Εύρωστες Ψηφιακές Υπoδομές και Υπηρεσίες: Διάκριση ανθρώπου ή bot

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
«Πρόγραμμα Αναμόρφωσης Προπτυχιακών Προγραμμάτων Σπουδών Γ.Π.Α.» Σεμινάριο Επιμόρφωσης Διδακτικού Προσωπικού Οι τεχνολογίες της Πληροφορικής και των Επικοινωνιών.
Advertisements

ΕΘΝΙΚΟ ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΕΡΕΥΝΑΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ (ΕΠΣΕ+Τ) - Γ' ΦΑΣΗ ΑΠΟΘΕΤΗΡΙΑ ΚΑΙ ΕΠΙΣΤΗΜΟΝΙΚΑ ΗΛΕΚΤΡΟΝΙΚΑ ΠΕΡΙΟΔΙΚΑ ΑΝΟΙΚΤΗΣ ΠΡΟΣΒΑΣΗΣ Το έργο «Εθνικό.
ΑΠΟΤΙΜΗΣΗ ΑΠΟΔΟΣΗΣ ΔΙΚΤΥΩΝ ΠΟΥ ΧΡΗΣΙΜΟΠΟΙΟΥΝ ΑΞΙΟΠΙΣΤΑ ΠΡΩΤΟΚΟΛΛΑ ΜΕΤΑΦΟΡΑΣ ΚΑΙ ΑΞΙΟΠΙΣΤΑ ΠΡΩΤΟΚΟΛΛΑ ΣΥΝΔΕΣΗΣ Ιωάννης Κόμνιος Μεταπτυχιακή Διατριβή Τμήμα.
Άνθρωπ οι ψηφιοποίησ η εφαρμογέ ς ρίσκο κωδικοποίησ η Πλαίσιο διαλειτουργικότητα ς Οδηγίες για τεχνικούς Οργανωμένες πηγές για υπαλλήλους Τύπου Unix Τύπου.
Υποδιευθυντής Πληροφορικής
ΕΙΔΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΔΙΟΙΚΗΤΙΚΗΣ ΜΕΤΑΡΡΥΘΜΙΣΗΣ ΥΠΟΥΡΓΕΙΟ ΕΣΩΤΕΡΙΚΩΝ, ΑΠΟΚΕΝΤΡΩΣΗΣ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ 14 Δεκεμβρίου 2010, Αθήνα 2η Σύνοδος Διευθυντών.
Θέμα : " Internet Telephony " Εφαρμογή : "Τηλεφωνική κλήση μέσω ιστοσελίδας με τη χρήση modem"
Ινστιτούτο Επεξεργασίας του Λόγου Βέλτιστες Πρακτικές στη Γλωσσική Τεχνολογία Βέλτιστες Πρακτικές στη Γλωσσική Τεχνολογία Εβδομάδα Επιστήμης & Τεχνολογίας.
Διαδίκτυο Κίκα Χρυσοστόμου.
1 «ΣΥΖΕΥΞΙΣ ΙΙ - ΠΡΟΜΗΘΕΙΑ, ΕΓΚΑΤΑΣΤΑΣΗ ΚΑΙ ΛΕΙΤΟΥΡΓΙΑ ΚΕΝΤΡΙΚΩΝ ISP ΥΠΗΡΕΣΙΩΝ ΚΑΙ ΥΠΗΡΕΣΙΩΝ ΠΡΟΣΤΙΘΕΜΕΝΗΣ ΑΞΙΑΣ»
ShareIt Social Network Project Simos Hatzikostas: Manolhs Georgiou: Theodoros Demetriou:
Next Generation Networking
ΔΙΑΔΙΚΤΥΟ (INTERNET) Γκόγκου A. Μάρθα Msc Πληροφορικής.
Ιστορία του Ιντερνετ.
Internet ‘Εκεί που η πληροφορία είναι το νόμισμα’ Παρουσιάζεται από τον Παναγιώτη Μιντόπουλο.
ΤΕΙ ΣΕΡΡΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ
ANTISPAM ΓΙΩΡΓΟΣ ΙΣΑΡΗΣ.
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
ΑΣΦΑΛΕΙΑ ΚΡΙΣΙΜΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΛΙΜΕΝΩΝ
Αναστάσιος Κούτλας Πέμπτη 1/11/2012
Διαδίκτυο Κίκα Χρυσοστόμου.
