21.3 C
São Paulo
23 de dezembro de 2024

Os captchas estão mortos … e agora?

<p><img src="images/artigos/2018/Tim_Berghoff_GData_.jpg" border="0" width="65" height="84" style="float: left; margin: 5px;" /></p>
<p>Tim Berghoff (*)</p>
<p>Uma recente pesquisa divulgada pela <a href="https://www.sciencedaily.com/releases/2018/12/181205093701.htm">Lancaster University</a> revelou que alguns tipos de captchas são obsoletos e não já cumprem mais o seu papel de proteção de autenticidade humana na Internet. O motivo: as máquinas aprenderam a responder a esses captchas.</p>
<p>Sabemos que os captchas baseados em texto estão desaparecendo e também reconhecemos que as empresas querem que somente visitantes reais trafeguem em suas páginas e, certamente, não desejam que um ataque de sobrecarga venha colocar o seu site de joelhos.</p>
<p>O captcha, acrônimo da expressão "Completely Automated Public Turing Test to Tell Computers and Humans Apart", é um teste de desafio cognitivo utilizado como ferramenta AntiSpam e desenvolvido de forma pioneira na universidade de Carnegie-Mellon. Eles são usados para garantir que somente humanos possam avançar sobre uma área de serviço online.</p>
<p><strong style="font-size: 12.16px;">O lado escuro do Machine Learning</strong></p>
<p>Uma equipe de pesquisadores da <a href="http://static.usenix.org/event/sec10/tech/full_papers/Motoyama.pdf">Universidade da Califórnia</a> conseguiu usar o aprendizado de máquina para resolver automaticamente alguns dos captchas baseados em texto. Este modelo de ataque requer pouco esforço e tornou as vantagens dos captchas obsoletas porque requerem apenas poucos dados para que uma máquina possa decifra-los.  De acordo com um relatório do <a href="https://www.sciencedaily.com/releases/2018/12/181205093701.htm">Science Daily</a>, este modelo precisa apenas de cerca de 500 captchas para aprender como resolvê-los.</p>
<p><span style="font-size: 12.16px;">Isso é preocupante porque muitos sites contam com captchas para se protegerem dos ataques. Se um criminoso tiver acesso a essa tecnologia, ele poderá facilmente superar o obstáculo e realizar ações indesejadas. Até agora, a programação de um captcha costumava ser muito demorada. Muito trabalho manual e centenas de milhares de registros de dados eram necessários. Acima de tudo, um solucionador de captcha poderia – até agora – ser treinado apenas para um tipo muito específico. Por esta razão, os criminosos fizeram a coisa mais óbvia: procuraram outras pessoas para resolver o captcha para eles. Ao recrutar pessoas sendo remuneradas, milhares de captchas foram ser resolvidos em poucas horas. Desta maneira, os criminosos podem ter 1.000 captchas diferentes resolvidos por apenas um dólar. Isso também permitiu realizar não apenas ataques DDoS, mas também o envio de mensagens de spam.</span></p>
<p><strong><span style="font-size: 12.16px;">Uma visão clara sobre o problema</span></strong></p>
<p>Ninguém deveria se surpreender que o aprendizado de máquina seja uma ferramenta inestimável na luta contra o crime online e na detecção de malware, mas também ela pode ser uma arma que os criminosos podem usar. Um dos pesquisadores já chegou a dizer que os operadores de sites não devem mais usar captchas e aconselha que sejam adotadas outras alternativas, como a análise do comportamento do usuário ou a localização de um dispositivo.</p>
<p>No momento, no entanto, os ataques atuais só funcionam contra captchas baseados em texto – ou seja, sempre que as imagens são usadas, por exemplo "Selecione todas as imagens que mostram um carro", o ataque não tem chance de sucesso – ainda. O futuro chega muito rápido nesta área.</p>
<p><em>(*) Especialista em Segurança Digital da G Data, fornecedora de soluções antivírus distribuídas no Brasil pela FirstSecuriy.</em></p>