Maioria dos CAPTCHAS de Websites são vulneráveis
O humilde CAPTCHA, é uma das barreiras mais importantes na luta contra o spam e o abuso dos serviços on line, são tão populares e eficazes que praticamente todos os sites fazem a verificação com esta ferramenta.
Antes do CAPTCHA as empresas que utilizam a web para prestar serviços precisavam de uma equipe para controlar o spam, agora só precisam configurar a ferramenta e implementá-la na aplicação. Muitos usuários não gostam de digitar os caracteres e números, mas é importante usar a ferramenta até para a segurança dos computadores pessoais.
Se prestarmos atenção também existe um outro lado sobre os CAPTCHAS, algumas vezes nós aqui no escritório fizemos testes para ver se o CAPTCHA funcionava corretamente, para nossa surpresa, mesmo digitando os caracteres errados o aplicativo funcionava, mas isso pode ser devido a má implementação da ferramenta, mas fiquem atentos, nem todos são seguros.
Dito isso, vamos mostrar como pesquisadores da Universidade de Stanford quebraram os algoritmos do CAPTCHA. De 16 sistemas testados somente o do Google e do reCAPTCHA não foram quebrados, mas o Google é o desenvolvedor do reCAPTCHA, interessante não?
O conceito básico de um captcha é distorcer uma seqüência de texto para que scripts automatizados não possam discernir as letras individuais. Como você bem sabe, isso geralmente envolve um fundo bagunçado, linhas horizontais e verticais, ou fazer rotação e borrar o texto até que esteja quase irreconhecível. A ideia é que o cérebro humano é muito, muito bom em escolher palavras ofuscado fora da confusão, enquanto os computadores não são.
O problema é que não existe uma maneira padrão de fazer um captcha - todo mundo faz isso de forma diferente - e até este projeto de pesquisa de Stanford, não houve nenhum estudo sistemático de qual método de ofuscação é o melhor. Para este fim, a equipe criou Decaptcha, um script que analisa, rompe, agrupa novamente e, finalmente, resolve a maioria dos captchas no mercado.
Pré-processamento
O primeiro passo para atacar a enorme variedade de CAPTCHA é o pré-processamento, que basicamente envolve a remoção de qualquer conteúdo da imagem. Para muitos o processo é trivial, usando o algoritmo de Gibbs consegue-se remover os ruídos e as linhas do CAPTCHA e se isso falhar pode-se usar a trasnformação de Hough nas imagens.
Segmentação
Uma vez que todas as linhas e ruídos de fundo tenham sido removidos, o próximo passo é a batalha contras as técnicas anti-segmentação que são empregadas de forma que cada letra pode ser separada em seu próprio bloco para posterior análise.
Em quase todos os CAPTCHAS testados o colapso é previsível, portanto muito fácil de ser segmentado; se um CAPTCHA sempre tem o mesmo número de letras, a mesma largura e números, é apenas uma questão de cortá-los igualmente como mostra o último quadrinho da imagem acima.
Reconhecimento
A etapa final, depois que cada letra ou número foi corretamente segmentada, é o reconhecimento de caracteres simples, a rotação e inclinação pode ajudar a prevenir o reconhecimento, mas o reconhecimento de caracteres é uma área extremamente avançada da visão computacional. Se o script Decaptcha consegue passar do estágio de segmentação, o CAPTCHA é quebrado.
Conclusões e Recomendações
O Decaptcha destaca uma realidade preocupante, mas que muitos já sabiam: a maioria dos CAPTCHAS não funcionam, ou melhor, eles não funcionam, mas somente até alguém que tenha interesse financeiro como um spammer consiga quebrá-lo. O único que não foi quebrado foi o reCAPTCHA que é do Google.
Dicas para melhorar o sistema de CAPTCHA:
Antes do CAPTCHA as empresas que utilizam a web para prestar serviços precisavam de uma equipe para controlar o spam, agora só precisam configurar a ferramenta e implementá-la na aplicação. Muitos usuários não gostam de digitar os caracteres e números, mas é importante usar a ferramenta até para a segurança dos computadores pessoais.
Se prestarmos atenção também existe um outro lado sobre os CAPTCHAS, algumas vezes nós aqui no escritório fizemos testes para ver se o CAPTCHA funcionava corretamente, para nossa surpresa, mesmo digitando os caracteres errados o aplicativo funcionava, mas isso pode ser devido a má implementação da ferramenta, mas fiquem atentos, nem todos são seguros.
Dito isso, vamos mostrar como pesquisadores da Universidade de Stanford quebraram os algoritmos do CAPTCHA. De 16 sistemas testados somente o do Google e do reCAPTCHA não foram quebrados, mas o Google é o desenvolvedor do reCAPTCHA, interessante não?
O conceito básico de um captcha é distorcer uma seqüência de texto para que scripts automatizados não possam discernir as letras individuais. Como você bem sabe, isso geralmente envolve um fundo bagunçado, linhas horizontais e verticais, ou fazer rotação e borrar o texto até que esteja quase irreconhecível. A ideia é que o cérebro humano é muito, muito bom em escolher palavras ofuscado fora da confusão, enquanto os computadores não são.
O problema é que não existe uma maneira padrão de fazer um captcha - todo mundo faz isso de forma diferente - e até este projeto de pesquisa de Stanford, não houve nenhum estudo sistemático de qual método de ofuscação é o melhor. Para este fim, a equipe criou Decaptcha, um script que analisa, rompe, agrupa novamente e, finalmente, resolve a maioria dos captchas no mercado.
O primeiro passo para atacar a enorme variedade de CAPTCHA é o pré-processamento, que basicamente envolve a remoção de qualquer conteúdo da imagem. Para muitos o processo é trivial, usando o algoritmo de Gibbs consegue-se remover os ruídos e as linhas do CAPTCHA e se isso falhar pode-se usar a trasnformação de Hough nas imagens.
Segmentação
Uma vez que todas as linhas e ruídos de fundo tenham sido removidos, o próximo passo é a batalha contras as técnicas anti-segmentação que são empregadas de forma que cada letra pode ser separada em seu próprio bloco para posterior análise.
Em quase todos os CAPTCHAS testados o colapso é previsível, portanto muito fácil de ser segmentado; se um CAPTCHA sempre tem o mesmo número de letras, a mesma largura e números, é apenas uma questão de cortá-los igualmente como mostra o último quadrinho da imagem acima.
Reconhecimento
A etapa final, depois que cada letra ou número foi corretamente segmentada, é o reconhecimento de caracteres simples, a rotação e inclinação pode ajudar a prevenir o reconhecimento, mas o reconhecimento de caracteres é uma área extremamente avançada da visão computacional. Se o script Decaptcha consegue passar do estágio de segmentação, o CAPTCHA é quebrado.
Conclusões e Recomendações
O Decaptcha destaca uma realidade preocupante, mas que muitos já sabiam: a maioria dos CAPTCHAS não funcionam, ou melhor, eles não funcionam, mas somente até alguém que tenha interesse financeiro como um spammer consiga quebrá-lo. O único que não foi quebrado foi o reCAPTCHA que é do Google.
Dicas para melhorar o sistema de CAPTCHA:
- Randomize o comprimento e o tamanho dos caracteres - Isto torna a segmentação muito mais difícil, utilizar várias fontes pode funcionar também.
- Usar Ondas de Distorção é mais eficaz - O efeito sobreposto do reCAPTCHA utiliza ondas de distorção e é muito mais complicado para a segmentação.
- Fundos complexos não funcionam - Linhas são muito melhores, mas em geral o fundo da imagem é um dos itens mais importantes do CAPTCHA, se utilizar a técnica errada o CAPTCHA fica muito mais fácil de ser crackeado.
- Use vários estilos de CAPTCHA - Faz todo o sentido ter mais de um estilo de CAPTCHA, sempre alternando rapidamente entre um e outro.
Nenhum comentário:
Postar um comentário