Online Essentials Κίκα Χρυσοστόμου.  Αποτελούνται από άτομα που αλληλεπιδρούν μεταξύ τους και επικοινωνούν. Τα άτομα αυτά όμως είναι γεωγραφικά διάσπαρτα.
Εφαρμογή οnline υπηρεσιών πληροφόρησης στο Σύστημα Βιβλιοθηκών του ΑΠΘ Ξ. Αγορογιάννη, Ε. Κοσέογλου, Κ. Ξενίδου-Δέρβου 13ο Πανελλήνιο Συνέδριο Ακαδημαϊκών.
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 1: Χρήση βασικών εργαλείων για συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου.
«Πρόγραμμα Αναμόρφωσης Προπτυχιακών Προγραμμάτων Σπουδών Γ.Π.Α.» Σεμινάριο Επιμόρφωσης Διδακτικού Προσωπικού Οι τεχνολογιές της Πληροφορικής και των Επικοινωνιών.
1 Συλλογικοί Κατάλογοι & Διαδίκτυο Μιχάλης Σφακάκης.
Google docs Google docs forms
Ειδικές μορφές επικοινωνίας των τουριστικών επιχειρήσεων
Τεχνολογίες και Εφαρμογές Πολυμέσων
Τηλεκπαίδευση Χαρίκλεια Τσαλαπάτα Κέντρο Δικτύου Τηλεματικής
Δίκτυα Ι Βπ - 2ο ΕΠΑΛ ΝΕΑΣ ΣΜΥΡΝΗΣ 2011.
Μόκιας Γιάννης Επιμόρφωση Β Επιπέδου ΤΟ ΔΙΑΔΙΚΤΥΟ ΩΣ ΠΗΓΗ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΟ ΣΧΟΛΕΙΟ Η ΔΙΔΑΚΤΙΚΗ ΤΟΥ ΧΡΗΣΗ.
Στρατηγική «Ευρώπη 2020» ICT - θέσεις εργασίας - οικονομική ανάπτυξη - καθημερινότητα.
ΤΟ ΔΙΑΔΙΚΤΥΟ ΩΣ ΠΗΓΗ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΟ ΣΧΟΛΕΙΟ Η ΔΙΔΑΚΤΙΚΗ ΤΟΥ ΧΡΗΣΗ.
ΕΡΓΑΣΙΑ ΔΙΑΔΥΚΤΙΟ ΓΙΑΝΝΗΣ ΞΕΣΦΙΓΓΗΣ.
Κατάρτιση Στελεχών ΟΤΑ σε θέματα ΤΠΕ: Ηλεκτρονική Μάθηση Λάζαρος Μεράκος Τμήμα Πληροφορικής και Τηλεπικοινωνιών Πανεπιστήμιο Αθηνών.
ΠΛΗΡΟΦΟΡΙΚΗ Α’ ΓΥΜΝΑΣΙΟΥ
Telematics Επιμέλεια:Παγώνης Γεώργιος Writer: Patrick Dillon.
1 Τεχνολογίες πληροφορικής και επικοινωνιών: Αναζητώντας λύσεις Κοινωνία της Πληροφορίας: «Έχει αγώνα αύριο!» Γιάννης Καλογήρου Επ. Καθηγητής ΕΜΠ τ. Ειδικός.
Αυτόματη Ανάλυση & Οργάνωση Μουσικών Αρχείων Διδάσκων Καθηγητής: Καπιδάκης Σαράντος Σπουδαστής: Σιδέρης Νίκος Αθήνα2008.
ΣΥΣΤΗΜΑΤΑ ΠΟΛΥΜΕΣΩΝ Εισηγητής: Δρ. Αθανάσιος Νικολαΐδης.
Μετατροπή Μουσικών Συλλογών σε Ψηφιακές Βιβλιοθήκες Το Πρόγραμμα MUSESCAPE Ιόνιο Πανεπιστήμιο Ιανουάριος 2005 Χριστιανούδης Ιωάννης.
ΟΙ ΔΡΑΣΕΙΣ ΤΟΥ ΥΠΕΠΘ ΓΙΑ ΤΗΝ ΑΝΤΙΜΕΤΩΠΙΣΗ ΤΟΥ ΧΑΣΜΑΤΟΣ ΔΕΞΙΟΤΗΤΩΝ ΣΤΙΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ ΘΩΜΑΣ ΣΦΗΚΟΠΟΥΛΟΣ.
Προϋποθέσεις Ανάπτυξης των Ευρυζωνικών Υπηρεσιών Χρήστος Ι. Μπούρας Καθηγητής, Τμήμα Μηχανικών Η/Υ & Πληροφορικής, Παν. Πατρών και Ερευνητικό Ακαδημαϊκό.
