{"id":8013,"date":"2016-04-19T15:21:06","date_gmt":"2016-04-19T15:21:06","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=8013"},"modified":"2017-11-13T17:04:59","modified_gmt":"2017-11-13T15:04:59","slug":"googles-recaptcha-defeated-by-security-researchers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/googles-recaptcha-defeated-by-security-researchers\/8013\/","title":{"rendered":"reCAPTCHA sconfitto da alcuni ricercatori di sicurezza"},"content":{"rendered":"<p>Iniziamo dall\u2019origine della parola \u201ccaptcha\u201d. A quanto pare \u201ccaptcha\u201d \u00e8 l\u2019acronimo di <em>Completely Au<\/em><em>tomated Public <\/em><em>Turing test<\/em>, in italiano \u201c<a href=\"https:\/\/it.wikipedia.org\/wiki\/Test_di_Turing\" target=\"_blank\" rel=\"noopener nofollow\">Test di Turing<\/a> pubblico e completamente automatico per distinguere computer e umani\u201d. L\u2019idea che sta dietro alla tecnologia captcha (e dietro l\u2019originale test di Turing) \u00e8 semplice: \u00e8 un test che gli umani possono passare tranquillamente, mentre i programmi bot online non possono. Un captcha normalmente si presenta sotto forma di immagine testuale distorta che deve essere digitata nuovamente per verificare che la persona in oggetto non sia un robot.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8015\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/04\/05234933\/recaptcha-featured-1.png\" alt=\"recaptcha-featured\" width=\"1279\" height=\"840\"><\/p>\n<p>La tecnologia Captcha \u00e8 importante perch\u00e9 \u00e8 un sistema sicuro, semplice e pratico, applicabile a tutta una serie di casi, come proteggere l\u2019utente quando si registra su di un sito web, prevenire commenti spam sui blog, assicurarsi che solo umani stiano votando in un sondaggio online o in altre occasioni. Senza la tecnologia captcha, si potrebbero verificare tutta una serie di spiacevoli situazioni come spam, commenti ridicoli sui blog o che qualcuno voti pi\u00f9 volte allo stesso sondaggio.<\/p>\n<p>Le prime versioni dei captcha erano facili da bypassare e questo ha dato vita ad un vero e proprio braccio di ferro tra hacker e sviluppatori di captcha. Quando il primo riusciva a ingannare la nuova versione del captcha, l\u2019ultimo creava una versione nuova e pi\u00f9 forte.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"Google's ReCaptcha is simplest way of getting rid of bots. No math problems required!\" <a href=\"https:\/\/twitter.com\/jgamboa?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@jgamboa<\/a>  <a href=\"https:\/\/twitter.com\/hashtag\/WPEProTip?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WPEProTip<\/a> <a href=\"https:\/\/t.co\/bPOegSbmbz\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/bPOegSbmbz<\/a><\/p>\n<p>\u2014 WP Engine (@wpengine) <a href=\"https:\/\/twitter.com\/wpengine\/status\/720719567564222467?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 14, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ad un certo punto \u00e8 entrato in scena Google ed ha lanciato il suo <a href=\"https:\/\/www.google.com\/recaptcha\/intro\/index.html\" target=\"_blank\" rel=\"noopener nofollow\">reCAPTCHA<\/a>, attualmente considerato un standard per captcha. Non usa solo testi distorti, ma anche immagini, e si crede sia uno dei servizi di captcha pi\u00f9 efficaci e forti che esistano attualmente. La tecnologia reCAPTCHA di Google \u00e8 utilizzata da Google stessa, Facebook e molti altri siti web come forma di protezione contro lo spam e l\u2019abuso. Infatti, reCHAPTCHA \u00e8 il provider di captcha pi\u00f9 popolare nel mondo.<\/p>\n<p><em>Sfortunatamente sembra che la tecnologia potrebbe non essere imbattibile come si pensa. <\/em><\/p>\n<p>I ricercatori di sicurezza della Columbia University <a href=\"http:\/\/www.cs.columbia.edu\/~polakis\/papers\/sivakorn_eurosp16.pdf\" target=\"_blank\" rel=\"noopener nofollow\">hanno scoperto le falle nella tecnologia di Google<\/a> reCAPTCHA. Questi errori di sicurezza aprono le porte agli hacker e gli permetterebbero di bypassare le restrizioni e mettere in atto attacchi in larga scala.<\/p>\n<p>I ricercatori hanno affermato di essere in grado di mettere a segno un attacco a basso costo in grado di risolvere pi\u00f9 del 70% delle domande poste da reCAPTCHA; ogni domanda \u00e8 stata risolta in una media di 19 secondi. Hanno applicato questo sistema anche alle immagini captcha di Facebook e hanno riscontrato un livello di precisione pari all\u201983,5%. L\u2019alta precisione di Facebook si crede si debba all\u2019alta risoluzione che caratterizza le immagini di Facebook.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/euRAfUGX8wY?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Il sistema usava tecniche che permettevano di bypassare i cookie e i token, e utilizzava l\u2019apprendimento automatico come modo per indovinare le immagini. La parte divertente \u00e8 che questo sistema per violare reCAPTCHA \u00e8 stato possibile grazie alla ricerca inversa delle immgini di Google. Ma pu\u00f2 funzionare anche offline.<\/p>\n<p>\u201cNonostante ci\u00f2, il nostro sistema per violare i captcha, completamente offline, \u00e8 comparabile a un servizio professionale, sia in accuratezza che in durata d\u2019attacco, con in pi\u00f9 il vantaggio di non rappresentare nessun costo per l\u2019aggressore\u201d <a href=\"http:\/\/www.scmagazineuk.com\/security-researchers-defeat-recaptcha\/article\/488228\" target=\"_blank\" rel=\"noopener nofollow\">affermano i ricercatori<\/a> risaltando la semplicit\u00e0 e l\u2019efficacia di questo particolare attacco.<\/p>\n<p>Prima che i risultati venissero resi pubblici, i ricercatori hanno allertato Google e Facebook e li hanno informati delle potenziali falle di sicurezza. Google ha risposto dicendo che migliorer\u00e0 la sicurezza dei reCAPTCHA, ma Facebook non sembra voler prendere nessuna misura in questo senso.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Best captcha I've seen for a while. <a href=\"https:\/\/t.co\/tVvbwjmTLC\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/tVvbwjmTLC<\/a><\/p>\n<p>\u2014 Siddharth Vadgama (@siddvee) <a href=\"https:\/\/twitter.com\/siddvee\/status\/719940464628142080?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>I ricercatori credono che gli hacker potrebbero guadagnare 2$ per 1.000 captcha, ovvero circa 100$ al giorno. Potrebbero persino guadagnare di pi\u00f9 se lanciassero vari attacchi allo stesso tempo o utilizzassero tecniche aggiuntive.<\/p>\n<p>La ricerca mostra che ci sono ancora un sacco di cose che devono essere fatte nel mondo della cybersicurezza, ma bisogna dare la possibilit\u00e0 alle aziende, come Google, di muovere un passo in avanti e di iniziare a fare pi\u00f9 attenzione alle misure di protezione. Google ha gi\u00e0 mostrato interesse nel rafforzare la sua sicurezza e si spera che altri siti web non tardino nel fare altrettanto.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un gruppo di ricercatori di sicurezza ha scoperto alcune falle nella tecnologia di Google reCAPTCHA.<\/p>\n","protected":false},"author":699,"featured_media":8014,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[1968,358,33],"class_list":{"0":"post-8013","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-captcha","10":"tag-cybersicurezza","11":"tag-google"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/googles-recaptcha-defeated-by-security-researchers\/8013\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/googles-recaptcha-defeated-by-security-researchers\/5923\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/7046\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/7039\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/googles-recaptcha-defeated-by-security-researchers\/8207\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/googles-recaptcha-defeated-by-security-researchers\/7464\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/googles-recaptcha-defeated-by-security-researchers\/4144\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/googles-recaptcha-defeated-by-security-researchers\/11089\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/captcha\/","name":"Captcha"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8013","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/699"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=8013"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8013\/revisions"}],"predecessor-version":[{"id":11009,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8013\/revisions\/11009"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/8014"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=8013"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=8013"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=8013"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}