Quebraram o Captcha do GMail

Há alguns dias falei aqui que Quebraram o CAPTCHA do Yahoo!. Para quem não lembra, era sobre uma notícia de um grupo de hackers russos que descobriram como burlar, com um índice significativo de sucesso, o captcha do Yahoo! (aquele dispositivo que tenta garantir que seja um ser humano que esteja tentando acessar um determinado serviço, normalmente pedindo para este digitar alguma informação que esteja disponível visualmente na tela).

Pois agora a notícia que chega é que, embora as dificuldades, robôs de envio de spam já são hábeis o suficiente para garantir acesso automatizado a novas contas de GMail.

No Ars Technica, onde eu originalmente li esta notícia, há maiores informações a respeito do assunto. Contudo, uma reflexão que se faz necessária diz respeito às implicações de o GMail ficar vulnerável para a utilização de spammers.

Sabemos que o GMail conta com algoritmos de detecção de atividade “suspeita” bastante avançados (o que de fato nunca impediu o funcionamento de programas que transformam o webmail do Google em disco virtual), e que provavelmente são aplicados também ao SMTP (eu nunca passei por nenhum bloqueio com relação a isso, mas tampouco sou um heavy user do SMTP do Google, prefiro usar os meus). Beleza.

O problema é que estes controles são aplicados a contas previamente existentes, ou seja, nenhuma conta “nasce” já marcada como suspeita no GMail (e em nenhum outro sistema de correio, até onde eu sei), e até que os programas de detecção de malvadeza do Google entrem em ação, um spammer profissional, daqueles que mantêm redes de PCs zumbis fazendo o trabalho sujo por ele, já terá tido tempo para deixar seus dejetos digitais em milhares e milhares de caixas postais.

De minha parte, um sentimento contraditório persiste: por um lado, a confiança de que os engenheiros do Google não vão permitir que abusem do sistema assim, no mole; por outro uma sensação de estar confiando demais na gigante de Mountain View, pois já há vários anos (desde o lançamento) que o GMail é meu sistema de correio principal, mais importante até do que o dos meus próprios domínios (shame on me).

Autor: Janio Sarmento

Compartilhar
  • Roniuj

    Nossa, sempre que vejo CAPTCHAS acho que são deseinhos bobos que quaquer estagiário é capaz de fazer.

    Uma vez ouvi falar sobre uns que teriam desenhos e vc teria que responder a uma pergunta, do tipo:

    Qual o nome do animal abaixo?

    funcionaria não?

    [perguntas bobas de um usuário, não reparem minha ignorância no assunto]

    ………………r o n i u j ………………………..

  • lukz

    vai complicar a vida de muita gente.

    alias, ja vi CAPTCHAS do tipo x + x = x, dai voce tinha que deixar a resposta. acho que funcionaria em outros servidores tambem

  • Se o pessoal do google não tomar cuidado, vai ser uma m****. Hoje em dia minha caixa de entrada já é inundada por spam, imagine se o gmail passa a ser um correio de malwares!

    Victor Franco

  • neyfrota

    shame on me tb!

    meu dominio, a engine dos meus emails tb é gmail.. crio os emaisl no dominio e aponto pra contas no gmail.

    ate cacei um webmail ou pop3 programa que organize email tao facil quanto gmail… ai desisti e abracei mesmo!

    http://ney.frota.net

  • O crescimento desse tipo de atividade ocorre diretamente (e proporcionalmente) atrelada ao crescimento da própria tecnologia que tenta impedí-la. Assim, a necessidade de burlar algum serviço em benefício próprio faz com que se criem exploits de melhor qualidade. 🙂

    Em breve, letras aleatórias, operações, possivelmente vão ser coisas banais, fáceis de burlar. Mas ali também será criada tecnologia diferente para deter isso, e assim o ciclo se repete.

    Assim a gente cai na questão: o computador chegará ao ponto de pensar na solução sozinho? Volto a citar o Jean Paul Jacob, com certa dúvida.

    Podemos notar isso desde o tempo em que um arame dava créditos na máquina de fliperama (não sei se ainda funciona lol) até celulares desbloqueados, tecnologia nos DVDs, etc. Afinal, a humanidade não evoluiu sempre assim: nas grandes e pequenas guerras de sempre?

