianco e blu. La parte posteriore, che potrebbe tradire modernità a causa delle varie connessioni è persino nascosta da una tendina, che offre continuità alle forme pulite. 

Al progetto ha collaborato lo studio Bouroullec dei fratelli Ronan e Erwan, i quali hanno messo mano non solo alla parte fisica, ma anche all'interfaccia, con un menù semplificato, e un effetto a "tendina di tessuto" per sfumare tra un contenuto e un altro. E nel più vintage degli stili, il TV può reggersi da solo oppure essere dotato di sottili gambe per rialzarlo.


Nonostante la sua particolarità, Serif TV non è solo un concept ma verrà realmente commercializzato in mercati selezionati e in tre versioni. Un UltraHD da 40" al costo di 1.199 sterline (circa 1.650 euro), e un Full HD da 30" seguito dal 24".
Leggi l'intero articolo

mercoledì 16 marzo 2016

Campagna ransomware proveniente da banner di grossi siti web

Non è una novità che nel corso delle ultime settimane vi sia stata un'impennata nelle rilevazioni di attacchi ransomware.


Si tratta di malware che prendono in ostaggio i file di un sistema "proteggendoli" via crittografia, chiedendo in seguito un riscatto che permette all'utente di ricevere la chiave crittografica e avere nuovamente l'accesso a quei file.

Proprio per l'elevata minaccia e la diretta richiesta di denaro, è un tipo di attacco che viene sempre più preferito a quelli più tradizionali e "passivi" che conoscevamo in passato.

Stando ad una nuova nota di Trend Micro, nel corso del fine settimana è stata ravvisata una nuova ondata di crypto-ransomware che si sta diffondendo attraverso siti web "mainstream", ovvero estremamente popolari soprattutto negli Stati Uniti.

L'attacco, noto come Angler Exploit Kit, sfrutta vulnerabilità presenti su Adobe Flash e Microsoft Silverlight, fra le altre, in modo da offrire il malware attraverso circuiti pubblicitari già compromessi.

Anche altre società di sicurezza hanno riscontrato la stessa problematica. Il fenomeno viene indicato come "malvertising" da MalwareBytes che ritiene che sia già stato in grado di colpire i siti di BBC, MSN, NFL ufficiale, New York Time, e molti altri, sotto forma di banner interattivi. La compagnia ha offerto un numero molto corposo di dettagli sul nuovo exploit, riportando anche una serie di domini sospetti attraverso i quali questi banner pubblicitari vengono serviti con i circuiti di divulgazione pubblicitaria più diffusi (anche Google).

La nuova campagna sottolinea come sia fondamentale adottare certi accorgimenti durante la navigazione web. Le varie società di sicurezza suggeriscono prima di tutto di ridurre le potenzialità che un attacco vada a buon fine, come ad esempio disinstallando a priori tutto il software vulnerabile: fra questi Adobe Flash, Oracle Java e Microsoft Silverlight. È inoltre indispensabile utilizzare le ultime versioni di sistema operativo e browser, e nel caso di Chrome installare la variante dell'eseguibile a 64-bit.

Una volta che attecchiscono su una macchina i ransomware sono attacchi difficili da contrastare, a tal punto che gli esperti di sicurezza consigliano spesso di pagare il riscatto, almeno in presenza di file molto importanti.

Ovviamente è preferibile prevenire installando un anti-virus e mantenendolo aggiornato, oppure diffidando di file provenienti da origini sconosciute o sospette. Si rivela una pratica parecchio sicura e affidabile quella di mantenere un backup dei file sensibili, pratica che rende sostanzialmente innocuo qualsiasi cryptovirus.

Stando a quanto rivela SpiderLabs il ransomware utilizzato da questi attacchi è TeslaCrypt, che abbiamo visto recentemente anche in Italia e in grado di infettare solo macchine Windows. Ma questo tipo di malware è attecchito di recente anche su Mac OS X con KeRanger.
Leggi l'intero articolo

lunedì 14 marzo 2016

MIT: computer quantistici per violare la crittografia a chiave pubblica

Un team di ricercatori è riuscito ad individuare un metodo che potrebbe in futuro riuscire a scardinare, sfruttando un computer quantistico, tutti gli schemi di cifratura a chiave pubblica, il più famoso dei quali è lo schema RSA.


Come già noto da tempo, la computazione quantistica potrebbe rendere inefficace questi schemi di cifratura, secondo quanto dimostrato da alcuni ricercatori del MIT e dell'Università di Innsbruck.

Nel documento "Realization of a Scalable Shor Algorithm" si spiega come è stato costruito un computer quantistico per provare la teoria, impiegando un algoritmo inventato dal professor Peter Shor del MIT e ottimizzato e reso scalabile dal provessor Alexei Kitaev del CalTech.

Lo schema RSA fa uso di una chiave pubblica per cifrare i messaggi e richiede una chiave privata (di norma il prodotto di due grandi numeri primi) per decifrarli. L'RSA viene spesso irrobustito tramite le tecniche di "padding" (l'aggiunta di una stringa di caratteri nel messaggio da cifrare) o di "hashing" (funzione per mappare una stringa di lunghezza arbitrara in una stringa di lunghezza predefinita). 

Secondo quanto riferito dal responsabile del progetto, il professor Isaac Chuang del MIT, il metodo delineato dai ricercatori potrebbe rappresentare un sistema per aiutare a scardinare anche questi metodi, sebbene in abbinamento con altre tecniche:

L'algoritmo fattoriale quantistico di Shor potrebbe rappresentare uno strumento aggiuntivo per la violazione di schemi che impiegano padding e hashing, ma da solo non sarebbe comunque sufficiente.

L'originale algoritmo di Shor prevede un sistema da 7 qubit più 4 qubit aggiuntivi, mentre l'approccio di Kitaev può consentire di impiegare fino a 5 qubit. Il sistema ideato è stato capace di individuare i numeri 3 e 5 come fattori primi di 15 con una sicurezza del 99%, mostrando la capacità di scalare verso l'alto per affrontare le codifiche a 128-bit e 256-bit usate dallo scherma RSA.

Chiaramente l'operazione non è di alcuna difficoltà anche per un essere umano, ma quel che è importante è che il metodo ideato dai ricercatori può, in linea teorica, scalare anche verso numeri molto più grandi. 

Ovviamente oggi sarebbe estremamente dispendioso utilizzare le tecniche convenzionali per la realizzazione di qubit (atomi super-raffreddati e laser) per poter scalare il sistema alle dimensioni necessarie per affrontare la computazione RSA, ma il punto è che quando in futuro i computer quantistici saranno all'ordine del giorno, l'algoritmo potrà facilmente violare questi schemi di cifratura. Il rovescio della medaglia, comunque, è la possibilità di generare codici inviolabili anche da altri sistemi quantistici.

Chuang suggerisce di iniziare a pensare già oggi a metodi di cifratura differente poiché quando i computer quantistici prenderanno piede in futuro sarà possibile scoprire quelle informazioni che oggi vengono secretate per evitare instabilità politiche. 

Il progetto è stato finanziato dall IARPA (Intelligence Advanced Research Project Activity) e dal MIT-Harvard Center for Ultracold Atoms, Physic Fronter Center della National Science Foundation.
Leggi l'intero articolo

lunedì 7 marzo 2016

Ray Tomlinson: è morto l'inventore della email (1971)

Una semplice intuizione ha rivoluzionato l'intero modo di vivere la "comunicazione epistolare". Il 5 maggio, ahinoi, moriva, facendo riemergere il suo nome e l'importanza postuma per la storia, il padre della chiocciola.


Fu Ray Tomlinson, il brillante programmatore che nel lontano 1971 ideò per primo il concetto di email fra PC su reti differenti, utilizzando nell'anno seguente l'ormai celebre @ per separare il nome del destinatario da quello del server utilizzato.

Il brillante ingegnere newyorkese entrò nel team di sviluppo di Arpanet, di fatto una sorta di internet embrionale e rudimentale realizzata nel 1969 dal DARPA, Agenzia del Dipartimento della Difesa degli Stati Uniti, con lo scopo di migliorare gli strumenti per la condivisione di file attraverso la suddetta rete.

Steve Jobs e Bill Gates erano due sedicenni sconosciuti e già l'email muoveva i primi passi, anche se la sua consacrazione solamente anni dopo quando divenne uno strumento universalmente riconosciuto.

A quei tempi venne chiesto a Tomlinson di aggiornare un programma di messaggistica chiamato SNDMSG, pensato per il sistema operativo TENEX e in grado di lasciare messaggi ai successivi utenti dello stesso computer, utilizzato ad ore in base alle necessità da più persone.

Insomma, messaggi che potevano viaggiare da un utente all'altro in locale, sul singolo PC. Fece molto di più però, poiché ideò un sistema e uno "standard" per poter inviare messaggi non solo al di fuori del singolo PC, ma anche ad altri nella stessa rete e persino su reti diverse.

