Animal Captcha 1.4
DEBILIDAD A FUERZA BRUTA
Hace un par de semanas (erlang y compañía) me ayudaron a comprender que las versiones de Animal Captcha hasta la 1.3 son débiles frente a un ataque de fuerza bruta.
Es decir, a diferencia de los captchas alfanuméricos, Animal Captcha por su naturaleza tiene un numero reducido de respuestas posibles. Tantas como animales. Hasta el momento 30 animales.
Esto significa que creando un bot de fuerza bruta que haciendo peticiones de forma automática, de cada 30 peticiones acertará una de media. Esto es una debilidad que en algunos casos merecerá la pena explotar (no en todos).
LA SOLUCIÓN
Tras un momento de desconcierto, se pudo pensar que se había tumbado el concepto de Animal Captcha. Pero he desarrollado una batería de soluciones que mitigan el problema hasta su mínima expresión.
El problema de la fuerza bruta se ha resuelto con los siguientes cambios:
- En cada intento se elimina la variable de sesión. Esto significa que para hacer un intento válido hay que hacer 2 peticiones (obligatoriamente): una a la imagen del animal (el captcha) y otro al script comprobador.
- Se permite configurar el numero de animales mostrados. Por defecto 2. Es flexible, cambiando un parámetro se puede cambiar a 1 animal o a 8, dependiendo del industrial strength que se necesite. Por ejemplo en Blogs Teoriza he configurado 1 solo animal, hasta que surja algún problema, si Google lo implementase en Gmail, aconsejo 3 animales o incluso 4, con un repertorio inédito y no publico (hipotéticamente hablando).
¿Qué hemos conseguido? Pues multiplicar exponencialmente el número de respuestas posibles, mitigando drásticamente la eficacia de un ataque por fuerza bruta (el único ataque con eficacia demostrada hasta ahora).
Cálculos teniendo en cuenta que hay un repertorio de 30 animales (estoy preparando la próxima versión 2.0 que se ampliará a objetos).
- Versión antigua (hasta 1.3)
30 respuestas posibles = 30 peticiones por acierto. - Animal Captcha 1.4
Mostrando 2 animales: (30^2)*2 = 1.800 peticiones por acierto.
Mostrando 3: (30^3)*2 = 54.000 peticiones por acierto.
Mostrando 4: (30^4)*2 = 1.620.000 peticiones por acierto.
Como se puede ver, se ha aumentado drásticamente el numero de peticiones con el mismo numero de imágenes. El numero de imágenes será elevado al menos a 60, incluyendo objetos y animales, en la próxima versión 2.0.
- Animal Captcha 2.0 (versión futura incluyendo objetos)
Mostrando 2: (60^2)*2 = 7.200 peticiones por acierto.
Mostrando 3: (60^3)*2 = 432.000 peticiones por acierto.
Mostrando 4: (60^4)*2 = 25.920.000 peticiones por acierto.
Con esto intento mostrar que el aumento de la seguridad frente a fuerza bruta es exponencial.
CONCLUSIÓN
Con esta versión 1.4 doy por resuelto el ataque de fuerza bruta simple (salvo que me corrijan, claro). Y por lo tanto en mi opinión es "invulnerable" hasta que se demuestre lo contrario.
Me temo que ahora el caballo de batalla de Animal Captcha es el ataque por identificación de animales analizando patrones del repertorio de im´genes (que es publico y abierto, aunque cada webmaster puede hacerse el suyo particular).
En esta linea veo extremadamente difícil encontrar una vulnerabilidad, ya que desde la versión 1.2 se fusiona una imagen de fondo aleatoria, con transparencia aleatoria y orientación aleatoria. Todos los bytes, pixeles, histogramas y colores estadísticos cambian aleatoriamente en cada imagen, siendo todas únicas.
Además continua activa la opción de añadir polígonos aleatorios (desactivada por defecto ya que sobra seguridad en este aspecto).
CONCLUSIÓN BREVE
Animal Captcha 1.4 es invulnerable y más seguro que cualquier captcha alfanumérico, hasta que se demuestre lo contrario (como de costumbre agradecerá que se ponga a prueba este sistema).
- Animal Captcha
| Twittear |
Artículos relacionados:
Categoría: Proyectos Internet
Artículo escrito por GONZO para Blogs Teoriza.
Animal Captcha 1.4