Desarrollan aplicación para detectar Captchas

octubre 30, 2013 § Deja un comentario

Vicarious, una empresa especializada en inteligencia artificial, ha desarrollado un software capaz de engañar a los famosos códigos captcha en Internet con una efectividad del 90 por ciento. Esto resulta sorprenderte, ya que el diseño de un captcha se considera defectuoso si una máquina es capaz de alcanzar una precisión de tan solo un 1 por ciento.
Desde Vicarious han destacado, que otros sistemas de inteligencia artificial utilizan “la fuerza bruta” con servidores masivos para vencer este obstáculo de seguridad. “Es la primera vez que se consigue este acto de percepción tan distintivamente humano, y utiliza cantidades minúsculas de datos y potencia”, ha declarado el cofundador de la empresa, Scott Phoenix, que asegura que su algoritmo “ha alcanzado un nivel de efectividad y eficiencia muy cercano al del cerebro humano”.
“Entender cómo el cerebro crea inteligencia es el máximo desafío científico”, ha expresado otro directivo de la empresa, Dileep George. “Los captchas modernos son el reto de la percepción visual, y resolverlos de manera general hizo necesario que entendiéramos cómo lo hace el cerebro”, ha explicado.

Fuente: Muy Seguridad

Recursos para evadir CAPTCHAs

febrero 17, 2013 § Deja un comentario

Quizás seas un malévolo spammer y quieras evitar esos molestos CAPTCHAs para que tu bot pueda automatizar cierto proceso, o quizás sólo por placer.

A continuación os dejo una lista de recursos cortesía de Karl Groves con distintas técnicas y software para evadir CAPTCHAs. Aviso que algunos de los métodos descritos ya no funcionan, pero tenéis delante un excelente recopilatorio (en inglés) que demuestra la continua batalla contra la Prueba de Turing pública y automática para diferenciar máquinas y humanos (sí, lo he dicho):

Fuente: Hackplayers

Datos de 13 millones de chilenos en la red (actualizada y corregida)

octubre 29, 2012 § 3 comentarios

Actualización: esta noticia ha sido actualizada por la impresición que brindaba.

A través de un sitio polaco llega la noticia de la fuga de datos 13 millones de votantes chilenos.

A principios de este año Chile presentó un registro electrónico de los votantes para qur todos los ciudadanos pueden comprobar sus datos en dicho registro, con solo ingresar su documento o RUN. En respuesta, el servidor brinda la siguiente información del votante: nombres y apellidos, sexo, RUN, dirección, región electoral.

No tomó mucho tiempo tratar de descargar datos de todos los ciudadanos, a través de una consulta con números que consta de nueve caracteres en el formato XX.XXX.XXX-Y, donde X e Y puede ser un número o la letra K.

Posteriormente y fácilmente se rompió el CAPTCHA y se puedo enviar una consulta masiva de toda la base de datos, la que actualmente se puede conseguir en la red TOR en un archivo PDF.

Como puede verse, todo el proceso de robo de la base de datos se basó en una serie de vulnerabilidades similares a las expuestas hace poco tiempo en el CAPTCHA de AFIP Argentina (ya solucionado), donde la publicación y exposición de una base de datos se ahace al público sin tomar las debidas medidas de seguridad.

Actualización: la noticia publicada por el sitio polaco originalmente es errónea o ha sido manipulada ya que en ningún momento se ataco el sitio para extraer la información mencionada. La información de los 13 millones de chilenos, se obtuvo mediante archivos PDF que se encuentran publicados en un sitio de gobierno de Chile. En base a una búsqueda en Google se pueden encontrar todos los PDF mencionados.

Según nos explican varios lectores, en Chile existe una clausula legislativa (Ley 272421) sobre la transparencia del gobierno, donde se debe publicar esta información en un formato electrónico.

Gracias Alexei, Andrés, Shinee, Manuel y varios anómimos por la corrección.

Cristian de la Redacción de Segu-Info

Ataques de fuerza bruta a formularios web (sin CAPTCHA)

junio 25, 2012 § Deja un comentario

Durante una auditoría de seguridad, es frecuente encontrarse con formularios web de acceso que no incorporan un sistema de ‘captchas’ para evitar los ataques por fuerza bruta.

Ejemplos de esta clase de formularios es fácil encontrarlos en todo tipo de organizaciones, grandes y pequeñas, y pueden ser un importante vector de riesgo si un atacante, armado con un buen diccionario, intenta averiguar credenciales de acceso.

Para hacerlo aun más ‘divertido’ existen herramientas que permiten crear un diccionario en base al contenido de una web. Extraen todas las palabras, y con ello generan un diccionario de términos relacionados con la organización. En muchos casos el ratio de éxito con esos diccionarios es asombrosamente alto. Un ejemplo de este tipo de herramientas es WLAuthor o CeWL (Custom Word List Generator Tool for Password Cracking).

Hoy voy a explicar cómo implementar un ataque a esos formularios de una forma artesanal, paso a paso y construyendo nuestro propio código para explotar la vulnerabilidad.

Contenido completo en fuente original GenBetaDev

PlayThru, sustituye los tradicionales captchas por mini-juegos

mayo 6, 2012 § Deja un comentario

Muchas veces los captchas llegan a ser molestos porque son imposibles de descifrar hasta por un humano. La iniciativa de Are You a Human ha desarrollado PlayThru, una alternativa a la autenticación basada en texto que, en lugar de pedir al usuario que escriba una palabra borrosa o distorsionada, le propone un mini-juego tal como arrastrar un coche a una plaza libre de aparcamiento, añadir ingredientes a una pizza, cazar mariposas, etc…

Este método es más seguro que los captchas tradicionales por palabra ya que los bots automáticos tienen más dificultades para resolver estos rompecabezas basados en imágenes y, sin duda, más divertido para los usuarios.

PlayThru ha estado en beta desde hace varios meses y actualmente está disponible de forma gratuita gratuita. Puede incrementar hasta un 40% las peticiones de los usuarios en un formulario, soporta HTML5 y Flash y ya está disponible para WordPress, Drupal, PhpBB, Android, iPhone, etc.

Fuente: HackPlayers

CIntruder y Tesseract, dos CAPTCHA Cracking

abril 28, 2012 § Deja un comentario

Los desarrolladores XSSer acaban de lanzar una nueva herramienta llamada CIntruder, desarrollada en Python y que permite eludir CAPTCHAs en forma automática.

Otra herramienta que tiene el mismo objtivo es Tesseract, un software gratuito desarrollado por HP y que puede ser utilizado como un motor óptico de reconocimiento de caracteres para varios sistemas operativos. Tesseract está considerado como uno de los OCR más precisos.

Fuente: CLSHack I y II

TesserCap: comprueba la seguridad de CAPTCHA

noviembre 21, 2011 § Deja un comentario

TesserCap es una herramienta de análisis de CAPTCHAs que incluye las siguientes características:

Un motor genérico de preprocesamiento de imágenes que puede ser configurado según el tipo de CAPTCHA que se analiza

  • Tesseract-OCR como motor OCR para recuperar el texto de los CAPTCHAs preprocesados
  • Soporte de proxy Web
  • Soporte para cabeceras HTTP para obtener los CAPTCHAS de sitios web que requieren cookies o cabeceras HTTP especiales en las peticiones
  • Soporte de análisis estadístico de CAPTCHAs
  • Selección de configuración de caracteres para el motor OCR

Su autor ha usado esta herramienta contra 200 de los sitios web con más tráfico en la actualidad y, junto a otros estudios como el de varios estudiantes de la Universidad de Stanford, se obtiene una conclusión preocupante: un número alarmante de CAPTCHAS son vulnerables a ataques automáticos.

Fuente: HackPlayers

¿Dónde estoy?

Actualmente estás explorando la categoría captcha en Seguridad Informática.