reCAPTCHA sconfitto da alcuni ricercatori di sicurezza

Iniziamo dall’origine della parola “captcha”. A quanto pare “captcha” è l’acronimo di Completely Automated Public Turing test, in italiano “Test di Turing pubblico e completamente automatico per distinguere computer e umani”. L’idea che sta dietro alla tecnologia captcha (e dietro l’originale test di Turing) è semplice: è un test che gli umani possono passare tranquillamente, mentre i programmi bot online non possono. Un captcha normalmente si presenta sotto forma di immagine testuale distorta che deve essere digitata nuovamente per verificare che la persona in oggetto non sia un robot.

La tecnologia Captcha è importante perché è un sistema sicuro, semplice e pratico, applicabile a tutta una serie di casi, come proteggere l’utente quando si registra su di un sito web, prevenire commenti spam sui blog, assicurarsi che solo umani stiano votando in un sondaggio online o in altre occasioni. Senza la tecnologia captcha, si potrebbero verificare tutta una serie di spiacevoli situazioni come spam, commenti ridicoli sui blog o che qualcuno voti più volte allo stesso sondaggio.

Le prime versioni dei captcha erano facili da bypassare e questo ha dato vita ad un vero e proprio braccio di ferro tra hacker e sviluppatori di captcha. Quando il primo riusciva a ingannare la nuova versione del captcha, l’ultimo creava una versione nuova e più forte.

"Google's ReCaptcha is simplest way of getting rid of bots. No math problems required!" @jgamboa #WPEProTip pic.twitter.com/bPOegSbmbz

— WP Engine (@wpengine) April 14, 2016

Ad un certo punto è entrato in scena Google ed ha lanciato il suo reCAPTCHA, attualmente considerato un standard per captcha. Non usa solo testi distorti, ma anche immagini, e si crede sia uno dei servizi di captcha più efficaci e forti che esistano attualmente. La tecnologia reCAPTCHA di Google è utilizzata da Google stessa, Facebook e molti altri siti web come forma di protezione contro lo spam e l’abuso. Infatti, reCHAPTCHA è il provider di captcha più popolare nel mondo.

Sfortunatamente sembra che la tecnologia potrebbe non essere imbattibile come si pensa.

I ricercatori di sicurezza della Columbia University hanno scoperto le falle nella tecnologia di Google reCAPTCHA. Questi errori di sicurezza aprono le porte agli hacker e gli permetterebbero di bypassare le restrizioni e mettere in atto attacchi in larga scala.

I ricercatori hanno affermato di essere in grado di mettere a segno un attacco a basso costo in grado di risolvere più del 70% delle domande poste da reCAPTCHA; ogni domanda è stata risolta in una media di 19 secondi. Hanno applicato questo sistema anche alle immagini captcha di Facebook e hanno riscontrato un livello di precisione pari all’83,5%. L’alta precisione di Facebook si crede si debba all’alta risoluzione che caratterizza le immagini di Facebook.

Il sistema usava tecniche che permettevano di bypassare i cookie e i token, e utilizzava l’apprendimento automatico come modo per indovinare le immagini. La parte divertente è che questo sistema per violare reCAPTCHA è stato possibile grazie alla ricerca inversa delle immgini di Google. Ma può funzionare anche offline.

“Nonostante ciò, il nostro sistema per violare i captcha, completamente offline, è comparabile a un servizio professionale, sia in accuratezza che in durata d’attacco, con in più il vantaggio di non rappresentare nessun costo per l’aggressore” affermano i ricercatori risaltando la semplicità e l’efficacia di questo particolare attacco.

Prima che i risultati venissero resi pubblici, i ricercatori hanno allertato Google e Facebook e li hanno informati delle potenziali falle di sicurezza. Google ha risposto dicendo che migliorerà la sicurezza dei reCAPTCHA, ma Facebook non sembra voler prendere nessuna misura in questo senso.

Best captcha I've seen for a while. pic.twitter.com/tVvbwjmTLC

— Siddharth Vadgama (@siddvee) April 12, 2016

I ricercatori credono che gli hacker potrebbero guadagnare 2$ per 1.000 captcha, ovvero circa 100$ al giorno. Potrebbero persino guadagnare di più se lanciassero vari attacchi allo stesso tempo o utilizzassero tecniche aggiuntive.

La ricerca mostra che ci sono ancora un sacco di cose che devono essere fatte nel mondo della cybersicurezza, ma bisogna dare la possibilità alle aziende, come Google, di muovere un passo in avanti e di iniziare a fare più attenzione alle misure di protezione. Google ha già mostrato interesse nel rafforzare la sua sicurezza e si spera che altri siti web non tardino nel fare altrettanto.