"Solo triunfa en el mundo quien se levanta y busca a las circunstancias, creándolas si no las encuentra"

[ George Bernard Shaw - Escritor irlandés - 1856-1960 ]


Boletín 79 - Leyendo lo que las máquinas no pueden (CAPTCHA) - 17/02/2007

Leído por ahí (en TheRegister)

"Así que éste es nuestro primer vistazo a Vista. Se beneficia de muchas buenas ideas; la mayoría de Apple, por supuesto, pero buenas de todos modos. Simplemente no funciona bien, por desgracia. Hay
serios problemas con la ejecución; no está pulido; no está listo. No debería estar en el mercado, y mucho menos a los desorbitados precios que se le han puesto. No lo compre, al menos hasta que salga el primer Service Pack. No pague por ser un beta tester."



1. Artículo del Día: Ataques a las bases de Internet
2. Sorteo de entradas para SEGURINFO 2007
3. Entrevistas varias
4. Gestión de Riesgos
5. Noticias de esta semana
6. Desafío de la semana



1. Artículo del Día: Leyendo lo que las máquinas no pueden (CAPTCHA)


Todos estamos cansados de ver imágenes distorsionadas, generalmente con un texto a descifrar e ingresar en ciertos sitios.


Estas imágenes reciben el nombre de CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos) [1].


En realidad un CAPTCHA es un programa que debería generar una prueba desafio-respuesta que los humanos seamos capaces de resolver pero que las máquinas no.
Esto que puede parece algo absolutamente inútil ha cobrado importancia con el auge del spam y el abuso de los recursos ajenos por partes de personas inescrupulosas.


Cuando el spam alcanzó los niveles actuales y la invasión de los correos electrónicos ya no era un desafío para los spammers, los mismos comenzaron a explotar nuevas vías de promoción de forma tal
de llevar a los usuarios a los sitios de venta de los productos que publicitan o bien lograr ser indexados mayor cantidad de veces por los buscadores.

La proliferación de blogs y la posibilidad de enviar mensajes a los mismos, sin registración y con formularios que no requieren más que el ingreso de texto proporcionó a los spammers la forma perfecta de lograr sus objetivos.

Con el desarrollo de simples bots [2], se rastrean millones de blogs enviando direcciones de los sitios web promocionados por los spammers. Esta acción se conoce como Splog [3].


Como se mencionó anteriormente la ventaja radica en dos puntos importantes para el spammer:

Si el blog es importante y muy visitado, miles de usuarios podrán ver los enlaces y hacer click en ellos.

Si los buscadores indexan este enlace, el mismo puede ser considerado de relevancia directamente proporcional a la importancia del blog del que fue obtenido. Si bien los buscadores implementan algoritmos (y tags HTML) para evitar estos sitios, los mismos son burlados y es común ver sitios de spammers con los buscadores.


Esta última metodología también puede ser aplicada a sitios tan populares como la Wikipedia si bien se implementan métodos para evitarlos, como el tag "noindex" que le dice a los buscadores que no
indexen los enlaces contenidos en la página.


Información detallada de este funcionamiento puede ser encontrada en "El circuito Spammer" de Fabio [4].


Los CAPTCHAs han sido, por un tiempo, una aproximación bastante acertada a la solución del problema hasta que los spammers encontraron la forma de saltar algunos de ellos.


Luego de pagar a personas para resolvieran los CAPTCHA presentados [5] y de haber llegado a la conclusión de su baja rentabilidad, paradójica y obviamente la forma de pasar un CAPTCHA es el reconocimiento óptico de caracteres (OCR) [6], la misma técnica actualmente utilizada desde hace años en los scanners y la misma utilizada para detectar spam gráfico en los correos electrónicos.

Algunos incluso van más lejos y proponen soluciones sin la utilización de OCRs [8].


Es así que actualmente pueden verse decenas de soluciones al problema [7], algunas de las cuales suelen ir desde muy sencillas, por lo cual no cumplen su función, a extremadamente difíciles de
descifrar incluso para humanos. Esto sin mencionar que las personas con deficiencias visuales tienen problemas con su reconocimiento.


Es importante remarcar que la "fortaleza" de un CAPTCHA puede ser distinta según la utilización del mismo: no tiene la misma importancia el registro a un sitio web como paypal que un formulario
de contacto en un weblog.


