Cybersecurity

Captcha craccati: non bastano più

05 Novembre 2013

Avete presente i captcha?

Si trovano ormai in qualsiasi form da compilare online e servono per evitare che robot o sistemi automatici compilino i dati.


Robot che digita sulla tastiera


Un captcha che si vede di frequente è quello in cui viene chiesto di scrivere quali siano le lettere o i numeri presenti in un'immagine, che appare appositamente distorta od offuscata.
Se si inseriscono le lettere o i numeri corretti, significa che la compilazione è stata fatta da un essere umano in grado di intuire.

Il termine captcha è un acronimo che deriva dall'inglese "Completely Automated Public Turing test to tell Computers and Humans Apart", ossia test di Turing pubblico e completamente automatico per distinguere computer e umani.

Personalmente non sono contrario ai captcha, ma sempre più spesso le sequenze proposte sono così distorte e offuscate che è necessario riprovare più volte.
E io quando sono costretto a ripetere l’operazione quattro o cinque volte mi infastidisco e il servizio al quale sto tentando di accedere mi interessa di meno…

Il captcha ha fallito

Mentre un occhio umano, grazie all’apprendimento, è in grado di riconoscere lettere e numeri benché distorti e offuscati, un software non può. Così si pensava.
Vicarious, realtà emergente che sviluppa software per insegnare ai computer ad apprendere, ha dichiarato di aver messo a punto un software in grado di riconoscere i captcha e ha pubblicato due video (primo video, secondo video) nei quali dimostra con quale disarmante semplicità il proprio software interpreti i captcha, senza sbagliare un colpo.

La novità rispetto ad altri sistemi è che Vicarious non usa attacchi brute force per indovinare lettere e numeri, ma impara in maniera analoga a un cervello umano.
Le applicazioni più interessanti di questo processo di apprendimento computerizzato si troveranno nell’analisi delle immagini mediche e nella robotica, ma questo è il primo segnale del fatto che occorre escogitare un nuovo sistema per tenere i bot alla larga dalle form.

Avanti allora: il primo che propone qualcosa è sistemato per tutta la vita!
Oltre ad avere la mia eterna gratitudine per avermi liberato dai captcha 😉

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (3)

Personalmente sto avendo una buonissima esperienza con i sistemi che sottopongono semplici test aritmetici, proprio come quello per rispondere a questo stesso post.
Possono essere anche leggermente più complicati, ad esempio: quanto fa 9 – le dita di una mano ?

Avrei giurato che i bot se li bevessero in un attimo, ma mi sono dovuto ricredere e in diversi mesi (anni) di utilizzo non è successo nemmeno una volta.
Almeno non ancora….

Marco Cremaschi,

Chiaramente è molto più interessante "bucare" i captcha di Google o altri giganti piuttosto che i captcha del blog di Achab me in effetti per un computer "capire" quello che viene chiesto non è cosa banalissima e il tuo commento ne è la conferma.

Claudio Panerai,

Speriamo che i captcha spariscano definitivamente quanto prima.
Mi viene in mente un’altra tecnica usata qualche anno fa da BOT e spammer vari più artigianale della tecnologia di Vicarious ma più divertente.
C’era una piacente fanciulla (mi pare si chiamasse Melissa) che si presentava vestita su una pagina web. Compilando un captcha si faceva sì che Melissa togliesse un capo di abbigliamento; altro captcha, altro capo tolto, e poi un altro, e poi un altro, eccetera.
L’aspetto geniale è che i captcha proposti per fare svestire Melissa erano in realtà presi da form che richiedevano la compilazione dei medesimi captcha per fare il submit di form. Quindi i risultati inseriti dagli ammiratori di Melissa aiutavano spammer&amici a compilare form in maniera fraudolenta.

Andrea Veca,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.