Microsoft, violato il sistema di autenticazione CAPTCHA.

Di Guido Sintoni.

Mytech, 11/2/2008.

http://www.mytech.it/computer/virus/articolo/idA028001070614.art

Se Yahoo sembra allontanarsi da Microsoft dal punto di vista finanziario, c' qualcosa che unisce le due grandi realt: a tre settimane dai problemi evidenziati
dal sistema di immissione del codice di conferma in fase di creazione di un account Yahoo Mail, anche il CAPTCHA (questo  tecnicamente il suo nome: "Completely
Automated Public Turing test to tell Computers and Humans Apart") di casa Microsoft si scopre vulnerabile.

Almeno nel 35% dei casi, stando a quanto sostiene Websense: i laboratori dell'azienda hanno isolato un software in grado di creare centinaia di indirizzi
Windows Live validi, aggirandone il citato sistema di verifica. Pur se dettagliato, il documento non spiega appieno come funzioni il sistema di decodifica
di lettere e numeri sotto forma di immagini distorte poste a protezione dell'account; si possono quindi ipotizzare due alternative per quanto riguarda
la decodifica delle immagini. Quello che  certo  che il malware ritaglia l'immagine di verfica e lo invia a una macchina remota su cui avviene la decodifica
che converte l'immagine in testo necessario per completare il processo di registrazione dell'account.

Un primo sistema per ingannare CAPTCHA pu basarsi su un software che trasmette l'elemento grafico a un sito Web esterno che promette in cambio immagini
pornografiche o musica gratis in cambio della digitazione dei caratteri disegnati; un secondo, ben pi sofisticato e costoso, pu poggiare su algoritmi
euristici per 'indovinare' i caratteri sulla base della disposizione dei pixel che li compongono, in maniera simile a quanto fa un software di tipo OCR
con il riconoscimento ottico dei caratteri.

Raramente gli indirizzi di posta elettronica creati con i servizi di Microsoft, Yahoo o Google sono bloccati dai filtri antispam, e questo li rende estremamente
appetibili.

Tra i professionisti della mail-spazzatura  da tempo in piedi un vero e proprio mercato degli account; sta ora ai provider rispondere migliorando le proprie
tecniche di difesa e verifica.

Guido Sintoni.

