4 de mayo de 2009

Breaking CAPTCHAs

 “¡Pero que gilipolleces hacen en megaupload!, ¡ahora han puesto una prueba para que los tontos no se puedan bajar cosas!”

Respuesta: Creo que te refieres al CAPTCHA…

En los primeros años de carrera nos enseñaban cositas que nunca se nos olvidarán, el Algebra de Boole, la Arquitectura Von Neuman, la Maquina de Turing, etc. Si recordáis en esta última se sometía a prueba un sistema junto con un humano, para que un tercero detectara cual de los dos era humano y cual era máquina, todo ello sin tener contacto directo.

En el día de hoy veremos como muchos sitios Web realizan el Test de Turing para comprobar que quien accede a sus sitios es humano en lugar de un robot. Es lo que conocemos como CAPTCHA o “Completely Automated Public Turing Test to tell humans and computers apart”, esto suele traducirse en unas pruebas “sencillas” que a veces consiguen sacarnos de nuestras casillas con cosas como esta:

El que diga que es humano miente.

 O que a veces nos estremecen con detallitos cariñosos :)

No subestimeis el poder de un CAPTCHA romántico. 

Es un buen sistema, ¿verdad? Lastima que como todos, tenga vulnerabilidades. Desde hace unos añitos unos chicos rusos disponen una herramienta parecida a los viejos OCR que incorporaban nuestros escáneres, se llama CAP OCR y está disponible aquí. Su trabajo es bien sencillo, a partir de una base de datos con todas las letras de un sitio web conocido (normalmente de descargas directas) mediante comparación trata de detectar qué es lo que hay en esa imagen. Como podéis ver en el sitio de los autores no siempre es fiable, por lo que adjuntan estadísticas de aciertos.

Scratch cambia bellota por CAPTCHA, razón en CAP-OCR

Lo que llama la atención es que ya existan otras herramientas que se apoyan en esta tecnología para ofrecer funcionalidades que los usuarios no-premium de determinados sitios puedan descargar y disponer del servicio con la calidad que no han pagado, todavía llama más la atención que sitios de descargas oficiales apunten a estas herramientas, incluso cobrando por estas descargas, algo que no parece muy ético. 

Si vuestra empresa o cliente ofrece servicios que incorporen CAPTCHA de seguridad, quizás sería una buena idea comenzar a revisar la robustez de los mismos (y por supuesto la relación funcionalidad / robustez).

Salu2

3 comentarios:

Lobosoft dijo...

Genial, tanto el repaso a los CAPTCHAs como las imágenes (y los comentarios, me parto). La verdad es que la tecnología avanza que es una barbaridad, y si aparecen sistemas de CAPTCHA más avanzados (como el de los perritos y gatitos), a la voz de ¡ya! aparece el anti-CAPTCHA correspondiente. Dado que la seguridad de muchos de nuestros sistemas tienen alguna vinculación a alguno de estos métodos de validación de la "autenticidad" de nuestra "humanidad", cabe, como bien dices, preguntarse hasta qué punto estamos seguros...

Y ahora, piensa: "Etas andando por el desierto y ves una tortuga boca abajo, arrastrandose, y no le ayudas..."

;)

¡Saludos!

GigA ~~ dijo...

Que dolor el de los gatitos, no puedo con el, menos mal que alguien lo ha roto :D

PD: ¿Hacia donde dices que va la tortuga?

Lobosoft dijo...

Hacia ti... ¿no te preguntas qué hace la tortuga en el desierto? :)