A modo de ejemplo podemos citar proyectos [8] en los cuales el objetivo es mejorar los CAPTCHAs actuales, mostrando debilidades, fortalezas, eficacia e ineficiencia de muchos de los métodos utilizados.

Otras corrientes prefieren variar estos métodos mediante la utilización de algunos de los siguientes métodos:

Si bien las alternativas son muchas, algunos profesionales afirman [14] que este no es el camino correcto debido a los problemas de accesibilidad que presentan y que cualquier método técnico a al
larga es "hackeable" por un robot (o por una máquina que pase el Test de Turing).


Más allá de la solución, lo cierto es que actualmente son un filtro importante en la mayoría de los sitios webs y todo parece indicar que los CAPTCHAs nos acompañaran por un tiempo más hasta que se perfeccionen algunos métodos de detección heurísticos.


Pero aún así el desafío sigue en el aire: si una máquina es capaz de pasar el Test de Turing [15] estaría demostrando su inteligencia (si una máquina se comporta en todos los aspectos como inteligente, entonces debe ser inteligente), por lo que sería capaz de pasar un test tipo CAPTCHA.


[1] CAPTCHA
http://es.wikipedia.org/wiki/Captcha
http://www.captcha.net/

[2] Bot
http://es.wikipedia.org/wiki/Bot

[3] Splog
http://es.wikipedia.org/wiki/Splog

[4] "El circuito Spammer
http://www.fabio.com.ar/verpost.php?id_noticia=1829

[5] Resolviendo CAPTCHA por dinero
http://it.slashdot.org/article.pl?sid=06/09/06/1217240

[6] OCR
http://es.wikipedia.org/wiki/OCR

[7] Variedad de CAPTCHAs
http://www.flickr.com/photos/tags/captcha/

[8] Verificando y rompiendo CAPTCHAs
http://sam.zoy.org/pwntcha/
http://www.cs.sfu.ca/~mori/research/gimpy/
http://www.puremango.co.uk/cm_breaking_captcha_115.php

[9] CAPTCHA matemático
http://www.segu-info.com.ar/boletin/img/bol79_01.png

[10] Respondiendo con imágenes
http://www.segu-info.com.ar/boletin/img/bol79_04.png

[11] Relacionando imágenes
http://gs264.sp.cs.cmu.edu/cgi-bin/esp-pix
http://www.segu-info.com.ar/boletin/img/bol79_02.png

[12] CAPTCHA complejo
http://www.segu-info.com.ar/boletin/img/bol79_03.png

[13] CAPTCHAs auditivos
http://googleblog.blogspot.com/2006/11/audio-captchas-when-visual-images-are.html
http://www.segu-info.com.ar/boletin/img/bol79_05.png

[14] Escape from CAPTCHA
http://www.bestkungfu.com/?p=445
http://www.w3.org/TR/turingtest/

[15] Test de Turing
http://es.wikipedia.org/wiki/Prueba_de_Turing



2. Sorteo de entradas para SEGURINFO 2007


Gracias al aporte de un colaborador hemos podido crear este nuevo sorteo. Gracias !

Se sortearán 2 entradas (sin costos) para el "Tercer Congreso Argentino de Seguridad Informática - SEGURINFO 2007" a realizarse el 15 de marzo.

Las bases y condiciones del sorteo se encuentran en nuestra sección de Sorteos


Por favor leer atentamente las condiciones de participación , ya que no serán tenidos en cuenta aquellos participantes que no cumplan dichas condiciones.


Segu-Info agradece a la organización de SEGURINFO 2007 por la realización de este sorteo.


Nota: Aquellas organizaciones (de cualquier país) que deseen sortear o promocionar sus eventos por favor ponerse en contacto.



3. Entrevistas varias


Serie de entrevistas en donde puede apreciarse la diferencia ideológica de cuatro grandes personajes que a su manera han cambiado y siguen cambiando el mundo.


El primero de ellos, Richard Stallan [1] el fundador del movimiento de Software Libre ("Free As In Freedom").


