Insopportabile ReCaptcha di Google !

Cominciamo da dove è venuta la parola “captcha”. Si scopre che captcha è l’acronimo di Completely Automated Public Turing test per dire a Computers and Humans Apart. L’idea alla base della tecnologia captcha (e anche del test originale di Turing) è semplice: è un test che gli umani possono superare, ma i bot online non possono farlo. Captcha di solito si presenta sotto forma di un’immagine di testo distorta che deve essere riscritta per verificare che tu non sia un computer.recaptcha-.png
La tecnologia Captcha è importante perché fornisce una protezione semplice e pratica a una varietà di cose diverse, come la protezione della registrazione del sito Web, la prevenzione dello spam nei commenti sui blog, assicurandosi che solo gli umani votino nei sondaggi online e altro ancora. Senza la tecnologia captcha, gli spammer potrebbero potenzialmente abusare di queste situazioni impostando numerosi account, lasciando un ridicolo numero di commenti o votando un numero illimitato di volte nello stesso sondaggio.
Le prime versioni di captcha erano relativamente facili da aggirare per i computer. Ha provocato una corsa agli armamenti tra hacker e sviluppatori di captcha. Dopo che il primo ha portato giù una nuova versione di captcha, quest’ultima sarebbe arrivata con una versione più nuova e più forte.
Ad un certo punto Google è salito sul palco e ha pubblicato il suo reCAPTCHA , che ora è considerato non ufficiale uno standard captcha. Utilizza non solo il testo distorto ma anche le immagini e si ritiene che sia uno dei servizi captcha più forti. La tecnologia di reCAPTCHA di Google viene utilizzata da Google stessa, da Facebook e da molti altri siti Web come mezzo di protezione contro spam e abusi. In effetti, reCAPTCHA è il captcha provider più famoso al mondo.
Sfortunatamente, sembra che la tecnologia potrebbe non essere infallibile come si pensava una volta.

I ricercatori di sicurezza della Columbia University hanno scoperto difetti nella tecnologia reCAPTCHA di Google che aprono la porta agli hacker per influenzare l’analisi del rischio, bypassare le restrizioni e implementare attacchi su larga scala.

I ricercatori hanno affermato di essere stati in grado di progettare un attacco a basso costo che ha risolto con successo oltre il 70% delle sfide di reCAPTCHA dell’immagine e ogni sfida ha richiesto una media di soli 19 secondi per essere risolta. Hanno anche applicato il sistema al captcha dell’immagine di Facebook e hanno trovato un livello di precisione dell’83,5%. Si ritiene che la maggiore precisione su Facebook sia il risultato del fatto che le immagini di Facebook hanno una risoluzione maggiore.

“Tuttavia, il nostro sistema captcha-breaking completamente offline è paragonabile a un servizio di risoluzione professionale sia in termini di accuratezza che di attacco, con l’ulteriore vantaggio di non incorrere in alcun costo sull’attaccante”, hanno affermato i ricercatori , sottolineando la semplicità e l’economicità di questo particolare attacco.

Prima che i risultati fossero resi pubblici, i ricercatori hanno avvertito Google e Facebook di informarli di questi potenziali difetti. Hanno affermato che Google ha risposto tentando di migliorare la sicurezza di reCAPTCHA, ma Facebook non sembra aver preso alcuna iniziativa per migliorare.

I ricercatori ritengono che gli hacker potrebbero ragionevolmente addebitare $ 2 per 1000 captcha risolti, e come risultato potrebbe fare oltre $ 100 al giorno. Potrebbero resistere ancora di più se lanciano più attacchi contemporaneamente o utilizzano tecniche aggiuntive.

La ricerca mostra che c’è ancora molto da fare nel mondo della cybersecurity, ma dà anche la possibilità a molte aziende, come Google, di andare avanti e guardare più attivamente alle loro attuali misure di sicurezza. Google ha già mostrato interesse nel rafforzare la sua sicurezza, e si spera che altri siti web non siano molto indietro.

 

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...