Abbiamo intervistato Dan Woods, Global Head of Intelligence di F5, per capire come i CAPTCHA di controllo nelle applicazioni web possono essere usati per realizzare attacchi automatizzati.
Nei siti web utilizzati da organizzazioni pubbliche e/o private, si possono trovare spesso dei controlli CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) noti per essere usati come controlli di prevenzione per contrastare interazioni automatizzate mediante l’adozione di programmi Bot. Il CAPTCHA è stato creato presso la Carnegie Mellon University nel 2000 e la sua adozione si è subito diffusa come mezzo di protezione e prevenzione. Tipicamente, infatti, le organizzazioni li utilizzano nel tentativo di prevenire attacchi automatizzati come il credential stuffing (attacchi che puntano a sottrarre le credenziali di accesso a servizi e siti web ai fini furto di identità degli utenti vittima n.d.r.).
Tuttavia, il superamento dei controlli grafici di questo tipo è stato introdotto molto rapidamente dai criminali digitali e sempre mediante strumenti/programmi di automazione completati da attività di manodopera a basso costo nei paesi in via di sviluppo per risolvere le immagini CAPTCHA. Esistono società specializzate nei servizi di risoluzione delle immagini che ottimizzano i loro strumenti di automazione tramite API (Application Programming Interface, ovvero Interfaccia di programmazione delle applicazioni n.d.r.), popolando le risposte sul sito Web di destinazione. Le società di questo tipo sono piuttosto ambigue ma si possono trovare anche con una semplice ricerca Google (Fonte Shape Security): DeathbyCAPTCHA, 2Captcha, Kolotibablo, ProTypers, Antigate.
I tentativi di sostituzione dei CAPTCHA
Qualche tentativo di sostituzione dei sistemi CAPTCHA esiste ma si tratta ancora solo di test. A dicembre 2021 Facebook ha annunciato test per l’introduzione di selfie per il riconoscimento utenti (Fonte Wired) e sempre a Dicembre Cloudfare aveva annunciato una sostituzione a mezzo chiave di sicurezza USB (hardware “Cryptographic Attestato of Personhood” ovvero “l’attestazione crittografica della personalità” questo è il nome dello strumento proposto) (Fonte Cloudfare).
Lo scorso anno Dan Woods, Global Head of Intelligence di F5, si fece assumere come risolutore di CAPTCHA per comprendere meglio le dinamiche di queste forme di business che si presentano convenienti e ampiamente utilizzati dagli hacker e “scomode” o percepite come “fastidiose” dall’utenza legittima. Woods enfatizzò come i CAPTCHA siano ancora largamente usati pur non costituendo una effettiva barriera di difesa. Lo abbiamo interpellato a distanza di diversi mesi dalle sue dichiarazioni per approfondire il tema e sensibilizzare ulteriormente le aziende ad adottare strumenti di difesa più efficaci.
Quanto è esteso il fenomeno dei risolutori di CAPTCHA a livello globale? Ci sono dati numerici o stime sul valore di questo business?
Purtroppo, non ho una stima del valore dell’attività, ma nella mia analisi mi sono imbattuto in dozzine di aziende che offrono soluzioni CAPTCHA. E molte di queste sono in circolazione da anni, il che significa che continuano a realizzare profitti.
Chi sono i clienti di questi servizi di risoluzione CAPTCHA?
Chiunque desideri poter utilizzare l’automazione contro un sito che utilizza qualsiasi forma di CAPTCHA: uno stuolo che include cybercriminali coinvolti nel credential stuffing, nel cracking di carte regalo, nella creazione di account fittizi, riciclaggio di denaro, carding e molte altre attività illegali; ma si possono includere anche acquirenti di prodotti con offerte a tempo limitato, come scarpe da ginnastica o biglietti per i concerti e persone che cercano di iscriversi a un corso o di effettuare prenotazioni/appuntamenti quando sono molto richiesti fino ad arrivare a terze parti che aggregano e rivendono informazioni, come registri amministrativi o dati finanziari o a terze parti che stanno cercando di raccogliere informazioni sulla concorrenza, come prezzi, dati sull’inventario o dettagli organizzativi; infine includerei anche i sistemi di test e monitoraggio delle prestazioni.
Perché fino ad oggi non è stato evidenziato in tutta la sua sottile pericolosità?
Penso che le società che utilizzano i risolutori CAPTCHA facciano un buon lavoro, sottolineando sempre le applicazioni legali dei propri servizi. Sul fronte opposto, sono sorpreso anch’io in qualche modo, dal numero di organizzazioni che ancora oggi si affida ai CAPTCHA per “proteggere” le proprie applicazioni critiche, nonostante sia ormai evidente con quanta facilità possano essere aggirati.
Quanto sono diffusi i sistemi su web ancora basati su CAPTCHA?
Secondo una mia stima, circa il 40% dei siti Internet che ho analizzato utilizza una qualche forma di CAPTCHA all’interno di qualche sua pagina. Questo non significa in assoluto che il 40% di tutti i siti utilizzi una qualche forma di CAPTCHA perché personalmente tendo ad analizzare i siti che potrebbero essere presi di mira più facilmente dall’automazione.
Come sostituire queste verifiche anti bot con sistemi più funzionali all’obiettivo di contrastare i bot nei tentativi di accesso ai siti web?
L’unico modo efficace è raccogliere lato client segnali che provengono dall’utente, dal browser e dalla rete, e analizzarli sia in tempo reale che retrospettivamente. Segnali molto rilevanti lato client sono, ad esempio, la velocità di digitazione, il modo in cui si muove il mouse, la velocità con cui vengono spostati i flussi di lavoro, il modo in cui il browser esegue i numeri in virgola mobile o il rendering delle emoji e le informazioni dall’intestazione HTTP. L’obiettivo non è raccogliere migliaia di segnali, ma evidenziarne alcune decine che richiedono molto tempo e sforzi per essere falsificati da un bot. Il punto è che quando i bot smettono di fare soldi, passano direttamente a un obiettivo che ritengono più facile, come ad esempio uno che si basa sui CAPTCHA.
Non tutti sanno studiare le tecniche degli avversari come lei. Cosa consiglia a chi vuole conoscere le tecniche e tattiche avversarie e restare aggiornato e preparato in proposito? cosa si può fare?
Suppongo che nella mia, come in qualsiasi altra professione le sfide cambino e si evolvano costantemente. La risposta ovvia è che bisogna informarsi bene e collaborare con partner e altri esperti per rimanere aggiornati (e soprattutto non credere mai di aver “finito” di imparare o essere supponenti). La risposta meno ovvia, invece, è che bisogna riuscire a pensare come un criminale, e questo è un punto veramente difficile per i professionisti della sicurezza onesti e rispettosi della legge.