La formula la conosciamo tutti: nome utente, seguito da @ (che di fatto subisce una contrazione nel proprio significato da "at the price of" ad un semplice "at", pragmatismo USA nella sua massima espressione), seguito a sua volta dal nome del server su cui l'utente opera.

La possibilità di sfruttare la rete Arpanet rendeva il sistema non solo possibile, ma perfettamente funzionante fin da subito. Ray è stato il primo a spegnere ogni entusiasmo e a fare autoironia sul contenuto della sua prima mail, poiché la mandò a sé stesso scrivendo qualcosa tipo "QWERTYUIOP", ovvero una fila di lettere sulla tastiera senza alcun senso, lanciando cioè le dita a caso prima di inviare il messaggio. Mai nella storia una mail così inutile dal punto di vista del contenuti fu così dirompente in tutti gli altri significati. 

Certo, all'inizio si trattava solo di messaggi di testo, ma fu una rivoluzione nata in sordina e cresciuta nel tempo, con uno stadio embrionale circondato dal torpore ma destinato ad esplodere nei numeri attuali: secondo il Radicati Group (file .PDF), sono 4,353 miliardi gli account attivi registrati nel 2015, gestiti da 2,586 miliardi di persone. Se guardiamo il traffico giornaliero, i numeri sono impressionanti: sono circa 205 miliardi le mail scambiate ogni giorno, suddivise in 112,5 miliardi spedite e 93,1 miliardi ricevute.

Ray Tomlinson passò poi la sua vita a fare il suo mestiere, lontano dai riflettori, e solo agli inizi degli anni 2000 iniziò a ottenere riconoscimenti accademici e premi.
Leggi l'intero articolo

sabato 5 marzo 2016

hijacker: 40$ per mettere in crisi un drone della Polizia USA

Nils Rodday, ricercatore di sicurezza, ha mostrato come un drone della Polizia, nonostante le sue feature di sicurezza avanzate, possa essere attaccato da un "hijacker", un dispositivo dirottatore. 


L'hack è stato mostrato durante la conferenza di sicurezza RSA tenuta a San Francisco in cui Rodday, che lavora anche per IBM, ha dimostrato la vulnerabilità su un modello di drone utilizzato dal governo statunitense.

Il ricercatore ha preferito non divulgare il nome del produttore del modello incriminato ma ha parlato di una vulnerabilità sensibile all'interno del sistema di protezione del particolare dispositivo, il cui exploit è terribilmente semplice.

Utilizzando un laptop e collegandolo con un chip radio economico attraverso USB, l'eventuale aggressore può accedere alla telemetry box, che non è protetta crittograficamente. Una volta nel sistema, è possibile decodificare via reverse engineering il software di volo e controllare a propria discrezione i comandi di navigazione del drone.

Contestualmente l'aggressore può anche iniettare pacchetti o modificare i percorsi, ed anche inibire ogni tipo di controllo all'operatore legittimo del dispositivo. Ha anche la possibilità di manipolare i dati sul computer o il dispositivo usato per controllare il volo e modificare ogni tipo di impostazione a cui ha accesso l'operatore originale. Rodday ha naturalmente inviato tutti i progressi del suo studio al produttore del modello specifico per fini di sicurezza, firmando un accordo di non divulgazione.

Proprio per questo non ha potuto diffondere maggiori informazioni sul modello specifico. Quello che sappiamo è che è largo poco meno di un metro e ha un'autonomia di volo di circa 40 minuti. È utilizzato da alcuni dipartimenti di polizia o dei vigili del fuoco americani, ma non solo. Anche le agenzie per il controllo delle linee elettriche e per la realizzazione di fotografie aeree utilizzano questo modello, il che indubbiamente aumenta la delicatezza della problematica.

Attraverso l'economico hack, l'aggressore può venire a conoscenza delle comunicazioni Wi-Fi fra smartphone, tablet, PC e drone. Può quindi mandare il mezzo verso persone o edifici, procurando danni ingenti, o rubare informazioni sensibili rivendendole nel mercato nero.

Si tratta di un drone che potrebbe costare anche svariate decine di migliaia di dollari (non di certo di un giocattolo da supermercato), ma Rodday avverte che la vulnerabilità potrebbe anche essere presente su molti altri modelli costosi che non ha avuto modo di testare personalmente.
Leggi l'intero articolo
 
Tecnodiary2 © 2011