Vamos começar com a origem da palavra ‘captcha’. Acontece que captcha é um acrônimo para Teste de Turing Público Completamente Automatizado para distinguir Computadores e Humanos. A ideia por trás da tecnologia captcha (e por trás do teste de Turing original também) é simples: é um teste que os humanos podem passar, mas os bots online não. O captcha geralmente vem na forma de uma imagem de texto distorcida que deve ser redigitada para verificar se você não é um computador.
A tecnologia Captcha é importante porque fornece segurança simples e prática para uma variedade de coisas diferentes, como proteger o registro de sites, evitar spam de comentários em blogs, garantir que apenas humanos votem em enquetes online e muito mais. Sem a tecnologia de captcha, os spammers poderiam abusar dessas situações configurando várias contas, deixando um número ridículo de comentários ou votando um número ilimitado de vezes na mesma enquete.
As primeiras versões do captcha eram relativamente fáceis de serem contornadas pelos computadores. Isso resultou em uma corrida armamentista entre hackers e desenvolvedores de captcha. Depois que o primeiro trouxe uma nova versão do captcha, o último viria com uma versão mais nova e mais forte.
Em algum momento, o Google subiu ao palco e lançou seu reCAPTCHA, que agora é considerado não oficialmente um padrão de captcha. Ele usa não apenas texto distorcido, mas também imagens e é considerado um dos serviços de captcha mais poderosos. A tecnologia reCAPTCHA do Google é usada pelo próprio Google, Facebook e muitos outros sites como meio de proteção contra spam e abuso. Na verdade, o reCAPTCHA é o provedor de captcha mais popular do mundo.
Infelizmente, parece que a tecnologia pode não ser tão infalível quanto se pensava.
Pesquisadores de segurança da Columbia University descobriram falhas na tecnologia reCAPTCHA do Google que abrem a porta para que os hackers influenciem a análise de risco, contornem as restrições e implantem ataques em grande escala.
Os pesquisadores afirmaram que foram capazes de projetar um ataque de baixo custo que resolveu com sucesso mais de 70% dos desafios do reCAPTCHA de imagem, e cada desafio levou em média apenas 19 segundos para ser resolvido. Eles também aplicaram o sistema ao captcha de imagem do Facebook e encontraram um nível de precisão de 83,5%. Acredita-se que a maior precisão no Facebook seja resultado do fato de as imagens do Facebook serem de maior resolução.
O sistema usava técnicas que permitiam ignorar cookies e tokens e usava o aprendizado de máquina como forma de adivinhar corretamente as imagens. A parte engraçada é que esse sistema de quebra de reCAPTCHA é alimentado pela própria busca reversa de imagens do Google. Mas também pode funcionar offline.
“No entanto, nosso sistema de quebra de captcha totalmente offline é comparável a um serviço de solução profissional em precisão e duração de ataque, com o benefício adicional de não incorrer em nenhum custo para o invasor”, afirmaram os pesquisadores, enfatizando a simplicidade e o custo-benefício do este ataque particular.
Antes que as descobertas fossem tornadas públicas, os pesquisadores alertaram o Google e o Facebook para informá-los dessas possíveis falhas. Eles afirmaram que o Google respondeu tentando melhorar a segurança do reCAPTCHA, mas o Facebook não parece ter tomado medidas para melhorar.
Os pesquisadores acreditam que os hackers podem cobrar razoavelmente $ 2 por 1000 captchas resolvidos e, como resultado, podem ganhar mais de $ 100 por dia. Eles poderiam ganhar ainda mais se lançassem vários ataques ao mesmo tempo ou utilizassem técnicas adicionais.
A pesquisa mostra que ainda há muito a ser feito no mundo da segurança cibernética, mas também dá a chance para muitas empresas, como o Google, de avançar e olhar mais ativamente para suas medidas de segurança atuais. O Google já demonstrou interesse em fortalecer sua segurança e, com sorte, outros sites não ficam muito atrás.
