E ‘un giorno felice per chi odia i reCAPTCHA, per quelli che non sopportano più di dover dimostrare ripetutamente che non sono bot cliccando su tutte le immagini che contengono un gattino. A partire dalla scorsa settimana, i siti possono scegliere di far scivolare tutti i test sotto la superficie e renderli invisibili.
Lo scorso dicembre Google aveva dichiarato di essere all’opera per rilasciare una nuova versione del “are-you-a-human-or-a-bot test” e a partire dalla scorsa settimana l’azienda l’ha resa disponibile per gli sviluppatori di siti web.
Chiamato Invisible reCAPTCHA, il servizio gratuito è pensato per proteggere siti e app da spam e abusi senza che gli utenti debbano cliccare su qualsivoglia immagine o altro che gli sviluppatori decidano di sottoporci per provare che siamo reali.
Google afferma che Invisible reCAPTCHA utilizza una tecnologia avanzata di risk analysis, combinata con il machine learning, per separare gli esseri umani dai bot. Ciò significa che non dobbiamo più cliccare su nulla.
Google sta usando la risk analysis per respingere i bot da anni. Nel 2013, ha rivelato quello che ha definito il suo back-end avanzato di Risk Analysis per il reCAPTCHA.
Questo back-end non si limita a verificare qualunque linguaggio incomprensibile digitiamo in un box o a controllare quanto sembrino umani i clic del nostro mouse. Piuttosto, osserva tutto il nostro comportamento con un CAPTCHA, dall’inizio alla fine – prima, durante e dopo aver cliccato qualcosa – per determinare se siamo a base di carbonio.
In particolare, la differenza tra un bot e un umano può essere rivelato da indizi sottili come il modo in cui un utente (o un bot) sposta il mouse nei brevi momenti prima di cliccare sul tasto “Io non sono un robot”, secondo Vinay Shet, il prodotto responsabile del team Captcha di Google.
Senza rendersene conto, gli esseri umani lasciano indizi che possono stabilire se siamo automatizzati o meno: indirizzi IP e cookie mostrano i nostri movimenti in generale sul web e possono contribuire a dimostrare che non siamo robot.
Così com’è, il reCAPTCHA non si è dimostrato infallibile.
Il test basato sull’immagine è stato neutralizzato circa un anno fa e i ricercatori hanno utilizzato proprio l’enorme database di ricerca di immagini di Google per farlo .
Più di recente, il test audio reCAPTCHA è presumibilmente caduto, e ancora una volta, è inciampato proprio su uno dei servizi di Google: questa volta, si è trattato dell’API di riconoscimento vocale.
Poi, nel mese di gennaio, a quanto pare qualcuno ha attrezzato un braccio robotico per muoversi sul mousepad in quel modo tremolante simile a quello umano che la risk analysis del reCAPTCHA utilizza per capire se siamo umani.
Quando i siti passeranno all’Invisible reCAPTCHA, la maggior parte degli utenti non vedranno per niente i CAPTCHA, neanche il checkbox “Non sono un robot”. Ma ci si può aspettare di ritrovarcisi nuovamente se si è contrassegnati come “sospetti” e in quel caso il sistema presenterà i soliti test.
I ricercatori saranno ancora essere in grado di ingannare l’Invisible reCAPTCHAs ora che è scivolato fuori dalla loro vista? Ce lo dirà il tempo, ma noi speriamo che non ce la facciano. Se non ci riusciranno i ricercatori non potranno farlo neanche gli esperti di bot.
Naturalmente, fermare i bot è l’obiettivo finale.
I bot lavorano instancabilmente per raccogliere indirizzi e-mail dalle pagine di contatto o dai guestbook, scandagliano siti e riutilizzano i contenuti senza autorizzazione su pagine doorway generate automaticamente, prendono parte a attacchi DDoS (Distributed Denial of Service), e tentano di accedere automaticamente a siti con password riutilizzate ottenute grazie a violazioni.
Si spera che Invisible reCAPTCHA si riveli più difficile da ingannare rispetto alle precedenti iterazioni di reCAPTCHA, e che presenti un ostacolo abbastanza elevato da mettere i bot al tappeto.
Tratto dall’articolo “Invisible reCAPTCHA means no more clicking on kitten pictures to prove you’re carbon-based” di Lisa Vaas, Sophos Naked Security
Lascia un commento