CAPTCHA hacking e pensiero laterale

-
Cos'è un CAPTCHA? Sono delle immagini che celano delle stringhe alfanumeriche difficilmente interpretabili da una macchina ma facilmente da un umano.


CAPTCHA è l'acronimo di "completely automated public Turing test to tell computers and humans apart" ovvero "Test di turing pubblico e completamente automatico per distinguere umani da computer".

I CAPTCHA oggi vengono utilizzati un po' dappertutto in forum o blog che prevedano un invio anonimo e quindi senza autenticazione di dati. Senza CAPTCHA un bot potrebbe allegramente inviare montagne di SPAM come post e farsi pubblicità!

Più di tre anni fa assistetti ad un seminario che analizzava le tecniche di hacking per interpretare correttamente il contenuto di un CAPTCHA. Ricordo fra tutte l'OCR, con le analisi di quanta distorsione fosse necessaria per evitare che ottimi programmi e algoritmi di OCR riuscissero ad interpretare correttamente la stringa.

Tutto nella norma... ma Fatta la legge, trovato l'inganno!

Un annetto fa lessi un articolo in cui si intervistava un hacker estone o russo (è una zona endemica di hackeraggio) a cui l'intervistatore poneva questa domanda:

"Nel caso di CAPTCHA gli hacker sono però dentro un vicolo cieco: se la distorsione è buona l'OCR non può fare molto!"

E l'hacker candidamente rispondeva:

"Nessun problema: non faccio altro che creare un sito porno e gratuito in cui per vedere immagini e filmati l'utente è obbligato a validare un CAPTCHA. Al momento di fornire il CAPTCHA non faccio altro che inviargli quello proposto dal sito attaccato, ed il gioco è fatto!"

Pensiero laterale!

Come bypassare un test di turing? Usando un umano, mi sembra ovvio. E come usare umani in attività di questo tipo? Creando un sito porno, mi sembra altrettanto ovvio!

L'originalità di queste persone mi stupisce sempre :-)

Un altro problema dei CAPTCHA è che non sono utilizzabili da utenti ipovedenti e questo è un problema. Per ipovedenti intendo anche persone anziane o che hanno problemi di vista notevoli. E devo dire che anche io a volte faccio fatica ad interpretare la stringa...

Commenti

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

Rappresentazione 3D di Worm, spam, ...

-
Immagine
Che qualcuno avesse rappresentato in forma artistica Malware e Spam mi mancava proprio! Interessante esperimento con delle immagini a dir poco inquietanti! Questo è un IRCBOT: (copyright © 2002-2008 Alex Dragulescu, All Rights Reserved) E qui invece uno po' di SPAM: (copyright © 2002-2008 Alex Dragulescu, All Rights Reserved) L'autore ovviamente è un artista pluridecorato (certo anche il cognome è abbastanza inquietante) e io stavo giusto cercando dei quadri per il mio studiolo ;-)
Continua a leggere

Code review e HTTPS

-
Ha senso fare la revisione di sicurezza di un codice sorgente quando la trasmissione dei dati avviene in HTTPS? In una presentazione sulla "revisione di sicurezza di codice sorgente" ho sentito tale affermazione: Se la trasmissione con la Web App avviene in HTTPS, il tampering dei dati è impossibile e quindi la revisione di sicurezza del codice interessato da tali dati non è necessaria(*) Falso! Facciamo una piccola premessa: prima di effettuare la revisione di un codice sorgente bisogna identificare le possibili minacce a cui sarà sottoposta l'applicazione (ovvero le tipologie di attori maliziosi che interagiranno con essa) e modellare i "casi di abuso" (ovvero i casi di uso dell'applicazione in cui gli attori sono le minacce) le cui finalità sono quelle di sovvertire l'applicazione. Ipotizziamo ora che in un caso di abuso i dati in input all'applicazione viaggino in HTTPS. Il codice sorgente che è responsabile dell'elaborazione di tali dati ...
Continua a leggere