Alfonso Maruccia

reCAPTCHA, brividi per Google

Uno sparuto gruppo di hacker riesce a battere il sistema anti-spam di Mountain View con una percentuale di efficacia sorprendente. Google ci mette una pezza. Ma non č finita

Roma - Qualche dubbio sulla tenuta del sistema reCAPTCHA, la tecnologia anti-bot gestita da Google e impiegata per difendere i tanti servizi offerti da Mountain View dall'attacco di spam e fenomeni affini: tre hacker hanno realizzato uno script in grado di abbattere il sistema, ma Google avrebbe arginato la minaccia prima ancora che lo script fosse presentato al pubblico.

Stiltwalker, questo il nome del succitato script, attacca in particolare la parte audio del sistema di autenticazione anti-bot resa disponibile per chi ha difficoltà visive: il trio di smanettoni è riuscito a identificare le impronte sonore delle 58 parole uniche (in lingua inglese) adoperate dal sistema, applicando una serie di tecniche (inclusi algoritmi per l'auto-apprendimento) capaci di portare attacchi con un'efficacia del 99 per cento.

Gli hacker avevano, secondo tutti i crismi del caso, abbattuto il reCAPTCHA di Google e si preparavano a presentare i risultati del loro lavoro in occasione della conferenza sulla sicurezza LayerOne.
Purtroppo per i sogni di gloria degli smanettoni, però, Google è stata lesta nel risolvere il problema chiudendo la vulnerabilità e rendendo il lavoro di Stiltwalker inutile. Ma gli hacker non demordono, e dopo aver presentato lo script dicono di essere già al lavoro sulla nuova versione di reCAPTCHA.

Alfonso Maruccia
Notizie collegate
30 Commenti alla Notizia reCAPTCHA, brividi per Google
Ordina
  • è sempre meglio usare sistemi come keypic o stopforumspam

    i captcha sono il passato remoto
  • Io su un mio sito all'inizio utilizzavo un captcha fatto da me poi decisi di adottare reCaptcha convinto che fosse più efficace e invece mi sono accorto che lo spam è leggermente superiore a quando usavo il mio captcha.
    non+autenticato
  • Purtroppo per i sogni di gloria degli smanettoni, però, Google è stata lesta nel risolvere il problema chiudendo la vulnerabilità e rendendo il lavoro di Stiltwalker inutile. Ma gli hacker non demordono, e dopo aver presentato lo script dicono di essere già al lavoro sulla nuova versione di reCAPTCHA.

    Smanettone ci sarai tu, caro maruccia!

    Purtroppo per i sogni di gloria di questi abili utilizzatori di tecniche programmatorie non convenzionali, però, Google è stata lesta nel risolvere il problema chiudendo la vulnerabilità e rendendo il lavoro di Stiltwalker inutile. Ma gli hacker non demordono, e dopo aver presentato lo script dicono di essere già al lavoro sulla nuova versione di reCAPTCHA.

    FIXED
    non+autenticato
  • l'ultima volta che ho cercato di aprire un blog su blogger ho impiegato 30 minuti a congiugare ciò che volevo in varie forme pur di trovare un indirizzo libero.... quindi avrebbero spammato poco.

    Però è vero, i captcha sono fondamentali. Da questo punto di vista Google potrebbe sfruttare il recaptcha per saturare di blog thumblr e wordpress, evitando così che nuovi utenti trovino indirizzi liberi e così limitando gli avversari...e viceversa.
    non+autenticato
  • automatizzati o no,i metodi per superare i captcha esistono, vedi captcha trader, un forum con captcha trader è Come un forum senza captcha.
    sono necessarie proiezioni tipo "di che colore era il cavallo bianco di Napoleone?" alle quali un bot o un cinese non sanno rispondere.
  • - Scritto da: ephestione

    > sono necessarie proiezioni tipo "di che colore
    > era il cavallo bianco di Napoleone?" alle quali
    > un bot o un winaro non sanno
    > rispondere

    Fixed.
    non+autenticato
  • hai bisogno di un numero infinito di domande, altrimenti basta mettere nel database l'elenco delle risposte
    MeX
    16897
  • neppure, basta sapere una risposta o due,e prima o poi ti capita la domanda giusta. ma finora nessun bot ha superato questa protezione su nessuno dei miei siti, mentre con recaptcha i form erano un colabrodo.
  • Perche i tuoi siti non sono google. E chiaro che qualsiasi sistema fatto in casa funziona perche non c'e nessuno che ha interesse ad aggirarlo, se usi il tuo sistema per proteggere dei numeri di carta di credito vedi come te lo bucanoSorride
    non+autenticato
  • perdonami, ma la tua risposta è pertinente come il pesto sulla carbonaraCon la lingua fuori
  • no ha ragione.

    Se usi Wordpress per fare un blog sei soggetto a qualsiasi falla di sicurezza di wordpress, che essendo un prodotto famosissimo è anche molto probabile che le falle siano conosciute e sfruttate.

    Se sviluppi il tuo CMS in PHP a casa tua è facile che abbia MOLTISSIME falle di sicurezza ma pochi sanno che esiste
    MeX
    16897
  • Fermo restando che la penso come dici te, anche se ho una ottima stima della solidità del mio codice PHP, comunque il suo intervento è fuoritema siccome si parla di solidità dei captcha e non di solidità del backend di un sito... per l'appunto a parità di sito (il mio) e di forum (punbb) col plugin recaptcha arrivava spam da tutte le parti, col plugin di tipo domanda/risposta non passa più nulla che non sia contenuto utile.
  • - Scritto da: ephestione
    > Fermo restando che la penso come dici te, anche
    > se ho una ottima stima della solidità del mio
    > codice PHP, comunque il suo intervento è
    > fuoritema siccome si parla di solidità dei
    > captcha e non di solidità del backend di un
    > sito... per l'appunto a parità di sito (il mio) e
    > di forum (punbb) col plugin recaptcha arrivava
    > spam da tutte le parti, col plugin di tipo
    > domanda/risposta non passa più nulla che non sia
    > contenuto
    > utile.

    Allora non hai capito: il tuo sistema "pare" più sicuro perché non se lo caga nessuno. Nel momento in cui hai dei contenuti che interessano (vedi carte di credito o altro), qualcuno lo attaccherà e le tue difese cadranno subito, perché il tuo sistema è poco sicuro al contrario di quello che ritieni tu.
    non+autenticato
  • Quello è un sistema che funziona e facile! Certo, certe volte se mal implementato la risposta è sbagliata perchè è scritta tutta in minuscolo o le domande un po' criptiche (un paio di volte mi sembrava di avere a che fare con gli enigmi del professor layton).
    Il captcha di google è più difficile per gli umani da decifrare che non per un programma certe volte.
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)