Molti sostenevano fosse solo una questione di tempo, ora sembra ufficiale: è stato craccato il software “captcha” sviluppato da Yahoo!. I “captcha” (Completely Automated Public Turing test to Tell Computers and Humans Apart) sono sistemi di verifica che permettono di determinare se l’utente sia una persona o un computer. Di norma sono utilizzati per impedire l’accesso automatico a servizi web e l’invio di messaggi indesiderati.

Un anonimo programmatore russo, utilizzando lo pseudonimo John Wane, sostiene di aver trovato il modo di riconoscere le immagini “captcha” di Yahoo con un grado di precisione del 35%. Sebbene possa sembrare una percentuale ridotta, si tratta in realtà di una pericolosa falla nella sicurezza di tutti quei sistemi che prevedono 3 tentativi prima di bloccare l’accesso. Ma non solo. Migliaia di indirizzi e-mail potrebbero essere registrati in modo automatico ed utilizzati per diffondere pratiche illegali quali il phishing o lo spamming.

Il codice è stato rilasciato pubblicamente su una rete di filesharing ed è quindi liberamente accessibile. Yahoo ha dichiarato di essere al corrente del problema e sta lavorando per migliorare il suo sistema di test.

In realtà progettare un buon CAPTCHA è più difficile di quanto sembri. Jeremiah Grossman ha definito una lista di caratteristiche che determini l’efficacia di un CAPTCHA:

1. Il test deve essere applicato quando uomo e server sono remoti sulla rete
2. Il test deve essere semplice da risolvere per l’uomo
3. Il test deve essere risolto in pochi secondi dall’uomo
4. Il test deve essere risolvibile solo dall’uomo al quale è stato sottoposto
5. Il test deve essere difficile da risolvere per la macchina
6. La conoscenza di domande, risposte, risultati o loro combinazioni su test precedenti non deve condizionare la probabilità riuscita dei test successivi
7. Il test non deve discriminare persone con problemi di vista o di udito
8. Il test non deve avere radici geografiche, culturali o di linguaggio

(nessun voto)

0 commenti