Wikipedia:Bar/Discussioni/Sicurezza nei sistemi wiki

Sicurezza nei sistemi wiki


Ciao a tutti. Per un esame universitario si parlava col docente di fare un'analisi delle vulnerabilità principali nei sistemi wiki, in particolare su Wikipedia. Al riguardo mi sono venute in mente le seguenti vulnerabilità (è da un po' che non mi aggiorno al riguardo, per cui se nel frattempo qualcosa è cambiato avvisate! :-) ):

  • sockpuppet: il checkuser può controllare attualmente user-agent e IP dell'utente. Questi dati possono essere utili per confermare delle ipotesi di sockpuppeting tra due utenti, per quanto un'analisi dei contributi dei due utenti sarebbe forse più significativa. Nel dettaglio, analisi delle categorie in cui l'utente contribuisce (è auspicabile che siano simili) piuttosto che analisi del modo di scrivere dell'utente, contando la frequenza delle singole parole e/o del tipo di modifiche fatte dallo stesso.
  • vandalismi: vista la sempre crescente mole di contributi è necessario implementare dei sistemi automatici di controllo delle modifiche. Attualmente non so se siano stati implementati anche su Wikipedia (se si, quali?) mentre su en.wiki sono già attivi, come ClueBot. Probabilmente sarebbe interessante capire che sistemi sono già attivi ora e quali potrebbero essere ulteriori soluzioni implementabili.
  • bot: da aggiungere a sockpuppet, può essere che un utente faccia molti edit ripetitivi (o usi un bot per farli che agisce lentamente) per accrescere rapidamente il numero di modifiche da lui fatto per fini quali l'ottenimento dell'adminship piuttosto che dei diritti di voto.
  • copyvio: analisi magari di revertbot o di altri sistemi attualmente implementati per le violazioni di copyright. Magari con analisi anche dei contributi degli utenti per identificare utenti seriali, più importanti da fermare rispetto ad un utenti che fanno una singola violazione
  • wikirank: questa idea è un po' collaterale, nel senso che sarebbe interessante capire come valutare un utente al di là del suo editcounter puro. In modo da scindere la necessità di fare molte modifiche, con le sue capacità tecniche e la sua conoscenza delle policy e le capacità comunicative e di coordinazione con altri utenti.

Se ho detto qualcosa di errato/non aggiornato/incompleto, ditemi pure. Se avete altre idee o altre ricerche al riguardo, idem! :-) --Filnik\b[Rr]ock\b 13:06, 14 mag 2013 (CEST)

Ti mando una mail.--Giacomoseics (ama il tuo prossimo) 14:08, 14 mag 2013 (CEST) P.S. Mail mandata, se posso permettermi è meglio non parlarne qui.--Giacomoseics (ama il tuo prossimo) 14:14, 14 mag 2013 (CEST)
Se i sistemi attuali funzionano, non vedo il problema. Se non funzionano, è ora di trovare una soluzione. Security through obscurity is not a solution. Grazie comunque per le info :-) rispondendoti, perché gli altri due non ritieni essere un problema? --Filnik\b[Rr]ock\b 14:37, 14 mag 2013 (CEST)
Infatti mi riferivo proprio alla security throught obscurity. Non c'è soluzione a quello che ti ho detto. I copyviol si riconoscono facilmente nelle sessioni di patrolling, ovvio che poi uno drizza le antenne e controlla tutti i contributi. Stesso discorso per i bot, se qualcuno mi intasa le RC me ne accorgo.--Giacomoseics (ama il tuo prossimo) 14:44, 14 mag 2013 (CEST)

IMHO la prima cosa da definire sono i termini e gli ambiti. Appena ho letto sicurezza pensavo al lato software, ma è evidente da quello che scrivi che l'ambito del tuo lavoro sono più le scienze "sociali" che quelle informatiche. Alla tua lista ne aggiungo una che a mio parere è molto grave e che io chiamo la referenzialità circolare. Ne ho parlato senza successo qui. Mi spiego: mettiamo che su wiki vengano inserite delle affermazioni false o imprecise o che configurano una ricerca originale. L'articolo non viene corretto perché magari è poco letto oppure semplicemente perché nessuno se ne accorge. A questo punto qualcuno che riteniamo una fonte affidabile (ad esempio un quotidiano) usa come fonte wikipedia (senza citarla), includendo nel suo lavoro le informazioni false. Dopo qualche mese un utente nota che certe informazioni sono senza fonte, trova questo quotidiano che ha copiato da wiki e lo inserisce come fonte. --Chessstoria (le s sono 3) (Dica Duca) 16:05, 14 mag 2013 (CEST)

@Giacomo: Puoi anche lanciare un bot col tuo account che tra una modifica e l'altra ci mette 5 minuti, così non te ne accorgi ;)