«ΗΛΕΚΤΡΟΝΙΚΗ ΠΟΛΕΟΔΟΜΙΑ» Κτίζοντας το Ψηφιακό Αύριο ICT FORUM – 30 Οκτωβρίου 2007.
ΣΥΓΚΟΜΙΔΗ ΜΕΤΑΔΕΔΟΜΕΝΩΝ (METADATA HARVESTING) ΙΟΝΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΤΜΗΜΑ ΑΡΧΕΙΟΝΟΜΙΑΣ - ΒΙΒΛΙΟΘΗΚΟΝΟΜΙΑΣ "Διοίκηση & Οργάνωση Βιβλιοθηκών με έμφαση στις.
Οριζόντιο Έργο Υποστήριξης Σχολείων, Εκπαιδευτικών και Μαθητών στο Δρόμο για το ΨΗΦΙΑΚΟ ΣΧΟΛΕΙΟ, νέες υπηρεσίες Πανελλήνιου Σχολικού Δικτύου και Στήριξη.
5o Συνέδριο ΕΕΕΠ-ΔΤΠΕ, Πειραιάς, 4-5 Οκτωβρίου 2008 «Υπηρεσία IP τηλεφωνίας του ΠΣΔ και συνεργατικά εργαλεία» Κισσανδράκης Γεώργιος Πανεπιστήμιο Κρήτης.
KA-CAPTCHA: An Opportunity for Knowledge Acquisition on the Web Bruno Norberto da Silva, Ana Cristina Bicharra Garcia Κωνσταντίνα Κατσίγιαννη – Μ843 Στα.
Β5.1.2 Πρωτόκολλα Επικοινωνίας και Τείχος Προστασίας.
1 REPUTATION & TRUST MANAGEMENT IN P2P Γεωργούλας Κώστας Σταθοπούλου Ευγενία.
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 1: Χρήση βασικών εργαλείων για συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου.
Βασικές αρχές IP Τηλεφωνίας
Β’ Γυμναςιου ΕΙΣΑΓΩΓΗ.
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 1: Χρήση βασικών εργαλείων για συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου.
Διαδικτυακή Τηλεφωνία Γενειατάκης Δημήτρης Υποψήφιος Διδάκτωρ Πανεπιστημίου Αιγαίου Τμήμα Μηχ. Πληρ. & Επικ. Συστημάτων.
TRUST MODELS FOR P2P E-COMMERCE ΔΗΜΗΤΡΗΣ ΠΑΝΑΓΙΩΤΟΥ ΑΜ: ΑΘΗΝΑ, 12/10/2006 ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΜΗΧΑΝΙΚΩΝ.
ΠΛΗΡΟΦΟΡΙΚΗ Ι Τμήμα Λογιστικής ΤΕΙ Κρήτης Γιάννης Χρυσάκης
Viber Τι είναι; Χρησιμότητα Λειτουργία Viber στο μέλλον.
Κεφάλαιο 10: Υπηρεσίες και εφαρμογές Διαδικτύου
Εφαρμογεσ τηλεματικησ στη διοικηση
Ηλεκτρονικό Ταχυδρομείο (Electronic Mail )
ΥΠΗΡΕΣΙΕΣ ΚΑΙ ΕΦΑΡΜΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ 10.1 Υπηρεσίες Διαδικτύου
Υπηρεσίες του διαδικτύου
Προγράμματα γονικού ελέγχου
Google docs Google docs forms
Πτυχιακή εργασία της Νικολαῒδου Μαρίας (ΑΜ: 3573)
Υπηρεσίες Διαδικτύου.
Δίκτυα Ι Βπ - 2ο ΕΠΑΛ ΝΕΑΣ ΣΜΥΡΝΗΣ 2011.
Υπηρεσίες και εφαρμογές Διαδικτύου
Μεταγράφημα παρουσίασης:

Εύρωστες Ψηφιακές Υπoδομές και Υπηρεσίες: Διάκριση ανθρώπου ή bot 13ο ICT Forum Αθήνα, 15 Δεκέμβρη 2011 Εύρωστες Ψηφιακές Υπoδομές και Υπηρεσίες: Διάκριση ανθρώπου ή bot Καθηγητής Δημήτρης Γκρίτζαλης (dgrit@aueb.gr, www.cis.aueb.gr) Διευθυντής Διαπανεπιστημιακής Ερευνητικής Ομάδας Ασφάλειας Πληροφοριών & Προστασίας Κρίσιμων Υποδομών Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών

Διαδικτυακή Τηλεφωνία (Voice-over-IP) Σύγκλιση δικτύων δεδομένων και δικτύων φωνής. Οι τεχνολογίες Voice-over-IP (VoIP) αποτελούν υποδομή για την πραγματοποίηση τηλεφωνικών κλήσεων μέσω Διαδικτύου. Βασίζονται σε πρωτόκολλα, όπως το Session Initiation Protocol (SIP) για τη σηματοδοσία και το RTP για τη μεταφορά φωνής ή πολυμεσικού περιεχομένου. Μορφές επικοινωνίας που απεικονίζονται PSTN: Aπευθείας (5) ή Gateway (4) PSTN με IP phone: Gateway (3) IP phone με IP phone: Internet (1) Softphone με Softphone: Internet (2) αλλά και: PSTN με Softphone: Gateway Softphone με IP phone: Internet 2

SPam over Internet Telephony (SPIT) Κλήσεων Μαζική αποστολή απρόσκλητων Μηνυμάτων Αιτημάτων παρουσίας User A User B User C Spitter Μορφές SPIT Call SPIT Μαζικές και απρόσκλητες απόπειρες έναρξης πολυμεσικών συνόδων (bulk unsolicited set of session initiation attempts in order to establish a multimedia session). Instant Message SPIT Μαζική διαβίβαση απρόσκλητων στιγμιαίων μηνυμάτων (bulk unsolicited set of instant messages, (quite similar to email SPAM messages. Presence SPIT Μαζικά και απρόσκλητα αιτήματα παρουσίας, ώστε ο spitter να ενταχθεί στη λευκή λίστα του καλούμενου (bulk unsolicited set of presence requests in order the spammer/spitter to become a member of the “white” list of a user). Most presence systems provide a consent framework. The presence request is noted to the user, allowing them to approve or deny the request. This provides a means for conveying information to a user. Example: By generating SUBSCRIBE requests from identities such as sip:please-buy-my-product@spam.example.com, brief messages can be conveyed to the user, even though the sender does not have permission to access presence. 3

email spam (spam) vs. voice spam (spit) Συγκλίσεις Κοινά κίνητρα, πχ. αναζήτηση οικονομικού κέρδους ή άσκηση επιρροής. Κοινές τεχνικές δημιουργίας, πχ. αυτόματη παραγωγή μαζικών μηνυμάτων/κλήσεων χαμηλού κόστους, χρήση πραγματικών διευθύνσεων τελικών χρηστών, συλλογή διευθύνσεων κλπ. Αποκλίσεις Η επικοινωνία με email είναι ουσιαστικά ασύγχρονη, ενώ η VoIP επικοινωνία είναι κυρίως σύγχρονη. Στο περιβάλλον VoIP μη εύλογες καθυστερήσεις δεν είναι (ούτε) τεχνικά αποδεκτές. Το email spam αποτελείται κυρίως από κείμενο (ίσως και εικόνες), ενώ το SPIT κυρίως από ήχο και εικόνα (πολύ λιγότερο από κείμενο). Μια SPIT κλήση συνήθως δημιουργεί εντονότερη ενόχληση στο χρήστη. Σύγχρονο-ασύγχρονο H έννοια του σύγχρονου-ασύγχρονου εξετάζεται ανάλογα με τη χρονική στιγμή που παρατηρεί ο χρήστης. Για παράδειγμα, η επικοινωνία στο VoIP μπορεί να είναι ασύγχρονη, όταν υπάρχει σύνοδος με αυτόματο τηλεφωνητή (voice mail). Εύλογη καθυστέρηση Η καθυστέρηση (latency) στο VoIP αναφέρεται στο χρόνο που είναι αναγκαίος για τη διαβίβαση ενός ηχομηνύματος, από την πηγή του μέχρι τον προορισμό του. Η καθυστέρηση πρέπει να είναι αμελητέα, αλλά υπάρχουν πρακτικά εμπόδια που καθορίζουν συγκεκριμένα κατώτερα όρια. Η σύσταση G.114 της ITU-T καθορίζει χρονικούς περιορισμούς στη μονόδρομη καθυστέρηση: Το άνω όριο είναι 150 ms για μονόδρομη διαβίβαση. Η καθυστέρηση αυτή αφορά τις εσωτερικές κλήσεις στις ΗΠΑ, μέσω PSTN. Στις διεθνείς κλήσεις, μια καθυστέρηση 400 ms θεωρείται ανεκτή. 4

Τεχνολογίες αντιμετώπισης SPIT Ανάλυση περιεχομένου (Content Filtering) Μαύρες ή/και λευκές λίστες (Black-White Lists) Επικοινωνία βασισμένη στη Συγκατάθεση (Consent-based com’s) Συστήματα Εμπιστοσύνης (Reputation Systems) Απόκρυψη Διεύθυνσης (Address Obfuscation) Διευθύνσεις Περιορισμένης Χρήσης (Limited-use Addresses) Τεχνικές Απόκρισης (Turing Tests, Computational Puzzles) Τεχνικές Εισαγωγής Κόστους (Payments at Risk) Νομοθετικές ή κανονιστικές δράσεις (Legal Action) Κύκλοι Εμπιστοσύνης μεταξύ Παρόχων (Circles of Trust) Κεντρικοί Πάροχοι (Centralized SIP Providers) 5

γιατί οι υπάρχοντες μηχανισμοί… Σήμερα (2011): Ανεπαρκής αντιμετώπιση, γιατί οι υπάρχοντες μηχανισμοί… … κατά κανόνα αποπειρώνται να υιοθετήσουν αντίστοιχες μεθόδους αντιμετώπισης του email spam. … αντιμετωπίζουν περιορισμένο υποσύνολο απειλών και αδυναμιών του SIP. … εστιάζουν στο εκάστοτε τεχνολογικό περιβάλλον (ad-hoc προσέγγιση). … δεν μπορούν να αντιμετωπίσουν επαρκώς καινούργια σενάριο SIP επιθέσεων. … απαιτούν συνδυασμό τεχνικών (πολυπαραγοντικότητα) σε κάθε στάδιο μιας SIP κλήσης. … δεν μπορούν να προσφέρουν δυνατότητες πρόληψης, ανίχνευσης και αντιμετώπισης του SPIT. … δεν μπορούν να αξιολογηθούν, ακόμη, σε πραγματικές συνθήκες. 6

Διάστημα μεταξύ χαρακτήρων Ηχητικά CAPTCHA* Ψηφία/ χαρακτήρες Διάστημα μεταξύ χαρακτήρων Συνολική Διάρκεια Γλώσσα Παρασκήνιο Ηχητικό CAPTCHA Λεξιλόγιο Θόρυβος Μεταβλητός αριθμός χαρακτήρων Ενδιάμεσος Πεδίο δεδομένων Vocabulary Data field : Τα στοιχεία του αλφάβητου που χρησιμοποιείται για την παραγωγή των χαρακτήρων που απαρτίζουν το ηχομήνυμα (audio CAPTCHA). Variable number of spoken characters: Το πλήθος των ήχων που αποτελούν το ηχομήνυμα. Language requirements: Η γλώσσα στην οποία εκφράζονται οι ήχοι. Διάρκεια και μεταβλητότητα (variability) βοηθητικών ήχων (background/intermediate) Το μέγεθος του ηχομηνύματος μπορει να ποικίλλει, καθώς σχετίζεται με το πλήθος των ήχων που εκφωνούνται, τους συγκεκριμένους ήχους και τη διάρκεια καθενός (που σχετίζεται με τον εκφωνητή). Στο CAPTCHA καθορίζεται η αρχή και το τέλος της εκφώνησης κάθε ήχου, καθώς και το κενό (pause) μεταξύ τους, που μπορεί να μην είναι προβλέψιμο. Ενδιάμεσοι ήχοι Μπορεί να υπάρχουν backgound ήχοι, οι οποίοι χρησιμοποιούνται με περιοδικό ή όχι τρόπο στο ηχομήνυμα. Μεταξύ των διαδοχικών ήχων του αλφαβήτου μπορεί να εμφανίζονται intermediate ήχοι. Δημιουργία CAPTCHA Τα νέα audio CAPTCHA αναπτύχθηκαν με βάση τα εξής attributes: (1). Παράγονται χωρίς human διαμεσολάβηση. (2). Χρησιμοποιούν τα δέκα αριθμητικά ψηφία (0-9), εκφωνημένα στην αγγλική (σε 3-άδες/4-άδες). (3). Η χωροθέτηση των ψηφίων μέσα στο CAPTCHA είναι τυχαία. (4). Ενθέτουν τυχαίους background ήχους, στο εύρος συχνοτήτων όπου εκφωνούνται τα ψηφία. (5). Ενθέτουνν τυχαίους intermediate ήχους, στο εύρος συχνοτήτων όπου εκφωνούνται τα ψηφία. (6). Η χροιά εκφώνησης κάθε ψηφίου είναι “τυχαία” (χρησιμοποιούνται διαφορετικοί εκφωνητές). (7). Η διάρκεια του CAPTCHA δεν είναι προβλέψιμη. Διαδικασία παραγωγής Αυτόματη παραγωγή Χρήση ήδη υπαρχόντων * CAPTCΗA: Completely Automated Public Turing test to tell Computers and Humans Apart

Υλοποιήσεις ηχητικών CAPTCHA Recaptcha 1 Google 2 MSN 3 7 8 6 6 1 1 3 1 2 2 4 5 7 Χαρακτηριστικά δημοφιλών audio CAPTCHA Προορίζονται κυρίως για user registration σε υπηρεσίες email. Google και MSN δυσκολεύουν τη συλλογή στιγμιότυπων CAPTCHA (https), ώστε να γίνει δυσκολότερη η επαίδευση του bot (η συλλογή στιγμιότυπων απαιτεί σύνδεση μέσω http και χρήση δύο διαδοχικών επιλογών της html φόρμας για να ακουστεί ο ήχος). Όλα χρησιμοποιούν πολλαπλούς εκφωνητές και background/intermediate θορύβους. Δεν είναι εύηχα, λόγω ασυνήθιστων background ήχων και μεταβολών στην ένταση της φωνής των εκφωνητών. Είναι αρκετά δύσκολα για τους χρήστες, κυρίως λόγω του πλήθους των ψηφίων κάθε CAPTCHA (πχ. >6-8). Είναι σχετικά εύκολα για τα bot, γιατί η ένταση της φωνής των εκφωνητών είναι δυνατότερη από τους background και intermediate ήχους. Ειδικά το Google διευκολύνει τα bot, γιατί στο μέσο του CAPTCHA ακούγεται “once again” και επαναλαμβάνεται για δεύτερη φορά η ίδια σειρά ψηφίων. Σημείωση: Τα περιγραφόμενα audio CAPTCHA ηχογραφήθηκαν από τα σχετικά sites. Στη συνέχεια, τα επεξεργαστήκαμε με ειδικό λογισμικό που τα μετασχημάτισε σε κυματομορφή (Αudacity, http://audacity.sourceforge.net/). 6 7 9 9 8 1 3 2 http://recaptcha.net (Carnegie Mellon and Intel, 2007) http://gmail.com (Google, 2008) (Vorm bot access rate: 33%) https://accountservices.passport.net/reg.srf (Microsoft, 2008) (Vorm bot access rate: 75%) 8

Σύγκριση διαθέσιμων λύσεων ηχητικών CAPTCHA Ηχητικό CAPTCHA Χαρακτηριστικά Google MSN Recaptcha eBay Secure image captcha Mp3Captcha Captchas. net bokehman slashdot Authorize AOL Digg Ποσοστό επιτυχίας χρήστη 60% 80% 50% 95% 98% Background θόρυβος Φωνές, ήχος Φωνές, ήχος Ήχος Όχι Φωνές Ενδιάμεσος θόρυβος Πεδίο δεδομένων 0-9 Λέξεις A-Z, a-z, A-Z, a-z, 0-9 a-z, 0-9 Πλήθος χαρακτήρων στιγμιότυπου 5-10 10 10-20 6 4 <9 5 8 Σπάνια επανεμφάνιση Ναι Διαδικασία παραγωγής Άγνωστη Aυτόματη Αυτόματη Γλώσσες εκφώνησης Πολλές γλώσσες en en, fr, it, de en, de, it, nl, fr Διαφορετικοί εκφωνητές Διάρκεια (sec) 0:10-0:15 0:05-0:09 ~0:04 ~0:08 0:04-0:05 0:03-0:04 0:05 0:10 0:08

