[HACK] Captchas

merce illadeltresor at gmail.com
Fri Mar 23 19:41:49 CET 2007


22/02/07 18:33:43


LOS ATAQUES DE ROBOTS "SPAMMERS" A SITIOS WEB GENERAN INGENIOSAS
CONTRAMEDIDAS


Mercè Molist
¿Le han pedido alguna vez que, para usar un servicio de la red,
introduzca las letras y números que aparecen en una imagen? Es un
"captcha", una medida de defensa contra los programas robot que
llenan los blogs de correo basura, revientan encuestas o crean
cuentas gratuitas con fines ilícitos. Sirve para que el servicio
sepa que somos humanos y a veces falla porque, precisamente, somos
humanos.


"CAPTCHA" son las siglas de "Completely Automated Public Turing test
to Tell Computers and Humans Apart" (Prueba de Turing pública y
automática para diferenciar a máquinas y humanos) o, como explica
Cristian Borghello, director del sitio de seguridad Segu-Info: "Un
programa que genera una prueba que los humanos somos capaces de
resolver, pero las máquinas no".

Su origen es el "Test de Turing", del padre de la inteligencia
artificial Alan Turing, que según la Wikipedia consiste en que "una
máquina debe hacerse pasar por humana en una conversación con un
hombre, a través de una comunicación estilo chat. Si el sujeto es
incapaz de determinar si habla con un humano o una máquina, se
considera que la máquina es inteligente".

Los "captchas" dan la vuelta a esta idea: aprovechan las habilidades
que nos diferencian de las máquinas para dar fe de que somos
humanos. Un "captcha" típico es la imagen que contiene caracteres
distorsionados que sólo pueden inferir las personas. Su uso más
frecuente es evitar el registro automático de robots en sitios web y
el correo basura en los blogs.

"Las zonas de comentarios de los blogs son víctimas habituales del
"spam" porque se pueden enviar mensajes en formularios que no
requieren registro ni nada más que el ingreso de texto", explica
Borghello. Así, es fácil crear un pequeño programa que envíe enlaces
publicitarios a millones de blogs. Si son muy visitados, miles de
personas verán el anuncio.

Además, los buscadores indexarán el enlace publicitario en una buena
posición, al considerarlo de relevancia proporcional a la del blog.
Una medida usada en cada vez más sitios, a los que se ha unido
recientemente la Wikipedia, es poner la etiqueta "noindex" en el
código del web: indica a los buscadores que no tengan en cuenta los
enlaces que aparecen en sus páginas y así dejan de ser apetecibles
para los "spammers".

Pero la herrienta más común contra estos robots siguen siendo los
"captchas" y, conscientes de ello, los criminales contraatacan:
"Primero pagaban a personas para resolverlos, pero no les salía a
cuenta. Ahora usan el reconocimiento óptico de caracteres (OCR),
utilizado en los escaners", explica Borghello.

Para evitarlo, están apareciendo fórmulas alternativas de
"captchas", como pedir que se resuelva una suma sencilla, mostrar
diversas imágenes y preguntar algo relacionado con ellas (¿Qué
persona es rubia?) o hacer un puzzle. Pero, aunque consigan engañar
a los robots, los viejos y nuevos "captchas" adolecen de un gran
problema: no todo el mundo puede resolverlos.

Los "captchas" basados en imágenes son un escollo para las personas
con deficiencias visuales y hay algunos tan difíciles que se
resisten incluso a quienes tienen buena vista. Los que hacen
preguntas tienen el problema del idioma en qué se formulan y esperan
la respuesta. Los que piden relacionar cosas adolecen de
ambigüedades de interpretación.

Google experimenta ahora, en algunos de sus servicios, con una
alternativa para las personas con déficits de visión: los "captchas"
auditivos. El usuario pincha un enlace, oye unos números y los
escribe en el formulario. El escollo, entonces, es para quien tenga
deficiencias auditivas y, también, el idioma del "captcha". Los
robots deben estarse riendo de lo lindo.




Segu-Info
http://www.segu-info.com.ar

Captcha - Wikipedia
http://es.wikipedia.org/wiki/Captcha

The Captcha Project
http://www.captcha.net

Ejemplos de captchas
http://www.flickr.com/photos/tags/captcha

Captcha de última generación
http://www.segu-info.com.ar/boletin/img/bol79_03.png

Breaking CAPTCHAs Without Using OCR
http://www.puremango.co.uk/cm_breaking_captcha_115.php

Captcha decoder
http://sam.zoy.org/pwntcha

Google - Audio captchas when visual images are unusable
http://googleblog.blogspot.com/2006/11/audio-captchas-when-visual-images-are.html




Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provided this notice is preserved.



sorry the delay





More information about the hacking mailing list