@Chessstoria: in realtà l'esame è di sicurezza informatica, per cui andrebbero bene anche eventuali falle del sistema software. Per quanto tuttavia, non ho le competenze attualmente per individuarle (ma se ne esistono già potrebbe essere interessante). Detto questo, intendevo tutto ciò che può minare il corretto funzionamento di Wikipedia. Per il discorso della referenzialità circolare, la cosa è molto interessante. Mi domando come si possa fare ad individuarla in modo automatico, magari facendo una ricerca su google e vedere quanti risultati escono? Uhm. --Filnik\b[Rr]ock\b 16:09, 14 mag 2013 (CEST)

Wikipedia:Bar/Discussioni/Nanufe_cacafe_cacofe dicesi in vari siti essere finita addirittura in una domanda a chi vuol esser milionario (ma non trovo il video). Neanche questo è trascurabile.--Giacomoseics (ama il tuo prossimo) 16:28, 14 mag 2013 (CEST)
(conflittato)Dubito che troverai debolezze software in wiki, è uno dei siti più visitati al mondo. Tutte le "weakness" che hai individuato potrebbero entrare nella categoria dell'ingegneria sociale che fa parte a pieno titolo della sicurezza informatica. A questo proposito molti spunti interessanti li potresti trovare nel libro l'arte dell'inganno di kevin mitnick. Per quanto riguarda la referenzialità circolare si potrebbe usare la funzionalità di google che dà la data in cui è stata pubblicata una pagina (ma spesso questa funzione da una data sbagliata) oppure i vari siti tipo webarchive per confrontare ad esempio il contenuto di un articolo di un quotidiano con il momento in cui in wiki è stata inserita una certa informazione, desumibile dalla cronologia. Questo però non elimina il caso in cui sia wiki che la fonte abbiano usato entrambi una terza fonte (ad esempio un libro) per dare una certa informazione. Oppure potresti più semplicemente catalogarlo come caso particolare di copyviol: nel caso in cui individui un copyviol, invece di dare per scontato che sia stata wiki a copiare la fonte, verifichi tramite la cronologia se è precedente wiki o la fonte. --Chessstoria (le s sono 3) (Dica Duca) 16:31, 14 mag 2013 (CEST)
Grazie mille ragazzi, riferisco al professore ;) --Filnik\b[Rr]ock\b 20:11, 14 mag 2013 (CEST)

Per i copyviol ci sono dei bot che girano e fanno un egregio lavoro di comparazione. Ora mi sfugge il link ma c'erano fior di pagine dalle quali attingere a piene mani con estratti di voce e link da cui erano (probabilmente) prese. Qualcuno aiuta il vecchietto qui presente a ritrovarle per mostrarle al buon Filnik? :-)) Ben più difficile il copyviol da traduzione, o da cartaceo (se non digitalizzato e reso almeno parzialmetne pubblico). Riguardo alle falle di sicurezza a mio avviso l'unica ragione per cui wikipedia non è ancora crollata è il costante contributo umano. Ha un sistema di pubblicazione senza registrazione che è un pericolo unico, seppur ben gestito, per forza di cose instabile senza gente sempre attiva. L'elenco di proxy bloccati viene aggiornato abbastanza velocemente, ma vari ne sfuggono giornalmente. Di cose ne sfuggono, non molte per fortuna, ma se un semplice admin di it.wiki e senza attività ossessiva come il sottoscritto ne ha già viste varie, vuol dire che ne passano, non troppe, ma ne passano. :) Il vandalismo astuto o la modifica pov/promo sono invece estremamente difficili da gestire, peggio ancora se fatti in buona fede (da fan, amici, persone che in buona fede ignorano il funzionamento/regole/scopi di wiki, ecc.). Ma credo che questa sia una delle sfide principali di Wikipedia (per ora da un punto di vista generale direi pure vinta). --Lucas 07:32, 15 mag 2013 (CEST)

Ci sono dei bot? dove? --Eumolpa (msg) 10:34, 15 mag 2013 (CEST)
C'era.--Eumolpa (msg) 10:34, 15 mag 2013 (CEST)

@FIlnik Ieri ripensandoci mi sono venuti dei dubbi sul fatto che le debolezze da te evidenziate possano essere categorizzate come attacchi di ingegneria sociale. Ho riguardato velocemente il libro di mitnick e ho visto che i vari attacchi che lui presente sono sempre volti ad acquisire il controllo di un sistema (nel senso di login e pwd per essere chiari) e non sono fini a se stessi. D'altro canto, ragionando in termini astratti, non è nemmeno necessario che esista un sistema informatico per parlare di ingegneria sociale: si potrebbe considerare tale anche uno stratagemma per farsi passare il numero di telefono della ragazza che ci piace. Comunque, pour parler sarei interessato a sapere cosa ti dice il tuo professore. --Chessstoria (le s sono 3) (Dica Duca) 13:12, 15 mag 2013 (CEST)