Stallman en Radio Nacional de España (RNE) en dos partes:
http://www.rtve.es/rne/r3/audios/prog/redbabel/red_20070210_a.mp3
http://www.rtve.es/rne/r3/audios/prog/redbabel/red_20070210_b.mp3


Stallman en la III Conferencia Software Libre:
http://tinyurl.com/3cfhm3


Stallam premiado en La Junta de Extremadura:
http://tinyurl.com/38kszr
http://tinyurl.com/262s4u


Stallam en Cuba:
http://tinyurl.com/22rgyo
http://www.larepublica.es/spip.php?article4730


El segundo beneficiado es Bill Gates [2] aquel que hizo famosa la frase "Si no puedes con el enemigo... CÓMPRALO", entrevistado en la feria CES en Las Vegas.
http://video.google.com/videoplay?docid=-869193380945997603
http://tinyurl.com/2t5zzw


Para continuar, quizás un desconocido, pero a quien le debemos gran parte de este milagro de Internet: Vinton Cerf [3], el creador del conjunto de protocolos TCP/IP.
http://www.dominio-digital.com.ar/veronline.htm
http://youtube.com/watch?v=S9pQDE81Q5c


Por último y no por eso menos importante, Linus Torvalds [4], creador de Linux "solo por diversión".
http://video.google.com/videoplay?docid=3849126629811974480


Como extra la interesante entrevista al Presidente de la Junta Directiva Nacional del Partido Pirata (originado en Suecia) de España [5] quienes se oponen a las patentes de software e impulsan
el uso de software libre.
http://www.elpais.com/edigitales/entrevista.html?encuentro=2575


[1] Richard Stallman
http://www.stallman.org/
http://es.wikipedia.org/wiki/Richard_Stallman

[2] Bill Gates
http://es.wikipedia.org/wiki/Bill_Gates

[3] Vinton Cerf
http://es.wikipedia.org/wiki/Vinton_Cerf

[4] Linus Torvalds
http://es.wikipedia.org/wiki/Linus_Torvalds

[5] Partido Pirata de España
http://www.partidopirata.es/
http://es.wikipedia.org/wiki/Partido_Pirata



4. Gestión de Riesgos


En nuestro Boletín 77 se menciona el Análisis de Riesgo como parte fundamental de una Política de Seguridad.


Su relevancia es tan importante que la nueva ISO 27001 dedica un capítulo a su tratamiento mencionando en su punto 4.2.1:
"La organización demostrará que ha definido un método de análisis de riesgo adecuado cubriendo todos los activos de la información."


Como también menciona la 27001, existen diferentes metodologías para realizar un análisis de riegos tratadas en distintas normas y también en la nueva BS 7799-3:2006 [2] (de octubre de 2006) y que cubre puntos como:

  1. Identificar los activos y los propietarios de los mismos
  2. Identificar los amenazas sobre estos activos
  3. Identificar las vulnerabilidades (debilidades) que se pueden explotar a través de las amenazas
  4. Identificar la probabilidad de ocurrencia.
  5. Evaluar los impactos (consecuencias) sobre la tríada CIA
  6. En base a lo anterior estimar el nivel de riesgo
  7. Determinar que riesgo es aceptable y cual debe tratarse
  8. Aceptarlo
  9. Aplicar controles para mitigarlo
  10. Transferirlo a terceras partes (aseguradoras)
  11. Identificar los riesgos residuales

Como suele ocurrir a menudo los stándares de este tipo definen el "que" se debe hacer pero no definen el "cómo". Para ello dejo algunos documentos que servirán de base para el desarrollo de un Análisis de Riesgo.

En la sección de Terceros podrá encontrar documentos como:

Más Información:

http://www.segu-info.com.ar/terceros/

http://seguinfo.blogspot.com/search/label/riesgos

El Blog de Fernando Aparicio
http://coversec.blogspot.com/


[1] Boletín 77 punto 1
http://www.segu-info.com.ar/boletin/boletin_070114.htm

[2] Publicada la norma BS-7799-3
http://seguinfo.blogspot.com/2006/10/publicada-la-norma-bs-7799-32006.html



5. Noticias de esta semana


Estas noticias pueden ser consultadas directamente desde nuestro sitio web.


También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en nuestro sitio en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)"


16 de febrero

15 de febrero

14 de febrero

13 de febrero

12 de febrero

11 de febrero

10 de febrero

6. Desafío de la semana


Solución al desafío del boletín anterior (78):


El problema matemático planteado corresponder al conocido como "Monty Hall" inspirado en un concurso televisivo estadounidense.

El problema y la solución:

http://es.wikipedia.org/wiki/Problema_de_Monty_Hall

http://www.psicoactiva.com/inteli/intelig44.htm


Respondió correctamente: No hubo respuestas correctas.


Desafío de esta semana:

¿Cuántos cuadrados hay en un tablero de ajedrez?


Actualidad

Virus-Antivirus