Pesquisadores criam CAPTCHA que mantém segurança mesmo após automatizado

Uma equipe de pesquisadores das Universidades do Arizona, Geórgia e Flórida do Sul desenvolveram uma nova ferramenta de resolução de CAPTCHA, baseada em aprendizado de máquina. Segundo eles podem resolver 94.4% dos problemas em sites da dark web, que usam o método de autenticação para se proteger de rivais. Os testes são realizados no lado mais obscuro da internet justamente para avaliar como a automatização consegue manter o nível de proteção que o próprio CAPTCHA oferece.

• Confira 6 passos para fugir do golpe do boleto falso
• O que é exploit?

O estudo tinha como objetivo desenvolver um método de melhorar a inteligência sobre ameaças de segurança, que atualmente, quando envolvem CAPTCHAa, são dependentes de pessoas para suas resoluções.

Na dark web, especificamente, CAPTCHA são presentes principalmente para impedir que ataques DDoS, originários de sites concorrentes, possam gerar danos na operação diária dos serviços da página. Como esse tipo de ameaça normalmente utiliza máquinas automatizadas para fazer suas ações, o método de autenticação acaba servindo como um bom bloqueio.

Ainda mais notável é o fato que normalmente cada site usa um sistema próprio de CAPTCHA, dificultando o desenvolvimento de aplicativos universais para soluções dos desafios de autenticação. Porém, o método utilizado pelos pesquisadores das Universidades do Arizona, Geórgia e Flórida do Sul acredita que o aprendizado de máquina pode eliminar essa dificuldade.

Como funciona a ferramenta e resultados

A ferramenta funciona a partir de um sistema que interpreta imagens rasterizadas, identificando cada caractere individualmente, a partir de processos como identificar bordas entre as letras, tirar ruído dos conteúdos e afins.

Além disso, para identificar com clareza o caractere, a ferramenta usa várias amostras coletadas pelos pesquisadores de outros CAPTCHA, para assim identificar mesmo no caso da rotação do dígito, por exemplo.

Quanto aos resultados da ferramenta, segundo o artigo, os pesquisadores testarem a solução em um mercado atualmente inativo da dark web que hospedava dados roubados e, para acesso de qualquer informação, necessitava de validação via CAPTCHA. Nessa ocasião, o software conseguiu resolver todos os desafios impostos em pelo menos três tentativas.

Por fim, os pesquisadores frisam que a performance só foi testada neste mercado, então embora resultados parecidos sejam esperados em outros ambientes, é possível de ter variações.

Disponibilidade e impacto

O projeto já foi disponibilizado pelos pesquisadores no GitHub, embora sem as 50 mil amostras usados para treinar seu aprendizado de máquina. Porém, com o grosso do código já podendo ser acessado pelo público, é possível que variações efetivas logo sejam lançadas por outros desenvolvedores e, no futuro, podendo se tornar problemas de segurança na internet.

É importante entender que o software em sua versão atual foi desenvolvido com objetivos nobres pelos pesquisadores das Universidades envolvidas, com o foco principal na dark web. Porém, com o código estando na mão do público, que também envolve cibercriminosos, variações capazes de burlar outros sistemas além dos que os criadores focaram podem aparecer.

Em geral, a ferramenta é importante para a luta contra disseminação de informações vazadas, mas sua disponibilização para o público, porém, pode se tornar uma futura dor de cabeça.

Fonte: BleepingComputer