Alcuni ricercatori della Stanford University hanno scoperto che la maggior parte dei meccanismi antispam basati sull’esposizione di parole e brevi testi sarebbero facilmente aggirabili. Gli accademici sono riusciti infatti a forzare i sistemi CAPTCHA (acronimo di “Completely Automated Public Turing Test to Tell Computers and Humans Apart“) utilizzato sui più noti servizi online per impedirne la fruizione da parte di procedure di registrazione automatizzate (bot) come quelle impiegate, ad esempio, dagli spammer.
Nel documento firmato dagli studiosi della nota università statunitense, dal titolo “Punti di forza e debolezze dei CAPTCHA basati sul testo” (questo il link per il download in formato PDF), si spiega come la ricerca si sia concentrata sul verificare se sia attualmente possibile “dribblare” i CAPTCHA utilizzando un procedimento completamente automatizzato.
La risposta pare affermativa dal momento che i ricercatori sono riusciti a violare, utilizzando unicamente lo strumento “Decaptcha” – sviluppato appositamente per l’effettuazione dei test -, ben 13 sistemi CAPTCHA su un totale di 15. Gli esperti hanno cercato di registrarsi, in modo automatizzato, a molteplici siti web tra i quali Google, eBay e Wikipedia.
Soltanto il meccanismo CAPTCHA utilizzato da Google e quello denominato “reCAPTCHA” si sono evidenziati come i più solidi ed affidabili.
Gli universitari sono riusciti nel loro intento rimuovendo automaticamente le distorsioni dell’immagine spesso presenti nelle immagini CAPTCHA e suddividendo i termini proposti in una serie di caratteri a sé stanti. Questo approccio, secondo quanto svelato, avrebbe permesso di ottenere – sul sito Authorize.net di Visa – il riconoscimento corretto dei caratteri componenti il codice CAPTCHA nel 66% dei casi. Sui siti web di Wikipedia, CNN e Digg, i risultati sono stati meno convincenti ma comunque del tutto adeguati, purtroppo, alle esigenze degli spammer.
Il team della Stanford University ha suggerito alcune linee guida con lo scopo di migliorare l’efficacia dei CAPTCHA: gli esperti hanno suggerito, ad esempio, di fare in modo che le lunghezze dei testi siano variabili e che la dimensione delle fonti di carattere venga resa il più possibile casuale.
I sistemi CAPTCHA, hanno spiegato gli studiosi, sono un po´ come gli algoritmi crittografici: una volta violati debbono essere necessariamente rimpiazzati.