Un recente studio della Stanford University ha dimostrato che su 15 meccanismi di Captcha utilizzati dalle grandi compagnie attive sul web come Digg, Wikipedia ed eBay almeno 13 sono vulnerabili agli attacchi automatizzati.
Alcuni ricercatori della Stanford University hanno scoperto che 13 su 15 meccanismi di protezione basati sulle CAPTCHA utilizzati dalle grandi realtà del web sono vulnerabili agli attacchi automatizzati. La ricerca ha coinvolto alcuni mostri sacri del web come eBay, Wikipedia, Digg, Google e non ultima Visa. Per condurre la ricerca gli studiosi della Stanford hanno realizzato un tool denominato Decaptcha che ha “crackato” con successo le CAPTCHA dei principali siti web oggetto dello studio. In un recentissimo articolo avevamo affrontato l’argomento dei commenti automatizzati prodotti con i software blackhat come XRumer.
[Seo e blackhat, i commenti automatizzati con Xrumer]
La scoperta degli studiosi della Stanford giunge dunque senza destare troppo scalpore tra gli addetti del settore dal momento che la debolezza degli attuali sistemi basati sul CAPTCHA è notoriamente risaputa. E non solo. E’ prassi comune per i blackhat che non riescono a “rompere” automaticamente le CAPTCHA l’utilizzo di manodopera a basso costo reclutata soprattutto in India per scavalcare manualmente le CAPTCHA più resistenti all’assalto.
Tra le CAPTCHA più deboli analizzate dai ricercatori vi è quella di Authorize.net, il gateway di pagamento di VISA. Durante i test i meccanismi protettivi di quest’ultimo hanno fallito nel 66% dei casi. Tra le CAPTCHA più difficili da superare invece si sono classificate al primo posto le protezioni di Google e quelle inoltre basate su reCAPTCHA. Nell’interessante report prodotto da Elie Bursztein, Matthieu Martin and John C Mitchel ci sono consigli e suggerimenti su come sviluppare le CAPTCHA del futuro e su come rendere questo meccanismo di protezione più resistente agli attacchi automatizzati rispetto a quanto non lo sia stato sin ora.
Fonte : The Register
