Site icon Sophos News

Il tuo mouse sa quando stai mentendo

Il mouse collegato al computer e la tua mano potrebbero dirci molto più di quanto sospetti sulla tua identità. Ciò potrebbe essere una cosa buona, come recentemente osservato dai ricercatori in Italia, o fastidiosa come quelli della comunità Tor hanno sottolineato un po’ più di un anno fa.

La cosa buona.

I ricercatori italiani (Monaro, Gamberini e Sartori) hanno recentemente pubblicato uno studio “Il rilevamento di una falsa identità grazie all’utilizzo di domande inattese e alle dinamiche del mouse“, che ha dichiarato un’accuratezza del 95% nel determinare se un utente ha mentito, basandosi sui risultati di un algoritmo di machine learning da loro creato.

Lo studio ha utilizzato un campione di dimensioni davvero piccole, 40 persone per la prima prova e 20 per la seconda, ma le loro conclusioni hanno un merito.

La premessa:

Per chi dice la verità, le domande impreviste dovrebbero provocare automaticamente la risposta corretta. Al contrario, chi mente sulla propria identità deve ricostruire le informazioni e verificarle.

Esempio: “Qual è la tua data di nascita?” È una domanda attesa. Una domanda inaspettata invece potrebbe essere: “Quanti anni hai?” o “Qual è il tuo segno?” Entrambe le domande inaspettate possono richiedere il calcolo da parte di qualcuno che sta utilizzando una identità falsa e ha memorizzato le risposte o le ha scritte.

In breve, i ricercatori hanno utilizzato una combinazione di domande di autenticazione (atteso e inaspettato) e quindi misurato i movimenti del mouse, nonché il tempo trascorso dall’utente per rispondere alla domanda. L’utente può aver risolto la domanda correttamente, ma “le domande inaspettate aumenteranno il carico cognitivo di un bugiardo” hanno dichiarato i ricercatori.

La cosa fastidiosa.

Ci stiamo avviando verso l’evoluzione delle identità individuali basate sul modo in cui ricerchiamo siti e interagiamo con i nostri browser utilizzando il mouse. Nel 2013, è stato segnalato che Facebook stava seguendo le tracce del mouse per vedere quali annunci ci piacevano maggiormente.

All’inizio del 2016, Jose Carlos Norte, un ricercatore di sicurezza di Barcellona, ha rivelato un mezzo per realizzare l”Advanced fingerprinting del browser di Tor” usando le informazioni derivate dai movimenti del mouse. Norte osserva come questi movimenti, combinati con “altre piccole cose, rivelano pezzi di entropia su chi siamo”.

Il mouse è un’estensione di noi stessi

Intervistata sull’argomento, Rebecca Herold, esperta di privacy, ha notato come il mouse rappresenti un’estensione di noi stessi. Herold ha detto:

Certamente ha senso che il movimento di un mouse del computer possa essere collegato all’individuo specifico che è l’utente primario di quel dispositivo. Il nostro mouse è un’estensione digitale di noi stessi. So come uso il mio, e come lo sposto e clicco i pulsanti sinistro e destro e uso la ruota verticale, è unico per me. E il modo in cui usi il mouse dovrebbe essere unico per tutti.

Tutti hanno diversi tipi di movimenti del mouse associati a loro. E naturalmente questi dati potrebbero essere collegati ai luoghi, ai momenti, e all’utilizzo del mouse. Le metodologie Big data analytics potrebbero essere applicate per fornire un sacco di informazioni interessanti.

Nel 2011 Christopher Mims ha pubblicato, nella MIT Technology Review, l’articolo “The Next Big Thing in Analytics: Tracking Your Cursor’s Every Move“. Egli ha sottolineato come il mouse possa fornire una sorta di impronta digitale per identificare i singoli utenti.

Qualcuno al DARPA (l’Agenzia per la Ricerca Avanzata Della Ricerca) stava ovviamente ascoltando. L’agenzia sta ora sviluppando una “capacità biometrica di nuova generazione” basata su come gli utenti utilizzano un mouse e una tastiera.

Ecco le osservazioni/previsioni di Herold:

La verità è che i dati definiranno presto ogni individuo, in modi uguali, o addirittura più sostanziali, rispetto alle prove fisiche. Ha senso che ora si stiano analizzando i dati associati ai movimenti del mouse per vedere come potrebbero essere utilizzati quando si eseguono sorveglianza, profilazione e altri tipi di attività su un determinato individuo. Tutti quei dati su ciascuno di noi possono e saranno utilizzati da altri anche per decisioni strategiche sul nostro conto; tutto ciò potrebbe avere impatti significativi e conseguenze involontarie.

Tuttavia le domande di autenticazione usate in associazione all’identità del mouse potrebbero anche esserci amici.

Ricordiamo le raccomandazioni di nove anni fa del dottor Ariel Rabkin, “Personal knowledge questions for fallback authentication: Security questions in the age of Facebook,” per evitare di utilizzare risposte facilmente individuabili alle domande di autenticazione. Accompagnare la guida di Rabkin con l’algoritmo dei ricercatori italiani e le domande inaspettate, può farci fare un passo avanti verso l’autenticazione dell’identità. La metodologia ha il merito di rappresentare come un mezzo vitale per richiedere la convalida dell’utente a un livello successivo, quando l’algoritmo segnala un allarme.

Exit mobile version