Os captchas estão mortos … e agora?

Uma recente pesquisa divulgada pela Lancaster University revelou que alguns tipos de captchas são obsoletos e não já cumprem mais o seu papel de proteção de autenticidade humana na Internet. O motivo: as máquinas aprenderam a responder a esses captchas.

Sabemos que os captchas baseados em texto estão desaparecendo e também reconhecemos que as empresas querem que somente visitantes reais trafeguem em suas páginas e, certamente, não desejam que um ataque de sobrecarga venha colocar o seu site de joelhos.

O captcha, acrônimo da expressão “Completely Automated Public Turing Test to Tell Computers and Humans Apart”, é um teste de desafio cognitivo utilizado como ferramenta antispam e desenvolvido de forma pioneira na universidade de Carnegie-Mellon. Eles são usados para garantir que somente humanos possam avançar sobre uma área de serviço online.

O lado escuro do Machine Learning
Uma equipe de pesquisadores da Universidade da Califórnia conseguiu usar o aprendizado de máquina para resolver automaticamente alguns dos captchas baseados em texto. Este modelo de ataque requer pouco esforço e tornou as vantagens dos captchas obsoletas porque requerem apenas poucos dados para que uma máquina possa decifra-los. De acordo com um relatório do Science Daily, este modelo precisa apenas de cerca de 500 captchas para aprender como resolvê-los.

Isso é preocupante porque muitos sites contam com captchas para se protegerem dos ataques. Se um criminoso tiver acesso a essa tecnologia, ele poderá facilmente superar o obstáculo e realizar ações indesejadas. Até agora, a programação de um captcha costumava ser muito demorada. Muito trabalho manual e centenas de milhares de registros de dados eram necessários. Acima de tudo, um solucionador de captcha poderia – até agora – ser treinado apenas para um tipo muito específico. Por esta razão, os criminosos fizeram a coisa mais óbvia: procuraram outras pessoas para resolver o captcha para eles. Ao recrutar pessoas sendo remuneradas, milhares de captchas foram ser resolvidos em poucas horas. Desta maneira, os criminosos podem ter 1.000 captchas diferentes resolvidos por apenas um dólar. Isso também permitiu realizar não apenas ataques DDoS, mas também o envio de mensagens de spam.

Uma visão clara sobre o problema
Ninguém deveria se surpreender que o aprendizado de máquina seja uma ferramenta inestimável na luta contra o crime online e na detecção de malware, mas também ela pode ser uma arma que os criminosos podem usar. Um dos pesquisadores já chegou a dizer que os operadores de sites não devem mais usar captchas e aconselha que sejam adotadas outras alternativas, como a análise do comportamento do usuário ou a localização de um dispositivo.

No momento, no entanto, os ataques atuais só funcionam contra captchas baseados em texto – ou seja, sempre que as imagens são usadas, por exemplo “Selecione todas as imagens que mostram um carro”, o ataque não tem chance de sucesso – ainda. O futuro chega muito rápido nesta área.

Por Tim Berghoff, especialista em Segurança Digital da G Data