Uomo o robot? L’importanza dei CAPTCHA

32

Gli utenti delle rete, sempre più spesso, si imbattono in questo strumento di cyber security che fondamentalmente serve a distinguere un uomo da un robot.

Vediamo in questo articolo le sue caratteristiche e come funziona.

Cosa significa?

Iniziamo partendo dalla scomposizione del suo acronimo che sta percompletely automated public Turing test to tell computers and humans apart, vale a dire “test di Turing pubblico e completamente automatico per distinguere computer e umani”.

In informatica consiste in un test di una o più domande utili alla macchina per capire se l’utente è un umano e non un computer o, meglio, un bot, ossia un software che funziona in automatico su internet e che può raccogliere dati, permettendo attività di spam.

Non a caso la pronuncia fonetica suona simile all’espressione “Caught you!”, “Beccato!”.

Si presume infatti che un robot abbia notevoli difficoltà nel decodificare il messaggio e digitarlo nell’apposita finestra.

Funzione e tipologie

Vi sono diverse versioni di CAPTCHA, alcune più semplici, altre molto più complesse, in cui le lettere sono intercalate o circondate da segni grafici vari, in modo che solo un occhio umano possa riconoscere correttamente i caratteri da digitare nell’apposita finestra.

L’obiettivo di questo test di Turing è quello di chiedere al navigatore di effettuare una operazione, che un software non riesce a effettuare. Il tipo più corrente di test è quello nel quale si richiede all’utente di vedere una stringa distorta di caratteri alfa numerici e digitare tali caratteri in un’apposita finestrella.

Tuttavia, più complicata diventa la faccenda quando i caratteri alfanumerici sono difficilmente riconoscibili e, in questo caso, normalmente il navigatore può richiedere un secondo test.

Sono CAPTCHA anche semplici indovinelli operazioni matematiche elementari che vengono sottoposte nelle medesime circostanze.

Ancora più complicati sono i test nei quali vengono offerte delle immagini, ed il navigatore deve cliccare solo quelle che contengono un determinato elemento di riferimento, come ad esempio un albero o simili.

In ogni caso il fine è sempre lo stesso sopracitato ed inoltre le versioni più elementari di questo test mettono a disposizione una finestrella, nella quale il navigatore deve effettuare un clic, per dichiarare di non essere un robot.

Pro e contro

I CAPTHCA hanno oggi ben 22 anni, vennero infatti sviluppati per la prima volta nel 1997 dal settore ricerca e sviluppo di AltaVista (uno dei primi motori di ricerca veloci in rete) per impedire l’aggiunta di URL (dunque di spam) a questo motore di ricerca.

Il termine venne però coniato nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper della Università Carnegie Mellon e da John Langford della IBM, denotando così un qualunque tipo di programma in grado di distinguere tra persone e computer.

Questa tecnica garantistica di separazione tra uomo e macchina presenta ovviamente dei vantaggi e degli svantaggi.

Uno dei pro per i quali il test viene usato sempre più spesso riguarda il blocco di applicativi di spam, che possono mandare messaggi di posta elettronica, pubblicità od altro.

Un altro vantaggio sta nel fatto che l’inserimento di questa tecnica di verifica in un sito web è molto semplice.

Ciò non toglie che gli hacker, sempre alla ricerca di nuovi strumenti per bypassare misure di sicurezza, possano usare degli algoritmi automatici, che fanno riferimento a un certo numero di esempi di test, per capire quale sia la tecnica necessaria per individuare il codice corretto.

Difatti esistono alcuni algoritmi, che inseriti nei siti web, permettono di rispondere automaticamente alla sfida del test e vengono prevalentemente usati da navigatori che possono avere difficoltà di visione.

Il futuro è negli Invisible reCAPTCHA

La strada verso la semplificazione prosegue con gli Invisible reCAPTCHA che di fatto stabiliranno automaticamente, senza apparenti interventi visibili, se l’utente è una persona o un bot.

Difatti, integrando una serie di nuovi algoritmi, un’intelligenza artificiale sarà in grado di rilevare parametri come il movimento del mouse e l’indirizzo IP con una precisione inedita, il tutto senza fare domande o richiedere step aggiuntivi agli utenti.

Se il comportamento dell’utente sarà assimilabile a quello di un essere umano, l’autenticazione avverrà in modo completamente invisibile. Se invece anche gli Invisible ReCAPTCHA avessero qualche dubbio, allora faranno nuovamente capolino i cari vecchi codici e indovinelli.

I CAPTCHA sono quindi destinati a scomparire ma, in attesa che i malviventi riescano a superare con facilità anche questo nuovo ostacolo, è sempre opportuno che il test di Turing venga inserito nelle pagine di un sito Web, per diminuire la probabilità di attacchi criminosi.

 

Nel frattempo per altri articoli di sicurezza informatica ed ethical hacking continua a seguire il blog di Sicurezza Informatica Italia e scopri i corsi online targati Musa Formazione!

Leave A Reply

Your email address will not be published.