Fiducia in un mondo di falsi virtuali - Giorgio Giacinto
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Pattern Recognition
and Applications Lab
Fiducia…
in un mondo di falsi virtuali
Giorgio Giacinto
giacinto@unica.it
University of Cagliari
Italy
2 Luglio 2019
Dept of Electrical and
Electronic Engineering
Lo scenario http://pralab.diee.unica.it 2
La complessità è nemica della sicurezza
• Internet è un sistema estremamente complesso composto da
– persone
– dispositivi e applicazioni
– molteplici interazioni
che rende molto probabile commettere errori in fase di
progetto e sviluppo Bruce Schneier
• Un sistema complesso ha una superficie di attacco ampia
• Difenderlo significa rendere sicura l’intera superficie di attacco.
• Ma per l’avversario è sufficiente trovare una sola vulnerabilità.
http://pralab.diee.unica.it http://nymag.com/selectall/2017/01/the-internet-of-things-dangerous-future-bruce-schneier.html 3
Vulnerabilità nei sistemi software
(Common Vulnerabilities Scoring System)
http://pralab.diee.unica.it https://nvd.nist.gov/vuln-metrics/visualizations/cvss-severity-distribution-over-time 4
Il ”cerchio della fiducia”
Robert De Niro e Ben Stiller in “Ti presento i miei”
http://pralab.diee.unica.it 5
Fiducia nel mondo virtuale
• Nel mondo virtuale si può concedere fiducia
– fra persone
– fra dispositivi
– fra applicativi software
limitatamente ad alcuni ambiti
• Pericolo: Nello spazio virtuale si può facilmente concedere ampia fiducia in
base a pochi indizi
• Attenzione: La fiducia non può essere transitiva
– Se A si fida di B e B si fida di C, A non è detto si debba fidare di C
– Nel mondo virtuale invece spesso si realizzano sistemi con fiducia transitiva
http://pralab.diee.unica.it 6
Entrare nel cerchio della fiducia http://pralab.diee.unica.it 7
Kill-chain di un attacco
Carini e Coccolosi: Nel dominio cyber è molto facile
concedere fiducia a persone o sistemi in base a pochi
indizi
http://pralab.diee.unica.it Image from: https://www.eventtracker.com/blog/2017/january/siemphonic-cyber-kill-chain/ 8
Threat Landscape 2018
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018
http://pralab.diee.unica.it 9
email spam and phishing
2018 statistics
http://pralab.diee.unica.it 10Falsificazione verosimile http://pralab.diee.unica.it 11
Vulnerabilità del pensiero http://pralab.diee.unica.it 12
Come influenzare l’opinione altrui
• I sei principi della persuasione (R. Cialdini)
– Reciprocità
– Scarsità
– Autorità
– Coerenza/Impegno
– Conferma sociale
– Gradimento
• Tecniche di manipolazione
– Priming, Costruzione di un personaggio, Pressione psicologica e soluzione,
Catena di fiducia, Aumento della credibilità, Acquisizione di informazioni
apparentemente innocue,…
Guadagno, R. E., & Cialdini, R. B. (2005). Online persuasion and compliance: Social influence on the Internet
and beyond. In Y. Amichai-Hamburger (Ed.), The social net: The social psychology of the Internet (pp. 91–113).
http://pralab.diee.unica.it New York: Oxford University Press. 13La fallacia del ragionamento
• Dobbiamo essere consapevoli che siamo sempre
esposti a condizionamenti - magari da parte del
nostro stesso modo di pensare - che possono
insidiare la capacità di giudicare e di agire
lucidamente.
• La mente umana è caratterizzata da due processi
di pensiero ben distinti:
– uno veloce e intuitivo
– uno più lento ma anche più logico e riflessivo
• Errori sistematici (bias), quando l'intuizione si
lascia suggestionare dagli stereotipi e la
riflessione è troppo pigra per correggerla.
http://pralab.diee.unica.it 14Credibilità dei falsi
• Ambiguità testo
• Manipolazione dei contenuti multimediali
– Modifiche realistiche del contenuto
attraverso tecniche di intelligenza artificiale
– Modifiche del contesto
– Possono rappresentare una dettaglio marginale
– ecc.
• La comunità scientifica sta sviluppando sistemi
che rilevano contenuti potenzialmente manipolati
http://pralab.diee.unica.it http://www.difesaonline.it/evidenza/approfondimenti/campagne-di-manipolazione-dellinformazione-quando-la-difesa-fa-il-gioco 15Comunicazione e social network
• Bot (da robot)
– sistemi software basati su intelligenza artificiale che creano profili falsi
perfettamente verosimili
– ingaggiano delle discussioni basandosi sull’analisi degli argomenti di tendenza
infiammando il dibattito
– coinvolgono rapidamente un numero elevato di utenti veri che
inconsapevolmente danno credibilità al contenuto
• La comunità scientifica sta sviluppando sistemi
che rilevano contenuti potenzialmente creati da bot
http://pralab.diee.unica.it http://www.difesaonline.it/evidenza/approfondimenti/campagne-di-manipolazione-dellinformazione-quando-la-difesa-fa-il-gioco 16Comunicazione e social network
• Obiettivo: coinvolgere in poco tempo migliaia, milioni di persone attraverso
notizie
– il cui contenuto è falso
– scritte per un fine disonesto
– sfruttando i media sociali
• I social network consentono la diffusione di notizie dal basso, senza
apparenti filtri, pertanto ritenute più veritiere di quelle presenti negli organi
di informazione tradizionali.
• La veridicità non discende più dalla verifica delle fonti, ma dalla numerosità
della comunità che ne supporta l’opinione.
http://pralab.diee.unica.it http://www.difesaonline.it/evidenza/approfondimenti/campagne-di-manipolazione-dellinformazione-quando-la-difesa-fa-il-gioco 17Come difendersi
• Esistono tecniche collaudate per diffondere notizie false in tempi brevi
• La verifica della veridicità richiede
– ricerca conferme da altre fonti
– analisi della reputazione di chi pubblica la notizia
• Gli strumenti per l’analisi di testo, di immagini e di riferimenti incrociati
possono essere d’aiuto
– tempi non istantanei
– spesso necessitano di informazioni a posteriori
– richiedono supervisione da parte di esperti
• …ma raramente consentono la realizzazione di filtri che automaticamente
rifiutano una pubblicazione
http://pralab.diee.unica.it 18La rete può venire in soccorso
1. Analisi del dominio
Internet
2. Analisi semantica del testo
3. Analisi reazione emotiva
4. Analisi immagini collegate
5. Analisi collegamenti
ipertestuali
6. Analisi sui media sociali
Strumenti OSINT
Open Source INTelligence
http://pralab.diee.unica.it https://www.bellingcat.com 19Gli attori coinvolti http://pralab.diee.unica.it 20
Progettazione orientata all’utente
A chi non à mai capitato di spingere una porta
invece di tirarla
o di rinunciare a lavarsi le mani
perché non riesce ad azionare il rubinetto?
In questi casi la sensazione di incapacità personale
è molto forte.
Ma la colpa non è dell'utente,
bensì di chi ha progettato questi oggetti d'uso comune
senza considerare le normali attività mentali
la cui conoscenza è essenziale
per la progettazione di un ambiente ben organizzato
e rispondente alle esigenze della mente.
http://pralab.diee.unica.it 21IEEE Security and Privacy - September/October 2017
Users often don’t follow expert advice for staying secure online, but the
reasons for users’ noncompliance are only partly understood.
More than 200 security experts were asked for the top three pieces of
advice they would give non-tech-savvy users.
The results suggest that, although individual experts give thoughtful,
reasonable answers, the expert community as a whole lacks consensus.
http://pralab.diee.unica.it 22Social Vulnerability Assessment
• Gli attacchi informatici hanno sempre più spesso la loro porta d’accesso
attraverso l’inganno di chiunque interagisca con un computer
– si trovano all’interno del perimetro di fiducia dell’azienda
– possono dare fiducia a un contenuto credibile ma in realtà fraudolento
• Come difendersi?
– conoscere le diverse modalità di attacco
– esercitarsi a riconoscere possibili tentativi di carpire la fiducia
– non divulgare troppe informazioni su se stessi
http://pralab.diee.unica.it 23Verifica del livello di vulnerabilità ad attacchi di
social engineering
• Esistono numerose aziende che sviluppano prodotti software orientati a
verificare la facilità con cui si può cadere vittime di attacchi informatici
– Knowbe4
– Digital Attitude
– Software open source (e.g., trustedsec SET, gophish)
• Alcuni test on-line consentono di fare una prima verifica
– https://www.opendns.com/phishing-quiz/
– https://www.phishingbox.com/phishing-iq-test
http://pralab.diee.unica.it 24http://pralab.diee.unica.it 25
Puoi anche leggere
