El mecanismo de seguridad que trata de diferenciar entre humanos y bots en el registro de cuentas en Gmail ha sido creackeado, y aunque se trata de un método complejo, se vuelve a demostrar que los spammers son muy, muy creativos.
La empresa Websense Security Labs ha descubierto el agujero de seguridad en el sistema de autenticación ‘humana’ de Gmail, que hace uso del tradicional CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) para que los usuarios que se registren no sean los peligrosos bots de los spammers.
Al parecer el proceso no fue sencillo, y necesitaron dos máquinas anfitrionas con el bot para crackear el código captcha, mientras que anteriormente sólo se había necesitado una para hacer lo propio con el sistema de Windows Live Mail, que también fue crackeado – al parecer por el mismo grupo.
Este sistema muestra una serie de cifras y letras mayúsculas y minúsculas desordenadas y ‘ofuscadas’ mediante diversas técnicas: mientras que los humanos son capaces de distinguirlas sin demasiado esfuerzo – aunque incluso a veces a nosotros nos cuesta – los bots lo tienen mucho más complicado. El reconocimiento de formas parece haber entrado en escena y muchos algoritmos logran descifrar parte de esos CAPTCHAs, pero no todos. Sin embargo, los spammers están tratando de luchar contra ese propósito, y por lo visto algunos están logrando superar esa barrera.
vINQulos
Todo captcha es crakeable.
Si un bot puede codificarlo, entonces otro puede decodificarlo.
En efecto, si se puede hacer, se puede deshacer.
Sólo es cuestión de tiempo.
Para leer esos codigos se necesita de un OCR muy muy bueno. No es nada banal conseguir hacer uno, expecialmente considerando que a quien tiene que decifrar faltan las primitivas necessarias a generarlos (tipos de carateres, trasformaciones aplicadas, colores usados, …)
Yo tambien creo que no es imposibile pasar esos controlos, pero’ es mas facil endurirlos con poco esforzos aumentando el nivel de filtros actos a confundir los OCR.
El tema es que los spammers se concentran en crear algoritmos que lleven al captcha a una forma más normal antes de pasarle el OCR.
Esa parte es muy humana, 60% ingeniería y 40% prueba y error.
Por eso es que si uno se concentra en romper un catpcha, es solo una cuestión de tiempo.
Lo sé pq yo he creado herramientas para tratar de romper mis propios captchas, a modo de prueba de seguridad, y de frikada.
Si el captcha de SAN GOOGLE es crackeable, pues ya todo foro, email, subscripciones (no digo todo internet porque creo que exageraría xD)… son crackeables más “fácilmente” :S
Pingback: El CAPTCHA de Gmail, hackeado « Portalhispano’s Weblog
Pingback: 777soft » Blog Archive » El CAPTCHA de Gmail, hackeado
Pingback: El CAPTCHA de Gmail, hackeado
por eso hay que cambiar el estilo de las fuentes periodicamente
Pingback: Turing no es infalible
Pingback: Informática para tod@s » La lacra del “spam”