Il sistema video CAPTCHA è stato violato. La protezione che dovrebbe mantenere siti e forum protetti da fastidiosi programmi automatici (bot) è caduta anche nella sua forma più raffinata, quella dei video, dopo che in passato erano stati violati i sistemi CAPTCHA audio, e poi quelli testuali più complessi.
È ancora una volta il gruppo di ricerca dell'Università di Stanford ad aver superato la protezione dei CAPTCHA video, lo stesso che aveva mostrato le vulnerabilità degli altri sistemi. Per farlo è stato elaborato un raffinato metodo che divide l'animazione in diversi frame, e poi li analizza separatamente per individuare le lettere da "digitare". In questo modo è stato dimostrato che ancora una volta un computer può farsi passare per un umano, come racconta con dovizia di dettagli Elie Bursztein, uno dei ricercatori che hanno realizzato il progetto.
I bot tra l'altro non si stressano
Il sistema si chiama Decaptcha, e quello con le animazioni era considerato il più sicuro, ma i riceractori hanno dimostrato che nel 90% dei casi un computer è in grado di risolvere il quesito e spacciarsi per un essere umano.
Sostanzialmente quindi il metodo con dei video CAPTCHA è meno sicuro di quello tradizionale, testuale. E così "è chiaro che la sicurezza extra dei video captcha deve venire da altrove", scrive ancora Bursztein. "Cercare di evitare che il computer individui elementi in movimento usando uno sfondo in movimento è una causa persa. Il campo visivo del computer ha algoritmi molto efficienti (optical flow algorithm) che potrebbero facilmente bloccare ogni tentativo in tale direzione".
"Ciò che dobbiamo fare è rimuovere ogni elemento discriminante che l'attaccante possa usare per separare gli elementi decorativi dai veri captcha", conclude il ricercatore. Insomma, l'idea dei video CAPTCHA non è da buttare, va solo riveduta e corretta.
I ricercatori hanno avvisato con grande anticipo i creatori del metodo CAPTCHA, NuCaptcha, suggerendo anche come migliorare il sistema per renderlo più solido. L'azienda ha risposto in tempo, facendo sapere di aver già sviluppato un sistema di video captcha più complesso e solido, che tuttavia non sembra convincere i ricercatori.
Il metodo usato dai ricercatore - Clicca per ingrandire
Quali conseguenze ci possiamo aspettare? Difficile prevederlo. Questi sistemi di protezione sono sotto continua pressione da qualche anno, e nel tempo sono stati dimostrati diversi metodi teorici per superarli. E parallelamente ne arrivano continuamente nuove versioni più solide e affidabili, e così si alimenta un gioco del gatto e del topo che difficilmente finirà presto. Fino a che si tratta di mettere macchina contro macchina, programmatore contro programmatore, non finiremo mai di leggere queste notizie: perché dietro non ci sono solo gli intenti criminali, ma soprattutto la passione per la sfida e per la ricerca – la curiosità umana che tutto sommato fino ad ora ci ha spinto a migliorare noi stessi.