Craccato il captcha di Yahoo!

Un hacker sostiene di aver realizzato un sistema capace di aggirare con una certa frequenza il giochino antispam del portalone. E dice: li avevo avvertiti ma non mi hanno mai risposto

Roma - Il captcha torna al centro delle cronache: questa volta non si tratta di un problema di accessibilità ma di un hacker, che si fa chiamare John Wane, che sostiene di aver individuato un modo per aggirare il captcha di Yahoo.

Il captcha di YahooCome noto il captcha (anzi CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart) è un sistema di filtro pensato per impedire che un bot automatico possa attivare un servizio web o inviare un messaggio spacciandosi come utente in carne ed ossa, un filtro antispam e antiabusi adottato ormai in mezzo mondo e che naturalmente anche il portalone americano utilizza estensivamente. Ma ora il suo captcha non sarebbe più così sicuro.

John Wane sostiene che il suo metodo di aggiramento del filtro è assai più efficace di quei giochini anti-captcha che gli spammer si passano l'un l'altro da anni e che di rado riescono però nell'intento di rendere accessibili pagine e servizi protetti. In particolare, a suo dire, il suo sistema di decodifica buca il captcha di Yahoo nel 35 per cento dei casi.
A prima vista può sembrare una percentuale ridotta, ma si tratta in realtà di una voragine in cui malintenzionati che avessero a disposizione la tecnologia potrebbero infilarsi, importando nei sistemi di Yahoo e contro i suoi utenti vagonate di immondizia digitale, pubblicità non richieste se non addirittura codici e siti infetti, tutto in automatico e senza alcuno sforzo da parte dei cybercriminali.

John Wane, che a dispetto del suo nome dice di essere un ricercatore di sicurezza russo, sostiene di aver avvisato Yahoo del problema ormai da tempo, ma di non aver mai ricevuto risposta. Va detto però che Yahoo ha già spiegato di esserne al corrente e di aver avviato una indagine sul problema.
15 Commenti alla Notizia Craccato il captcha di Yahoo!
Ordina
  • Ma è così diffice craccarli da dover mettere una notiza qui sul punto informatico???
    Io non ho mai provato, però per un esame all'università un mio amico ha fatto una rete neurale che riconosce caratteri, e le prove le ha fatte con i chaptcha della vodafone... Il progetto l'ho visto, non mi pare una cosa così complessa....
    non+autenticato
  • - Scritto da: un tizio
    > Ma è così diffice craccarli da dover mettere una
    > notiza qui sul punto
    > informatico???
    > Io non ho mai provato, però per un esame
    > all'università un mio amico ha fatto una rete
    > neurale che riconosce caratteri, e le prove le ha
    > fatte con i chaptcha della vodafone...

    Alcuni sono craccabilissimi. Altri sono molto piu' difficili. Quelli di Yahoo erano dati (finora) per incraccabili in un tempo ragionevole.
    non+autenticato
  • ah ecco vedi... La mia disinformazione su questi cosi è totale... Scusate!
    non+autenticato
  • vi posso assicurare per visione diretta che il 100% dei captcha, a livello di ricerca e con abbastanza tempo (almeno 2 minuti), è leggibile da una macchina.

    anche le domande dirette "Qual'è la capitale della Svervegia?" e alcune delle immagini di animali/oggetti deformate.

    btw, con abbastanza Nodi è possibile decodificare anche quelli audio...

    un paio di link:
    http://www.cs.sfu.ca/~mori/research/gimpy/
    http://sam.zoy.org/pwntcha/
    http://www.lafdc.com/captcha/
    http://captcha.ru/articles/visual/

    Anonimo
  • - Scritto da: anonimo01
    > vi posso assicurare per visione diretta che il
    > 100% dei captcha, a livello di ricerca e
    > con abbastanza tempo (almeno 2 minuti), è
    > leggibile da una
    > macchina.

    Cosa intendi per "livello di ricerca"?
    Vuoi dire che hai assistito ad una prova in cui alcuni tipi di CAPTCHA venivano elusi?

    Alcuni CAPTCHA son talmente semplici da aggirare che basta un banalissimo OCR, altri richiedono reti neurali addestrate all'uopo.

    Pare invece che quelli usati da Yahoo o Google fossero parecchio difficili da decifrare. Almeno finora.

    L'assicurazione che ci dai tu a cosa si riferisce? A delle semplici immagini con un po' di disturbo in sovraimpressione o alle scritte pesantemente deformate di Yahoo e Google?

    Oppure dici di aver visto in azione il software automagico che legge *tutti* i CAPTCHA?
    non+autenticato
  • > L'assicurazione che ci dai tu a cosa si
    > riferisce? A delle semplici immagini con un po'
    > di disturbo in sovraimpressione o alle scritte
    > pesantemente deformate di Yahoo e
    > Google?

    ho visto in azione per l'appunto delle specie di reti neurali avanzate ancora a livello di sviluppo che "le leggevano" tranquillamente, ma bisognava preparare un po' le immagini (maschere, punti e altra robba);
    fa parte di una serie di agenti per il riconoscimento delle immagini, tipo targhe, scritte su foto, siluette di aerei etc;

    > Oppure dici di aver visto in azione il software
    > automagico che legge *tutti* i
    > CAPTCHA?

    di fatto, li leggeva.
    ma non era certo un programmino da (un singolo) personal computer, anzi!
  • Sono Elena quella ragazza non vedente che si batte per l'accessibilità dei captcha. Sono contenta quando leggo queste notizie, di persone che studiano per trovare un sistema per eluderli e mi piacerebbe molto che, queste persone, si mettessero in contatto con gli sviluppatori di ausili informatici per non vedenti. Ovvio non sono contenta quando questi strumenti vengono usati in modo cattivo, ma lo si sa, ogni volta che l'uomo fa una scoperta, c'è chi ne usa il lato buono e chi quello cattivo (come l'energia atomica!)
    Credo che, se gli ausili per non vedenti avessero un sistema per interfacciarsi con il web (ovviamente su richiesta dell'utente) del tipo "ignora captcha, prosegui con la registrazione ugualmente" ci sarebbero molti meno problemi: e da parte degli utenti che hanno l'ausilio in mano, e da parte dei fornitori di servizi, i quali potrebbero anche lasciare il captcha "così come sta"
    Il mio discorso non è campato in aria, io come utente che non ha mai visto com'è strutturato il mio software assistivo a livello di codice sorgente, non lo so come faccia a fare cose del genere ma so che posso, sito per sito, impostarlo che ignori i filmati flash, i frame, i frame in linea, addirittura personalizzare le etichette dei grafici, o impostare dei segnaposti che alla pressione di un singolo tasto mi portino sull'esatto punto della pagina dove voglio io. Non è un granché come cosa, perché basta disinstallare lo screen reader e si perdono pure tutte le impostazioni, com'è altrettanto ovvio che, qualora il fornitore del sito web cambi qualcosa all'interno delle pagine, tali impostazioni potrebbero essere rese parzialmente o totalmente inservibili il che nel 90% dei siti succede parecchio, soprattutto nelle pagine dinamiche, ma io, sinceramente, non credo proprio e non sarebbe neanche giusto che un ausilio possa fare il miracolo di rendere al 100% accessibile ciò che non lo è, lui facilita la vita, e questo è già davvero tanto. Sta a chi ha l'ausilio in mano avere IL BUON SENSO di non mettere, per esempio, i segnaposti nelle pagine delle news, o non ignorare i filmati flash dove questi sono dinamici(pubblicità o video che partono in sequenza casuale ogni refresh di pagina).
    Tra le altre cose, esiste un prodotto OCR molto avanzato, fatto da una ditta di Roma il prodotto si chiama Sirecognizer, ed è fatto per leggere anche sugli oggetti solidi come lattine e bottiglie, io ho più volte parlato con Marco, l'inventore di questo prodotto e abbiamo più volte provato a vedere se riuscivamo a decifrare i captcha, senza successo...perciò mi piacerebbe davvero avere in mano il motore di questa tecnologia fatta da questo sedicente signor Wane, o addirittura contattare il signor Wane, affinché questo motore possa essere introdotto in un sistema come sirecognizer e usato a fin di bene!
    Ci avevo già provato all'epoca quando uscì il primo worm in grado di eludere i captcha ma non sono riuscita a trovare il codice. Pazienza.
    Cmq ovviamente nel caso specifico si contatterebbe anche chi i captcha li fa, yahoo in primis, io non credo che negherebbero una cosa del genere anzi penso che sarebbero + contenti perché lavorano di menoCon la lingua fuori
    e non hanno la rottura di palle degli orbi che gli dicono che i captcha sono inaccessibili
    va be' sirecognizer costa 500 sacchi e passa
    però cacchio se serve a rendere autonoma una persona anche fosse solo al 50% io me ne spendo anche un milione di euro, avendolo
    non+autenticato
  • Non vedente??
    E come caspita hai fatto a scrivere questo post??
    non+autenticato
  • Esistono (per fortuna!!!) tool software e hardware appositi che permettono anche a chi ha problemi visivi o altri handicap di usare un pc e poter navigare in internet, postare, leggere email, etc...
    Se fai una breve googlata troverai parecchie risposte alla tua domanda...
    non+autenticato
  • da sviluppatore, mi piacerebbe sapere se sistemi alternativi come reCAPTCHA (http://recaptcha.net/learnmore.html) possono essere facilmente superati da non vedenti, dal momento che offrono anche un'alternativa audio (dettatura di 8 numeri).

