Connessioni / Next / Search / Sicurezza / Social
Microsoft, l’autenticazione visiva va KO con pochi euro
Il motivo di tanta attenzione è immediato: pochi provider e poche aziende si sentono di bloccare a cuor leggero messaggi provenienti da domini di ampio utilizzo. Gli spammer lo sanno, e proprio per questo tentano con grande aggressività di violare i sistemi di convalida degli account: attualmente, la percentuale di successo varia dal 20% al 30%, sufficiente per inondare di mail indesiderate le caselle di posta di mezzo mondo.
L’ultima notizia in ordine di tempo - e non è certo piacevole - colpisce Microsoft: alcuni ricercatori inglesi hanno scoperto un metodo per violarne il CAPTCHA in maniera efficace ed economica. Il documento di Jeff Yan e Ahmad Salah El Ahmad della Newcastle University parla chiaro: su un normale Pc con Cpu Intel Core 2 da 1,86 Ghz e 2 Gb di memoria Ram (l’hadrware di un notebook di fascia medio alta) ingannare il sistema di autenticazione richiede 80 millisecondi, ed è efficace nel 90% dei casi. La tecnica adottata è quella della segmentazione: gli elementi grafici vengono di fatto spezzettati fino ad entità facilmente interpretabili.
“Per la prima volta - scrivono i ricercatori - dimostriamo che un CAPTCHA disegnato per resistere alla segmentazione è vulnerabile a un attacco di nuova concezione, ma concettualmente semplice. Lo schema fornito da Microsoft fornisce solo un falso senso di sicurezza; e si parla di un sistema concepito per concedere agli script di interpretazione automatico una percentuale di successo inferiore allo 0,01%”.
Di qui la conclusione: “I nostri risultati dimostrano che la costruzione di un sistema CAPTCHA utilizzabile e robusto allo stesso tempo non è cosa da poco […] Gli schemi devono divenire più sofisticati in relazione alla crescente sofisticazione degli attacchi subiti”. Al momento in cui scriviamo, da Microsoft non è giunta nessuna risposta ufficiale in materia: ma c’è da scommettere che, se i ricercatori di Redmond troveranno fondati gli studi di Yan e El Ahmad, correranno ai ripari. Esattamente come ha fatto Yahoo, il primo ad essere colpito ad inizio anno: dallo scorso gennaio l’azienda sostiene di “avere aggiornato il proprio sistema di autenticazione, rendendolo più robusto”.
Ancora nessun commento.