    Quanto ao Google, ele sempre tentou ser “chatinho” na negociação com cookies e limitações no uso de sua API, apesar que pelo jeito descobriram como mandar porcarias no Orkut de forma livre. Cerca de 50% em scraps que recebo é lixo, spam puro.

    Ferramentas como o PowerScrap mandam lindas mensagens que emporcalham a rede se aproveitando dos users e SENHAS do serviço. O cidadão de quebra, deixa muitas vezes sua senha ali e expõe para terceiros parte de sua vida. \o/

  • andreduartesp

    O SMTP do gmail tem um limite de 100 mensagens por dia, isso já limita um pouco a ação dos spamers…………..

  • v1r3d

    Eu lembro que um tempo atrás (uns 2 anos eu acho)eu tinha uma ferramenta de criação de contas automatica no Gmail XD.

    Mas eu nem me preocupo, eles tem formas de limitar a quantidade de mensagens mensagens, se sua conta tiver muito movimento num curto periodo ai já era (tipo eu que coloquei uns 1,5GB em algumas horas e reenviei para outros e-mails o conteúdo e puft, já eraaaaa a conta).

  • MicaelSilva

    o GMail é meu sistema de correio principal, mais importante até do que o dos meus próprios domínios (shame on me). [2]

    Sou mais um da turma que redireciona todos os seus e-mails de domínios pro Gmail…

    Mas quem manda o Gmail ser tão eficiente?

  • o GMail é meu sistema de correio principal, mais importante até do que o dos meus próprios domínios (shame on me).

    Sou mais um da turma que redireciona todos os seus e-mails de domínios pro Gmail…

    Mas quem manda o Gmail ser tão eficiente?[3]

    Yoomp – Rede de Blogs e Blogueiros
    http://www.yoomp.com

    Fazedor de Site
    http://www.fazedordesite.com

  • Só falta quebrar o captcha do hotmail.. Quanto ao gmail, eu só uso para receber os spam, quando tenho que fazer cadastro em algum site coloco meu endereço do gmail. Receber mais ou menos span não vai fazer muita diferença

    Eu prefiro ficar aqui –> http://21horas.org

  • virgilio

    Se não estou enganado depois de X Bytes enviados em um intervalo de tempo Y, teu acesso é negado.
    A mesma coisa pra e-mails.
    Se vc manda X e-mails iguais (mesmo que em 10 envios diferentes) pra Y usuários, eles cortam teu acesso tb.

    A gigante não é burra como a MS.
    E mesmo que fosse, ela sabe corrigir problemas sem gritar a deus e o mundo primeiro. Lembro da vulnerabilidade em javascript (ele rodava javascript dentro do corpo do e-mail), durou menos de 3 horas.
    Não foi reportada e mesmo assim corrigida em tempo recorde.

    Faz uns dias ‘apareceu aqui no meiobit’ uma falha em Linux, que JÁ estava corrigida a algum tempo corrido.
    Acho que é o mesmo caso.

    Vale mais a pena chiar dos updates da adobe. E da Apple.
    Com o google, infelizmente, vcs não vão conseguir NADA.
    Ele não lançou a Apple TV, ele não lançou o Tux Phone e ele não lançou um console com driver óptico morto.

    E antes que alguém fale merda, não existe fanboy do Google. =)

    Mundo HT

    • [quote=virgilio]E antes que alguém fale merda, não existe fanboy do Google. =)[/quote]

      Ah! É o que mais existe. Se brincar até aquela sua priminha de 3anos já e fanboy(?!) do google e você não sabe. 😛


      Computadores fazem arte, geeks fazem dinheiro

    • Eu gosto do Google, uso praticamente todos os serviços deles.

      Meu e-mail é do Gmail, eu uso o buscador, o analytics, o blogger, o editor de textos de vez em quando… e o Orkut.

      O Orkut é uma desgraça, em materia de segurança. Em usabilidade possui sérios problemas; até pouco tempo atrás nem funcionar direito funcionava, é mal programado, mal otimizado, mal TUDO.

