Uno studente senese ha violato recaptcha in un paio d'ore. Parliamo del meccanismo che Google e altri usano per proteggere gli account, cercando di distinguere tra veri esseri umani e programmi automatici. Ebbene, Giulio Tani ha trovato il modo di superare questa barriera piuttosto facilmente.
Il sistema propone all'utente di leggere numeri e lettere e di riscriverle in un'apposita casella. In teoria è una cosa che solo un essere umano può fare, facilmente, ma impossibile per un computer. L'ultima versione di ReCaptcha, però, è almeno in parte vulnerabile.
Da qualche settimana infatti Google usa fotografie distorte di numeri - come i numeri civici - come captcha semplificati. Il problema è che usando Tesseract-ocr, sviluppato dalla stessa Google, anche un computer può leggere e comprendere quelle immagini.
Una scoperta che nasce da un progetto universitario (Giulio è sul punto di laurearsi al Politecnico di Torino) che evidenzia un pericolo non enorme ma nemmeno da sottovalutare. "L'OCR su quei captcha è molto ma molto lontano dalla perfezione", rassicura Andrea Allievi (Cisco Systems Inc., Senior Security Researcher), secondo cui con il metodo descritto si arriva a un riconoscimento intorno al 15%.
Sarebbe difficile usare questo metodo per violare account esistenti, cioè ad esempio per penetrare nell'account email di qualcuno - impossibile se è attiva l'autenticazione in due passaggi. È tuttavia più concreto il pericolo spam: un bot potrebbe creare centinaia di milioni di account in poche ore, e poi "i nuovi account controllati da BOT potrebbero spedire tonnellate di messaggi SPAM e superare così i filtri SPAM di Gmail e altri", continua Allievi.
L'operazione si potrebbe replicare anche su molti sistemi di commenti che usano appunto i recaptcha per evitare l'intervento dei bot, aggiunge poi Giulio Tani. Lo studente ha preso contatto con Google e ci ha rivelato che l'azienda ha "preso atto del problema", senza però azioni immediate.
Gli esperti di Google hanno spiegato a Giulio che per il momento non si sono rilevati attacchi che usino questo metodo, e l'impressione è che per l'azienda californiana si tratti di un pericolo a bassa priorità. Resta il fatto che, come ci ricorda Allievi, "quei sistemi devono essere non riconoscibili dai software OCR. Sarebbe curioso trovare un software OCR serio in grado di raggiungere una precisione del 60-70%".