Mostrando mensaje 1714     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2662 Año 11, martes 11 de marzo de 2008 Fecha: 11 de Marzo, 2008  04:48:44 (+0100) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2662 Año 11, martes 11 de marzo de 2008 _____________________________________________________________ ¿Ha sido roto el captcha de Gmail? _____________________________________________________________ http://www.vsantivirus.com/11-03-08.htm ¿Ha sido roto el captcha de Gmail? Por Angela Ruiz angela@videosoft.net.uy Hace poco, escribíamos sobre spammers rusos que habían vulnerado la protección de Gmail (Google Mail) para poder crear cuentas falsas. Ello seguía a la ruptura de la misma clase de protección en Yahoo! Mail y Microsoft Live. Los informes, concretamente hablan de la "ruptura de la protección vía captcha", o sea la imagen distorsionada que muestra al usuario un texto que debe ser manualmente ingresado para proceder a crear una nueva cuenta. Un interesante post en el blog de Justin Mason, un investigador independiente y desarrollador de software que participó en proyectos como Apache SpamAssassin, aporta otra teoría al respecto. El análisis y las pruebas obtenidas, parecen apuntar más a la existencia de lo que el blog define como "granja de cosechadores de captchas". El tema de la "granja de captchas" ya fue planteado en abril de 2007 por el sitio Ha.ckers.org. En concreto, se menciona un equipo de "resolvedores de captchas" creado por una persona de Rumania. La premisa básica es poner a un grupo de personas (5 en ese caso concreto), a resolver los captchas manualmente por encargo. Los aspectos económicos son muy claros. Se procesan de 300 a 500 captchas en una hora, y los clientes pagan de 9 a 15 dólares por cada 1000 captchas resueltos. El equipo trabaja un promedio de 12 horas diarias, lo que significa que pueden resolver unos 4800 captchas por día y por persona, unos 50 dólares diarios por cabeza. Sobre el tema concreto de Gmail, el reporte original realizado por Websense, un proveedor de servicios de seguridad para el correo electrónico de empresas, afirma que el proceso para romper los captchas de Google, involucra servicios web ejecutándose en dos servidores centralizados en un mismo dominio, los cuáles "están en contacto durante todo el proceso." Utilizar dos hosts, podría hacer que las chances de completar el proceso se dupliquen. La teoría es que si el primer host no puede romper el código, sí lo pueda hacer el segundo. Pero Mason teoriza que también es posible que el segundo servidor mantenga una copia de seguridad de los emisores de spam, o de los resultados exitosos obtenidos, de tal manera que esa información podría ser utilizada para que un código pudiera "aprender" como mejorar el ataque (algo similar a como lo hacen los filtros bayesianos con el spam). Es posible que los spammers utilicen estos dos hosts para comprobar la eficacia y exactitud de los dos servidores que participan en romper un captcha a la vez, también con el objetivo final de ir optimizando el proceso. Ahora bien lo curioso según Mason (y aquí comienza lo interesante de la investigación), es que el primer host (recordemos que ambos están ubicados en Rusia), muestra un FAQ -obviamente en ruso-, conteniendo las siguientes respuestas: ---- Texto traducido ---- Si no puede reconocer la imagen o si ésta no se carga (o aparece vacía), pulse Enter. Pase lo que pase, no introduzca caracteres aleatorios! Si hay un retraso en la carga de las imágenes, salga de su cuenta, actualice la página, y acceda de nuevo. El sistema fue probado en los siguientes navegadores: Internet Explorer, Mozilla Firefox. Antes de cada pago, las imágenes reconocidas son revisadas por el administrador. Nosotros sólo pagamos por las imágenes que son correctamente reconocidas! El pago se realiza una vez cada 24 horas. La cantidad mínima de pago es de $ 3. Para solicitar el pago, envíe su solicitud a la administración por ICQ. Si el administrador está desocupado, su solicitud será procesada en 10 a 15 minutos, y si está ocupado, se procesará lo antes posible. ------------------------- Esto claramente parecen instrucciones para "cosechadores humanos de captchas", trabajando en forma de equipo distribuido a través de una interfase web. Otros detalles que resultan curiosos, es que existe un retraso de 40 segundos entre los contactos con ambos servidores. Luego hay un retraso de 5 segundos antes de que se invoque el sitio de Gmail con el resultado. La teoría es que el primer host es un servicio web que funciona como puerta de entrada a una verdadera "granja de resolvedores humanos de captchas". En cambio el segundo host ejecuta un programa. Un ser humano puede resolver un captcha en 40 segundos (lo que lleva ver la imagen e ingresar el código). Un código binario debería ser mucho más rápido. Lo interesante es que se estén ejecutando los dos sistemas en paralelo. Posiblemente el código del segundo servidor sea el encargado de "aprender" de los datos recibidos manualmente. Si nos referimos al contenido del FAQ, la advertencia de "no introducir caracteres aleatorios", puede significar que no se desean datos erróneos. Otra información importante del examen original producido por MessageLabs, es que se detecta que solo uno de cada 5 intentos de romper el captcha tiene éxito. O sea un 20% aproximadamente. Esto podría significar que el algoritmo todavía no es confiable, y un 80% de las veces devuelve basura o respuestas incorrectas. Por otra parte, MessageLabs dice que la cantidad de spam procedente de cuentas de Gmail fue aumentando sustancialmente durante febrero. Un informe reciente de la compañía, muestra que el porcentaje de spam de Google pasó del 1,3% al 2,6%. De todos modos, la mayor parte del spam de los servicios de correo web, concretamente el 88,7%, procede de cuentas de Yahoo! Mail. Para MessageLabs no está muy claro que el aumento que se ha notado en Gmail, provenga de la creación automatizada de cuentas, o si se corresponde con el comportamiento de más personas ingresando los resultado de los captchas "a mano". Pero si nos guiamos por la cantidad de spam, la creación de cuentas de Yahoo! claramente parece haber sido automatizada, y es probable que pronto ocurra lo mismo con Gmail. * Relacionados: Google's CAPTCHA - not entirely broken after all? http://taint.org/2008/03/05/122732a.html MessageLabs Intelligence: February 2008 Spam from Gmail Hooks CAPTCHA 'Breaker' (PDF) http://www.messagelabs.com/mlireport/2008%2002_February_MLI_Report.pdf Spammers rusos vulneran protección de Gmail http://www.vsantivirus.com/vul-captcha-gmail.htm Solving CAPTCHAs for Cash http://ha.ckers.org/blog/20070427/solving-captchas-for-cash/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.eset.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2662 Año 11, martes 11 de marzo de 2008