Um pesquisador de segurança desenvolveu um novo método de ataque contra o
serviço reCAPTCHA, que foi comprado pelo Google em setembro. O reCAPTCHA é usado
para impedir que hackers e spammers utilizem bots na criação de contas em
serviços de webmail e também é usado como medida de segurança por diversos
sites.
O ataque, descrito em um
documento publicado recentemente, utiliza uma combinação de OCR
(reconhecimento ótico de caracteres) e outras técnicas para burlar o reCAPTCHA.
reCAPTCHA
Jonathan Wilkins, da iSEC Partners, disse que seu método tem um índice de
sucesso de 17,5% contra o reCAPTCHA. Este índice é preocupante principalmente
por causa do uso de um grande número de botnets por spammers e outros
criminosos.
Por exemplo, uma rede modesta com 10 mil máquinas infectadas com um índice de
sucesso de 0,01% pode conseguir um ataque bem sucedido a cada 10 segundos! Isto
pode significar a criação de 864 mil novas contas por dia, disse Wilkins.
Um dos pontos fracos do reCAPTCHA é que ele utiliza palavras da língua
inglesa que podem ser facilmente encontradas em um dicionário. Wilkins também
notou que as linhas adicionadas para confundir sistemas de OCR podem ser
facilmente removidas.
O Google rebateu as afirmações de Wilkins, informando que seu método se baseia em dados de 2008 e que ele não reflete as melhorias implementadas no serviço desde que ele foi comprado pela empresa.