    Questo sistema è facilmente implementabile per qualunque sito, dal blog amatoriale a quello professionale (mi pare sia usato anche per la registrazione su secondlife), inoltre sgrava la cpu del server dalla creazione del captcha (non necessita quindi di GD o ImageMagick) visto che è generato direttamente dai server di reCAPTCHA.
    non+autenticato
  • - Scritto da: Elena Brescacin
    > io ho più volte parlato con Marco,
    > l'inventore di questo prodotto e abbiamo più
    > volte provato a vedere se riuscivamo a decifrare
    > i captcha, senza successo...

    Veramente lo scopo principale di un captcha è proprio quello di non essere leggibile da una macchina.

    Se diventa leggibile, ha fallito il suo scopo.
    2678
  • - Scritto da: gerry
    > Veramente lo scopo principale di un captcha è
    > proprio quello di non essere leggibile da una
    > macchina.
    >
    > Se diventa leggibile, ha fallito il suo scopo.

    lo scopo di un captcha (Test di Turing pubblico e completamente automatico per distinguere computer e umani) non è propriamente "quello di non essere leggibile da una macchina", ma di distinguere se chi lo prova è un uomo o una macchina e fino a prova contraria un non vedente è un uomo, non una macchina, eppure la maggior parte dei captcha resta insuperabile da queste persone.
    non+autenticato
  • - Scritto da: Elena Brescacin
    > Credo che, se gli ausili per non vedenti avessero
    > un sistema per interfacciarsi con il web
    > (ovviamente su richiesta dell'utente) del tipo
    > "ignora captcha, prosegui con la registrazione
    > ugualmente" ci sarebbero molti meno problemi

    Hai perfettamente ragione! Anche perchè la tecnologia dovrebbe sempre (in un mondo ideale) semplificare la vita alle persone piuttosto che complicarla.

    Il problema credo sia di sicurezza, però.

    Bisognerebbe essere certi che non ci possa essere nessuno in grado di sfruttare tali scorciatoie per arrecare danno.

    Che ne pensi?
    non+autenticato
  • Vuol dire che un tentativo su tre va a buon fine: considerando il tempo che un bot impiega a fare un tentativo, "voragine" mi sembra un eufemismo
  • ╚ comunque una falla.
    non+autenticato