Foro de elhacker.net

(http://img.genbeta.com/2012/03/650_1000_captcha.jpg)

 Captchas. Esas cosas horribles que se inventaron para comprobar que es un humano quien está detrás del ordenador y no un robot o un programa automático, aunque la mayoría de las veces sólo sirven para molestarnos un rato. He llegado a encontrar captchas tan difíciles que me han hecho plantearme si de verdad soy un humano.

 Pero hoy no venimos a quejarnos de los captchas, sino a hablar de su fiabilidad. En concreto hablamos de los reCaptchas de Google, que han sido reventados por un grupo de tres hackers. Lo han hecho aprovechando un fallo en el sistema que genera el audio para que personas que no puedan leer las palabras sean capaces de resolver el captcha.
 
 Para evitar que cualquier software de reconocimiento de audio identificase las palabras en la grabación, Google añade un ruido de fondo; ruido que vendría a ser el equivalente a las letras distorsionadas a las que nos tienen acostumbrados los captchas.

  (http://img.genbeta.com/2012/06/recaptcha_histogram2-640x401.png)
El ruido no tenía sonido a altas frecuencias, lo que facilitaba distinguir las palabras.

 El problema es que ese ruido no incluía sonidos a altas frecuencias, mientras que las palabras que dictaba sí que lo hacían. A partir de esto, los hackers construyeron un sistema, al que llamaron Stiltwalker, que aislaba las palabras y las reconocía fácilmente. Y consiguieron una precisión del 99%.

 Sin embargo, Google no sufrió nada por esta vulnerabilidad: la corrigieron dos horas antes de que se hiciese pública. Lo malo es que la corrección dificulta todavía más que un humano reconozca esas palabras.

 Imperva también avisa sobre fallos en los captchas
 Este grupo de hackers no es el único en destacar los fallos de este sistema. La empresa de seguridad Imperva avisa sobre herramientas automáticas para resolver captchas. Una de ellas, Captcha Sniper, es capaz de resolver los acertijos de la plataforma Wordpress con un 76% de acierto. Y es sólo una de las muchas plataformas a las que está dirigida.

  (http://img.genbeta.com/2012/06/CaptchaSolver-4.png)
Así de fácil es contratar un servicio para resolver Captchas.

 El otro problema de los captchas ahora mismo son los sistemas de resolución basados en humanos. El funcionamiento es sencillo: estos sistemas cuentan con centenares de personas a las que pagan por resolver los captchas. Cuando un programa encuentra un captcha, lo envía a una cola y en unos pocos segundos una persona lo habrá resuelto y el programa tendrá el resultado listo. Es muchísimo más barato y simple que crear un programa para leer las palabras distorsionadas, y mucho más efectivo.

 Y no creáis que es difícil acceder a este tipo de servicios. Una simple búsqueda en Google te lleva a varias páginas en las que puedes comprar el acceso a una API de resolución, por algo más de un dólar cada 1000 captchas resueltos. Y como ellos no cometen ningún delito (sólo resuelven acertijos) no hay ningún tipo de problema legal.

 Está claro que los captchas no son seguros, ni mucho menos. No se puede confiar únicamente en ellos para determinar si un usuario es humano o no: hay que complementarlos con análisis de las cabeceras, de la IP de origen y de otros parámetros que indicarían que quien navega es un programa. Incluso se podrían usar otro tipo de tests, como minijuegos, para determinar si eres humano.

 A pesar de todo esto, no creo que veamos cambios significativos en estos mosquitos versión Internet hasta dentro de unos años. Personalmente, me conformaría con que no los hagan más difíciles de lo que ya son.

 Vía | The Next Web (http://thenextweb.com/insider/2012/06/18/captcha-showing-flaws-according-to-imperva-report-but-lets-not-give-it-up-just-yet/) | Ars Technica (http://arstechnica.com/security/2012/05/google-recaptcha-brought-to-its-knees/)
 Más información | Informe de Imperva (http://www.imperva.com/docs/HII_a_CAPTCHA_in_the_Rye.pdf) | Proyecto Stiltwalker (http://www.dc949.org/projects/stiltwalker/)

FUENTE :http://www.genbeta.com/web/derrotando-a-los-captchas

Primero creo que va siendo hora que, después de meses leyendo todas las noticias con las que nos obsequias, te lo agradezca porque se el trabajo que conlleva hacerlo y además hacerlo respetando estructura y referencias, por todo esto GRACIAS!

Lo segundo... se puede saber quién resuelve 10000 captchas por 1$? esto huele a automatización, no creéis?

Una vez me topé con un captchá muy curioso, en si era un re-captcha pues se valía de una imagen para obtener la respuesta secreta, utilizaba steganografía simple, incrustó la respuesta en una imagen .bmp.
De ésta forma es casi imposible sacar la respuesta, aunque supongo se podría automatizar de forma que lea de forma hexadecimal la imagen y sacar el último texto incrustado, pues es en esa zona donde incrustó la respuesta secreta.

(http://i398.photobucket.com/albums/pp69/minimal34/Infomalware/steg5.jpg)

Os dejo el tema desde el foro de Skapunky:

http://killtrojan.forum6.biz/t890-steganografia-simple-para-el-registro-como-usuario-nuevo-en-una-web


@ wolfbcn: No puedo ver correctamente las imagenes, si las linkeaste desde Genbeta, éste no deja utilizar las imagenes subiadas a su servidor, por lo menos a mi me ha pasado.

Saludos.

+1, lo iba a comentar yo también

Lo de las imágenes ya lo comente en un post pero ni dios hizo caso xD

http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/problema_con_las_imagenes_en_los_posts_de_wolfbcn-t346032.0.html

PD: Yo no se porque a la gente la jode tanto los captchas.. sin ellas casi cualquier pagina que permita comentarios estaría llena de *****... xD

Saludos