Forzare il captcha di Windows Live Hotmail? Fingersi umano interpretando lettere e numeri deformati ad hoc ? Potrebbero bastare 6 secondi, con le tattiche messe a punto dai professionisti del cybercrime.
A rivelare l’avanzamento delle tecniche di cracking sono i ricercatori di Websense Security Labs : Windows Live Hotmail sta subendo il bombardamento di bot che creano account fasulli al solo scopo di renderli ingranaggi di un sistema di spamming. Sono incursioni lampo , l’ostacolo del captcha viene aggirato con l’efficacia di operazioni iterative: in sei secondi il sistema è in grado di decifrare il codice deformato.
Il successo si ottiene in media una volta su dieci prove : considerando una manciata di tentativi prima dell’interpretazione corretta, l’anti captcha può generare un account al minuto , 1440 account al giorno pronti a vomitare in rete posta spazzatura e amenità pubblicitarie.
È questo un sistema decisamente più rapido e aggressivo rispetto a quello utilizzato negli attacchi precedentemente sferrati per ingannare i captcha: più veloce dell’efficiente sistema di aggiramento dei captcha di Yahoo! , più veloce del doppio violatore di captcha recentemente impugnato contro Gmail, più economico dei corrispettivi umani che interpretano testi deformati al soldo del cibercrimine.
Concordano due ricercatori del Regno Unito: il captcha di Windows Live Hotmail è tutt’altro che inviolabile. Se Microsoft afferma di aver messo a punto deformazioni dei testi per fare in modo che sistemi automatizzati le interpretassero con successo in meno dello 0,01 per cento dei casi, Jeff Yan e Ahmad Salah El Ahmad hanno sviluppato un sistema che usa come grimaldello la segmentazione dei caratteri che compongono il testo da interpretare. L’efficacia? Vanno a segno 61 tentativi su 100 .
Ma la ricerca dei due studenti non finirà in pasto agli spammer, non alimenterà il cybercrimine: Jeff Yan e Ahmad Salah El Ahmad hanno dispensato consigli a coloro che si difendono dai malintenzionati con i captcha e si sono schierati al fianco di Microsoft contro le incursioni di attaccanti automatizzati.
Gaia Bottà