Cominciamo da dove è venuta la parola “captcha”. Si scopre che captcha è l’acronimo di Completely Automated Public Turing test per dire a Computers and Humans Apart. L’idea alla base della tecnologia captcha (e anche del test originale di Turing) è semplice: è un test che gli umani possono superare, ma i bot online non possono farlo. Captcha di solito si presenta sotto forma di un’immagine di testo distorta che deve essere riscritta per verificare che tu non sia un computer.
La tecnologia Captcha è importante perché fornisce una protezione semplice e pratica a una varietà di cose diverse, come la protezione della registrazione del sito Web, la prevenzione dello spam nei commenti sui blog, assicurandosi che solo gli umani votino nei sondaggi online e altro ancora. Senza la tecnologia captcha, gli spammer potrebbero potenzialmente abusare di queste situazioni impostando numerosi account, lasciando un ridicolo numero di commenti o votando un numero illimitato di volte nello stesso sondaggio.
Le prime versioni di captcha erano relativamente facili da aggirare per i computer. Ha provocato una corsa agli armamenti tra hacker e sviluppatori di captcha. Dopo che il primo ha portato giù una nuova versione di captcha, quest’ultima sarebbe arrivata con una versione più nuova e più forte.
Ad un certo punto Google è salito sul palco e ha pubblicato il suo reCAPTCHA , che ora è considerato non ufficiale uno standard captcha. Utilizza non solo il testo distorto ma anche le immagini e si ritiene che sia uno dei servizi captcha più forti. La tecnologia di reCAPTCHA di Google viene utilizzata da Google stessa, da Facebook e da molti altri siti Web come mezzo di protezione contro spam e abusi. In effetti, reCAPTCHA è il captcha provider più famoso al mondo.
Sfortunatamente, sembra che la tecnologia potrebbe non essere infallibile come si pensava una volta.
I ricercatori di sicurezza della Columbia University hanno scoperto difetti nella tecnologia reCAPTCHA di Google che aprono la porta agli hacker per influenzare l’analisi del rischio, bypassare le restrizioni e implementare attacchi su larga scala.
I ricercatori hanno affermato di essere stati in grado di progettare un attacco a basso costo che ha risolto con successo oltre il 70% delle sfide di reCAPTCHA dell’immagine e ogni sfida ha richiesto una media di soli 19 secondi per essere risolta. Hanno anche applicato il sistema al captcha dell’immagine di Facebook e hanno trovato un livello di precisione dell’83,5%. Si ritiene che la maggiore precisione su Facebook sia il risultato del fatto che le immagini di Facebook hanno una risoluzione maggiore.
“Tuttavia, il nostro sistema captcha-breaking completamente offline è paragonabile a un servizio di risoluzione professionale sia in termini di accuratezza che di attacco, con l’ulteriore vantaggio di non incorrere in alcun costo sull’attaccante”, hanno affermato i ricercatori , sottolineando la semplicità e l’economicità di questo particolare attacco.
Prima che i risultati fossero resi pubblici, i ricercatori hanno avvertito Google e Facebook di informarli di questi potenziali difetti. Hanno affermato che Google ha risposto tentando di migliorare la sicurezza di reCAPTCHA, ma Facebook non sembra aver preso alcuna iniziativa per migliorare.
I ricercatori ritengono che gli hacker potrebbero ragionevolmente addebitare $ 2 per 1000 captcha risolti, e come risultato potrebbe fare oltre $ 100 al giorno. Potrebbero resistere ancora di più se lanciano più attacchi contemporaneamente o utilizzano tecniche aggiuntive.
La ricerca mostra che c’è ancora molto da fare nel mondo della cybersecurity, ma dà anche la possibilità a molte aziende, come Google, di andare avanti e guardare più attivamente alle loro attuali misure di sicurezza. Google ha già mostrato interesse nel rafforzare la sua sicurezza, e si spera che altri siti web non siano molto indietro.
Carinci BLOG 