Quebraram o CAPTCHA do Yahoo!

Ultimamente só o que se fala acerca de Yahoo é que ele está por ser comprado pela Microsoft. É o tipo de notícia que interessa a todo mundo, mas para o nerd típico em questão de segundos ela já não tem mais relevância.

Hoje navegando por alguns feeds “obscuros” que assino encontrei uma notícia bem mais ao gosto deste tipo de cidadão: Yahoo! CAPTCHA is broken, ou em bom Português: o CAPTCHA do Yahoo! se @#$%&*.

E estória é a seguinte: um grupo de russos que se diz pesquisadores em segurança, atesta ter conseguido quebrar o CAPTCHA do Yahoo. Isso significa que eles criaram um mecanismo automatizado capaz de resolver aquele “código na imagem” que tem a missão de garantir que apenas um ser humano o resolveria.

De fato, os russos dizem que desenvolveram um sistema capaz de obter 35% de sucesso na solução dos testes, contra 30% da ferramenta melhor posicionada de que eles tinham conhecimento. Contudo, em se tratando de solução automatizada do CAPTCHA, 15% já seria um índice estrondosamente alto e perigoso.

Os riscos de CAPTCHAS que se resolvem automaticamente vão desde a criação de contas de e-mail para a nojenta prática do spam, até o roubo de identidades e informações pessoais. Segundo o artigo citado, eles entraram em contato com a empresa que vendeu a solução de segurança para o Yahoo, mas não obtiveram resposta. A meu turno, resta esperar que o problema seja reconhecido e resolvido pelo Yahoo o mais rápido possível. Ou pela Microsoft, sei lá…

Em tempo: quem tiver curiosidade e conhecimento suficientes pode baixar os fontes dos programas para dar uma analisada. Considerando que eu não sou tão bom assim em programação, e que a origem dos arquivos é um site russo, achei melhor ficar com a informação e não correr o risco de baixar o fonte de um “hello world” e um executável de um trojan. Quem quiser que chame de paranóia, eu vou continuar chamando de precaução.

Autor: Janio Sarmento

Compartilhar
  • v1r3d

    A diferença é de 5% e não 15%, só se os 35% que foram escritos errados 😀

  • Janio Sarmento

    Não, não, eu queria dizer exatamente o que disse: a metade do índice da melhor ferramenta já faria estrago, superá-la seria purismo dos “pesquisadores”.


    http://www.sarmento.org
    http://www.lucrandonarede.com

  • Estava demorando, fazia tempo que não aparecia noticia de mecanismos anti-CAPCHA….

    Creio que o Yahoo vai botar a responsabilidade sobre a empresa que vendeu o sistema para eles.

    _____________________

    Muita Pimenta para sua vida!

    • Roniuj

      Não é esta a ordem natural das coisas?

      Eu faria isso sem piscar.

      ………………r o n i u j ………………………..

  • fsesering

    Chama o Tio bill pra resolver…

    (:

  • “Creio que o Yahoo vai botar a responsabilidade sobre a empresa que vendeu o sistema para eles.”

    Sem dúvida alguma, é sempre mais fácil e comodo colocar no c* dos outros..
    Só tenho e-mail no yahoo por causa do flickR.. então não me importo muito..

    Eu prefiro ficar aqui –> http://21horas.org

  • Eu ja li sobre sistemas CAPCHA 3D onde as letras são modelos 3D cheio de texturas psicodelicas, muito intereçante…

    • “intereçante” ? ai!

      • gargaroots

        Essa doeu né?

        “Nem todos que estão vagando estão perdidos”
        J.R.R.Tolkien

    • To ferrado, já tenho muita dificuldade com alguns captchas 2d, imagina 3d com textura psicodélica, as vezes é dificil a vida de daltônico.

      _____________________

      Muita Pimenta para sua vida!

  • OH MY GOD!!!

    Um slime, dois slimes, três slimes, quatro slimes… um King Slime

  • Paulim

    Acho q dá pra fazer isso com algum tempo, um OCR bom, dois clipes, um copo de café… e uma estagiária.

    ——
    Vaca amarela, pulou a janela.

  • Shomer

    hehehe… de qualquer forma os algoritmos para quebrar os captcha se baseiam na ideia de um ocr-reverse-scanner. A imagem é adquirida e entregue para uma maquina que vai processar, ver, a imagem e então devolver a resposta ao bot. O problema é que para spam o processador precisar ser rápido para ter alguma eficiência digna de para um spammer. Ler em 2D ou 3D não vai ser dificuldades para uma máquina destas, pois existem técnicas de análise de padrão bem desenvolvidas.

    Estes tipos de confirmação baseadas em imagens com associação a letras é fraco. Outros modelos baseados em sugestões que humanos possam reconhecer são muito mais simples e podem promover muito mais segurança. Usar padrões que questionem: esta imagem é um peixe, ou esta figura representa um ser humano criança ou adulto, ou ainda este texto foi com a letra de uma criança, podem dar mais eficiencia a segurança dos sistemas e mais dificuldade aos crackers.

    Um sistema que possa emitir padrões distintos para cada solicitação de validação certamente será mais eficaz.

    • thiagovrsant

      Posso estar falando besteira, mas pra um sistema assim funcionar a pergunta deveria apresentar mais de 10 opções de respostas. Caso fossem simples “sim ou não”, teria-se um índice de acerto de 50% caso a escolha fosse aleatória. Muito maior que os 35% declarado pelos “pesquisadores”.

    • shimatai

      Já existem sistemas assim, vide o do registro.br, onde ele exibe um texto e pergunta “quais são vogais?”, “quantas consoantes existem?”, “quais letras estão na cor azul?”, “informe os 3 últimos caracteres”, etc…

      Na minha opinião é o CAPTCHA mais eficiente que eu já vi, pois precisa obrigatoriamente de uma interpretação lógica por parte do leitor.

      • thiagovrsant

        assim faz mais sentido…. =oP

  • Zmaster

    Já tinhamos comentado algo similar em um post anterior.

    O ideal seria um conjunto aritmético baseado nos dados do cliente preenchido ou pular já para biometria.

    Isso era questão de tempo quebrarem, ainda mais vindo dos russos.

    O pior é que enviam a brecha a empresa e a mesma se faz de não saber de nada. Lula? Alguém?

    Depois que invadem e fazem aquele estrago não pode reclamar.

    ———————————–

    ” Como uso as 3 conchaS? “

    • shimatai

      Já quebraram sistema de CAPTCHA, vide essa URL, onde com um python script e um pequeno programa instalado no Linux o cara consegue enviar SMS, onde tem uma imagem a ser lida para validar o envio do SMS.

  • rafahell

    Estou torcendo para que esse sistema de autenticação seja quebrado efetivamente… odeio CAPTCHAS, existem alguns que são humanamente impossíveis de decifrar.

    pedeprasair.blogspot.com

  • mau.dias

    não adianta odiar, por enquanto captchas são necessários…

    uma época eu ouvi falar sobre um que mostrava símbolos (ex: formas geométricas) e em baixo uma lista associando eles a letras então o usuário digitava as letras correspondentes.. me parece bom

    mas, realmente, o do registro.br é um dos melhores que eu já vi

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis