CAPTCHA bucati, i computer si fingono esseri umani

La maggior parte dei sistemi CAPTCHA è stata craccata da tre ricercatori dell’Università di Stanford, gli stessi che solo pochi mesi fa avevano “bucato” i CAPTCHA audio sviluppati per utenti con deficit visivi. Questa volta invece il loro strumento è stato in grado di leggere gran parte dei testi distorti che ci vengono proposti quasi quotidianamente, e che dovrebbero garantire “l’umanità” dell’utente.

CAPTCHA sta infatti per Completely Automated Public Turing test to tell Computers and Humans Apart, cioè “Test di Turing Pubblico Completamente Automatico per Distinguere tra Umani e Computer”. Se un computer può superare il test e farsi passare per una persona allora può accedere a un servizio, e potenzialmente inondarlo con spam e malware.

Alcuni CAPTCHA chiedono di risolvere semplici quesiti matematici…

Immaginate un software che riesca a creare un account su Facebook, chiedere amicizia a migliaia di persone in poche ore e pubblicare decine di messaggi di spam, ognuno con un link a pagine pericolose. E che ce ne siano a decine di questi, tutti sviluppati con le più recenti tecniche di social engineering. Il numero di “vittime” sarebbe probabilmente molto alto. Un problema che in passato è stato molto rilevante, e per questo è nato il sistema CAPTCHA.

Una barriera che però potrebbe cedere: Elie Bursztien, Matthieu Martin e John Mitchell hanno infatti sviluppato DeCAPTCHA come strumento sperimentale e lo hanno provato con successo su un buon numero di siti famosi, tra cui Athorize.net di Visa (66% di successo), Blizzard Enternainment (70%) e Megaupload (93%). Di quindici siti testati, solo due si sono rivelati solidi: Google e reCAPTCHA, un fornitore di servizi per altri siti.

Le macchine quindi sono in grado di farsi passare per umani, almeno in questi test. “La maggior parte dei CAPTCHA sono realizzati senza gli adeguati test e prove di usabilità“, spiega il trentunenne Elie Burszein. “Speriamo che il nostro lavoro spingerà a un maggior rigore nella progettazione dei CAPTCHA”.

…alcuni sono imbarazzanti…

“È noto che i CAPTCHA sono fondamentalmente incapaci di garantire la totale sicurezza, ma proteggono contro alcune minacce”, ha detto Shon Damron di Blizzard. “Usiamo i CAPTCHA come protezione iniziale, soprattutto per minimizzare lo spam dovuto ai nuovi account, ma sono solo una delle varie tecnologie che usiamo per proteggere la nostra infrastruttura e i clienti”.

Per ora quindi il problema è solo teorico. Non è infatti chiaro quanto sia complesso e dispendioso applicare il metodo mostrato dai ricercatori, e quindi non è detto che sia una scelta praticabile nell’economia di un criminale informatico.  

…altri impossibili…

È più interessante il fatto che questi sistemi, nati per aiutarci a riconoscere quando un computer cerca di farsi passare per un essere umano, siano stati allo stesso tempo lo stimolo per ricerche che vanno nella direzione esattamente opposta, e che raccolgono al loro interno una buona parte di scienze robotiche – in particolare i sistemi che permettono ai robot di vedere più chiaramente l’ambiente che li circonda.

…ma pochi interessanti

In altre parole il CAPTCHA ha spinto alla creazione di software più intelligenti. Un’evoluzione circolare, un gatto che si morde la coda e che potrebbe anche essere divertente. Impossibile dire se si tratti di un circolo virtuoso e di uno vizioso, e probabilmente tutto dipende dal punto di vista. Qual è il vostro?