      Feito por um funcionário ou não, não importa. O Google incorporou, se aproveitou do mesmo, é um serviço dele. Vira e mexe há falhas ridículas e ALTAMENTE prejudiciais ao serviço que não são corrigidas tão rapidamente assim.

      E, de certo, não EXISTIA fanboy do google.

  • Luiz Felipph

    Tudo bem…. quebraram o captcha do Gmail… Agora é trabalhar pra fazer um mais parrudo…

    Um que eu acho sensacional é o do registro.br… Putz! Muito fodz aquele lá… Tanto que até mesmo humanos(eu por exemplo) me enrolo pra resolver aquilo! Não se trata simplesmente de letras distorcidas, mas também de testes sobre o que tem na letras!! seja uma pergunta ou seja uma combinação de caracteres dentre os apresentados!

    Abraço pessoal!

  • virgilio

    Meu conceito de fan (ou fanboy) é ‘alguma coisa maior que usuário’.
    Beirando o ridículo normalmente.
    Como fazem os nintendistas. =)

    Edit: era pro hdoria, mas como o ‘responder + logar = apenas logar’, não deu muito certo. xD

    Mundo HT

  • claudioct

    E logo agora que e taxa de spam na minha conta tinha caido de 33 spams por dia pra 22 spams por dia.
    —-
    “É uma cilada Bino”

  • Isso até certo ponto é bom para o Google.

    Evoluímos através de estímulos e respostas, ou seja, a quebra do Captcha fará com que os engenheiros trabalhem mais para pensar em soluções melhores, será uma resposta …

    Então virão novamente e quebrarão a próxima geração do captcha .. assim ninguém se acomoda e todos trabalham para uma internet melhor …rsrs

    Pena que nesse meio tempo receberemos milhões de spam a mais, mas é o preço….

    ______________________________________________________________
    Ixi ainda não pensei em uma assinatura ! hehehe

  • almirneto

    Captcha bom mesmo é o do registro.br
    Saca só: https://registro.br/cgi-bin/whois/?c

    Quero ver conseguir quebrar… rsrsrsrs

  • gustavorobertux

    Bom Dia pessoal,

    Nada é 100% seguro, sempre que houver interesse em alguma coisa que seja segura, com certeza, mais dia menos dia, essa segurança será quebrada.

    O Captcha é um sistema simples, fácil de ser burlado, se o cidadão tiver um bom conhecimento em programação.

    Porém imaginemos que o Google, ou qualquer outra empresa que seja, faça uma forma de autenticação violenta, onde nem os usuários experientes consigam resolver direito.

    Com certeza isso eles não querem, por que, ao se deparar com coisas muito difícies, a tendência da maioria dos usuários ( e spammers ), é mudar para algo mais fácil, muitos deles com certeza não vão ficar perdendo tempo com uma coisa muito segura, quando podem usar uma menos segura e obter mais sucesso.

    Agora, analisando o comentário do colega Luiz Felipph, realmente o Registro.BR, tem uma segurança bem complicada, e com certeza muita gente se enrola para resolver aqueles “probleminhas que eles propõe”

    Acho que se o Google implementasse algo daquele tipo, certamente iria dificultar o acesso dos crackers / spammers.

    Abraços galera !

    Gustavo Roberto Rodrigues Gonçalves
    http://www.gustavoroberto.blog.br

  • Mais um episódio na brincadeira de gato e rato.

  • Mais um episódio na brincadeira de gato e rato.

  • johnny_c

    Quebraram (de novo) foi a codificação do RSS de vocês… tá impossível ler os artigos no google reader =/

    e sou mais um que faz parte do povo que só redireciona o email do domínio próprio pro gmail… shame on us =p

  • tomboderider

    Caraca! isso eh serio!! ta na hora de evoluir mesmo esta historia de ficar colocando letras e numeros pra confirmar um formulario.

    [vendo]Memória corsair 2×512 DDR2 667

    g1.globo.com/tecnologia

  • aaocs

    Bem que eu notei um aumento na quantidade de email que chegam na label spam. pelo menos o classificador de SPAM ainda não foi burlado.
    Outra coisa, se quebraram o captcha significa necessariamente que estão usando inteligência artificial?

  • Aproveite nossos cupons de desconto:

    Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis