¿Ha sido roto el captcha de Gmail? - xombra.com



Hace poco, escribíamos sobre spammers rusos que habían vulnerado la protección de Gmail (Google Mail) para poder crear cuentas falsas. Ello seguía a la ruptura de la misma clase de protección en Yahoo! Mail y Microsoft Live.

Los informes, concretamente hablan de la "ruptura de la protección vía captcha", o sea la imagen distorsionada que muestra al usuario un texto que debe ser manualmente ingresado para proceder a crear una nueva cuenta.

Un interesante post en el blog de Justin Mason, un investigador independiente y desarrollador de software que participó en proyectos como Apache SpamAssassin, aporta otra teoría al respecto. El análisis y las pruebas obtenidas, parecen apuntar más a la existencia de lo que el blog define
como "granja de cosechadores de captchas".

El tema de la "granja de captchas" ya fue planteado en abril de 2007 por el sitio Ha.ckers.org. En concreto, se menciona un equipo de "resolvedores de captchas" creado por una persona de Rumania. La premisa básica es poner a un grupo de personas (5 en ese caso concreto), a resolver los captchas manualmente por encargo.

Los aspectos económicos son muy claros. Se procesan de 300 a 500 captchas en una hora, y los clientes pagan de 9 a 15 dólares por cada 1000 captchas resueltos. El equipo trabaja un promedio de 12 horas diarias, lo que significa que pueden resolver unos 4800 captchas por día y por persona, unos 50
dólares diarios por cabeza.

Sobre el tema concreto de Gmail, el reporte original realizado por Websense, un proveedor de servicios de seguridad para el correo electrónico de empresas, afirma que el proceso para romper los captchas de Google, involucra servicios web ejecutándose en dos servidores centralizados en un mismo dominio, los cuáles "están en contacto durante todo el proceso."

Utilizar dos hosts, podría hacer que las chances de completar el proceso se dupliquen. La teoría es que si el primer host no puede romper el código, sí lo pueda hacer el segundo.

Pero Mason teoriza que también es posible que el segundo servidor mantenga una copia de seguridad de los emisores de spam, o de los resultados exitosos obtenidos, de tal manera que esa información podría ser utilizada para que un código pudiera "aprender" como mejorar el ataque (algo similar a como lo hacen los filtros bayesianos con el spam).

Es posible que los spammers utilicen estos dos hosts para comprobar la eficacia y exactitud de los dos servidores que participan en romper un captcha a la vez, también con el objetivo final de ir optimizando el proceso.

Ahora bien lo curioso según Mason (y aquí comienza lo interesante de la investigación), es que el primer host (recordemos que ambos están ubicados en Rusia), muestra un FAQ -obviamente en ruso-, conteniendo las siguientes respuestas:

---- Texto traducido ----

Si no puede reconocer la imagen o si ésta no se carga (o aparece vacía), pulse Enter.

Pase lo que pase, no introduzca caracteres aleatorios!

Si hay un retraso en la carga de las imágenes, salga de su cuenta, actualice la página, y acceda de nuevo.

El sistema fue probado en los siguientes navegadores: Internet Explorer, Mozilla Firefox.

Antes de cada pago, las imágenes reconocidas son revisadas por el administrador. Nosotros sólo pagamos por las imágenes que son correctamente reconocidas!

El pago se realiza una vez cada 24 horas. La cantidad mínima de pago es de $ 3. Para solicitar el pago, envíe su solicitud a la administración por ICQ. Si el administrador está desocupado, su solicitud será procesada en 10 a 15 minutos, y si está ocupado, se procesará lo antes posible.

-------------------------

Esto claramente parecen instrucciones para "cosechadores humanos de captchas", trabajando en forma de equipo distribuido a través de una interfase web.

Otros detalles que resultan curiosos, es que existe un retraso de 40 segundos entre los contactos con ambos servidores. Luego hay un retraso de 5 segundos antes de que se invoque el sitio de Gmail con el resultado.

La teoría es que el primer host es un servicio web que funciona como puerta de entrada a una verdadera "granja de resolvedores humanos de captchas". En cambio el segundo host ejecuta un programa.

Un ser humano puede resolver un captcha en 40 segundos (lo que lleva ver la imagen e ingresar el código). Un código binario debería ser mucho más rápido. Lo interesante es que se estén ejecutando los dos sistemas en paralelo.

Posiblemente el código del segundo servidor sea el encargado de "aprender" de los datos recibidos manualmente. Si nos referimos al contenido del FAQ, la advertencia de "no introducir caracteres aleatorios", puede significar que no se desean datos erróneos.

Otra información importante del examen original producido por MessageLabs, es que se detecta que solo uno de cada 5 intentos de romper el captcha tiene éxito. O sea un 20% aproximadamente.

Esto podría significar que el algoritmo todavía no es confiable, y un 80% de las veces devuelve basura o respuestas incorrectas.

Por otra parte, MessageLabs dice que la cantidad de spam procedente de cuentas de Gmail fue aumentando sustancialmente durante febrero.

Un informe reciente de la compañía, muestra que el porcentaje de spam de Google pasó del 1,3% al 2,6%. De todos modos, la mayor parte del spam de los servicios de correo web, concretamente el 88,7%, procede de cuentas de Yahoo! Mail.

Para MessageLabs no está muy claro que el aumento que se ha notado en Gmail, provenga de la creación automatizada de cuentas, o si se corresponde con el comportamiento de más personas ingresando los resultado de los captchas "a mano". Pero si nos guiamos por la cantidad de spam, la creación de
cuentas de Yahoo! claramente parece haber sido automatizada, y es probable que pronto ocurra lo mismo con Gmail.

* Relacionados:

Google's CAPTCHA - not entirely broken after all?
http://taint.org/2008/03/05/122732a.html

MessageLabs Intelligence: February 2008 Spam from Gmail Hooks CAPTCHA 'Breaker' (PDF)
http://www.messagelabs.com/mlireport/2008%2002_February_MLI_Report.pdf

Spammers rusos vulneran protección de Gmail
http://www.vsantivirus.com/vul-captcha-gmail.htm

Solving CAPTCHAs for Cash
http://ha.ckers.org/blog/20070427/solving-captchas-for-cash/

El sistema CAPTCHA de Microsoft, hackeado
http://www.xombra.com/go_news.php?nota=3299

CAPTCHA puede ser hackeado
http://www.xombra.com/go_news.php?nota=3288

Hackers Rusos se saltan el sistema de CAPTCHA de Yahoo!
http://www.xombra.com/go_news.php?nota=3261

Fuente:
Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interes:

 Vulnerabilidad del Internet Explorer utilizada para hackear la Banca Electrónica
Una falla en la implementación de seguridad del Secure Socket Layer (SSL) en el Internet Explorer, ha sido utilizada para hackear transacciones bancarias On-line.
 Sitios web explotan la vulnerabilidad de Internet Explorer ¿parche de urgencia o esperar al segundo martes de abril?
Ya están explotando de forma activa la última vulnerabilidad crítica de Internet Explorer para instalar malware de forma automática. No se trata de algo anecdótico, las últimas estadísticas hablan de cientos de sitios webs que aprovechan la vulnerabilidad, número que aumentará conforme pasen las horas.
 Kroxxu, una nueva botnet que amenaza
La botnet Kroxxu se ha diseñado únicamente para robar contraseñas FTP y se extiende fundamentalmente a través de páginas web infectadas.
 La fuerza bruta gana en efectividad
La nueva técnica utiliza grandes tablas donde se almacenan hashes junto con las contraseñas originales, lo que agiliza los cálculos necesarios para romper los códigos. La técnica resulta una variación de la usada por la conocida herramienta L0phCrack (ahora reconvertida en LC4) que
utiliza la fuerza bruta para averiguar las contraseñas a partir de su valor único hash, pero valiéndose de grandes tablas con otras contraseñas y un algoritmo mucho más eficiente para acelerar todo el proceso. Incrementando el tamaño de las tablas, se reduce sensiblemente el tiempo necesario para averiguar las claves, aunque aumenta ligeramente el necesario de precálculo.
 Illumos, ¿el fork de OpenSolaris?
La situación de OpenSolaris, la versión comunitaria y Open Source de Solaris, es desde hace semanas muy compleja: en Oracle no parecen querer saber nada de este desarrollo ni de esta comunidad, y sus usuarios están comenzando a valorar un posible cambio de planes bastante radical.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • ¿ha

  • sido

  • roto

  • captcha

  • gmail

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql