Para quien no conozca esto, los captchas son esa cosa que te presenta aleatoriamente letras y números (o solamente letras o números) cuando te registrás en algún lado; sea Hotmail, Yahoo, un blog, un foro, las descargas de Rapidshare, etc.
Hace años que se sabe que los captchas visuales son vulnerados sin esfuerzo por parte de los spambots (y pensar que hay desarrolladores de los distintos sistemas de foros que todavía no se dieron cuenta de eso).
Hay algunos casos, como por ejemplo Hotmail o los servicios de Google como Gmail y/o los blogs, que ofrecen la opción de escuchar el captcha, opción pensada principalmente para quienes tienen problemas de la vista, y sobre todo para los ciegos.
Pero ahora se ha descubierto la forma de vulnerar los captchas en audio; lean a continuación, lo cual cito de la web de VS Antivirus, una web absolutamente recomendable en cuanto a cuestions de seguridad.
Cita:
Los captchas de audio ya no son un obstáculo
Por Angela Ruiz
Hasta ahora se ha hablado de los "captchas" de Google, y de como los mismos han sido eludidos por los spammers. Pero también existe una versión sonora de esta protección, creada para personas con problemas de visión. Ahora se ha logrado el análisis y descifrado automático de esta versión con audio.
Muchas de las opciones para inscribirse en servicios de Google agregan una opción para que las personas con discapacidad visual, puedan escuchar el sonido de unos números a introducir, que suplantan las letras deformadas que también aparecen en pantalla.
En el caso de la página de registro de GMail, por ejemplo, hay un pequeño gráfico de una persona en silla de ruedas junto al campo de texto para que el usuario ingrese los datos de confirmación correspondientes. Al hacer clic, se oye una voz de mujer leyendo los números, escuchándose de fondo una serie de voces y sonidos sin sentido.
Sin embargo, se ha logrado descifrar las ondas de sonido, tal como lo demuestra el blog de Wintercore Labs. Allí se informa como es posible distinguir los números del resto de los sonidos, mediante su forma de onda.
Una herramienta, cuyo funcionamiento es mostrado en un video, permite que esta acción pueda automatizarse. Inclusive, resulta más sencillo de hacer, que descifrar de forma automática los captchas con imágenes de letras deformadas.
El blog de Wintercore también advierte a Google de las grandes debilidades de los sistemas de protección vía captcha.
En los últimos meses, sistemas de protección similares pertenecientes a sitios que ofrecen correos gratuitos, tales como Google, Windows Live (Hotmail) y Yahoo!, han sido rotos por los spammers, lo que como resultado, ya muestra un aumento de correo no deseado proveniente de direcciones de esos sitios.
Con la facilidad conque el sistema de audio puede ser roto, no debería extrañarnos en los próximos meses, un notorio aumento de envíos masivos de spam, lo que además significa más malware circulando.
Otros sitios que utilizan captchas basados en audio, también podrían ser blancos de intentos similares, presumiéndose una gran posibilidad de éxitos (cerca de un 90%).
A pesar de que Wintercore Labs se ha negado a dar detalles de su herramienta, y mucho menos a liberarla, los conceptos y las ideas aportadas, pueden fácilmente servir de inspiración para los spammers, que debido a su creciente poder y sus notorias ganancias monetarias, disponen ampliamente de los suficientes recursos para igualar y superar esta apuesta.
Increíble. Parece ser que estams llegando al punto crítico en que, a pesar de la inseguridad del mundo real, estamos más seguros en el mundo real que en el mundo virtual.
Muy buen artículo, ahora no entiendo algo.
¿Como se maneja la seguridad mediante un captchas?... Osea, es una cosa que te pregunta un código que cualquier vidente lo puede hacer o de última mediante el sonido.
Pero nunca entendí como le da seguridad ese coso
En una época no tan lejana, se implementaron los captchas porque se suponía que los spambots no podían leerlos, por lo tanto, los frenaría de postear su spam en foros y blogs. Por ser algo visual, un programa automático no podría leerlos. Pero los programadores de spambots le encontraron la vuelta y la restricción fue superada en poco tiempo; no es que hayan aprendido a leer visualmente lo que aparece, sino que le encontraron la vuelta a través del código de la página, no sé cómo. Sin embargo, muchos siguen usando los captchas aunque no funcionen.
El principio de cualquier medida anti-spambot vendría a ser el siguiente: implementar algo que no pueda ser por un programa automático, sino que requiera cierta clase de acción que sólo pude llevar a cabo una persona, pero nunca la pueda hacer un programa automático. Puede ser una acción simple o algo un poco más complicado, pero siempre el principio es el mismo: se necesita algo que implique interacción humana, y que no sea la clase de deducción lógica que puede llevar a cabo un programa automatizado (el spambot).
Por ejemplo, según tengo entendido, el actual sistema anti-spam de este sistema de foros (el vBulletin) consiste en unas imágenes aleatorias, una de las cuales está relacionada con una pregunta; para pasar la "prueba" hay que leer la pregunta y seleccionar la imagen correspondiente a esa pregunta. Por ejemplo, la pregunta es, "¿cuál de las siguientes imágenes es un perro?", y aparecen 3 o 4 imágenes de las cuales una sola es un perro y las otras son cualquier cosa.
Un spambot puede llegar a detectar que se trata de una imagen, pero no tiene vista como para saber qué hay en la imagen. Con los captchas es distinto, porque lo que nos aparece con imágenes, en realidad es determinado por un script, y a eso los spambots lo leen fácil.
__________________
"Great Spirits have often encountered violent opposition from mediocre minds" - Einstein
"Because destiny, John, is a fickle bitch" - Benjamin Linus
El de rapidshare va a ser con ecuaciones si sigue así :P
Jajaja! Parece que van por ese camino.
Últimamente me tocaron en Rapidshare unos captchas donde decía, "escriba las letras que aparecen con gatos", y el captcha era precisamente de 6 letras, 4 de ellas con gatos dibujados. Ya se están poniendo bizarros con esta ocurrencia.
La cuestión es que te da error si le pifiás... si ponés las letras como corresponde, te lleva a la descarga.
__________________
"Great Spirits have often encountered violent opposition from mediocre minds" - Einstein
"Because destiny, John, is a fickle bitch" - Benjamin Linus
Los captchas ya no sirven, ni siquiera en audio
