9 dic. 2014

noCaptcha, la estrategia de Google para segmentar a los usuarios

La semana pasada Google presentaba noCaptcha (EN), la supuesta evolución del sistema por antonomasia de identificación de personas en el mundo digital, y el talón de Aquiles de los ataques basados en fuerza bruta.

Una propuesta que sigo con interés desde hace bastante tiempo, que se ha quedado anticuada (tanto por la capacidad de saltárselo mediante automatismos, como por lo molesto que resulta, principalmente en dispositivos móviles).

Y comprendo a la perfección la dificultad que entraña tener que alinear experiencia de usuario y seguridad, dos filosofías que lamentablemente, y en casos como este, parecen totalmente antagónicas.

Por eso llegué con ilusión al anuncio, y el anuncio, como todo lo que sale de la gran G, no dejará indiferente a nadie.

noCaptcha es un sistema de discriminamiento de bots y usuarios, basado en el conocimiento previo de quien está detrás. Y aquí es donde empiezan los problemas.

Haga una prueba. Entre en la página de soporte de WordPress (EN) con una ventana normal y una ventana de incógnito, y eche un vistazo al noCaptcha inferior ¿Nota alguna diferencia verdad?

En su sesión normal, que tendrá seguramente asociada a una cuenta de Google (ya sea Chrome o las cookies de la sesión de alguno de sus servicios), con tan solo clickar en el cuadro, noCaptcha asegura que es usted humano, y le permite continuar. En la ventana de incógnito, Google es incapaz de acceder a su historial anterior (puesto que no está logueado), y por tanto tendrá un paso extra (ya no vale con darle click, sino que además tendrá que completar el captcha habitual).

Podrían haber optado por el análisis semántico de las imágenes, un campo aún lejano para los algoritmos de inteligencia artificial, y sin embargo, prefirieron optar por el conocimiento interno del usuario, una técnica de nuevo invasiva, y que apunta, nuevamente, al canvas figerprinting, o lo que es lo mismo, la monitorización del usuario basándose en numerosos elementos públicos que juntos generan un patrón único para cada uno (cookies de sesión, navegador, historial, plugins, acciones,…).

En esencia Google está usando una cookie que quedará almacenada en nuestro navegador (un tiempo de expiración alto, eso sí) llamada “g-recaptcha-response”, encargada de considerar si quien está detrás es humano o no. Puesto que si estamos en modo anónimo no tendremos esta cookie activa, el noCaptcha considera por defecto que está ante un bot, y por tanto muestra el código del captcha habitual, que sigue siendo tan vulnerable a ataques por algoritmos OCR como siempre.

Así llego al blog de Egor Homakov (EN), donde ejemplifica lo que un servidor suponía. Si el mostrado de ese captcha depende únicamente de una variable, ¿podremos generarla artificialmente?

Dicho y hecho. Bastaría ofuscar un captcha en algún formulario de una página corrompida donde alberguemos el automatismo para que la “confianza” de Google en él aumente (cuando los usuarios clickan en el mismo) y por tanto podamos saltárnoslo. Y por supuesto, el robo de credenciales mediante XSS o cualquiera de las técnicas de explotación web en cliente también nos permitirían emular la confianza de “g-recaptcha-response”. E incluso aunque no recurriéramos a esto, tendríamos que enfrentarnos al captcha habitual, que está más que demostrado que es explotable.

Es decir, ganamos experiencia de usuario a cambio de mayor vulnerabilidad y menor privacidad. Y lo hacemos cuando habría alternativas interesantes, como apuntaban en el mismo artículo con la comparación de fotografías (por ahora no lo he visto implantado en ningún sitio).

Además cuenta con una lectura nada halagüeña: la de la segmentación de usuarios según los que Google considera fiables y los que no. Cualquier usuario que opte por navegar de forma anónima es considerado por defecto "peligroso". Un elemento del que no se puede fiar, y por tanto, equiparable a un automatismo (el trato a efectos prácticos es el mismo).

Fuente: Pablo Yglesias

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!