Roma - Forzare il captcha di Windows Live Hotmail? Fingersi umano interpretando lettere e numeri deformati
ad hoc? Potrebbero bastare 6 secondi, con le tattiche messe a punto dai professionisti del cybercrime.
A
rivelare l'avanzamento delle tecniche di cracking sono i ricercatori di
Websense Security Labs: Windows Live Hotmail sta subendo il bombardamento di bot che creano account fasulli al solo scopo di renderli ingranaggi di un sistema di spamming. Sono
incursioni lampo, l'ostacolo del captcha viene aggirato con l'efficacia di operazioni iterative: in sei secondi il sistema è in grado di decifrare il codice deformato.
Il successo si ottiene
in media una volta su dieci prove: considerando una manciata di tentativi prima dell'interpretazione corretta, l'anti captcha può generare
un account al minuto, 1440 account al giorno pronti a vomitare in rete posta spazzatura e amenità pubblicitarie.
È questo un sistema decisamente più rapido e aggressivo rispetto a quello utilizzato negli attacchi precedentemente sferrati per ingannare i captcha: più veloce dell'efficiente
sistema di aggiramento dei captcha di Yahoo!, più veloce del
doppio violatore di captcha recentemente impugnato contro Gmail, più economico dei
corrispettivi umani che interpretano testi deformati al soldo del cibercrimine.
Concordano due ricercatori del Regno Unito: il captcha di Windows Live Hotmail è tutt'altro che inviolabile. Se Microsoft afferma di aver messo a punto deformazioni dei testi per fare in modo che sistemi automatizzati le interpretassero con successo in meno dello 0,01 per cento dei casi, Jeff Yan e Ahmad Salah El Ahmad hanno sviluppato un sistema che usa come grimaldello la
segmentazione dei caratteri che compongono il testo da interpretare. L'efficacia? Vanno a segno
61 tentativi su 100.
Ma la ricerca dei due studenti non finirà in pasto agli spammer, non alimenterà il cybercrimine: Jeff Yan e Ahmad Salah El Ahmad
hanno dispensato consigli a coloro che si difendono dai malintenzionati con i captcha e si sono schierati al fianco di Microsoft contro le incursioni di attaccanti automatizzati.
Gaia Bottà