Nuevo Bot es capaz de quebrar el CAPTCHA de Windows Live en menos de 60 segundos

16 de abril de 2008

windows_live_captcha

En Websense Security Lasb blog han descubierto la existencia de un nuevo Bot que es capaz de quebrar la defensa anti-Spam de Windows Live Hotmail, también conocida como CAPTCHA. El algoritmo en cuestión podría crear una nueva cuenta de Hotmail para enviar Spam cada 1 minuto (aproximadamente), es decir, 1440 falsas cuentas de correo al día.

Este problema no es nuevo, ya hace unos meses se había sabido de la aparición de otro Bot de Spam que había sido capaz de quebrar el CAPTCHA de Gmail. Generalmente la respuesta de las empresas de seguridad a estos problemas consiste en elaborar CAPTCHAS más complejos y difíciles de descifrar. Lamentablemente, en ocasiones se les pasa la mano y terminan creando verdaderos jeroglifos, conjuntos de caracteres ininteligibles tanto para los Bots como para los seres humanos.

La verdad es que resulta muy difícil hacer buenos CAPTCHAS, fáciles de responder por las personas, pero difíciles de resolver para las máquinas.

8

El rayo de esperanza para solucionar este problema proviene de la misma Microsoft. Desde hace algún tiempo el departamento de Investigación de Redmond ha estado realizando experimentos con un nuevo y revolucionario sistema de CAPTCHA, que en vez de solicitar la trascripción de un conjunto de caracteres, pide al usuario que clasifique una determinada cantidad de imágenes de animales como "Perros" o "Gatos" según corresponda. El sistema recibe el nombre de ASIRRA (Animal Species Image Recognition for Restricting Access) y puede ser probado por cualquier persona en esta dirección. Incluso Microsoft ofrece de forma gratuita el API de ASIRRA para que cualquier desarrollador incorpore este sistema de protección contra el Spam en su sitio web.

ASIRRA_thumb

Ningún algoritmo en el mundo actualmente esta capacitado para resolver el Test ASIRRA, sin embargo, la mayoría de los seres humanos son capaces de responderlo rápidamente. Desgraciadamente, todavía queda un tiempo para que ASIRRA reemplace a los actuales sistemas de CAPTCHA utilizados por los proveedores de correo electrónico.

Actualización: Erwin Ried manda un interesante artículo que nos muestra lo fácil que hacer Bots que rompan los actuales CAPTCHA. Ahora empiezo a entender porque al Spam le ha resultado tan fácil masificarse.

Vía LiveSide

Tal vez te interese...