Un acceleratore cervello-macchina

Un nuovo strumento che associa cervello umano e computer è studiato per consentire l'elaborazione di immagini ad una velocità di dieci volte superiore a quanto avviene normalmente. Il Pentagono si interessa e finanzia

Update di correzione, ore 12 – Washington – I cervelloni della Columbia University , capitanati dal professor Paul Sajda, stanno portando a termine il progetto di un dispositivo che, se si rivelerà efficace, permetterà di coniugare le capacità dell’apparato cerebrale umano con uno speciale sistema informatico.

L’idea, come riporta Wired , è di registrare su supporto informatico ogni immagine “captata” dal cervello anche in rapidissima successione, con numerose possibili applicazioni soprattutto nell’ambito della sicurezza.

L’iniziativa ha suscitato l’attenzione della DARPA : l’agenzia di ricerca del Pentagono ha stanziato pochi mesi fa 758mila dollari per garantire i costi di almeno un altro anno di ricerche e sperimentazioni.

Al Pentagono sono convinti che la realizzazione di questo progetto renderebbe più semplice il lavoro degli agenti federali, che potrebbero individuare più facilmente sospetti o presunti terroristi “scandagliando” le immagini registrate in questo modo.

Il sistema C3 Vision, questa la denominazione ufficiale dell’apparato, secondo Sajda non ha eguali poiché attualmente, per precisione e affidabilità, nessun’altro sistema di computer vision è in grado di interfacciarsi direttamente con l’uomo. Entro pochi mesi Sajda e i suoi dovranno dimostrare alla DARPA l’efficienza del proprio progetto.

Secondo Steve Gordon, docente del Babson College nel Massachussets, C3 Vision porterà dei grandi vantaggi che consisteranno principalmente nel decuplicare l’attività di monitoraggio degli addetti alla sicurezza, sia che si trovino in aeroporti o in altre zone potenzialmente esposte al rischio di attentati.

Giorgio Pontico

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Esiste un sistema inviolabile
    non so se ci avete fatto caso ma le puzzette hanno un odore unico e irriproducibile.basta al posto della token rsa dotarsi di un rilevatore di gas usb connesso al pcvi possono tagliare il dito o cavarvi l'occhio, ma il metano non ve lo possono rubare
  • Anonimo scrive:
    Smart card...
    Ma se le banche invece di dare quei stupidi password-token incominciassero ad usare le smart card o le chiavette usb fatte apposta si risolverebbero una volta per tutte stì maledetti attacchi...Con le smart card per autenticarsi nel sito della banca bisognerebbe proprio averla fisicamente, perchè la chiave privata che usa la banca per indentificarti è lì dentro e non si può tirare fuori, quindi è impossibile che i phisher riescano a prenderla. ;)Oppure più semplicemente basta che la banca dice a tutti gli utenti di controllare che la pagina dove sono sia protetta con l'ssl prima di scrivere le loro password, ma purtroppo rimane sempre quel 20% di utonti che non lo faranno mai :s
    • Anonimo scrive:
      Re: Smart card...

      Oppure più semplicemente basta che la banca dice
      a tutti gli utenti di controllare che la pagina
      dove sono sia protetta con l'ssl prima di
      scrivere le loro password, ma purtroppo rimane
      sempre quel 20% di utonti che non lo faranno mai
      :silluso... io credo che l'80% non lo farebbe mai!!!bye
  • Anonimo scrive:
    Per il winutonto non esiste soluzione
    che tenga.Perche' se gli arriva una mail dalla sua banca dicendo che deve sfregare le chiappe sul monitor lo fa senza pensarci due volte. :|
    • Anonimo scrive:
      Re: Per il winutonto non esiste soluzion
      - Scritto da:
      che tenga.
      Perche' se gli arriva una mail dalla sua banca
      dicendo che deve sfregare le chiappe sul monitor
      lo fa senza pensarci due volte.
      :|Oops, quindi non avrei dovuto farlo? Occacchio. :$
    • Anonimo scrive:
      Re: Per il winutonto non esiste soluzion
      - Scritto da:
      che tenga.
      Perche' se gli arriva una mail dalla sua banca
      dicendo che deve sfregare le chiappe sul monitor
      lo fa senza pensarci due volte.
      :|winutonto?
  • Anonimo scrive:
    Colpa della banca
    La banca odveva usare un sito fatto molto maleLa mia banca mi chiede di effettuare l'inserimento del codice del token solo nel momento in cui faccio un pagamento/operazione non quando faccio login.Pre questo non basta mettere su un portale finto, ma devi mirrorare tutto un sito o almeno una sua parte significativa, ora se io entro loro come fanno a farmi vedere le pagine interne con i miei dati del conto senza avere questi dati? (L'utente deve proprio essere scemo a no accorgersi che i saldo è diverso!)Se un sito è fatto il token è sicuro. Per fatto bene deve intendo- protetto da wrapper- criptato con abbastanza bit- protetto da sql injection
  • ugosweb scrive:
    Soluzione con One Time Password
    Sono molto felice di vedere che finalmente qualcuno si è accorto delle vulnerabilità dei password-token.E' quasi un anno che sto lavorando ad un sistema di stronmg autenthentication alternativo basato su One Time Password che sia invulnerabile al phishing.In pratica la password (che in questo caso può essere usata solo una volta ed ha un validità temporale limitata) viene generata da un cellulare Java Enabled (su cui è stato installato uno speciale software di generazione).Si tratta in relatà di un sistema tipo challenge-response dove il response, che è la One Time Password, viene generata dal cellulare a partire dal challenge sfruttando la crittografia delle curve ellittiche.Per questo motivo, anche l'ultimo attacco rivolto ai password-token sarebbe inefficace.Una demo è disponibile a:http://www.hostingjava.it/-monkeybsPer provarlo occorre registrarsi e farsi spedire il software per il cellulare via SMS.Per maggiori info visitate il mio sito:http://www.ugosweb.comCiao,Ugo Chiricohttp://www.ugosweb.com
    • Anonimo scrive:
      Re: Soluzione con One Time Password

      Si tratta in relatà di un sistema tipo
      challenge-response dove il response, che è la One
      Time Password, viene generata dal cellulare a
      partire dal challenge sfruttando la crittografia
      delle curve
      ellittiche.
      Per questo motivo, anche l'ultimo attacco rivolto
      ai password-token sarebbe
      inefficace.Non mi risulta che il tuo sistema ti protegga dal MIM attack.Se l'utente clicca sul link di phishing, il server truffatore può connettersi alla banca la quale gli lancia il challange (diciamo "X1B3Z4") il server-truffa propone "X1B3Z4" all'utente il quale convinto di parlare con la banca gli calcola il response (diciamo "Q9D1V7") col tuo sistema. Ora il server truffa manda "Q9D1V7" alla banca e l'autenticazione è già fatta.
      Una demo è disponibile a:
      http://www.hostingjava.it/-monkeybs

      Per provarlo occorre registrarsi e farsi spedire
      il software per il cellulare via
      SMS.

      Per maggiori info visitate il mio sito:
      http://www.ugosweb.com

      Ciao,

      Ugo Chirico
      http://www.ugosweb.com
      • Ics-pi scrive:
        Re: Soluzione con One Time Password
        E' già, è probabilissimo che accada, magari in una notte di plenilunio,davanti al castello di Grayskull, con la spada stagliata di fronte al cielo e gridando casualmente: "A me il potere!".Dai siamo seri, quante probabilità ci sono che succeda una cosa come questa? Già mi sembra incasinato il discorso token, figuriamoci con il sistema del cellulare....-----------------------------------------------------------Modificato dall' autore il 14 luglio 2006 11.40-----------------------------------------------------------
        • Anonimo scrive:
          Re: Soluzione con One Time Password
          - Scritto da: Ics-pi
          Dai siamo seri, quante probabilità ci sono che
          succeda una cosa come questa? Già mi sembra
          incasinato il discorso token, figuriamoci con il
          sistema del
          cellulare....Ha più o meno la stessa complicazione dell'attacco al sistema con token. Richiede solo la scrittura di uno script neanche tanto complesso.
          • Ics-pi scrive:
            Re: Soluzione con One Time Password

