Fino a ieri avete avuto CAPTCHA, da domani potreste avere i il GOTCHA. La prospettiva di un nuovo sistema per dare sicurezza ai siti Internet che chiedono di inserire password e codice, ed impedire l’accesso ai Bot,nasce sulla scorta della constatazione che gli hackers hanno fatto numerosi passi avanti sulla strada che li porterà a scardinare l’impianto su cui si fonda il CAPTCHA.
Il sistema, acronimo inglese di “Completely Automated Public Turing test to tell Computers and Humans Apart“, un termine coniato nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper dell’Università Carnegie Mellon e da John Langford della IBM, come noto ruota intorno all’uso d’immagini con lettere distorte grazie alle quali un server comprende se l’utente sia un umano e non un computer o, più precisamente, un bot. Su Internet questi sistemi si incontrano moltissime volte e sono attivati per, ad esempio, impedire a meccanismi automatici per la compilazione di moduli di registrazione dei siti, commentare su forum o quant’altro potrebbe essere usato per creare spam o violare la sicurezza con operazioni di hacking che sfruttano meccanismi di “brute force”.
I CAPTCHA hanno funzionato abbastanza bene per molto tempo, ma recentemente sono stati dimostrati meccanismi che sfruttano database di “definizioni” (catturati all’insaputa dell’utente usando malware ad hoc) che permettono in alcuni casi di scavalcare i test. Ricercatori della Carnegie Mellon University hanno pertanto pensato di lavorare su meccanismi che permettono di aumentare il grado di protezione e hanno inventato il GOTCHA (“Generating panOptic Turing Tests to Tell Computers and Humans Apart“), un sistema che protegge le intrusioni automatiche generando macchie colorate distribuite in modo casuale.
L’utente descrive ogni macchia con una frase e le parole di questa sono memorizzate insieme a una password. Quando l’utente vuole accedere con la password vengono visualizzate le macchie d’inchiostro e le frasi descrittive. L’utente deve far combaciare macchie e frasi per completare l’accesso. Per il crack offline della password, l’hacker dovrebbe conoscere la password utente e il puzzle di frasi corrispondente, poiché il GOTCHA richiede l’interazione in tempo reale di un umano per la sua risoluzione.
Per comprendere quanto è robusto il nuovo metodo di protezione, i ricercatori invitano esperti di sicurezza a usare tecniche d’intelligenza artificiale per craccare il sistema GOTCHA proponendo alcune sfide online. Se il sistema si dimostrerà più sicuro rispetto al CAPTCHA potrebbe in futuro diffondersi; resta da vedere se sarà apprezzato dagli utenti i quali potrebbero trovare il meccanismo poco usabile e rinunciare in molti casi alle registrazioni nei siti che lo utilizzano.