Αρχιτεκτονική νέου * ηχητικού CAPTCHA Πλήθος εκφωνητών Χρονική υστέρηση Ενδιάμεσος θόρυβος Θόρυβος στο παρασκήνιο Πλήθος στιγμιότυπων εκπαίδευσης Στάδιο 1 1 20 Στάδιο 2 3 50 Στάδιο 3 5  100 Στάδιο 4 7 Στάδιο 5 Σύνθεση δείγματος ελέγχων Οι χρήστες που κλήθηκαν να επιλύσουν (πειραματικά) το CAPTCHA ήταν μεταξύ 20-30 χρόνων. To σύνολο των χρηστών του δείγματος ήταν ~30. Οι περισσότεροι ήταν φοιτητές ή είχαν λάβει πανεπιστημιακή εκπαίδευση. Όλα τα CAPTCHA που χρησιμοποιήθηκαν ήταν στην αγγλική γλώσσα Η αγγλική γλώσσα δεν ήταν μητρική γλώσσα κανενός από τους χρήστες. Κάθε νέα ιδιότητα, που εμπλούτιζε τα CAPTCHA, επηρέαζε την επιτυχία των χρηστών ή/και του bot. Τα πιο ανθεκτικά από τα CAPTCHA που αναπτύχθηκαν είχαν μέσο όρο επιτυχίας για τους χρήστες >80% και για το bot <3%. * Soupionis J., Gritzalis D., “ASPF: An adaptive anti-SPIT policy-based framework”, in Proc. of the 6th International Conference on Availability, Reliability and Security (ARES-2011), Per­nul G. (Ed.), pp. 153-160, Austria, August 2011. 10

Κατευθυντήρια συμπεράσματα Η εξάπλωση της χρήσης του VoIP εισαγάγει νέες επιχειρηματικές δραστηριότητες και εφαρμογές, αλλά και νέες απειλές. Η επαρκής αντιμετώπιση του SPIT απαιτεί πολυ-παραγοντική προσέγγιση - δεν επαρκούν μόνο υπάρχουσες anti-spam τεχνικές. Οι τεχνικές anti-SPIT πρέπει να στοχεύουν στην αντιμετώπιση περισσότερων και νέων ειδών επιθέσεων απ’ ότι οι υπάρχουσες. Το audio CAPTCHA που αξιοποιεί χροιά εκφώνησης, τυχαίους ενδιάμεσους ήχους και διασπορά τους μέσα στο μήνυμα, παρέχει ενθαρρυντική ανθεκτικότητα απέναντι σε bots. 11

Από τη θεωρία στην πράξη… ΣΦΙΓΞ Consortium Virtual Trip Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης Δημοκρίτειο Πανεπιστήμιο Θράκης Οικονομικό Πανεπιστήμιο Αθηνών Χρηματοδότηση Γενική Γραμματεία Έρευνας & Τεχνολογίας Ε.Π. Ανταγωνιστικότητα & Επιχειρηματικότητα Δράση Εθνικής Εμβέλειας ΣΥΝΕΡΓΑΣΙΑ ΣΦΙΓΞ 09ΣΥΝ-72-419 Ιαν. 2011 – Ιαν. 2013 sphinx.vtrip.net

ΣΦΙΓΞ: Αναμενόμενα αποτελέσματα - Αξιοποίηση τεχνολογιών αιχμής ΣΦΙΓΞ: Αναμενόμενα αποτελέσματα - Αξιοποίηση τεχνολογιών αιχμής Ανάπτυξη υπηρεσίας πρόληψης αυτοματοποιημένων επιθέσεων SPIT Ενσωμάτωση της υπηρεσίας σε υπάρχουσες εταιρικές υπηρεσίες Αποτίμηση απόδοσης και αξιολόγη-ση αποτελεσματικότητας της υπηρε-σίας Μελέτη οικονομικών και κοινωνικών επιπτώσεων και ανάλυση απαιτούμε-νου κανονιστικού πλαισίου Τεχνολογίες αιχμής Audio CAPTCHA Formal Model Checking Privacy Enhancing Technologies (PET)

Μεταβαίνοντας, συνεργατικά, από τη θεωρία στην πράξη, για την ανάπτυξη εύρωστων ψηφιακών υποδομών και διαδικτυακών υπηρεσιών