            Ha più o meno la stessa complicazione
            dell'attacco al sistema con token. Richiede solo
            la scrittura di uno script neanche tanto
            complesso.Boh ho visto diverse fake pages e non ci sarei cascato nemmeno morto (lo so che non esisto solo io sul web, ma faccio l'esempio della mia esperienza).1 I collegamenti non funzionavano correttamente2 I link erano strampalati e verso IP invece che verso nomi di dominio con delle cartelle/pagine proprio fantasiose3 La grammatica poco corretta4 Le motivazioni molto flebili, poco credibiliOvvio che, come dicevo sopra, magari la signora Pina ci potrebbe pure cascare...speriamo non attivi mai l'home banking. :
          • Anonimo scrive:
            Re: Soluzione con One Time Password

            1 I collegamenti non funzionavano correttamente
            2 I link erano strampalati e verso IP invece che
            verso nomi di dominio con delle cartelle/pagine
            proprio
            fantasiose
            3 La grammatica poco corretta
            4 Le motivazioni molto flebili, poco credibili

            Ovvio che, come dicevo sopra, magari la signora
            Pina ci potrebbe pure cascare...speriamo non
            attivi mai l'home banking.
            :Ehi! hai descritto il 90% dei siti in Internet
      • ugosweb scrive:
        Re: Soluzione con One Time Password
        Rispondo alle critiche ricevute nei precedenti messaggi:
        Quella che ti fornisce il token è una "one
        time password" ed è pure più sicura della tua,
        perché è calcolata e non riproducibile se non
        conosci l'algoritmo che RSA usa per crearla, e
        quindi "non viaggia".
        Non ho capito quale vantaggio abbia il tuo
        sistema, che esposto agli stessi attacchi.Il mio sistema si basa sull protocollo di autenticazione con OTP descritto nel RFC2289.Basta leggere l'RFC2289 per convincersi che è un protocollo valido.L'uso della crittografia delle Curve Ellittiche poi consente di potenziare il protocollo RFC2289 per renderlo invulnerabile all'unico attacco di phishing (di tipo tradizionale) applicabile a tale protocollo.(per maggiori info basta fare un ricerca su google su RFC2289 e sui possibili attacchi).
        Non mi risulta che il tuo sistema ti protegga
        dal MIM attack.
        Se l'utente clicca sul link di phishing, il
        server truffatore può connettersi alla banca
        la quale gli lancia il challange
        diciamo "X1B3Z4") il server-truffa
        propone "X1B3Z4" all'utente il quale convinto
        di parlare con la banca gli calcola il
        response (diciamo "Q9D1V7") col tuo sistema.
        Ora il server truffa manda "Q9D1V7" alla banca
        e l'autenticazione è già fatta.L'attaccabilità con MIM attack è dovuta al fatto che il challenge e il response viaggiano sullo stesso canale.Il mio sistema prevede due modalità.Una cost-less dove challenge e response viaggiano sullo stesso canale (le pagine web). L'utente legge il challenge dalla pagina web, lo digita sul cellulare, legge la OTP generata e la scrive nella pagina web (questa modalità è quella implementata su http://www.hostingjava.it/-monkeybs).Questa modalità è vulnerabile a MIM attack come riportato sopra.La seconda modalità è invece più sicura e invulnerabile a MIM attack perchè challenge e response viaggiano su canali diversi ma ha dei costi per ciascuna autenticazione.In pratica il challenge non viene visualizzaato nella pagina web (quindi un MIM non potrà mai conoscerlo) ma: 1) o viene inviato all'utente via SMS (il costo dell'autenticazione è a carico del server/banca); 2) o viene letto dal cellulare mediante una connessione GPRS al server (il costo dell'autenticazione è a carico dell'utente)L'utente quindi legge la OTP generata e la scrive nella pagina web.Per quanto riguarda invece l'usabilità del sistema basta provarlo per convincersi che è realmente user-friendly.Ciao,Ugo Chiricohttp://www.ugosweb.com
        • Anonimo scrive:
          Re: Soluzione con One Time Password
          guarda onestamente a me gia' sta sul ca22o dover usare un token (dovevo fare un bonifico, ma ero al lavoro e il token a casa...bella inculat4...) figurati se devo anche portarmi appresso sempre anche il cellulare...non e' mica una appendice, eh!
    • Anonimo scrive:
      Re: Soluzione con One Time Password
      Quella che ti fornisce il token è una "one time password" ed è pure più sicura della tua, perché è calcolata e non riproducibile se non conosci l'algoritmo che RSA usa per crearla, e quindi "non viaggia".Non ho capito quale vantaggio abbia il tuo sistema, che esposto agli stessi attacchi.
      • Ics-pi scrive:
        Re: Soluzione con One Time Password
        - Scritto da:
        Quella che ti fornisce il token è una "one time
        password" ed è pure più sicura della tua, perché
        è calcolata e non riproducibile se non conosci
        l'algoritmo che RSA usa per crearla, e quindi
        "non
        viaggia".

        Non ho capito quale vantaggio abbia il tuo
        sistema, che esposto agli stessi
        attacchi.Il vantaggio per Ugosweb è che tu compri il SW da lui ;)
        • ugosweb scrive:
          Re: Soluzione con One Time Password
          Grazie per i vostri feedbak. Il mio sistema è ancora in sperimentazione ed in evoluzione, pertanto, ho bisogno di feedback esterni validi (magari per vedere ciò che io do per scontanto o che non riesco a vedere). Datemi un po' di tempo per pensarci e risponderò alle vostre critiche.Ciao,Ugo Chiricohttp://www.ugosweb.com
          • Ics-pi scrive:
            Re: Soluzione con One Time Password
            - Scritto da: ugosweb
            Grazie per i vostri feedbak.

            Il mio sistema è ancora in sperimentazioneFeedback ;)In ogni caso non volevo demoralizzarti, è giusto che se la tua idea è buona venga sfruttata a dovere.Non sono un esperto ma il discorso del cellulare mi sembra piu' complicato di quello del token (che vanno cmq configurati e abilitati su un qualche tipo di server), ma utilizzare una doppia password contenente magari dati strettamente personali non è piu' conveniente per l'utente?Personalmente nel mio conto online ho una password in cui è celata la mia data di nascita (ma non è esplicita) seguita da un'altra pwd scelta invece dalla banca. Inoltre esiste un codice cliente da tenere a memoria e che solo io conosco. La banca della mia ex invece le aveva dato un certificato da installare di tipo "ONCE", alla seconda installazione dovevi andare in banca a fartene dare un altro. Io l'ho trovato molto scomodo, macchinoso e difficile da gestire (richiede conoscenze sistemistiche fuori dalla portata di un utente medio), inoltre formattare il PC (cosa che capita non difficilmente se usi windows che era l'unico sistema abilitato alla connessione bancaria) significa che devi per forza passare dalla banca a chiedere un altro certificato.
          • ugosweb scrive:
            Re: Soluzione con One Time Password
            Rispondo alle critiche ricevute nei precedenti messaggi:
            Quella che ti fornisce il token è una "one
            time password" ed è pure più sicura della tua,
            perché è calcolata e non riproducibile se non
            conosci l'algoritmo che RSA usa per crearla, e
            quindi "non viaggia".
            Non ho capito quale vantaggio abbia il tuo
            sistema, che esposto agli stessi attacchi.Il mio sistema si basa sull protocollo di autenticazione con OTP descritto nel RFC2289.Basta leggere l'RFC2289 per convincersi che è un protocollo valido.L'uso della crittografia delle Curve Ellittiche poi consente di potenziare il protocollo RFC2289 per renderlo invulnerabile all'unico attacco di phishing (di tipo tradizionale) applicabile a tale protocollo.(per maggiori info basta fare un ricerca su google su RFC2289 e sui possibili attacchi).
            Non mi risulta che il tuo sistema ti protegga
            dal MIM attack.
            Se l'utente clicca sul link di phishing, il
            server truffatore può connettersi alla banca
            la quale gli lancia il challange
            diciamo "X1B3Z4") il server-truffa
            propone "X1B3Z4" all'utente il quale convinto
            di parlare con la banca gli calcola il
            response (diciamo "Q9D1V7") col tuo sistema.
            Ora il server truffa manda "Q9D1V7" alla banca
            e l'autenticazione è già fatta.L'attaccabilità con MIM attack è dovuta al fatto che il challenge e il response viaggiano sullo stesso canale.Il mio sistema prevede due modalità. Una cost-less dove challenge e response viaggiano sullo stesso canale (le pagine web). L'utente legge il challenge dalla pagina web, lo digita sul cellulare, legge la OTP generata e la scrive nella pagina web (questa modalità è quella implementata su http://www.hostingjava.it/-monkeybs). Questa modalità è vulnerabile a MIM attack come riportato sopra. La seconda modalità è invece più sicura e invulnerabile a MIM attack perchè challenge e response viaggiano su canali diversi ma ha dei costi per ciascuna autenticazione.In pratica il challenge non viene visualizzaato nella pagina web (quindi un MIM non potrà mai conoscerlo) ma: 1) o viene inviato all'utente via SMS (il costo dell'autenticazione è a carico del server/banca); 2) o viene letto dal cellulare mediante una connessione GPRS al server (il costo dell'autenticazione è a carico dell'utente) L'utente quindi legge la OTP generata e la scrive nella pagina web.Per quanto riguarda invece l'usabilità del sistema basta provarlo per convincersi che è realmente user-friendly.Ciao,Ugo Chiricohttp://www.ugosweb.com
          • Anonimo scrive:
            Re: Soluzione con One Time Password

            .... ma utilizzare una doppia
            password contenente magari dati strettamente
            personali non è piu' conveniente per
            l'utente?
            Personalmente nel mio conto online ho una
            password in cui è celata la mia data di nascita
            (ma non è esplicita) seguita da un'altra pwd
            scelta invece dalla banca. Inoltre esiste un
            codice cliente da tenere a memoria e che solo io
            conosco. Guarda che tu puoi avere una password lunga anche 30 caratteri e un codice utente altrettanto. In un attacco di phishing SEI TU STESSO A RIVELARLI AI TRUFFATORI digitandoli su una pagina web in tutto simile a quella della tua banca.
            La banca della mia ex invece le aveva
            dato un certificato da installare L'uso di un certificato rende l'home banking sicuro al 100%, sempre che la banca implementi correttamente la politica dell'autenticazione o che non ti rubino il certificato e la password.
          • Ics-pi scrive:
            Re: Soluzione con One Time Password

            Guarda che tu puoi avere una password lunga anche
            30 caratteri e un codice utente altrettanto. In
            un attacco di phishing SEI TU STESSO A RIVELARLI
            AI TRUFFATORI digitandoli su una pagina web in
            tutto simile a quella della tua
            banca.Si hai ragione. Cmq alla fine se uno ci guarda è difficile (se non impossibile) che lo freghino, di certo pero' la signora Pina che ha appena attivato l'home banking immagino che ci possa cascare in pieno :(
            L'uso di un certificato rende l'home banking
            sicuro al 100%, sempre che la banca implementi
            correttamente la politica dell'autenticazione o
            che non ti rubino il certificato e la
            password.Si ma era scomodo, vincolante, lento e macchinoso. Almeno nella versione che ho provato io (BNL).Ciao
          • ugosweb scrive:
            Re: Soluzione con One Time Password



            L'uso di un certificato rende l'home banking

            sicuro al 100%, sempre che la banca implementi

            correttamente la politica dell'autenticazione o

            che non ti rubino il certificato e la

            password.

            Si ma era scomodo, vincolante, lento e
            macchinoso. Almeno nella versione che ho provato
            io
            (BNL).Usare un certificato obbliga il provider (la banca) ad avere un Public Key Infrastructure (PKI) e a gestire le procedure di rinnovo, revoca, ecc.I costi di un PKI e di gestione delle procedure sono estremamente elevati. Un token OTP è molto più conveniente. Ciao,Ugo Chiricohttp://www.ugosweb.com
  • Anonimo scrive:
    Man in the middle
    Notoriamento attacco difficile da eludere soprattutto da un servizio pubblico come un server web per molti utenti.La soluzione, temporanea, potrebbe essere quella di limitare i tentativi dallo stesso ip.Ma poi i phisher inizierebbero a usare spambot di cui sfruttare gli ip e saremmo punto a capo.
    • Anonimo scrive:
      Re: Man in the middle
      - Scritto da:
      Notoriamento attacco difficile da eludere
      soprattutto da un servizio pubblico come un
      server web per molti
      utenti.
      La soluzione, temporanea, potrebbe essere quella
      di limitare i tentativi dallo stesso
      ip.
      Ma poi i phisher inizierebbero a usare spambot di
      cui sfruttare gli ip e saremmo punto a
      capo.già per https, se il sito ha un certificato firmato da una CA riconosciuta (thawte, verisign, ecc), l'attacco man in the middle è inutile perchè individuabile.Quindi non è così semplice
      • sbittante scrive:
        Re: Man in the middle
        ma per creare una pagina https, non basta inserirci un'icona con un lucchetto? Scherzi a parte, in parecchi ci credono.
  • Anonimo scrive:
    soluzione
    chi viene scoperto a fare phishing 30 anni senza sconti.Vedi poi la strizza come gli viene
    • Anonimo scrive:
      Re: soluzione
      ehhh come no!Si vede di quanto sono diminuiti gli omicidi negli States pur sapendo che esiste la sedia elettrica..
      • Anonimo scrive:
        Re: soluzione
        Sarebbero aumentati a dismisura se non l'avessero fatto.Mai sentito parlare di trend?
        • Anonimo scrive:
          Re: soluzione
          - Scritto da:
          Sarebbero aumentati a dismisura se non l'avessero
          fatto.
          Mai sentito parlare di trend?bhe, prima o poi a forza di aumentare si fermavano.Quando ne rimaneva solo 1 !!
  • Ics-pi scrive:
    Qualcosa che sa, qualcosa che possiede
    Mah doveva essere il sistema piu' sicuro al mondo e invece è una boiaccata come le altre per vendere i token....
    • Anonimo scrive:
      Re: Qualcosa che sa, qualcosa che possie
      no è una banca che usa male il token
      • Ics-pi scrive:
        Re: Qualcosa che sa, qualcosa che possie
        - Scritto da:
        no è una banca che usa male il tokenIn che senso? Spiega bene...
        • Anonimo scrive:
          Re: Qualcosa che sa, qualcosa che possie
          che il token non va richiesto al login ma dentro il sito allora il loro trucco no funziona più, perché non hanno modo di riprodurre banalmente le pagine interne se fatte bene
          • Anonimo scrive:
            Re: Qualcosa che sa, qualcosa che possie
            - Scritto da:
            che il token non va richiesto al login ma dentro
            il sito allora il loro trucco no funziona più,
            perché non hanno modo di riprodurre banalmente le
            pagine interne se fatte
            beneInfatti la maggioranza della banche fa così, oltra ad utilizzare un sito HTTPS, la richiesta del token viene effettuata su ogni singola operazione e, calcolando che questi vale solo per un minuto, è normale darne diversi.
Chiudi i commenti