El sistema CAPTCHA de Microsoft, hackeado

[LUK]

Un bot desarrollado por spammers ha logrado saltarse la protección del método de autenticación de Microsoft para crear cuentas en Windows Live Mail, algo que no debería pasar en una tecnología que teóricamente está diseñada para diferenciar a humanos de ordenadores.

La aplicación de los mecanismos CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) es ya tradicional en muchos sitios webs, y suele ser imprescindible para la creación de nuevas cuentas de usuario.

Microsoft también lo utiliza durante el proceso de registro en Windows Live Mail, pero un grupo de spammers ha logrado desarrollar un sistema que logra superar esa protección con éxito en el 30-35% de los casos. El bot coge la imagen CAPTCHA de Microsoft, la envía a un servidor donde se realiza su tratamiento, y el resultado del mismo se devuelve a la web de Microsoft automáticamente, lo que provoca que el procedimiento de registro automatizado se realiza sin presencia humana.

Es la primera vez que ven un bot de este tipo, afirmaba Dan Hubbard, vicepresidente de investigación de seguridad en WebSense.Inc, y de hecho no han llegado a descubrir cómo realizan el tratamiento de la imagen en los servidores de los spammers, aunque suponen que se realiza mediante algún tipo de aplicación de reconocimiento de texto, OCR.

Artículo: http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9061558

[clarinetista]

Lo que me pregunto yo en esos casos (también en el de Yahoo) es , ¿que nivel de ruido se le aplicara a la mezcla?
Es decir, que distorsión se le aplica, ya que tiene niveles que rozan un test de daltonismo, y que a los propios humanos nos cuesta distinguirlo, por lo tanto, mas o un OCR.

[gondar_f]

El gran problema (y por eso los OCR pueden usarse) es que puedes enseñar a un OCR muchos posibles simbolos que puedes obtener facilmente haciendo pruebas manuales y guardando los resultados... con ello, el OCR aprende a distinguir el simbolo, es el mismo sistema que permite identificar una letra con tilde (á) por ejemplo, o lo que permite distinguir a la i de l... pero lo más importante, todos los OCRs importantes actualmente sabes distinguir un simbolo a buscar en medio de ruido (por ejemplo manchas) y deformación...

Lo único, que para programar adecuadamente un sistema así puedes tener que pasarte semanas o menes de trabajo manual recolectando información y después creando los patrones adecuados en el OCR...

Y lo cierto es que los de Yahoo son verdaderamente complejos, por eso eran los más seguros, pero la mayoría de los que handan circulando por la red cualquier OCR sin entrenamiento previo lo pilla directamente...

Por otro lado, ciertos sites con demasiada distorsión se encontraron que los usuarios dejaban de darse de alta porque se cansaban de que no eran capaces de leer adecuadamente lo mostrado en una gran cantidad de veces... con lo cual la única solución es ponerlos más "sencillos de interpretar"... un ejemplo de esto fue Rapidshare, que durante una época a finales del 2006 y principios del 2007 utilizaba un conjunto mucho más complejo que el actual y que tuvo que volver a uno más simple ya que la mitad de las veces el texto era practicamente indescifrable por el común de los mortales...

Un Saludo

[clarinetista]

Por otro lado, ciertos sites con demasiada distorsión se encontraron que los usuarios dejaban de darse de alta porque se cansaban de que no eran capaces de leer adecuadamente lo mostrado en una gran cantidad de veces... con lo cual la única solución es ponerlos más "sencillos de interpretar"... un ejemplo de esto fue Rapidshare, que durante una época a finales del 2006 y principios del 2007 utilizaba un conjunto mucho más complejo que el actual y que tuvo que volver a uno más simple ya que la mitad de las veces el texto era practicamente indescifrable por el común de los mortales...

Un Saludo

Eso es, gondar_f, a eso precisamente me refería.
Digamos que la pregunta seria, seguridad Vs usabilidad

[gondar_f]

Digamos que la pregunta seria, seguridad Vs usabilidad

Aunque personalmente creo que se está abusando de terminos como usabilidad actualmente, lo cierto es que tampoco se puede complicar la vida a los usuarios inultilmente, hay un límite relativo que indica hasta donde compensa invertir en seguridad, a partir de ese límite lo invertido apenas repercute en más seguridad...

Pero yo veo otro gran problema, la falta de imaginación que lleva a utilizar el mismo método de seguridad por todos, con lo cual al final consigues pasar una vez y lo consigues siempre... Yo creo que con un poco de imaginación se pueden conseguir sistemas mucho más seguros e igualmente simples... este fuen un buen sistema, pero ya tiene muchos años y a todos nos tiene que llegar algún día la juvilación, o por lo menos una actualización seria...

Un Saludo